Ostatnie miesiące były wyjątkowo trudne dla specjalistów od bezpieczeństwa, którzy musieli stawić czoła fali zmasowanych cyberataków. Prawdziwą zmorą ludzi odpowiedzialnych za ochronę danych jest ransomware. W 2020 r. liczba tego typu ataków wzrosła o 485 proc. – informuje Bitdefender. Z kolei eksperci Coverware wyliczyli, że w pierwszym kwartale 2021 r. średnia wartość okupu płaconego za odszyfrowanie danych wyniosła… 220,2 tys. dol. To oznacza wzrost aż o 43 proc. w ujęciu kwartalnym.

Co gorsza, od pewnego czasu ransomware znalazł się w cieniu ataków na łańcuchy dostaw. Dzieje się tak od 13 grudnia ub.r., kiedy świat dowiedział się o ataku na rozwiązania SolarWinds – najpoważniejszym w całym 2020 r. i prawdopodobnie największym w tej dekadzie. Specjaliści z firmy ESET zwracają uwagę, że w czwartym kwartale ubiegłego roku miało miejsce tyle ataków na łańcuchy dostaw, ile w poprzednich latach przez cały rok.

Kolejnym niepokojącym zjawiskiem jest powrót trojanów bankowych, z Emotetem na czele. Według danych Cisco, w ubiegłym roku zetknęło się z nim 45 proc. firm. Małe i średnie przedsiębiorstwa zmagały się też z phishingiem, cryptominingiem czy atakami DDoS. Analitycy z Cybersecurity Ventures przewidują, że globalne koszty związane ze zwalczaniem skutków cyberprzestępczości będą rosły w tempie 15 proc. rocznie w ciągu najbliższych pięciu lat i na koniec 2025 r. wyniosą 10,5 biliona dol. W 2015 r. było to „jedynie” 3,5 biliona dol.

O krok przed napastnikiem

Małym i średnim firmom, często korzystającym z archaicznych rozwiązań, ciężko jest powstrzymać rozpędzonych i rozzuchwalonych przestępców. Wprawdzie dostawcy systemów ochronnych nie stoją w miejscu i rozwijają swoje produkty, ale skuteczne zabezpieczenie sieci, urządzeń i danych wymaga ciągłej rozbudowy linii obrony. Klasyczny przykład dotyczy urządzeń końcowych: oferowane przez wiodących dostawców narzędzia antywirusowe powstrzymują więcej złośliwego kodu niż kiedykolwiek wcześniej, a nowoczesne produkty wykorzystują sztuczną inteligencję, uczenie maszynowe czy heurystykę adaptacyjną (a więc mechanizmy daleko wykraczające poza statyczne i łatwe do obejścia „definicje wirusów”). Ponadto, nowe wersje rozwiązań zgłaszają mniej fałszywych alarmów niż poprzednie, a są od nich szybsze i wykazują się większą skutecznością w wykrywaniu zagrożeń. Jednak nawet najlepsze antywirusy mają ograniczenia, w związku z którymi nie pozwalają użytkownikom być o krok przed napastnikami.

Oprogramowanie antywirusowe staje się też niemal bezradne w przypadku ataków bezplikowych czy wieloetapowych i wielowektorowych. Wiele z nich jest wykrywanych dopiero w trakcie ich trwania lub po fakcie. Dlatego też specjaliści IT w firmach i instytucjach wzmacniają ochronę urządzeń końcowych poprzez inwestycje w mechanizmy EDR (Endpoint Detection and Response). Są one obecne w rozwiązaniach, które – w odróżnieniu od antywirusów – nie skupiają się na identyfikacji złośliwego oprogramowania, lecz detekcji nieprawidłowych działań. EDR zapewnia stały wgląd w to, co dzieje się w sieci, analizuje zachodzące procesy i powiązania między nimi, jak też kontroluje wpisy pojawiające się w rejestrze. Oprogramowanie po wykryciu nietypowej aktywności tworzy alert dla analityków bezpieczeństwa, którzy mogą zbadać ujawnioną nieprawidłowość i odpowiednio na nią zareagować.

Dostawcy systemów bezpieczeństwa, zachęceni popularnością mechanizmu EDR, postanowili pójść dalej i wprowadzają na rynek jego rozbudowaną wersję – XDR (eXtended Detection and Response), która automatycznie zbiera i koreluje dane z wielu rozwiązań ochronnych – poczty e-mail, urządzeń końcowych, serwerów oraz różnego typu innych zasobów w chmurze i sieci. Ujednolicone podejście do bezpieczeństwa zapewnia pełny wgląd we wzorce danych oraz zdarzenia w sieciach, chmurach, urządzeniach końcowych i aplikacjach.

