;

Kyberútoky jsou velký byznys: Roční zisk z jediné kampaně je až 34 milionů dolarů

12. 2. 2016
Doba čtení: 8 minut

Sdílet

 Autor: archiv redakce
Do války v kybersvětě vstupují žoldáci. Týmy kyberpirátů se profesionalizují, disponují špičkovou výbavou a nechávají se najímat na útoky. Ty se staly výdělečným podnikem. Jediná kampaň založená na exploit kitu Angler mohla ročně přinést až 34 milionů dolarů. Ukazují výsledky pravidelné studie Cisco Annual Security Report, které byly (mimo jiné) prezentovány na bezpečnostní konferenci Cyber Security 2016, kterou pořádalo IDG Czech Republic ve spolupráci s Cisco.

Bezpečnostní strategie firem se postupně mění. Za útoky stojí profesionalizované a dobře vybavené týmy kyberzločinců, které dokáží připravovat útoky na míru. Využívají přitom velmi často nepozornosti či nezodpovědnosti uživatelů, případně liknavosti některých bezpečnostních specialistů, kteří neinstalují dostatečně rychle bezpečnostní záplaty nebo nechávají zastarat síťovou infrastrukturu. Stále sofistikovanější a efektivnější metody kyberpirátů mění bezpečnostní prostředí. Firmy se musí místo prevence, tedy obrany před průnikem škodlivého kódu do sítě, soustředit na reakci, zejména rychlou detekci nákazy v síti a zabránění případným škodám. Vyplývá to z výsledku pravidelné studie Cisco Annual Security Report, která mimo jiné zjistila, že ve více než 85 procentech firem se nachází stopy po kybernetickém útoku využívajícím rozšíření webového prohlížeče.

Kybernetická válka se profesionalizuje, výsledky studie odhalují, že kyberzločinci si stále častěji budují legální a robustní IT infrastrukturu, kterou pak využívají k vlastním kyberútokům. Efektivnost jejich útoků tak roste souběžně s tím, jak se jejich metody stávají sofistikovanější. Dříve používané metody obrany i bezpečnostní strategie jsou proti pokročilým typům prakticky neúčinné. To vede k tomu, že klesá důvěra manažerů ve schopnost jejich firem ubránit se kybernetickým útokům. Jak zjistil Cisco Annual Security Report, pouze 45 procent organizací na světě důvěřuje svému stávajícímu zabezpečení proti kybernetickým útokům. V porovnání s výsledky z minulých let toto číslo přitom setrvale klesá.

„Zabránit proniknutí škodlivého kódu do sítě je dnes prakticky nemožné. Bezpečností strategie musí být založena na schopnosti co nejrychleji napadení odhalit,“ konstatuje Michal Stachník, generální ředitel Cisco ČR. „Efektivní ochrana proti pokročilým typům útoků musí fungovat ještě před započetím samotného útoku, po proniknutí malware do sítě, pokud již útok propukne, musí být schopna ochránit zbylé části sítě, a po útoku zajistit zmapování škod a odstranění všech následků,“ pokračuje Michal Stachník.

Firmy si nicméně uvědomují důležitost efektivní obrany. Podle zmínění studie je 92 procent firem přesvědčeno, že investoři a regulatorní orgány očekávají, že se firmy s těmito kybernetickými hrozbami budou umět vypořádat. V éře digitální revoluce jsou firmy závislé na své IT infrastruktuře a její případný výpadek může přímo ohrozit existenci firmy na trhu. I proto je již dnes stanovení bezpečnostní politiky součástí firemní strategie a rozhodování o ní se přesouvá z IT oddělení na management společností.

Jediný útok vynese až 34 milionů dolarů

Společnosti Cisco se v loňském roce podařilo odhalit původ jednoho z nejpopulárnějších a nejnebezpečnějších exploit kitů Angler. To jí umožnilo podrobněji analyzovat jeho fungování a zpřesnit tak odhad výnosnosti současných kybernetických útoků. Ukázalo se, že jediná kampaň postavená na Angleru mohla za rok jen z vyděračských (ransomware) útoků vynést až 34 milionů dolarů. Angler byl totiž schopen napadnout až 147 serverů měsíčně a z každého provést 90 tisíc útoků. Ty byly úspěšné zhruba v desetině případů.

Ransomware útoky probíhají tak, že útočníci zablokují uživatelský počítač a za jeho opětovné zprovoznění vyžadují „výpalné“. Vzhledem k velké efektivitě Angleru bylo napadeno asi 40 procent počítačů, které se připojily na nakažený server a na 62 procent z nich se podařilo ransomware nainstalovat. I když výhružkám vyděračů ustoupila jen necelá 3 procenta uživatelů, při průměrné platbě 300 dolarů to pro útočníky znamená více než slušný výdělek.

Zastarávající infrastruktura

Zatímco techniky kyberzločinců se stále vylepšují, nedostatečná pozornost věnovaná nastavení bezpečnostních pravidel v řadě firem zvyšuje riziko napadení. Již loňský výzkum Cisco Annual Security Report upozornil na fakt, že ani bezpečnostní specialisté nevěnují dostatečnou pozornost pravidelné instalaci záplat a modernizaci bezpečnostního vybavení. Tím útočníkům zjednodušují situaci. Výsledky letošní analýzy naznačují, že situace se zhoršuje. Ačkoli intenzita a úroveň kybernetických útoků roste, zejména malé a střední podniky používají méně nástrojů a procesů pro zabezpečení vůči hrozbám než dříve. Ve srovnání s rokem 2014 poklesl během roku 2015 počet malých a středních podniků, které používají nástroje pro zabezpečení webu o více než 10 procent.

Firmy zároveň zapomínají aktualizovat síťovou infrastrukturu, přitom její zastarávání přímo zvyšuje riziko kybernetického útoku. Oproti roku 2015 klesl počet firem, které uváděly, že jejich bezpečnostní infrastruktura je aktuální, o desetinu. Studie zjistila, že 92 procent internetových zařízení provozují organizace s vědomím, že tato zařízení obsahují slabá místa v zabezpečení. Ze všech analyzovaných zařízení celých 31 procent již není podporováno ani udržováno prodejcem.

Cílem není útoku zabránit, ale odhalit ho

Velké nebezpečí se skrývá zejména v internetových prohlížečích, které se stávají nejobvyklejší cestou do uživatelských počítačů a dále do sítě. Podle údajů společnosti Cisco bylo až v 85 procentech počítačů zahrnutých do výzkumu Annual Security Report zjištěny stopy po napadení využívajícím rozšíření nejběžnějších internetových prohlížečů. Při plánování svých útoků se dnes kyberpiráti soustředí na využití známých bezpečnostních chyb. To je jeden z důvodů, proč je pravidelná instalace aktualizací jedním z důležitých pilířů bezpečnostní strategie pro firmy i uživatele.

Pro šíření svých kampaní využívají útočníci vlastní infrastrukturu, které vypadá zdánlivě bezpečně. Například počet zneužitých WordPress domén vzrostl od února do října 2015 o 221 procent. Drtivá většina útoků pak využívá nezabezpečené DNS servery. Autoři studie zjistili, že DNS protokol se stal jedním z pilířů kybernetického útoku v 92 procentech případů.

Změna strategie kybernetických útočníků mimo jiné znamená, že firmy o svém napadení dlouho nevědí. Zatímco v minulosti byly útoky obvykle dobře patrné, dnes se snaží útočníci zůstat naopak skryti a zabránit detekci útoku bezpečnostními mechanismy sítě. V celé řadě firem tak může škodlivý kód existovat v síti až 200 dní, aniž by byl detekován. Právě zkrácení času, po který má útočník přístup k napadené síti je jedním z klíčových prvků bezpečnostních strategií.

Nelze se již spoléhat na prevenci. Síťová infrastruktura musí být schopna bránit kybernetickému útoku již před jeho započetím, tedy v okamžiku, kdy útočník pronikne do sítě a pokračovat v obraně až do jeho skončení. Díky neustálému vývoji nástrojů obrany proti pokročilým hrozbám (AMP) se podařilo společnosti Cisco za poslední období snížit čas potřebný pro detekci škodlivého kódu v síti ze 46 hodin v minulém roce na současných 17,5 hodiny. To znamená asi třistakrát rychleji, než je běžné u firem, které ochranu AMP nepoužívají.

Kybernetičtí žoldáci

V éře digitální ekonomiky jsou na fungující IT infrastruktuře závislé nejen firmy, ale celé státy či veřejná správa. Na straně útočníků v kybernetické válce dnes stojí často profesionálové, které lze na útok najmout. V komerční sféře se stal kyberzločin v podstatě samostatným průmyslovým odvětvím. Tato situace ovšem může nahrávat k tomu, aby se pozornost útočníků nesoustředila jen na krádeže peněz a informací, ale například na kritickou infrastrukturu států.

ICTS24

V minulosti byly již zaznamenány případy zneužití kybernetických útoků vládami různých států. Vzhledem k důsledkům, jaké by mohlo mít napadení kritické infrastruktury státu, se mohou tito profesionálové snadno dostat do hledáčku teroristických organizací či diktátorských režimů a místo peněženek a bankovních účtů zacílit své útoky na ochromení běžného života a fungování veřejné správy v napadených státech.

Úvodní foto je z konference CyberSecurity 2016, kterou pořádalo IDG Czech Republic společně s firmou Cisco v pražském konferenčním centru City dne 10.2.2016.
Info a další naše akce najdete na webu eventworld.cz