Rozwój cyberprzestępczości jako usługi, złośliwe oprogramowanie ransomware oraz rosnący popyt na skradzione dane uwierzytelniające to najpoważniejsze zagrożenia, na które narażone są firmy i użytkownicy. A należy spodziewać się m.in. większej liczby ataków ransomware pochodzących z Rosji oraz dalszych problemów z zatrudnianiem wykwalifikowanych pracowników zajmujących się cyberbezpieczeństwem.
W ciągu ostatniej dekady, wraz z rosnącą popularnością ataków ransomware, widoczny był rozwój działań cyberprzestępców w modelu usługowym. W 2022 r. w formie subskrypcji można było kupić właściwie każdy rodzaj narzędzi: od rozwiązań umożliwiających włamywanie się do systemów firm, po utrudniające wykrycie atakującego w sieci przedsiębiorstwa.
– Grupy hakerskie zaczynają specjalizować się w określonych obszarach, takich jak włamania do sieci, ataki ransomware czy phishing. Następnie udostępniają swoje narzędzia w modelu subskrypcyjnym. Techniki, które jeszcze do niedawna były uznawane za zaawansowane, stają się dostępne dla szerokiego grona przestępców. Przykładem jest LockBit 3 .0: wariant ransomware’u, którego twórcy uruchomili program bug bounty umożliwiający testowanie tego złośliwego oprogramowania oraz przeprowadzanie badań w celu wyszukania podatnych na ataki firm. Pozwala to usprawnić metody działania grup hakerskich – komentuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos (założone w 1985 r. w Oksfordzie przedsiębiorstwo informatyczne, jeden ze światowych liderów w dziedzinie cyberbezpieczeństwa – chroni ponad 500 tys. firm i ponad 100 mln użytkowników na całym świecie).
Na czarnym rynku widać także większe zapotrzebowanie na dane uwierzytelniające, w tym pliki cookie, pozwalające na obejście dwuskładnikowej weryfikacji użytkowników. Kradzież takich informacji jest stosunkowo prosta, a jednocześnie są one pożądane na rynku. Wielu początkujących cyberprzestępców zaczyna swoją „karierę” właśnie od prób ich wyłudzenia.
Nadal do prowadzania różnego rodzaju ataków, w tym infekowania urządzeń złośliwym oprogramowaniem ransomware, stosowane jest LOLBins („living off the land binaries”).
Co nas czeka?
Fortinet, globalny lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberbezpieczeństwa, przedstawił prognozy zespołu badawczego FortiGuard Labs dotyczące sytuacji związanej z cyberzagrożeniami w 2023 r. i później. Od szybko ewoluujących usług świadczenia ataków (Cybercrime-as-a-Service, CaaS) po nowe exploity przeciwko nietypowym celom, takim jak urządzenia brzegowe lub światy online – liczba, różnorodność i skala cyfrowych zagrożeń sprawi, że w najbliższych latach zespoły ds. bezpieczeństwa będą musiały utrzymywać wysoką czujność.
Ponieważ model Ransomware-as-a-Service (RaaS) zapewnił cyberprzestępcom niesamowity sukces, więc zakładają, że coraz więcej sposobów atakowania udostępnianych będzie w postaci usługi w dark webie, co przyczyni się do znacznej ekspansji zjawiska szeroko pojętej cyberprzestępczości. Obok sprzedaży oprogramowania ransomware i innego rodzaju złośliwego kodu, pojawi się np. subskrypcyjny model oferty CaaS, który będzie zapewniał dodatkowe źródła przychodów. Skuteczność ataków może zwiększyć rekonesans środowiska IT ofiary. Ponieważ stają się one coraz bardziej ukierunkowane, cyberprzestępcy będą prawdopodobnie zatrudniać „detektywów” w dark webie, których zadaniem będzie zbieranie informacji o konkretnym celu przed rozpoczęciem ataku.
Nowymi obszarami ataku stają się wirtualne światy i miasta, jedne z pierwszych, które wkraczają w tę nową wersję Internetu – metaverse. Sprzedawcy detaliczni już oferują cyfrowe towary, które można kupić w tych wirtualnych światach. Może to przyczynić się do bezprecedensowego wzrostu cyberprzestępczości na tym niezbadanym terytorium, np. awatar danej osoby staje się w zasadzie bramą do informacji umożliwiających jej identyfikację, a te dane mogą być wartościowe dla cyberprzestępców.
Bardziej destrukcyjne ataki umożliwi złośliwe oprogramowania typu wiper, które w znacznej skali wróciło w 2022 r., a cyberprzestępcy opracowali nowe warianty tej stosowanej już od dekady metody ataku. Według raportu 1H 2022 FortiGuard Labs Global Threat Landscape w związku z wojną na Ukrainie nastąpił wzrost aktywności niszczącego dane na dysku złośliwego oprogramowania typu disk-wiping, ale wykryto je również w 24 innych krajach, nie tylko w Europie!
– Postępująca konwergencja cyberprzestępczości oraz metod stosowanych przy zaawansowanych uporczywych atakach sprawia, że cyberprzestępcy znajdują sposoby na wykorzystanie nowych technologii, aby zakłócać prace środowisk IT i doprowadzać do zniszczeń. Nie poprzestają już na stawianiu sobie jako cel tradycyjnych obszarów ataku, ale działają również poza nimi, zarówno wewnątrz, jak i na zewnątrz tradycyjnych środowisk sieciowych. Jednocześnie poświęcają więcej czasu na rekonesans, próbując uniknąć wykrycia oraz rozpoznania technik działania i kontroli nad nimi. Wszystko to oznacza, że cyfrowe ryzyko nadal rośnie, a członkowie zarządów firm na stanowisku Chief Information Security Officer muszą być równie przebiegli i działać metodycznie jak przeciwnicy. Przedsiębiorstwa mogą uzyskać lepszą pozycję do ochrony przed tymi atakami dzięki zintegrowanej platformie cyberbezpieczeństwa obejmującej swoim zasięgiem zarówno infrastrukturę sieciową, urządzenia końcowe, jak i środowisko chmurowe. Umożliwi ona wykorzystywanie w zautomatyzowany sposób informacji o zagrożeniach, w połączeniu z zaawansowanymi funkcjami ich wykrywania na bazie analizy zachowania kodu oraz reagowania w odpowiedni sposób – uważa Derek Manky, Chief Security Strategist & VP Global Threat Intelligence, FortiGuard Labs.
Jak się bronić?
Latem 2022 r. niezależna agencja badawcza SW Research przeprowadziła w ramach badania „Sposób postrzegania cyberbezpieczeństwa wśród menedżerów polskich firm” wywiady z 310 menedżerami wyższego szczebla pracującymi w małych, średnich i dużych przedsiębiorstwach. 40% z nich uważa, że szczególnie dotkliwym skutkiem cyberataku mogą być problemy z płynnością finansową firmy. Konsekwencji finansowych najbardziej obawiają się osoby zatrudnione w przedsiębiorstwach o obrotach do 1 mln zł rocznie (aż 55%), o wśród pracujących w podmiotach o obrotach powyżej 15 mln zł – 41%.
– Z opublikowanego przez Sophos raportu „State of Ransomware 2022” wynika, że aż u 94% ofiar atak ransomware negatywnie wpłynął na zyski firmy. Jeśli cyberprzestępcom uda się złamać zabezpieczenia, można mieć niemal stuprocentową pewność, że atak zachwieje stabilnością finansową. Należy pamiętać, że straty związane są nie tylko z kosztami usunięcia skutków cyberataku lub opłacenia okupu. Włamanie do firmowych systemów może też skutkować utratą zaufania klientów i partnerów biznesowych lub koniecznością zapłacenia kar, co w efekcie utrudni utrzymanie się na rynku – ostrzega Grzegorz Nocoń, inżynier systemowy w firmie Sophos odpowiedzialny za Europę Środkowo-Wschodnią.
Zdaniem uczestników badania słaba ochrona w polskich firmach przed cyberatakiem jest efektem wysokich kosztów rozwiązań ochronnych (tak uważa 35% badanych) – co 4. polska firma nie ma budżetu na ochronę przed cyberzagrożeniami, niskiej świadomości zagrożeń wśród pracowników (30%) oraz braku zainteresowania kwestiami dotyczącymi bezpieczeństwa – ochrony danych i systemów (32%). A ten rok będzie dla wielu firm kluczowy pod względem cyberbezpieczeństwa. Niedobór wykwalifikowanych pracowników stale się zwiększa, przez co jego zapewnienie we własnym zakresie będzie znacznie trudniejsze. A z badania wynika także, że im niższe obroty, tym trudniej jest wygospodarować odpowiednie środki na ochronę.
– Ponad połowa polskich menedżerów i dyrektorów zauważa, że zainteresowanie cyberbezpieczeństwem w ich firmach znacząco wzrosło po rozpoczęciu inwazji Rosji na Ukrainę – komentuje Grzegorz Nocoń. – Jednak ochrona zasobów stała się zbyt złożona, aby przedsiębiorstwa mogły ją zapewniać we własnym zakresie. Coraz bardziej zuchwałe ataki cyberprzestępców sprawiają, że potrzebne są coraz lepsze narzędzia i większe umiejętności zespołów ds. bezpieczeństwa. To sprawia, że rosną koszty związane z ochroną środowisk IT – dlatego widzimy zwiększone zainteresowanie usługami SECaaS (Security as a Service). Firmy, które nie mogą sobie pozwolić na jednorazowy duży zakup, mogą w ten sposób skorzystać z wiedzy specjalistów oraz dobranych do ich potrzeb rozwiązań za znacznie niższą, cykliczną opłatą abonamentową. Dzięki tym usługom, przy stosunkowo niskim nakładzie pracy ponoszonym przez lokalne działy IT, klienci mogą skorzystać z wiedzy i doświadczenia wyspecjalizowanych zespołów – tłumaczy Grzegorz Nocoń.
Bo w co 5. polskiej firmie barierą w zapewnianiu cyberbezpieczeństwa jest niechęć zatrudnionych w niej pracowników do wdrażania rozwiązań ochronnych, zwłaszcza w zatrudniających powyżej 250 pracowników. Prognozuje się więc przejście jeszcze większej liczby przedsiębiorstw na usługowy model zarządzania cyberzagrożeniami. Specjaliści Sophos widzą szczególne zainteresowanie usługami MDR (Managed Detection and Response), w ramach których rozwiązania techniczne, bazujące m.in. na sztucznej inteligencji, łączone są z wiedzą ekspertów.
– Uczestnicy badania wskazują, że połowa polskich firm nie zapewniła kadrze szkoleń z zakresu cyberbezpieczeństwa. Stąd mogą wynikać problemy z brakiem świadomości potencjalnych zagrożeń, ale też niechęć do wprowadzania zmian mających na celu poprawę poziomu ochrony. W miejscach, w których wdrożono nowe rozwiązania, takie jak dwuskładnikowa weryfikacja czy szyfrowane połączenia VPN, nie są one postrzegane przez pracowników jako utrudniające pracę. Natomiast w kwestiach dotyczących edukacji zatrudnionych osób z zakresu cyberhigieny rodzime przedsiębiorstwa mają wciąż sporo do zrobienia – uważa Grzegorz Nocoń.
Jednak ponieważ eksperci z firmy Fortinet przeiwdują, że w tym roku ataki ransomware zyskają jeszcze większą popularność wśród cyberprzestępców niż w ubiegłym, więc niezbędne będzie: edukowanie pracowników – ponieważ wysoka skuteczność ataków ransomware wynika z częstego popełniania błędów przez ludzi; monitoring sieci i urządzeń końcowych – rejestrowanie ruchu w ich obrębie oraz skanowanie plików pomagają w poszukiwaniu nietypowych zdarzeń, które mogą świadczyć o cyberataków oraz korzystanie z technik podstępu – tworzenie tzw. honeypotów, czyli przynęt zaprojektowanych tak, aby wyglądały jak łatwe do zdobycia cele dla atakujących, ułatwia firmom wykrycie i zatrzymanie ataku, zaś specjalistom IT zidentyfikowanie i zlikwidowanie luk w zabezpieczeniach.
Platforma bezpieczeństwa
A jakie będzie zainteresowanie ofertą amerykańskiej firmy Netskope, lidera na rynku Secure Access Service Edge (SASE) i cyberbezpieczeństwa, oferującej swoje rozwiązania od 10 lat, która na początku stycznia otworzyła w Warszawie centrum danych – NewEdge. To pierwszy taki obiekt w Europie Środkowo-Wschodniej (niedawno podobne centrum danych otworzyła w Brukseli) i jeden z 62 na całym świecie, na które w sumie przeznaczyła ponad 100 mln USD.
Dostarczająca ponad 2 tys. klientom na całym świecie, w tym w tym ponad 25 firmom z listy Fortune 100, ujednoliconą platformę bezpieczeństwa SASE (Secure Access Service Edge), Netskope na nowo definiuje bezpieczeństwo chmury, danych i sieci, aby pomóc organizacjom w stosowaniu zasad Zero Trust do ochrony danych. Szybka i łatwa w użyciu platforma zapewnia zoptymalizowany dostęp i bezpieczeństwo w czasie rzeczywistym dla ludzi, urządzeń i danych w dowolnym miejscu. Pomaga zmniejszyć ryzyko, zwiększyć wydajność i uzyskać nieustanny wgląd w aktywność w chmurze, sieci Web i prywatnych aplikacjach.
– Platforma Netskope zapewnia bezpieczne przetwarzanie i kontrolę dostępu do wszelkich danych w środowisku chmury informatycznej, sieci internetowej oraz modelu pracy zdalnej czy też hybrydowej. Dla wielu naszych klientów ważne jest, aby wszelkie aktywności ich pracowników były zlokalizowane na terenie Unii Europejskiej albo w kraju, w którym jest ich główna siedziba. Centrum danych w Warszawie przełoży się lepszy zasięg dostępnych usług Netskope przy wysokiej wydajności i mniejszych opóźnieniach, co niewątpliwie może być bardzo ważne dla firm i przedsiębiorstw korzystających z różnych rozwiązań chmurowych. Uruchomione centrum pokazuje też, że firma chce dynamicznie oferować swoje usługi na polskim rynku. Polska ma być także hubem, który umożliwi dostawę rozwiązań dla klientów z innych krajów Europy Wschodniej – komentuje Michał Borowiecki, dyr. regionalny Netskope na Polskę i Europę Wschodnią.
Poczekamy i wkrótce zobaczymy czy i jak polskie firmy są zabezpieczone przed cyberatakami. My musimy umieć chronić się sami.
Jerzy Bojanowicz
Na podstawie materiałów prasowych