Temat Numeru | Bezpieczeństwo Instytucji Finansowych – Fortinet | Krajobraz zagrożeń A.D. 2020

BANK 2020/06

Fot. oz/stock.adobe.com

Sukces cyberprzestępców wynika w dużej mierze z ich zdolności do skutecznego przewidywania i wykorzystywania decyzji podejmowanych przez ich ofiary, a dotyczących sieci i używanych technologii. Stosują wielopłaszczyznowe strategie i coraz bardziej wyrafinowane metody ataku. Wzrasta wykorzystanie zaawansowanych technik unikania (AET) zaprojektowanych w celu zapobiegania wykrywaniu, wyłączania funkcji i urządzeń bezpieczeństwa, działania poza obszarem widzenia radaru.

Warto jednak zwrócić uwagę na dwie dodatkowe strategie. Po pierwsze, jak każde przedsiębiorstwo, cyberprzestępcy nie wydają pieniędzy, kiedy nie muszą. Najnowszy raport Threat Landscape Report1, opracowany przez FortiGuard Labs firmy Fortinet, pokazuje, że cyberprzestępcy byli bardziej skłonni do atakowania już rozpoznanych podatności z zastosowaniem niezmienionych technik ataku, niż do tworzenia nowego złośliwego oprogramowania. Ta strategia wydaje się bardzo racjonalna, gdy organizacje wciąż pozostawiają otwarte drzwi dla cyberprzestępców. Przykładowo, nie słabnie wykorzystanie rozsyłania spamu do atakowania wybranych celów. Na wykresie 1. przedstawiono wolumen spamu przesyłanego pomiędzy krajami. Zostały one pogrupowane regionami geograficznymi. Wielkość węzła reprezentuje wolumen spamu zarejestrowanego dla danego kraju, zaś grubość łączących je linii i intensywność koloru czerwonego odpowiadają wielkości przepływu spamu pomiędzy krajami. Na bazie ilustracji można wskazać pewne wzorce. Do grupy największych „spam-partnerów handlowych” Stanów Zjednoczonych należą: Polska, Rosja, Niemcy, Japonia i Brazylia.

Druga strategia polega na działaniu na jak największej liczbie wektorów ataku. Bazując na tym samym raporcie: przestępcy w coraz większym stopniu kierują swoje działania w stronę publicznie dostępnych usług, być może w odpowiedzi na nadmierną rotację wyszkolonego personelu oraz na unowocześnianie bramek bezpieczeństwa poczty elektronicznej w celu zwalczania phishingu. Różne wektory ataku przynoszą podobny rezultat.

Co ciekawe, równolegle rozwijana jest zdolność cyberprzestępców do zmasowanego uderzenia na wybrany cel poprzez wykorzystanie inteligentnych rojów konfigurowalnych botów – tak zwane ataki bazujące na rojach. Boty pogrupowane według specyficznej funkcji ataku, które mogą dzielić się wiedzą w czasie rzeczywistym, dają możliwość zaatakowania sieci na wszystkich frontach jednocześnie, po prostu przytłaczają jej zdolność do obrony.

Kto wygrywa wojnę w cyberprzestrzeni?

Cyberprzestępcy, bazując na istniejących podatnościach, budowaniu nowych strategii ataku, braku świadomości pracowników i błędach ludzkich, uzyskiwali znaczącą przewagę. Biorąc pod uwagę fakt stosowania przez organizacje tradycyjnych, punktowych strategii bezpieczeństwa, stan ten będzie trwać. Sytuacja może się zmienić, gdy dokonają one całkowitej zmiany paradygmatu co do sposobu myślenia o bezpieczeństwie i jego wdrażaniu.

Niektóre organizacje w celu zabezpieczenia nowych środowisk sieciowych stosują nadal te same nieudane strategie, takie jak izolowanie elementów środowiska za pomocą oddzielnych narzędzi bezpieczeństwa – zwiększa to złożoność już przeciążonego personelu IT, jednocześnie zmniejszając widoczność i kontrolę niezbędną do identyfikacji i powstrzymania ataków wielowektorowych mających na celu wykorzystanie tej specyficznej podatności.