XDR na pierwszy rzut oka budzi skojarzenia z systemami SIEM (Security Information and Event Management). Te również pozyskują dane z dziesiątek, a nawet setek narzędzi zabezpieczających i generują alerty. Jednak tradycyjne, statyczne podejście do ochrony IT powoduje, że dostawcom SIEM-ów trudno się dostosować do sytuacji, w której wyjątkowo szybko zmieniają się techniki ataku. Natomiast XDR opracowano właśnie z myślą o pracy w dynamicznie zmieniającym się środowisku.

Pomoc z zewnątrz

Takie narzędzia jak EDR czy XDR coraz częściej znajdują zastosowania w dużych przedsiębiorstwach i organizacjach. Ale w przypadku małych i średnich firm ich popularność rośnie powoli, co najczęściej wynika z braku specjalistów, którzy potrafią zrobić użytek z danych dostarczanych przez inteligentne systemy. Ich deficyt potwierdza między innymi raport „Cyberbezpieczeństwo w polskich firmach 2021”, opracowany przez firmę Vecto. Wynika z niego, że w 2019 r. z usług specjalistów od bezpieczeństwa nie korzystało 46 proc. firm, podczas gdy w 2020 r. odsetek ten wzrósł do 52 proc.

Co ciekawe, wśród 48 proc. przedsiębiorstw, które mają wsparcie ze strony fachowców, większość (26 proc.) opiera się na wewnętrznych kadrach IT. Jedynie 22 proc. ankietowanych firm zleca obsługę obszaru ochrony systemów i danych IT na zewnątrz. Analitycy są zgodni, że ten ostatni wskaźnik będzie piąć się w górę, a małe i średnie firmy, zamiast klasycznego EDR-a, zaczną wybierać model MSSP (Managed Security Service Provider) bądź MDR (Managed Detection and Response), w którym usługodawca przejmuje na siebie wszelkie obowiązki związane z ochroną sieci i urządzeń końcowych klienta. Takie usługi oferują m.in. Sophos, Bitdefender czy Trend Micro.

Warto przy tym dodać, że w trochę innym kierunku podąża Acronis, który wprowadził rozbudowany pakiet usług obejmujący nie tylko rozwiązania do ochrony urządzeń końcowych, takich jak komputery czy serwery, ale również backupu, odzyskiwania danych po awarii czy zarządzania poprawkami i aktualizacjami systemu operacyjnego. Artur Cyganek, dyrektor na Europę Wschodnią w Acronisie, zapowiada, że producent będzie systematycznie dodawać kolejne elementy. Przykładowo, już niedługo, dzięki zakupowi firmy DeviceLock, pakiet tej marki wzbogaci się o moduł DLP, chroniący przed wyciekami danych.

Zdaniem integratora  

Karol Labe, CEO, Miecz Net  

Zmiana modelu pracy oraz lawinowy wzrost liczby cyberataków sprawiły, że firmy zaczynają zmieniać swoją strategię zabezpieczania komputerów. W związku z tym rozszerzają poziom ochrony i obok antywirusów pojawiają się takie narzędzia jak personalny firewall czy moduł sandbox. Przedsiębiorcy przywiązują też coraz większą wagę do kontroli pracowników i inwestują w oprogramowanie DLP. W przypadku pracy zdalnej ważne jest też zachowanie odpowiednich procedur. Przede wszystkim należy zadbać o ochronę haseł dostępowych, które nawet w domu nie powinny znajdować się na przysłowiowych już żółtych karteczkach.

  

(Nie)bezpieczne systemy operacyjne

Już od dawna toczy się dyskusja czy MacBook potrzebuje ochrony ze strony antywirusów. Część ekspertów przekonuje, że tego typu pomoc jest zbyteczna, bowiem system operacyjny macOS bazuje na systemie Unix, a przez to ma lepiej rozwinięte funkcje bezpieczeństwa i uprawnień niż Windows. Poza tym producent z Cupertino bardzo rygorystycznie podchodzi do instalowania i uruchamiania aplikacji z zewnątrz. Microsoft w tym zakresie zapewnia użytkownikom dużo większą swobodę.

