Da się uciec przed hakerem

Termin „cyberzmęczenie” od kilku lat występuje w raportach „CISO Benchmark Study”. To stan, w którym zrezygnowani przedsiębiorcy porzucają jakiekolwiek starania, aby być o krok przed cyberprzestępcami. W badaniu z 2019 r. co trzecia firma deklarowała, że nie prowadzi aktywnych działań w celu ochrony przed atakami, a w 2020 r. wskaźnik ten osiągnął 42 proc.

Jak twierdzi Mateusz Pastewski, dyrektor ds. sprzedaży rozwiązań cyberbezpieczeństwa w Cisco, główną przyczyną zniechęcenia jest złożoność procesów i mnogość rozwiązań ochronnych wielu różnych producentów. Trudno się z tym nie zgodzić, aczkolwiek w ostatnich miesiącach pojawił się czynnik, który może jeszcze bardziej pogłębić cyber-
zmęczenie. Pandemia COVID-19 sprawia, że firmy stają przed wieloma problemami, przy których kwestie związane z ochroną sieci i danych wydają się mieć drugorzędne, a nawet trzeciorzędne znaczenie.

Tymczasem cyberprzestępcy nie próżnują i już w lutym przeszli do zmasowanej ofensywy. Analitycy z kanadyjskiej firmy SecDev Group dostrzegli bezpośrednie korelacje między liczbą infekcji w danym kraju a wzrostem cyberataków. Ransomware’em zalewane są szpitale, laboratoria medyczne i zakłady testowania szczepionek. Takie przypadki zanotowano już w Stanach Zjednoczonych, Hiszpanii, Wielkiej Brytanii i Francji. W marcu br. mechanizmy platformy VMware Carbon Black zanotowały aż 148-proc. wzrost liczby ataków ransomware w stosunku do poziomu z lutego. Natomiast Interpol na początku kwietnia wysłał zawiadomienie do krajów członkowskich, ostrzegając przed atakami ransomware na placówki medyczne. W czasie pandemii agencja otrzymała sześć razy więcej informacji o próbach tego typu działań przestępczych niż przed jej wybuchem. Lawinowy przyrost malware’u odnotowali analitycy
Bitdefendera. W lutym 2020 r. producent antywirusów wykrył 1448 rodzajów złośliwego oprogramowania, w pierwszej połowie marca już 8319. To oznacza wzrost o 475 proc. zaledwie w ciągu miesiąca.

Zdalni pracownicy pod odstrzałem

Praca zdalna nie jest niczym nowym w świecie biznesu. Część firm wykorzystuje ten model od lat i zdążyła wypracować własne dobre praktyki. Jednak w związku z rozprzestrzeniającą się pandemią wielu przedsiębiorców musiało wysłać z dnia na dzień do pracy w domu niemal cały personel. Dla tych, którzy wcześniej nie korzystali z modelu home office, jest to skok na głęboką wodę.

– Nagle trzeba wypożyczyć lub kupić pracownikom w ciągu tygodnia sto laptopów. Okazuje się, że CRM nie jest przystosowany do współpracy z tak dużą liczbą zdalnych klientów jednocześnie, a łącze nie wytrzymuje obciążenia. Dział IT musi udzielać zdalnej pomocy, a ludzie pracujący poza biurem popełniają wiele błędów – mówi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.

To, co dzieje się w domowych biurach, nie umyka uwadze hakerów, którzy potrafią bez trudu wykorzystać luki występujące w VPN, narzędziach i oprogramowaniu. Poważnym sygnałem ostrzegawczym są wyniki badań przeprowadzonych w marcu przez BitSight wśród 41 tys. firm i instytucji. Sieci domowe wykorzystywane do pracy zdalnej były 3,5 razy bardziej narażone na zainfekowanie złośliwym oprogramowaniem niż korporacyjne. Co istotne, aż 45 proc. respondentów wykryło malware w prywatnym sprzęcie pracowników, a tylko 13 proc. znalazło złośliwe oprogramowanie w wewnętrznych zasobach przedsiębiorstw. Szczególnie interesujący przypadek stanowi botnet Mirai, który zaobserwowano 20 razy częściej w sieciach domowych niż w korporacyjnych.

Dostawcy systemów bezpieczeństwa nie wydają się być zaskoczeni takim rozwojem wypadków. Wszyscy zgodnie zapewniają, że dysponują szeroką gamą rozwiązań przeznaczonych dla przedsiębiorców mających rozproszone stanowiska pracy. Z jednej strony są to systemy MDM (Mobile Device Management), a czasami antywirusy wyposażone w specjalne moduły do obsługi urządzeń mobilnych, z drugiej zaś – zaawansowane narzędzia typu EDR (Endpoint Detection & Response) bądź SOAR (Security Orchestration, Automation and Response). Prawdopodobnie wraz z rozpowszechnianiem się zdalnej pracy zyskają na znaczeniu rozwiązania typu Software Defined Infrastructure, zapewniające działanie firmy zgodnie z koncepcją Zero Trust, w myśl której nie należy ufać niczemu, co znajduje się nie tylko na zewnątrz, ale i wewnątrz ich sieci.

Czas przejść do kontrofensywy

W segmencie rozwiązań do ochrony urządzeń końcowych coraz głośniej mówi się o potrzebie zwrotu w kierunku systemów służących do wykrywania ataków i zapobiegania im. Do największych orędowników zmian należą zazwyczaj młodzi gracze.

– Czas wykrycia ataku ma kluczowe znaczenie dla biznesu, bowiem przekłada się na konkretne straty finansowe. Jeśli incydent zostanie ujawniony w ciągu kilku godzin, firma traci średnio 550 tys. dol., ale kiedy czas wydłuży się do tygodnia, trzeba liczyć się ze stratami przekraczającymi 1 mln dol. – ostrzega Jonathan Kaftzan, VP Marketing w Deep Instinct.

Sprawa nie jest błaha, bowiem z badań KPMG wynika, że w Polsce średni czas między wykryciem ataku a momentem, kiedy haker przejął kontrolę nad infrastrukturą firmy, wynosi niemal pół roku. Tymczasem Deep Instinct podkreśla, że jego rozwiązanie zapewnia „zero time detection and prevention”, co oznacza zapobieganie cyberatakom w czasie rzeczywistym. Jednak nie wszyscy wierzą w tego typu deklaracje.

– To właściwie tylko marketing. Co bowiem znaczy „zero time”, jeśli napastnik wykorzystuje podatność dnia zero. W takiej sytuacji standardowe rozwiązania cyberbezpieczeństwa, skupiające się na rozpoznawaniu i wykrywaniu zagrożeń, zawiodą i w rezultacie „zero day” zamieni się w „thirty days”. Dlatego należy skupiać się na własnym środowisku i jego prawidłowym działaniu. Możliwość wykrycia odchyleń do normy, jest skuteczniejsza niż ciągły pościg za hakerem – zapewnia Stanisław Bochnak, strateg biznesowy w VMware.

Tradycyjne zabezpieczenia mają kilka słabych punktów, które utrudniają walkę z cyberprzestępcami. Jedną z najczęściej wymienianych bolączek jest ogromne rozdrobnienie produktów – firmy często używają różnych rozwiązań do wykrywania włamań i walki z malware’em. Drugą wadą popularnych narzędzi jest zbyt duże uzależnienie od człowieka. Oprogramowanie wykrywa złośliwy kod i wysyła komunikat wymagający odpowiedzi właściciela urządzenia, który często ignoruje takie informacje bądź podejmuje niewłaściwe działania.

Panaceum na wymienione problemy mają być produkty EDR przeznaczone do monitorowania punktów końcowych sieci i reagowania na zdarzenia odbiegające od ustalonych norm. I choć na rynku rozwiązań ochronnych ścierają się różne koncepcje, większość ekspertów wierzy w skuteczność systemów EDR. Warto przypomnieć, że ich rola nie ogranicza się wyłącznie do zapobiegania zagrożeniom określonej klasy, takim jak złośliwe oprogramowanie. EDR dostarcza wielu bardzo cennych informacji, choć do ich analizy potrzeba pracowników swobodnie poruszających się w obszarze cyberbezpieczeństwa. Dlatego wspomniane rozwiązania trafiają głównie do dużych i średnich przedsiębiorstw oraz instytucji. Z badań Ponemon Institute wynika, że z EDR korzysta 30 proc. respondentów, zdecydowanie mniej niż z tradycyjnych systemów antywirusowych (78 proc.) oraz z narzędzi do kontroli poprawek i uaktualnień (57 proc.).

Uwaga, fałszywy alarm!

Jednym z największych wyzwań, przed którymi stoją użytkownicy systemów przeznaczonych do ochrony urządzeń końcowych, jest zbyt duża liczba alertów bezpieczeństwa oraz fałszywych alarmów, tzw. false positive. W cytowanym wcześniej raporcie Ponemon Institute aż 58 proc. ankietowanych przyznaje, że to najpoważniejszy problem, z którym przychodzi się zmierzyć użytkownikom EDR. Problemem są też wysokie koszty adaptacji, konfiguracji i wdrożenia (57 proc.), brak zapobiegania oraz blokowania ataków sieciowych (38 proc.).

– False positive to koszmar zarówno dla użytkowników, jak i dla dostawców systemów bezpieczeństwa. Wraz z rosnącą liczbą wykrytych zagrożeń pojawia się coraz więcej fałszywych alarmów. To zjawisko ma wiele poważnych konsekwencji: zmarnowany czas analityków, niedostrzeżenie realnych ataków, negatywny wpływ na wydajność operacji biznesowych. Dlatego dążymy do tego, żeby wskaźnik false positive zredukować do zera – twierdzi Jonathan Kaftzan.

Dążenie jest jak najbardziej słuszne, ale wyeliminowanie błędnych detekcji to utopia. Dostawcy systemów bezpieczeństwa przyznają, że zazwyczaj udaje im się utrzymać ich wskaźnik na poziomie ok. 10 proc. Czy to wystarczy, aby zaspokoić wymagania użytkowników?

– Wiele zależy od tego, co zostanie niesłusznie zakwalifikowane jako szkodliwe oprogramowanie. Jeśli będzie to aplikacja księgowa, sprawa staje się dość poważna. Co innego, kiedy dotyczy to plików znajdujących się w katalogu tymczasowym – wyjaśnia Grzegorz Michałek, prezes zarządu Arcabitu.

Niewykluczone, że liczba popełnianych błędów będzie sukcesywnie maleć dzięki upowszechnianiu się technik głębokiego uczenia. To jedna z najszybciej rozwijających się gałęzi sztucznej inteligencji, polegająca na tworzeniu sieci neuronowych, czyli takich systemów informatycznych, których budowa i funkcjonowanie przypomina ludzki mózg.

– Deep learning to bardzo obiecujący obszar, chociaż uważam, że obecnie więcej korzystają z niego działy marketingu niż techniczne. Nadal występują tutaj pewne ograniczenia i AI można oszukać, czasami stosując poste środki, jak chociażby zaciemnianie kodu. Niemniej jednak firma, która jako pierwsza osiągnie w tej dziedzinie wyraźny postęp, wyjdzie na prowadzenie w branży cyberbezpieczeństwa – ocenia Grzegorz Michałek.

Mniejsi preferują unifikację

Nadmierne rozdrobnienie jest utrapieniem nie tylko klientów, którzy poszukują narzędzi do ochrony komputerów lub smartfonów. Podobna sytuacja występuje w segmencie rozwiązań do zabezpieczenia sieci. Jednak idzie ku lepszemu: małe i średnie firmy dążą do unifikacji produktów, o czym świadczy rosnący popyt na UTM-y. Z danych IDC wynika, że na koniec 2019 r. do systemów UTM należało 57 proc. globalnego rynku urządzeń zabezpieczających. Zakup wielofunkcyjnego kombajnu od jednego dostawcy wiąże się z niższymi kosztami niż kompletowanie poszczególnych zabezpieczeń. Poza tym przedsiębiorcy ponoszą mniejsze wydatki na eksploatację sprzętu. Jednak większe firmy i instytucje do unifikacji podchodzą z ostrożnością i stawiają na firewalle. Zresztą ten segment rynku, podobnie jak UTM, znajduje się na fali wznoszącej. W ostatnim kwartale 2019 r. producenci firewalli – według IDC – łącznie uzyskali wpływy ze sprzedaży wyższe o 192 mln dol. niż rok wcześniej.
W tej klasie rozwiązań uwidacznia się rywalizacja między producentami tradycyjnego sprzętu i modeli typu Next Generation Firewall. Te ostanie trafiają zazwyczaj do bardziej wymagających klientów, którzy oczekują od sprzętu dużej elastyczności i skalowalności, a także pogłębionej analizy pakietów, wykraczającej poza sprawdzanie numerów portów i typów protokołów. Koncerny często wychodzą z założenia, że lepiej postawić na specjalistyczne rozwiązania, realizujące osobno funkcje firewalla, VPN-a i filtrowania stron internetowych.

Niewiele powodów do optymizmu

Dynamika sprzedaży rozwiązań ochronnych na polskim rynku przed wybuchem pandemii była umiarkowana. Rok 2020 miał przynieść ożywienie, ale dziś nieliczni w to wierzą. Raport bezpieczeństwa, przygotowany w 2019 r. przez Netology, wskazywał wysoki potencjał wzrostu popytu na rozwiązania ochronne.

– Niestety, pojawiający się na horyzoncie kryzys gospodarczy może przyczynić się do spadku zainteresowania systemami bezpieczeństwa – przyznaje Miłosz Pacocha, architekt IT w katowickiej spółce.

Nie jest to odosobniona opinia, inni integratorzy również z pesymizmem patrzą na rozwój wypadków w segmencie zabezpieczeń. Pewne nadzieje wiążą z rozwiązaniami chroniącymi zdalnych pracowników.

– Pandemia negatywnie wpłynie na sprzedaż rozwiązań, które do tej pory nie należały, z punktu widzenia administratorów, do tych najpotrzebniejszych. Myślę przede wszystkim o EDR, jak też modułach sandboxing dla antywirusów i firewalli. Natomiast nie powinna ucierpieć sprzedaż oprogramowania antywirusowego oraz narzędzi VPN – przewiduje Karol Labe, właściciel Miecz Netu.

Niewykluczone, że trudna sytuacja, a także chroniczny brak specjalistów od cyberbezpieczeństwa, przyczyni się do wzrostu popularności modelu usługowego. Tak czy inaczej, istnieją poważne i uzasadnione obawy, że w bieżącym roku nie uda się wyprzedzić hakerów. Co gorsza, cyberprzestępcy mogą jeszcze bardziej zwiększyć swoją przewagę.