Katalizatorem radykalnej zmiany paradygmatu w zakresie bezpieczeństwa może stać się przyjęcie standardu 5G, ponieważ będzie to idealny inkubator dla rozwoju ataków funkcjonalnych bazujących na roju. Z wykorzystaniem technologii 5G będzie możliwe tworzenie ad hoc lokalnych sieci, które będą mogły szybko wymieniać i przetwarzać informacje i aplikacje. Grupy zainfekowanych urządzeń mogłyby działać wspólnie, aby dotrzeć do ofiar z dużą prędkością. Biorąc pod uwagę inteligencję, szybkość i zlokalizowany charakter takiego ataku, niewiele obecnych technologii bezpieczeństwa byłoby w stanie skutecznie zwalczyć tak uporczywą strategię.

Jakie nowe technologie mogą pomóc w walce z cyberprzestępcami?
Aby wyprzedzić cyberprzestępców, organizacje muszą zacząć stosować te same technologie i strategie obrony swoich sieci, których przestępcy używają do ich atakowania. Oznacza to przyjęcie inteligentnego, zintegrowanego podejścia, które wykorzystuje siłę i zasoby całego przedsiębiorstwa.

Sztuczna inteligencja jest jedną z naszych największych nadziei na to, że uda nam się wyjść naprzeciw temu problemowi. Celem jest opracowanie adaptacyjnego układu odpornościowego dla sieci, podobnego do tego w organizmie człowieka. W organizmie białe krwinki przychodzą na ratunek, gdy wykryty zostaje problem, działając autonomicznie w celu zwalczania infekcji, jednocześnie wysyłając informacje do mózgu w celu dalszego przetwarzania – jak np. uwolnienie dodatkowych zasobów lub pamiętanie o wzięciu antybiotyku.

Sztuczna inteligencja obecnie jest głównie wykorzystywana do przesiewania dużych wolumenów danych w celu rozwiązania problemu. Będzie ona wykorzystywać rozmieszczone regionalnie węzły uczące się, aby zbierać lokalne dane, które następnie będzie korelować i analizować, a pozyskaną wiedzę współdzielić w całym środowisku.

Jakie nowe trendy mogą pomóc w walce z cyberprzestępcami?

Współcześnie można zauważyć szereg interesujących trendów, które powinni znać zarówno menedżerowie biznesowi, jak i zespoły IT. Są to m.in:

  • Łączenie uczenia maszynowego z analizą statystyczną do przewidywania ataków poprzez odkrywanie wzorców ataku cyberprzestępców, umożliwiając tym samym systemowi sztucznej inteligencji przewidzenie kolejnego ruchu napastnika, prognozowanie, gdzie może nastąpić następny atak, a nawet określenie, którzy cyberprzestępcy są najbardziej prawdopodobnymi winowajcami.
  • Wykorzystanie technologii zwodzenia (Deception Technologies) do stworzenia wirtualnej warstwy obrony wokół sieci, bez względu na to, jak daleko została rozprowadzona.
  • Zmiany w prawie, a przede wszystkim egzekwowanie tych, które pozwolą wyprzedzić cyberprzestępczość. Raportowanie incydentów i dzielenie się wiedzą jest tu szczególnie istotne.
  • Przygotowanie organizacji do obrony na wielopłaszczyznowe ataki z wykorzystaniem podatności dnia zerowego w połączeniu z możliwościami sztucznej inteligencji.

Jakie strategie mogą podwyższać poziom cyberbezpieczeństwa?

Obecnie trendy rozwoju cyberzagrożeń uwydatniają potrzebę przyjęcia nowego podejścia do bezpieczeństwa, bazującego na rozwiązaniach zintegrowanych, zaawansowanej sztucznej inteligencji i uczenia się maszyn. Wzajemne połączenia pomiędzy systemami uczenia się maszynowego będą szczególnie istotne, aby zlokalizowane węzły uczenia się mogły dostosować się do unikalnej konfiguracji lokalnego środowiska.

