Raport Specjalny. Bezpieczeństwo Banków: Nowe cyberzagrożenia! Czy rzeczywiście groźne?

BANK 2019/05

Znane od wielu lat w świecie cyfrowym zagrożenia nie znikają, choć znacząco ewoluują. Obok nich pojawiają się jednak niebezpieczeństwa zupełnie nowe i to właśnie tych „nowości” obawiamy się najbardziej. Przestępcy zaczynają wykorzystywać nowe technologie – w tym sztuczną inteligencję – do doskonalenia i optymalizacji swoich działań.

Bohdan Szafrański

Obecnie bezpieczeństwo w cyberprzestrzeni stało się ważnym elementem bezpieczeństwa państwa, a zakłócenie funkcjonowania systemu finansowego może być celem ataku w ramach tzw. wojny hybrydowej. Jednak najczęściej narażeni jesteśmy na działania grup przestępczych, które wykorzystują słabe punkty zabezpieczeń, głównie po stronie klientów banków. Jeśli chodzi o zabezpieczenia komputerów PC przed wirusami i innymi złośliwymi programami, to te standardowo stosowane w nowych wersjach systemów operacyjnych w większości spełniają swoje zadanie. Gorzej wygląda to w urządzeniach mobilnych, zwłaszcza wyposażonych w starsze, ale nadal masowo używane wersje Androida. Ich użytkownicy nie zawsze instalują w smartfonach programy antywirusowe.

W artykule opublikowanym w „Infosecurity Magazine” Ted Julian, były analityk między innymi w IDC i Forrester, zwrócił uwagę, że od pojawienia się pierwszego wirusa komputerowego w końcu lat 80. XX w. cyberprzestępczość stała się tak wyrafinowana, że wydaje się prawie niemożliwe, by można było jej zapobiec. Dlatego dziś kładzie się nacisk na to, jak organizacja reaguje, gdy zostanie zaatakowana. Jak stwierdził, chociaż nie możemy zapobiec każdemu incydentowi, możemy kontrolować, w jaki sposób zarządzamy jego następstwami. Powinniśmy być na to przygotowani i mieć przećwiczone sposoby reagowania. Ted Julian jest przekonany, że właśnie w taki sposób można rozwinąć odporność organizacji, by takie incydenty były zgrabnie zarządzane, jak kolejny element prowadzonego biznesu.

Nowości ze świata cyberprzestępczości

Działania przestępcze w cyberprzestrzeni można podzielić na trzy rodzaje, wynikające z motywacji sprawców: finansową, polityczną i ideologiczną. Nie zawsze jest to jednoznaczny podział. Według danych zgromadzonych w globalnej bazie wiedzy MITER ATT&CK o taktykach i technikach cyberprzestępców, wykorzystującej rzeczywiste obserwacje, na świecie działa obecnie 78 grup przestępczych. Wyróżniono je na podstawie technik i oprogramowania używanego podczas włamań. Jak się okazuje to zorganizowane i często wyspecjalizowane grupy, działające podobnie do typowych korporacji i maksymalizujące swoje zyski. Dziś jest to również względnie bezpieczny dla sprawców – w porównaniu z inną działalnością przestępczą – sposób na zdobywanie środków finansowych legalizowanych następnie przez inne wyspecjalizowane grupy.

Obecnie działa rozwinięty rynek usług hakerskich dostępnych w sieci Darknet, gdzie za opłatą specjaliści tworzą na zamówienie różnego typu eksploity. Oprogramowanie ransomware służące do wymuszania okupów za odblokowanie zaszyfrowanej zawartości dysków w komputerach jest też oferowane już jako usługa (ang. Ransomware-as-a-Service). Duże środki są dziś coraz częściej kierowane przez organizacje przestępcze na rozwój technologii służących do przeprowadzania ataków. Według specjalistów trend ten będzie się umacniał w najbliższych latach. Przykładem może być tzw. fuzzing.

Fuzzing

Jest to technika stosowana w laboratoriach, służąca do wykrywania luk w zabezpieczeniach sprzętu i oprogramowania. Eksperci firmy Fortinet zwracają uwagę, że przestępcy zaczynają korzystać z uczenia maszynowego do tworzenia programów automatycznego fuzzingu. Pozwala to na szybsze wykrywanie luk w zabezpieczeniach, co umożliwia zwiększenie liczby ataków typu zero-day skierowanych na różne programy i platformy. Wykorzystanie tych technologii jest tańsze niż tworzenie exploitów zero-day. Można przewidywać, że exploity tego rodzaju będą coraz powszechniejsze.

Roje

Badania w zakresie inteligencji roju pozwoliły m.in. naukowcom z Hongkongu opracować nową metodologię wykorzystującą naturalne zachowania się roju i zastosować ją do kontroli nano-robotycznych klastrów. Wykorzystując tę technologię, można zestawiać duże grupy komputerów (inteligentnych botów), by organizować ich działanie zarówno wspólnie, jak i autonomicznie. Według specjalistów wpłynie to na modele biznesowe cyberprzestępców. Jak stwierdził w jednej z wypowiedzi Christian Vogt z niemieckiego oddziału firmy Fortinet, nawet nowe rozwiązania, takie jak Ransomware-as-a-Service, potrzebują tzw. inżynierów Black-Hat i wielu zasobów do wykorzystania, rozwijania, sprawdzania poprawności i zaplecza serwera. W modelu biznesowym „Autonomous” samouczące się roje „as-a-Service” znacznie zmniejszą liczbę bezpośredniej interakcji pomiędzy nabywcami i hakerami. Osoba kupująca taki program może wybrać różne rodzaje rojów z listy, do ataku zdefiniowanego przez użytkownika. Roje można też dzielić na mniejsze części do wykonania różnych zadań.

Ataki na procesy uczenia maszynowego

Uczenie maszynowe jest jedną z najbardziej obiecujących technologii, którą można wykorzystać w celach ochronny infrastruktury informatycznej. Systemy i urządzenia zabezpieczające można wytrenować, by samodzielnie porównywały zachowania z danymi bazowymi. Mogą również przeprowadzać analizy w celu wykrywania zaawansowanych zagrożeń (zachowań w sieci) np. z wykorzystaniem złożonej analizy behawioralnej. Można w ten sposób śledzić urządzenia i instalować na nich poprawki dotyczące bezpieczeństwa.

Jednak, jak ostrzegają specjaliści, można takie procesy uczenia zakłócać, modyfikując działanie systemu. Na przykład wytrenować urządzenia lub systemy w taki sposób, aby nie wdrażały poprawek lub aktualizacji na określonych urządzeniach, ignorowały niektóre aplikacje lub zachowania, czy nawet nie rejestrowały określonych typów ruchu w sieci. W ten sposób, zamiast szukać metod na pokonanie zabezpieczeń, można spowodować, że dla założonych działań ich nie będzie. Twórca systemu uczenia maszynowego i jego użytkownik mogą przez długi czas nie zdawać sobie sprawy, że ochrona, jaką on zapewnia, jest iluzoryczna.

Inne zagrożenia w 2019 roku

Według firmy Symantec coraz powszechniejszym celem dla atakujących jest dystrybucja złośliwego oprogramowania. Może to polegać na zastąpieniu legalnego oprogramowania złośliwą jego wersją w celu szybkiego i dyskretnego rozprowadzenia. Każdy użytkownik, który otrzyma aktualizację oprogramowania, automatycznie zainfekuje komputer lub smartfon. Nadal zagrożeniem będzie oprogramowanie ransomware szyfrujące pliki. Specjaliści od bezpieczeństwa spodziewają się nowych sposobów prowadzenia ataków na domowe routery Wi-Fi i inne słabo zabezpieczone urządzenia internetu rzeczy (IoT). Nadal też powinniśmy obawiać się phisingu. Nowością jest tzw. cryptojacking, określany jako „cryptomining malware”. Polega on na wykorzystaniu mocy obliczeniowej urządzenia do „kopania” kryptowalut. Działa w tle i jedynym objawem infekcji może być spowolnienie pracy komputera i większe zużycie energii.

Ataki przeprowadzane są na komputery osobiste, urządzenia mobilne i serwery. To zagrożenie wymieniane jest nawet jako jedno z największych, na które należy zwrócić uwagę w tym roku. Specjaliści zajmujący się bezpieczeństwem zwracają uwagę na przechowywanie danych w chmurze obliczeniowej. Można założyć, że zabezpieczenia stosowane w chmurach obliczeniowych są na bardzo wysokim poziomie, jednak dużym czynnikiem ryzyka jest to, że ta infrastruktura jako usługa (IaaS), nie ma w pełni bezpiecznego procesu rejestracji użytkowników. Jej prostota powoduje, że chmura jest podatna na ataki.

Jak się bronić?

Dla grup cyberprzestępców jednym z celów ataków jest nadal sektor finansowy. Zwraca się uwagę, że przestępców przyciąga szeroka gama usług, w tym skierowanych do klientów indywidualnych z reguły dysponujących słabszymi zabezpieczeniami. Również wykorzystanie aplikacji mobilnych ułatwia działanie przestępcom. Nie można też wykluczyć działań zewnętrznych mających na celu destabilizację całego sektora w danym kraju. Są też podejrzenia, że dla niektórych państw, takich jak np. Korea Północna, ataki na sektor finansowy mogą być źródłem pozyskiwania dodatkowych środków finansowych do budżetu.

Jak się bronić? W opinii wielu specjalistów nadal czynnik ludzki stanowi najsłabsze ogniwo. Niefrasobliwość pracowników i klientów banków umożliwia cyberataki i naruszenia danych, częściej niż działania hakerów wykorzystujących luki w systemie lub nowe złośliwe oprogramowanie. Jak podano w raporcie itportal.com, błędy ludzkie stanowiły główny czynnik w większości przypadków naruszenia danych, narażając organizacje na zagrożenia. Wynikały one z błędu ludzkiego, ignorancji i celowego uszkodzenia. Zaleca się regularne informowanie pracowników o potencjalnych cyberatakach, jak również wprowadzenie takiej kultury organizacyjnej, która zachęca i wspiera pracowników w otwartym informowaniu przełożonych i szybkim działaniu, gdy popełnili błąd.

Ciekawym rozwiązaniem, które pojawiło się w wypowiedziach specjalistów firmy Fortinet to wprowadzanie cyberprzestępców w błąd. Miałoby to polegać na włączeniu technik manipulacji w strategie bezpieczeństwa, przesyłając do sieci fałszywe informacje. Ma to zmusić hakerów do ciągłej weryfikacji, czy obserwowane przez nich zasoby sieciowe są prawdziwe. Natomiast każdy atak na fałszywe zasoby sieciowe może zostać natychmiast wykryty przez organizację i zablokowany poprzez automatyczne uruchomienie właściwych narzędzi. (współpraca SD)

 

Udostępnij artykuł: