Eksperci nie mają złudzeń, że należy liczyć się nie tylko ze zwiększoną częstotliwością ataków, ale również rozszerzaniem ich zasięgu o kolejne urządzenia łączące się z internetem. Znawcy tematu zauważają, że w ostatnim czasie szala przechyla się na stronę świata przestępczego, a jednym z najbardziej niepokojących zjawisk jest coraz łatwiejszy dostęp do złośliwych aplikacji. W Darknecie kwitnie handel oprogramowaniem ransomware, trojanami zdalnego dostępu (RAT) czy narzędziami do cryptojackingu. Jeff Moss, pomysłodawca konferencji dla hakerów DEF CON, zwraca uwagę na fakt, że zlecenie ataku, który kiedyś kosztował około 100 tys. dol., obecnie można zamówić za 1 tys. dol. Po czym bardzo często za narzędzia służące do celów przestępczych nie trzeba w ogóle płacić.

Szerokim echem w mediach technologicznych odbiło się wystąpienie Paula Litvaka, badacza bezpieczeństwa w Intezer Labs. Izraelczyk w czasie tegorocznej konferencji bezpieczeństwa Virus Bulletin zaprezentował wyniki badania dotyczące wykorzystania OST (Offensive Security Tools).Ten termin odnosi się do aplikacji, bibliotek, a także exploitów ze złośliwym kodem, udostępnionych w formie bezpłatnych plików do pobrania lub na prawach licencji open source. Pakiety OST są zazwyczaj publikowane, aby specjaliści od bezpieczeństwa mogli lepiej poznać techniki stosowane przez hakerów, a tym samym szybciej reagować na ataki i wprowadzać konieczne aktualizacje.

Niestety, problem w tym, że z OST-ów korzystają też cyfrowi bandyci. Paul Litvak jako pierwszy przeprowadził analizę 129 ofensywnych narzędzi hakerskich typu open source pod kątem ich wykorzystania przez różnego rodzaju cyberprzestępców – od tych dopiero początkujących, poprzez elitarne zespoły specjalizujące się w oszustwach finansowych, aż po grupy APT. Litvak odkrył, że OST-y są szeroko stosowane w całym ekosystemie cyberprzestępczości, zaś największą popularnością cieszą się trojany RAT (Empire, Powersploit i Quasar) umożliwiające przejęcie zdalnej kontroli nad zainfekowanym urządzeniem oraz narzędzia do wstrzykiwania kodu (biblioteki Reflective DLL injection, MemoryModule).

Czy warto płacić za antywirusy?

Cyberprzestępcy mają dostęp do tanich, a nawet darmowych narzędzi. Niestety, systemy bezpieczeństwa nie tanieją, a jak wynika z licznych badań wydatki przedsiębiorstw na bezpieczeństwo IT cały czas idą w górę. W ubiegłym roku globalne wydatki na ten cel według Gartnera wyniosły 124 mld dol. Wyjątek od reguły stanowi segment oprogramowania antywirusowego, gdzie dostępne są darmowe rozwiązania, zaś Windows Defender stanowi nawet standardowy element systemu Windows 10. Antywirus Microsoftu był traktowany przez ekspertów z przymrużeniem oka, aczkolwiek jego najnowsza wersja, będąca integralną częścią Windows 10, zbiera pochlebne recenzje wśród profesjonalistów.

W sierpniowym badaniu przeprowadzonym przez niezależne laboratorium AV-Test oprogramowanie antywirusowe Microsoftu zdobyło maksymalną liczbę 18 punktów. Badacze oceniali antywirusy na podstawie trzech kryteriów: skuteczności wykrywania malware’u, wpływu aplikacji na wydajność pracy komputera oraz użyteczności, czyli unikania błędnego oznaczania legalnych programów lub witryn internetowych jako złośliwych. Windows Defender uzyskał po 6 punktów w każdej z wymienionych kategorii. Należy dodać, że identyczne noty uzyskały komercyjne produkty takich producentów jak Bitdefender, F-Secure, Kaspersky Lab, Seqrite, Symantec oraz Trend Micro. Natomiast VMware Carbon Black zgromadził 14 punktów, zaś Cylance Protect 12 punktów. I chociaż wyniki jednego testu nie powinny decydować o wyborze produktu, to powyższe dane skłaniają do refleksji. Skoro bowiem darmowe narzędzie jest tak skuteczne, jaki sens ma wydawanie pieniędzy na płatne wersje?

Sami producenci oprogramowania zabezpieczającego, ale także dystrybutorzy podchodzą z dużą rezerwą do niezależnych testów i twierdzą, że wyniki pojedynczych badań potrafią nieco zaciemnić realny obraz.

– Oczywiście obserwacja testów ma sens, ale należy to robić na bieżąco i nie ograniczać się wyłącznie do samej detekcji. W przywołanym teście program Microsoftu miał dwie próbki oznaczone jako false positive. W innym badaniu przeprowadzonym przez równie cenioną organizację AV-Comparatives poziom błędnie oznaczonych próbek sięgnął 21. Detekcja z dostępnym połączeniem internetowym, jak i bez, również pozostawiała dużo do życzenia, stawiając rozwiązania płatne na o wiele wyższym miejscu na podium – wylicza Robert Dziemianko, Marketing Manager w G Data.

Specjaliści ds. bezpieczeństwa podkreślają, że Microsoft Defender nie oferuje wielu funkcjonalności dostępnych w płatnych aplikacjach, takich jak ochrona przed kradzieżą tożsamości, skanowanie HTTPS, zabezpieczenie transakcji bankowych czy szyfrowanie dysku. W związku z tym trudno rozpatrywać ten produkt jako pełnoprawną alternatywę dla płatnych rozwiązań. Poza tym osoby śledzące od dłuższego czasu rynek oprogramowania antywirusowego przyznają też, że znaczenie testów od kilku lat spada. Kiedyś tego typu zestawienia rozpalały emocje wśród ludzi związanych z branżą IT, ale to już raczej historia.

– Za taki stan rzeczy należy w pewnym stopniu winić dostawców. W opisach poszczególnych technologii pojawia się mnóstwo marketingu, co sprawia, że coraz trudniej uchwycić realną różnicę między rozwiązaniami – dodaje Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.

Źródło: Trend Micro Smart Protection Network

Informacje o śmierci antywirusa są przedwczesne

Od czasu, kiedy Bryan Dye, ówczesny wiceprezes Symanteca, oznajmił, że antywirus nie żyje, upłynęło już ponad sześć lat. W segmencie systemów bezpieczeństwa taki okres czasu to niemal wieczność. Jednak informacje o śmierci antywirusów okazały się przedwczesne. Oprogramowanie takie wciąż żyje i cały czas się rozwija. Nowoczesne programy antywirusowe nie chronią urządzeń końcowych jedynie przed wirusami, jak wskazuje ich nazwa, ale również przed phishingiem, malwarem czy ransomwarem. Producenci wykorzystują też bazy danych znajdujące się w środowisku chmurowym, które zbierają informacje od użytkowników oprogramowania. Takie rozwiązanie pozwala bardzo szybko reagować na pojawiające się zagrożenia, wprowadzać nowe mechanizmy ochronne i szybciej reagować na nowe zagrożenia. Wzrasta też rola analizy behawioralnej, szczególnie przydatnej w zwalczaniu exploitów.

Pewne zmiany widać też w strategii producentów systemów bezpieczeństwa. Niektórzy, jak Acronis, dostarczają systemy bezpieczeństwa łączące w ramach jednej platformy narzędzia do tworzenia kopii zapasowych oraz ochrony przed zewnętrznymi zagrożeniami i złośliwym kodem. W podobnym kierunku zmierzają G Data oraz Symantec – obie firmy oferują w ramach standardowych usług funkcje backupu do chmury. Robert Dziemianko przyznaje, że jest to odpowiedź na postulaty klientów oczekujących od dostawcy kompleksowego podejścia do tematu bezpieczeństwa IT. Z kolei Sophos namawia klientów do koordynacji ochrony punktów końcowych oraz całej sieci.

– Kluczowa jest w tym przypadku synchronizacja informacji o potencjalnych zagrożeniach między poszczególnymi rozwiązaniami na wielu poziomach (sieć, serwery, komputery, urządzenia mobilne). Pozwala to na szybką, automatyczną reakcję i odparcie ewentualnego ataku jeszcze zanim przestępca dostanie się do systemu – wyjaśnia Łukasz Formas, kierownik zespołu inżynierów w Sophosie.

Podobną zasadę wyznaje Dagma, która zachęca partnerów handlowych do sprzedaży kompleksowych pakietów ochrony składających się z produktów dwóch europejskich producentów: ESET-a oraz Stormshielda.

EDR, MDR, a może XDR?

System EDR (Endpoint Detection and Response) należy do najciekawszych produktów, które na przestrzeni ostatnich lat pojawiły się na rynku bezpieczeństwa IT. To rozwiązanie jest nie tyle następcą, co rozwinięciem ochrony dla stacji roboczych i serwerów. Jego rola polega na detekcji wszelkich pojawiających się w sieci anomalii poprzez analizę zachowania oraz rozpoznawanie śladów pozostawionych w systemie, takich jak zmiany w plikach i rejestrach czy zmodyfikowane uprawnienia dostępu do zasobów.

EDR posiada mnóstwo zalet i jeden poważny mankament – jego obsługa wymaga czasu i specjalistycznej wiedzy. To sprawia, że krąg potencjalnych klientów ogranicza się do dużych firm oraz instytucji. Jednakże producenci próbują dotrzeć do mniejszych i średnich przedsiębiorstw oferując im rozwiązanie MDR (Managed Detection and Response). W tym modelu producent lub dostawca usług zatrudnia najwyższej klasy specjalistów i przejmuje całkowitą odpowiedzialność za ochronę sieci i urządzeń końcowych klienta przez 365 dni w roku, 24 godziny na dobę. Jak na razie tego typu usługi nie cieszą się na naszym rynku zbyt dużą popularnością. Paweł Jurek przyznaje, że większość klientów inwestuje w system EDR i samodzielnie nim zarządza. Nawet, jeśli niektórym brakuje umiejętności, decydują się dodatkowo przeszkolić pracowników (co ciekawe, Dagma testuje również możliwość oferowania EDR-a w modelu usługowym). Od niedawna coraz częściej słyszy się o nowej koncepcji XDR, która stanowi niejako uzupełnienie EDR. System taki, oprócz wykrywania i reagowania na zagrożenia dotyczące punktów końcowych, rozszerza swoje możliwości o agregację i korelację telemetrii z dodatkowych kontroli bezpieczeństwa, chmury, poczty e-mail i innych.

Grzegorz Michałek, CEO, Arcabit Grzegorz Michałek, CEO, Arcabit  

Przyspieszony proces cyfryzacji uwypuklił przede wszystkim brak polityk bezpieczeństwa firm i instytucji lub ich potężne wady oraz luki. To, w konfrontacji ze wzmożoną aktywnością cyberprzestępców, prowadzi do penetracji systemów i wycieków danych. Prawdziwą plagą w nowych realiach pracy zdalnej jest niefrasobliwość i brak podstawowych kompetencji użytkowników i – co jest szczególnie niebezpieczne – administratorów systemów. W związku z powyższym, producenci oprogramowania ochronnego kładą szczególny nacisk na te elementy oprogramowania, które pozwalają zabezpieczyć systemy przed nieodpowiedzialnymi działaniami ich użytkowników, ale także na wykrywanie i filtrowanie wzmożonej aktywności cyberprzestępców.

  

Uwaga! Człowiek przy komputerze

Człowiek jest najsłabszym ogniwem systemów bezpieczeństwa – to zdanie jest setki razy powtarzane przy okazji różnego rodzaju publikacji poświęconych ochronie danych. Jednak jak na razie nikomu nie udało się znaleźć recepty na ludzką niefrasobliwość, zaś akcje edukacyjne dają znikomy efekt.

– O ile użytkowników biznesowych można jeszcze jakoś kontrolować, to w przypadku użytkowników domowych jest to praktycznie niemożliwe. Zwłaszcza, że antywirus jest aplikacją nielubianą przez graczy, ponieważ uważają, że spowalnia pracę komputera – zwraca uwagę Mariusz Politowicz, kierownik działu IT w Markenie.

I rzeczywiście, jeszcze do niedawna niemal każdy antywirus miał negatywny wpływ na wydajność komputera. Jednak w ostatnim czasie nastąpił w tym zakresie znaczy postęp. Na uwagę zasługują też inne inicjatywy mające na celu eliminację błędów ludzkich. W tym kontekście Bitdefender zaprezentował niedawno moduł Human Risk Analytics, który analizuje czynności wykonywane przez użytkowników oraz identyfikuje zachowania zagrażające bezpieczeństwu.

– Należy pogratulować naszemu rumuńskiemu konkurentowi zręcznej nazwy, kierunek jest ciekawy. Nie jest to jednak rozwiązanie zupełnie nowe, choć w formie, w jakiej dotąd spotykałem je u innych dostawców, nie nosiło ono tak chwytliwej nazwy. W każdym razie w rozwiązaniach ESET-a lub Stormshielda, na podstawie historii ostatnich zdarzeń i swoistej „reputacji” danego użytkownika, można różnicować polityki dla konkretnych stacji roboczych, a tym samym osiągnąć zbliżony efekt – zapewnia Paweł Jurek.

Obecnie większość producentów programów zabezpieczających rozwija moduły, które pozwalają na ograniczenie do minimum bezmyślnego działania użytkowników. I nic dziwnego. Według raportu IBM Cyber Security Intelligence Index 95 proc. incydentów związanych z bezpieczeństwem jest w mniejszym lub większym stopniu pokłosiem ludzkich błędów.

Zdaniem integratora

Grzegorz Gąsiewski, dyrektor sprzedaży, Perceptus  

Pandemia COVID-19 przyspieszyła cyfryzację, a tym samym zwiększenie podatności użytkowników na cyberataki. Firmy zaczynają rozbudowywać aplikacje bezpieczeństwa, w tym o rozwiązania EDR, które oferujemy w tradycyjnym modelu sprzedaży. Ponadto w drugim kwartale bieżącego roku przedsiębiorcy reagowali na koronawirusa przygotowując się do pracy zdalnej. Jednym z ważniejszych zadań, które stoją przez nimi, jest odpowiednie zabezpieczenie rozproszonych zasobów przed atakami hakerskimi i wyciekiem danych. Warto przy tym podkreślić, że klienci nie są zainteresowani dodatkowymi funkcjonalnościami w rodzaju VPN-a czy backupu danych do chmury, lecz oczekują od antywirusa jedynie podstawowych funkcjonalności.