Számítástechnika
Sulaki - 2016-08-07
A Cisco közzétette évközi kiberbiztonsági jelentését
A Cisco közzétette évközi kiberbiztonsági jelentését, amely rálátást ad napjaink legmeghatározóbb fenyegetettségeire és a legfontosabb védelmi teendőkre. A Cisco® Midyear Cybersecurity Report (MCR) jelentés szerint a zsarolóvírusok (ransomware) új generációival kell számolni, amelyek teljes hálózatokat, egész vállalatokat és intézményeket béníthatnak meg. A riport a zsarolóvírusok kapcsán kiemelten foglalkozik az egyre kifinomultabb támadási módszerekkel, és a kiberbűnözők számára lehetőségeket kínáló biztonsági résekkel. Ezek közül a legfontosabbak a sérülékeny informatikai infrastruktúrák, a hálózatok nem megfelelő karbantartása és az átlagos felderítési idő hosszúsága. A jelentés másik fontos következtetése, hogy a kiberbűnözők egyre nagyobb mértékben alkalmaznak szerveroldali támadásokat, és egyre gyakrabban használnak titkosítást valódi tevekénységük álcázására.
Egyre fejlettebb zsarolóvírusok
A biztonsági kutatók szerint 2016 első félévében a zsarolóvírusok váltak minden idők legjövedelmezőbb kártékony programjaivá. A Cisco várakozásai szerint ráadásul a kedvezőtlen trendek tovább folytatódnak, és még veszélyesebb károkozók megjelenésére kell számítani, amelyek már önmagukat terjesztik, miközben teljes hálózatokat tartanak majd sakkban. A programok új generációi moduláris felépítésűek lesznek, így a hatékonyság maximalizálásának érdekében gyorsan alkalmazkodnak majd a különféle környezetekhez és biztonsági megoldásokhoz. Az új zsarolóvírusok például csökkentik a processzorok használatát és a vezérlőszerverekkel (C&C) való kommunikációt annak érdekében, hogy minél nehezebben lehessen őket detektálni.
Ács György, a Cisco regionális hálózatbiztonsági szakértője szerint: “A legnagyobb veszélyt Magyarországon is a zsarolóvírusok jelentik jelenleg. Nemcsak egyéni felhasználókat, de közintézményeket, például kórházakat is támadnak zsarolóvírusokkal.”
Átláthatóság és gyorsabb reagálás
A Cisco évközi jelentése ezúttal is kitér a hálózatok és a végpontok átláthatóságának, illetve a fenyegetettségek felderítési idejének fontosságára. A Cisco az elmúlt fél évben 13 órára csökkentette a felderítés idejét (time to detection - TTD), szemben az iparágban átlagos 200 napos felderítési időkkel. A fenyegetések gyorsabb felderítése kulcsfontosságú a támadási felületek és a károk csökkentésének érdekében.
Globális méretű kihívás
Miközben a támadók folyamatosan fejlesztik módszereiket, a szervezetek nagy részének saját rendszereik és eszközeik folyamatos védelme is kihívást jelent. A támogatás nélküli, elavult és befoltozatlan rendszerek nagy lehetőséget jelentenek a támadóknak, akik könnyen megszerzik a behatoláshoz szükséges hozzáféréseket, láthatatlanok maradnak, és hatalmas károkat okoznak. A támadások száma az olyan kritikus iparágakban is jelentősen megnövekedett, mint például az egészségügy.
A Cisco
5 javaslat a hatékonyabb védelemhez
A Cisco Talos kutatói az alábbi tanácsokkal szolgáltak a vállalati és intézményi infrastruktúrák védelméhez:
Egyre fejlettebb zsarolóvírusok
A biztonsági kutatók szerint 2016 első félévében a zsarolóvírusok váltak minden idők legjövedelmezőbb kártékony programjaivá. A Cisco várakozásai szerint ráadásul a kedvezőtlen trendek tovább folytatódnak, és még veszélyesebb károkozók megjelenésére kell számítani, amelyek már önmagukat terjesztik, miközben teljes hálózatokat tartanak majd sakkban. A programok új generációi moduláris felépítésűek lesznek, így a hatékonyság maximalizálásának érdekében gyorsan alkalmazkodnak majd a különféle környezetekhez és biztonsági megoldásokhoz. Az új zsarolóvírusok például csökkentik a processzorok használatát és a vezérlőszerverekkel (C&C) való kommunikációt annak érdekében, hogy minél nehezebben lehessen őket detektálni.
Ács György, a Cisco regionális hálózatbiztonsági szakértője szerint: “A legnagyobb veszélyt Magyarországon is a zsarolóvírusok jelentik jelenleg. Nemcsak egyéni felhasználókat, de közintézményeket, például kórházakat is támadnak zsarolóvírusokkal.”
Átláthatóság és gyorsabb reagálás
A Cisco évközi jelentése ezúttal is kitér a hálózatok és a végpontok átláthatóságának, illetve a fenyegetettségek felderítési idejének fontosságára. A Cisco az elmúlt fél évben 13 órára csökkentette a felderítés idejét (time to detection - TTD), szemben az iparágban átlagos 200 napos felderítési időkkel. A fenyegetések gyorsabb felderítése kulcsfontosságú a támadási felületek és a károk csökkentésének érdekében.
Globális méretű kihívás
Miközben a támadók folyamatosan fejlesztik módszereiket, a szervezetek nagy részének saját rendszereik és eszközeik folyamatos védelme is kihívást jelent. A támogatás nélküli, elavult és befoltozatlan rendszerek nagy lehetőséget jelentenek a támadóknak, akik könnyen megszerzik a behatoláshoz szükséges hozzáféréseket, láthatatlanok maradnak, és hatalmas károkat okoznak. A támadások száma az olyan kritikus iparágakban is jelentősen megnövekedett, mint például az egészségügy.
A Cisco
MSR
jelentésének további fontos megállapításai
-
Bővülő célpontok: A kiberbűnözők egyre nagyobb hangsúlyt helyeznek a szerveroldali exploitok fejlesztésére. Ez a trend különösen jól megfigyelhető volt az elmúlt félévben a Jboss szerverek esetében. A kutatók az internethez is kapcsolódó Jboss kiszolgálók 10 százalékát találták fertőzöttnek, és sok esetben többéves sérülékenységek okozták a problémákat. A kliensoldali támadások száma sem csökkent, és a legtöbb támadás továbbra is az Adobe Flashsebezhetőségeit használta ki. Az elmúlt időszakban a Windows-os exploitok váltak a legelterjedtebb webes támadási formává, miközben a Facebookra épülő csalások száma csökkenni kezdett.
-
Rejtett támadások: Miközben a rendszerek átláthatóságának megteremtése továbbra is kihívást jelent a biztonsági szakembereknek, addig a támadók egyre hatékonyabban rejtik el tevékenységüket. Mára általánossá vált a kiberbűnözők körében a TLS (Transport Layer Security), a Tor és a kriptovaluták alkalmazása. A malvertising kampányokban használt,HTTPS titkosított károkozók mennyisége 2015 decembere és 2015 márciusa között 300 százalékkal nőtt.
-
Problémás patchmenedzsment: A támadók egyre gyakrabban találkoznak elavult, foltozatlan rendszerekkel, ami jelentősen megkönnyíti a dolgukat. Az automatikusan frissülő alkalmazások esetében jobb a helyzet, a Chrome böngészők 75-80 százaléka mindig naprakész. Ezzel szemben azonban aJavavagy akár a Microsoft Office esetében már korántsem ilyen kedvező a kép. A vizsgált rendszerek egyharmadán még mindig a Java SE 6-os verziója fut, az Office 2013 példányoknak pedig maximum 10 százaléka kapta meg a legújabb javítócsomagot.
5 javaslat a hatékonyabb védelemhez
A Cisco Talos kutatói az alábbi tanácsokkal szolgáltak a vállalati és intézményi infrastruktúrák védelméhez:
-
Javítani kell a hálózatok “tisztaságát”, amely monitorozással, megfelelő patch menedzsmenttel, szegmentációval és kellően erős hálózati védelemmel segíthető elő. Fontos szerepet kell kapniuk a következő generációs tűzfalaknak és behatolásmegelőző rendszereknek, illetve az e-mailés webes biztonsági megoldásoknak.
-
Integrált védelemre van szükség.A hiányzó bizonsági megoldások pótlása helyett architektúrális megközelítés szükséges.
-
A felderítési idő mérése, amelynek célja a lehető leggyorsabb detektálási idő elérése, majd az azonnali reagálás. Fontos lenne, hogy ezek a mutatók a szervezeti biztonsági szabályozás részévé váljanak.
-
A folyamatos felhasználói védelem jegyében a biztonságot garantálni kell, függetlenül attól, hogy a felhasználók távolról vagy az irodában dolgoznak, és nemcsak azokra a rendszerekre kell ügyelni, amelyek közvetlenül kapcsolódnak a vállalati hálózathoz.
-
Az adatmentés során minden kritikus fontosságú adat bizonsági mentésére szükség van. A mentéseket rendszeresen tesztelni kell, így az incidensek kártékony hatása csökkenthető.