Z drugiej strony zainteresowanie hakerów systemem operacyjnym zależy od stopnia jego popularności, a pod tym względem Microsoft bije na głowę konkurenta. Według IDC, na koniec ubiegłego roku w „okienka” było wyposażonych 80,5 proc. komputerów, zaś w macOS 7,5 proc. A jednak rosnąca sprzedaż laptopów z nadgryzionym jabłuszkiem nie umknęła uwadze cyberprzestępców. Atlas VPN informuje, że w 2020 r. wykryto 674 tysiące próbek złośliwego oprogramowania atakującego komputery MacBook. Rok wcześniej było ich 56 tysięcy. Czy to oznacza, że użytkownicy „jabłek” zaczną inwestować w antywirusy?

– Nie jest prawdą, że MacBooka nie da się zainfekować złośliwym oprogramowaniem. Wektor ataku jest bardzo często taki sam jak w przypadku komputerów z systemem Windows – mówi Tomasz Rot, dyrektor sprzedaży Barracuda na Centralną i Wschodnią Europę. – Poza tym użytkownicy komputerów z macOS czy urządzeń z iOS są tak samo podatni na socjotechnikę czy ataki phishing prowadzone za pomocą poczty e-mail, wiadomości SMS czy komunikatorów.

Trudno nie zgodzić się z tego typu opiniami, chociaż właściciele urządzeń Apple’a są stosunkowo rzadko niepokojeni przez hakerów. Jak wynika z cytowanego wcześniej raportu Atlas VPN, w 2020 r. wykryto 135 razy więcej zagrożeń dla komputerów z Windowsem niż na MacBooki. Z analogiczną sytuacją mamy do czynienia na rynku smartfonów, na którym pod ostrzałem hakerów znajdują się przede wszystkim urządzenia z Androidem. Szacuje się, że udział telefonów wyposażonych w system operacyjny z zielonym robocikiem w światowym rynku przekracza nieco 80 proc. To sprawia, że użytkownicy iPhone’ów czują się dużo bardziej bezpiecznie niż właściciele smartfonów innych marek. Poza tym Apple ma bardziej restrykcyjny proces zatwierdzania aplikacji do App Store’a niż Google.

Tymczasem specjaliści Cisco zwracają uwagę na jeszcze jeden istotny aspekt. Otóż urządzenia z systemem iOS są szybciej aktualizowane niż te z Androidem. Prawdopodobieństwo udostępnienia aktualizacji lub poprawek bezpieczeństwa w ciągu 30 dni od wprowadzenia ich na rynek było 3,5 razy większe w przypadku sprzętu z systemem iOS niż w tych z Androidem Z kolei Check Point w raporcie Mobile Security Report 2021 ostrzega, że cztery na 10 telefonów komórkowych jest wyjątkowo podatnych na cyberataki.

W 2020 r. aż 97 proc. firm na całym świecie spotkało się z zagrożeniami dotyczącymi smartfonów, zaś 46 proc. miało przynajmniej jednego pracownika, który pobrał złośliwą aplikację mobilną. Zdalna praca przyczyniła się do wzrostu ataków na osobiste smartfony używane do służbowych celów. Jeśli chodzi o ochronę tych urządzeń, ścierają się obecnie dwie koncepcje. Część przedsiębiorstw korzysta z popularnych narzędzi zabezpieczających, a inne wybierają rozwiązania MDM (Mobile Device Management), przeznaczone do zarządzania flotą mobilnego sprzętu.

Trudniejsza ochrona sieci

Wyjątkowa sytuacja, z jaką mamy do czynienia od wielu miesięcy, spowodowała duże zamieszanie związane z koniecznością dostosowania się firm do pracy zdalnej. W przypadku sprzętu IT pierwsza fala zakupów objęła laptopy, a jednocześnie dostawcy rozwiązań sieciowych byli bombardowani zapytaniami dotyczącymi konfiguracji połączeń VPN. Zmiana modelu pracy zdopingowała do działania cyberprzestępców, którzy wykorzystali chaos panujący w większości przedsiębiorstw.

– Zanim doszło do optymalnego zabezpieczenia sieci, skonfigurowania połączeń do firmowych zasobów, minęło trochę czasu– mówi Piotr Zielaskiewicz, Product Manager Stormshield w Dagmie. – Mogłoby się wydawać, że małe firmy powinny szybciej poradzić sobie z przejściem na model zdalny niż korporacje ze względu na dużą elastyczność. Jednak problemem w ich przypadku był brak wykwalifikowanej kadry.

Obecnie najpopularniejszym urządzeniem do ochrony sieci w MŚP jest UTM. Mniejsze przedsiębiorstwa wybierają ten sprzęt ze względu na jego uniwersalność oraz prostą obsługę i konfigurację. Duży wpływ na decyzję mają też cena i stosunkowo niskie koszty eksploatacji.