Dzięki wykorzystaniu autonomicznych procesów samokształcenia, które funkcjonują podobnie jak systemy autoimmunologiczne człowieka – takie jak wyszukiwanie incydentów bezpieczeństwa, wykrywanie ich i reagowanie na nie – specjaliści bezpieczeństwa cybernetycznego będą mogli skoncentrować się na rozwijaniu zaawansowanych strategii bezpieczeństwa sieciowego.

Wojciech Ciesielski
Major Account Manager, Fortinet

Cyberprzestępcy ustawicznie, łącznie z zastosowaniem sztucznej inteligencji, rozwijają techniki ataków, aby były bardziej skuteczne i przynosiły im większe korzyści. Wciąż też jednak wykorzystują znane podatności, które nie zostały odpowiednio zabezpieczone przez firmy.
Ostatnio doszło do ogromnych zmian w modelu świadczenia pracy. Cyberprzestępcy rozumieją, że gwałtowne zmiany mogą powodować poważne zakłócenia dla organizacji. W pośpiechu, aby zapewnić ciągłość działania, można przeoczyć takie rzeczy jak protokoły bezpieczeństwa, a przestępcy wykorzystają wszelkie niezamierzone luki w zabezpieczeniach.

Zespół analityków FortiGuard Labs w ostatnich tygodniach obserwował średnio około 600 nowych kampanii phishingowych dziennie. W styczniu br. udokumentowano 17-proc. wzrost liczby wirusów, 52-proc. w lutym i 131-proc. w marcu – w porównaniu do tych samych miesięcy 2019 r. Jednocześnie istotnie zmniejszyła się liczba wykrytych botnetów.

Celem przestępców jest kradzież danych osobowych lub nawet atakowanie firm za pośrednictwem nowych telepracowników. Dlatego też większość ataków zawiera złośliwe oprogramowanie, m.in. wymuszające okup, wirusy, trojany zdalnego dostępu (RAT) zaprojektowane w celu zapewnienia przestępcom kontroli nad komputerem. Co gorsza, nie każda organizacja jest w stanie zapewnić odpowiednią liczbę laptopów dla pracowników, którzy teraz muszą pracować zdalnie. W rezultacie wielu telepracowników używa swoich urządzeń osobistych do łączenia się z siecią firmową.

Istotne jest, aby organizacje podejmowały działania mające na celu ochronę swoich pracowników zdalnych i pomagały im zabezpieczyć swoje urządzenia i sieci domowe.

Tomasz Głażewski
Hybrid IT Leader w Betacom SA

Cyberataki są coraz bardziej wyrafinowane, dlatego organizacje muszą stosować coraz bardziej wyrafinowane strategie obrony. Tradycyjne, sztywne rozwiązania nie zapewniają już wysokiego poziomu bezpieczeństwa. Cyberprzestępcy potrafią skutecznie omijać firmowe zabezpieczenia i osiągać założone cele. Dlatego potrzebne jest nowe, elastyczne, a zarazem inteligentne podejście, wykorzystujące najnowsze zdobycze technologiczne w obszarze sztucznej inteligencji i uczenia maszynowego. Tylko dzięki wykorzystaniu inteligentnych maszyn jesteśmy w stanie dawać odpór nowym i nasilającym się atakom.

Epidemia COVID-19 sprawiła, że stojące przed firmami wyzwania w zakresie cyberbezpieczeństwa stały się jeszcze bardziej wyraźne. Praca zdalna, wideokonferencje i wirtualna współpraca wymagają dodatkowych rozwiązań, które pozwolą zabezpieczyć dane, a jednocześnie nie będą ograniczały możliwości biznesowych i nie będą blokowały swobodnego przepływu myśli oraz informacji. Biznes pilnie potrzebuje rozwiązań, które będą w stanie w scentralizowany, kompleksowy sposób chronić organizację i pracowników bez względu na czas i miejsce, z którego pracują oraz wykorzystywane przez nich do tego celu technologie.

1 „Q4 2019 Quarterly Threat Landscape Report”, Fortinet, 2020,
https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q4-2019.pdf

Udostępnij artykuł: