Cisco a redus timpul de detecție a amenințărilor la 3,5 ore
Evoluția amenințărilor și magnitudinea atacurilor este în creștere, astfel că cercetătorii în domeniul securității anticipează posibile atacuri „Destruction of Service”, care au potențialul de a elimina back-up-urile și măsurile de siguranță ale organizațiilor, necesare pentru a restabili sistemele în urma unui atac. Odată cu amploarea pe care o ia Internetul tuturor Lucrurilor, tot mai multe business-uri din industrii cheie își derulează operațiunile online, crescând astfel expunerea la atacuri, dar și impactul asupra business-ului lor.
„Rețeaua și securitatea acesteia trebuie să fie prioritatea 0 în orice companie care dorește digitalizarea. Avem o multitudine de dispozitive conectate la rețea, traficul crește exponențial, și în același timp numărul vectorilor de atac în cazul unui asalt cibernetic. În acest context, e vital să reducem timpul de detecție a atacului pentru a limita impactul și a minimiza efectele. Intervalul de detecție de 3,5 ore la care Cisco a ajuns astăzi este unic în industrie și este rezultatul a ani de cercetare și optimizare a produselor noastre de securitate”, a declarat Dorin Pena, directorul general al Cisco România.
Atacuri recente precum WannaCry sau Nyetya au demonstrat cât de repede se pot răspândi și ce impact mare pot avea aparente atacuri ransomware, dar care, de fapt au un potențial distructiv mult mai mare. Acestea prefigurează ceea ce Cisco numește atacuri Destruction of Service, care pot fi mult mai dăunătoare decât atacurile tradiționale, pentru că lasă business-urile fără mijloace de recuperare.
Internetul tuturor Lucrurilor continuă să ofere oportunități noi pentru atacatori, iar vulnerabilitățile de securitate ușor exploatabile vor avea un rol central în campanii cu potențial de creștere rapidă. Atacurile Botnet recente au demonstrat că unii atacatori ar putea pregăti atacuri de mare impact asupra Internetului însuși.
Măsurarea eficienței practicilor de securitate este critică. Cisco a înregistrat progrese în reducerea timpului de detecție (TTD) – intervalul de timp ce se scurge de la atac până la detectarea lui. Reducerea acestui interval este esențial pentru a reduce timpul operațional pentru atacatori și a minimiza daunele. Din noiembrie 2015 însă, Cisco a redus timpul mediu de detecție (TTD) de la 39 de ore la 3,5 ore în perioada noiembrie 2016 -mai 2017, date rezultate din măsurătorile specifice produselor Cisco de securitate folosite la nivel global.
Contextul amenințărilor
Cercetătorii în domeniul securității au studiat evoluția atacurilor malware în prima jumătate a anului 2017 și au identificat schimbări în modul în care atacatorii își concep tehnicile de atac. Cisco a constatat că atacatorii solicită victimelor să acționeze pentru a activa o amenințare, fie prin accesarea unui link sau deschiderea unui fișier; dezvoltarea de malware care se găsește integral în memoria sistemului e mai greu de identificat și investigat întrucât este șters la redeschiderea sistemului, dar rămâne ascuns în infrastructură pentru a derula activități de control, așa cum este cazul serviciului proxy Tor.
Deși Cisco constată o scădere dramatică a kiturilor de exploatare, alte atacuri tradiționale revin:
• Crește semnificativ volumul spam-ului, pe măsură ce tot mai mulți atacatori se orientează către metode testate, cum ar fi emailul, pentru a distribui malware și a genera venit. Volumul mesajelor spam cu fișiere atașate malițioase vor continua să crească, în timp ce kiturile de exploatare rămân în aceiași parametri.
• Spyware și adware, adesea minimizate de profesioniștii în securitate, sunt forme de malware care persistă și generează riscuri pentru corporații. Cercetătorii Cisco au analizat 300 de companii pe o perioadă de patru luni și au constatat că trei familii spyware au prevalat, infectând 20% din lotul de companii analizate. Într-un mediu corporate, printr-un atac spyware pot fi furate informații despre utilizatori, companie, atacate dispozitivele și poate crește riscul de infectare cu malware.
• Evoluția ransomware, cum ar fi Ransomware-as-a-Service, facilitează astfel de atacuri indiferent de pregătirea atacatorilor. Ransomware a ținut prima pagină a ziarelor anul trecut, generând pierderi de peste un miliard de dolari în 2016, însă ar putea induce în eroare unele organizații care sunt expuse unor riscuri și mai mari, dar necunoscute. Business email compromise (BEC), o inginerie socială prin care un email este conceput special pentru a păcăli organizațiile să transfere bani atacatorilor, devine foarte productivă. În perioada octombrie 2013 – decembrie 2016, 5,3 miliarde de dolari au fost furați prin această metodă, conform Internet Crime Complaint Center.
Aceleași provocări, alte industrii
Pe măsură ce criminalii continuă să crească nivelul de sofisticare, dar și intensitatea atacurilor, companiile din diverse industrii trebuie să țină cont de cerințe fundamentale de securitate. Pe măsură ce tehnologia informației și tehnologia operațională converg către Internetul tuturor Lucrurilor, organizațiile se confruntă cu un nivel crescut de complexitate și cu lipsa vizibilității. În cadrul Security Capabilities Benchmark Study, Cisco a chestionat aproape 3.000 de lideri în domeniul securității din 13 țări și a constatat că echipele de securitate sunt copleșite de volumul atacurilor, ceea ce îi determină să devină reactivi în eforturile lor de protecție.
• Doar două treimi dintre organizații investighează alertele de securitate. În industrii precum cea de securitate sau transporturi, procentul se apropie de 50%.
• Chiar în cele mai active industrii precum domeniul financiar și medical, companiile intervin în mai puțin de 50% dintre atacuri despre care știu că sunt legitime.
• Breșele au rol de alarmă. La nivelul majorității industriilor, breșele au determinat îmbunătățiri la nivelul securității cel puțin modeste în 90% dintre organizații. Unele industrii, cum ar fi transporturile, sunt mai puțin responsive, procentul fiind sub 80%.
Analiză la nivel de verticale:
• Sectorul public – Dintre amenințările investigate, 32% sunt identificate ca legitime, dar doar 47% dintre cele legitime sunt, eventual, și remediate.
• Retail – 32% dintre companiile de retail susțin că au pierdut bani din cauza atacurilor și 25% au pierdut clienți sau oportunități de afaceri.
• Producție – 40% dintre companiile de producție susțin că nu au o strategie de securitate la nivel formal și nici standarde cum ar fi ISO 27001 sau NIST 800-53.
• Utilități – Profesionișii în securitate susțin că atacurile targetate (42%) și amenințările avansate (Advanced Persistent Threats – APT) au fost riscurile cele mai critice pentru organizații.
• Sănătate – 37% dintre organizațiile medicale susțin că atacurile targetate sunt riscuri critice pentru organizațiile lor.
Pentru a combate atacurile tot mai sofisticate, organizațiile trebuie să aibă o poziție proactivă în eforturile lor. Experții Cisco recomandă:
• Păstrarea infrastructurii și aplicațiilor la zi, astfel încât atacatorii să nu poată exploata vulnerabilitățile cunoscute
• Combaterea complexității printr-o apărare integrată și limitarea investițiilor în silozuri de soluții.
• Implicarea nivelului executiv din companie pentru înțelegerea riscurilor și a constrângerilor bugetare.
• Stabilirea unor evaluări clare, care să fie folosite pentru validarea și îmbunătățirea practicilor de securitate.
• Formarea personalului de pe zona de securitate trebuie făcută în funcție de roluri și nu același training aplicat tuturor.
• Abordare echilibrată între apărare și răspuns activ. Procesele și controalele de securitate programate și uitate nu sunt recomandate.
Pentru raportul de securitate curent, un grup de 10 parteneri pe tehnologie de securitate au partajat informații pe baza cărora au tras concluziile incluse în raport. Partenerii care au participat la raport sunt: Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, SAINT Corporation, ThreatConnect și TrapX. Ecosistemul de parteneri Cisco este o componentă cheie a viziunii companiei de a crea soluții simple, deschise și automate pentru clienți.
„Așa cum au arătat incidentele recente precum WannaCry și Netya, atacatorii sunt tot mai creativi în conceperea atacurilor. În timp ce majoritatea organizațiilor au făcut progrese în îmbunătățirea securității după o breșă, business-urile sunt într-o continuă cursă împotriva atacurilor. Securitatea devine efectivă prin închiderea breșelor majore și transformarea securității în prioritate de business”, a declarat Steve Martino, vicepreședinte și Chief Information Security Officer, Cisco.
„Complexitatea continuă să zădărnicească eforturile de securitate ale multor organizații. Este evident că anii în care s-a investit în produse punctuale, ce nu pot fi integrate, generează oportunități imense pentru atacatorii care pot identifica acum ușor vulnerabilități neglijate. Pentru a reduce timpul de detecție în mod efectiv și a limita impactul unui atac, industria trebuie să se orienteze către o abordare integrată, arhitecturală, care crește vizibilitatea și capacitatea de administrare ajutând echipele de securitate să reducă vulnerabilitățile”, a declarat David Ulevitch, vicepreședinte senior și manager general al Security Business Group, Cisco.
Despre raport
Raportul de securitate Cisco pentru prima jumătate a anului 2017 analizează cele mai recente amenințări agregate de Cisco Collective Security Intelligence. Raportul furnizează tendințe și date de piață, dar și recomandări pentru îmbunătățirea securității, fiind bazate pe analize complexe. Totodată, rezultatele cercetărilor sunt transpuse în update-uri pentru serviciile și produsele Cisco livrate imediat clienților la nivel global.