Również analitycy postrzegają przyszłość tego segmentu rynku w jasnych barwach. IDC prognozuje, że w latach 2018–2025 sprzedaż UTM-ów będzie rosnąć w tempie 14,5 proc. rocznie. Czynnikiem napędzającym popyt ma być rosnąca świadomość użytkowników końcowych na temat wirtualnych sieci prywatnych oraz rozwój systemów UTM nowej generacji.

Zdaniem Tomasza Rota, chociaż urządzenia klasy UTM to bardzo popularne rozwiązanie, w czasie masowej migracji do pracy zdalnej nastąpiły związane z nimi pewne trudności. Ten sprzęt, podobnie jak klasyczne rozwiązania VPN Client2Site, zaprojektowano z myślą o zapewnieniu dostępu do sieci wybranej grupie pracowników. Tymczasem w tradycyjnym modelu większość personelu pracowała w biurze, będąc z definicji w zasięgu sieci firmowej. Obecnie mamy do czynienia z odwrotną sytuacją, a część systemów UTM nie była odpowiednio wyskalowana, aby poradzić sobie w nowych warunkach. Firmy szukały więc innych sposobów, aby sprostać temu wyzwaniu. Część użytkowników wymieniła UTM-y na firewalle NGFW i bramki e-mailowe, podczas gdy inni wybrali nowoczesne rozwiązania działające w modelu Zero Trust z granularną kontrolą dostępu do zasobów.

Na koniec warto przytoczyć opinię specjalistów Cisco, którzy wychodzą z założenia, że o tym, czy sieć jest dobrze chroniona, decyduje kompleksowość zabezpieczeń. W praktyce oznacza to, że powinny objąć urządzenia końcowe i samą sieć na przykład poprzez segmentację i logiczne odseparowanie jej elementów, a także zabezpieczyć styk sieci firmowej z internetem. W tej kwestii nie powinny mieć miejsca „kompromisy technologiczne” i takie same zabezpieczenia powinny stosować duże, jak i małe firmy. Jedyna różnica sprowadza się do odpowiedniego wyskalowania produktów.

Zdaniem producenta

Chester Wisniewski, Principal Research Scientist, Sophos  

Wiele firm bazuje na tradycyjnych zabezpieczeniach brzegowych. Tymczasem w sytuacji, gdy personel pracuje w domu, najlepiej stosować kompleksowe rozwiązania ochrony urządzeń końcowych. Są one zaprojektowane w taki sposób, aby usuwać wszelkie luki w systemie zabezpieczeń i zredukować jego złożoność. W przypadku produktów pochodzących od różnych dostawców trudno ocenić ich efektywną skuteczność. Poza tym konieczność zarządzania rozbudowanym systemem może prowadzić do błędów, które otwierają furtki dla hakerów.

  
Agnieszka Szarek, szefowa kanału partnerskiego, Fortinet  

Wszystkie urządzenia końcowe muszą być zabezpieczone w takim samym stopniu jak infrastruktura lokalna, niezależnie od tego, gdzie się znajdują. Podczas gdy wydajność sieci rosła wystarczająco szybko, aby obsłużyć zadania wykonywane przez pracowników zdalnych na swoich urządzeniach, to większość narzędzi zabezpieczających nie dotrzymała im kroku. Sprawiło to, że rozwiązania korzystające wyłącznie z mechanizmu VPN stały się przestarzałe. Dobierając narzędzia ochronne należy wybrać podejście do sieci bazujące na bezpieczeństwie, dzięki któremu współczesne przedsiębiorstwa mogą osiągnąć kluczowe dla ich ochrony łączność i odpowiednią wydajność.

  
Grzegorz Michałek, CEO, Arcabit  

Klienci decydujący się na zabezpieczenie urządzeń mobilnych dzielą się na dwie grupy. Do pierwszej należą użytkownicy, którzy instalują oprogramowanie ochronne i nic więcej ich nie interesuje. Druga grupa to zazwyczaj odbiorcy korporacyjni, chcący obserwować funkcjonujące w strukturach firmy urządzenia, a także zdalnie nimi zarządzać, konfigurować i kontrolować zdarzenia. Obie grupy staramy się edukować w zakresie możliwości i ograniczeń narzędzi zabezpieczających w systemach mobilnych, gdyż istnieją tutaj istotne różnice w porównaniu z mechanizmami ochronnymi pracującymi w „dużych” systemach, takich jak Windows.