Ochrona urządzeń końcowych: jeszcze więcej inteligencji
Odpowiednie zabezpieczenie urządzeń końcowych wymaga zastosowania coraz bardziej inteligentnych narzędzi. Co ważne, zaczynają to rozumieć nie tylko dostawcy rozwiązań, ale również klienci.
Skala, a także liczba ataków przeprowadzonych przez cyberprzestępców sprawia, że szefowie firm bardziej przychylnym okiem patrzą na wydatki na rozwiązania ochronne. PMR przewiduje, że w bieżącym roku przedsiębiorstwa przeznaczą na systemy bezpieczeństwa 1,5 mld zł, a więc 16 proc. więcej niż rok wcześniej. Ale strach nie jest jedynym stymulatorem popytu na produkty zabezpieczające sieci, stacje robocze czy aplikacje. Analitycy PMR wskazują też na inne czynniki oddziaływujące na polski rynek cyberbezpieczeństwa. Są to m.in. regulacje prawne, rozwój handlu internetowego, sytuacja makroekonomiczna i zmiana świadomości odbiorców końcowych w zakresie korzystania z rozwiązań ochronnych.
Nie bez znaczenia są też przeobrażenia zachodzące w segmencie systemów bezpieczeństwa. Producenci w ostatnich latach wprowadzili wiele innowacji, a także opracowali nowe strategie, aby mocniej niż do tej pory uderzyć w cyberprzestępców. Szczególnie dużo dzieje się u dostawców aplikacji do ochrony urządzeń końcowych. Kij w mrowisko włożył Brian Dye, który cztery lata temu oznajmił na łamach „The Wall Street Journal”, że tradycyjne oprogramowanie antywirusowe wykrywa zaledwie 45 proc. wszystkich ataków. Skoro ówczesny wiceprezes Symanteca sam przyznał, że antywirusy są nieskuteczne, trudno mieć co do tego wątpliwości. W ten sposób Brian Dye zapoczątkował małą rewolucję w segmencie rozwiązań do ochrony punktów końcowych. W tamtym okresie na rynku pojawili się przedstawiciele nowej fali (FireEye, Carbon Black), natomiast doświadczeni dostawcy antywirusów zaczęli modyfikować produkty. W rezultacie do sprzedaży zaczęły trafiać zaawansowane rozwiązania wykorzystujące mechanizmy sztucznej inteligencji i głębokiego uczenia.
– Antywirusy nie opierają swojego działania na sygnaturach złośliwego oprogramowania. Dzięki wykorzystywanej przez nas chmurze plików oraz innym technikom nowej generacji jesteśmy w stanie szybciej reagować na nowe ataki – tłumaczy Thomas Siebert, kierownik technologii ochrony w G Data.
Również F-Secure w ostatnim czasie zmienia swoją strategię w zakresie ochrony urządzeń oraz danych. Producent przechodzi od detekcji pojedynczych zagrożeń i binarnych reakcji do wykrywania opartego na przepływie danych i ich kontekście oraz do zautomatyzowanych reakcji uwzględniających ryzyko zdarzeń.
Rok pod znakiem cryptojackingu
Cyberprzestępcy bardzo chętnie stosują znane od lat metody, takie jak phishing, spam czy malware. Tego typu działania są uciążliwe chociażby ze względu na powszechność występowania. Osoby odpowiedzialne za bezpieczeństwo powinny trzymać rękę na pulsie i nie lekceważyć najprostszych ataków. Tym bardziej że pracownicy cały czas nabierają się na stare sztuczki hakerów. Niemniej, aby powstrzymać w ten sposób działających napastników, nie trzeba sięgać po najbardziej zaawansowane systemy ochrony.
Sieciowi przestępcy nie próżnują i każdego roku wzbogacają swój arsenał o nowe narzędzia, takie jak ransomware i różnego rodzaju exploity. Jeszcze wyżej w hierarchii zagrożeń znajdują się ataki ukierunkowane – hakerzy wysyłają malware lub fałszywe e-maile do konkretnych, wyselekcjonowanych odbiorców. W tym kontekście warto zwrócić uwagę na jednorazowe akcje cyberprzestępcze przeprowadzane przez agencje wywiadowcze. Do tej pory chyba najbardziej spektakularna była inwazja północnokoreańskich hakerów na Sony. Z kolei w ubiegłym roku było głośno o Industroyerze, wirusie atakującym obiekty przemysłowe na Ukrainie.
– Niestety, w tego typu przypadkach zabezpieczenie firmy przed atakami wymagałoby ogromnych nakładów finansowych – twierdzi Marcin Galeja, Sales Engineer w F-Secure.
W 2018 r. na szczycie listy największych zagrożeń sieciowych pojawił się cryptojacking. Z danych Arcabitu wynika, że stosunek prób infekcji za pomocą oprogramowania kopiącego waluty do infekcji z użyciem oprogramowania szyfrującego dane obecnie wynosi 7:1.
Cryptojacking polega na wykorzystaniu komputera użytkownika odwiedzającego stronę internetową do kopania kryptowalut. Napastnicy absorbują ok. 60 proc. wydajności procesora. Internauci zazwyczaj nie zdają sobie sprawy, że padli ofiarą ataku. Skuteczną ochronę przed tego typu zagrożeniami zapewnia zaktualizowane oprogramowanie antywirusowe bądź dobry firewall. Wprawdzie nie jest to infekcja tak dotkliwa jak ransomware, aczkolwiek obniża komfort pracy, a także przyczynia się do wzrostu rachunków za energię elektryczną. Eksperci zwracają uwagę na to, że w przyszłości przestępcy przejmujący władzę nad komputerami użytkowników mogą ich użyć w innym, dużo gorszym celu niż kopanie kryptowalut.
– Cryptojacking zyskał popularność wśród hakerów z dwóch powodów. Pierwszy to gigantyczny wzrost cen niektórych kryptowalut, nawet o kilkaset razy w porównaniu z 2017 r. Drugi wiąże się z pojawieniem na czarnym rynku łatwej w użyciu platformy umożliwiającej generowanie wirtualnej waluty przez strony internetowe – ocenia Kamil Sadkowski, starszy analityk zagrożeń z ESET-a.
Zdaniem integratora
Karol Labe, właściciel Miecz Net
W bieżącym roku nastąpiło nasilenie ataków typu cryptojacking. Przed tego typu zagrożeniami chronią programy antywirusowe, aczkolwiek warto zastosować w firmie dodatkowe narzędzie do filtrowania stron internetowych. Natomiast nie spotkaliśmy się z tak spektakularnymi atakami jak choćby Petya. To nie znaczy, że problem ransomware’u zniknął – w dalszym ciągu obserwujemy takie ataki. Spośród nowych rozwiązań na naszym rynku na uwagę zasługuje EDR. Obecnie popyt na tego typu systemy występuje wyłącznie w segmencie klientów korporacyjnych. Jednakże znaczny rozwój zaawansowanych cyberzagrożeń sprawi, że EDR trafi też do niższych segmentów rynku.
Mateusz Wujciów, Product Manager, Perceptus
Cryptojacking naraża ofiarę ataku na płacenie wyższych rachunków za energię elektryczną i drastyczne zmniejszenie wydajności wykonywanej pracy. Najlepszym zabezpieczeniem jest w tym przypadku aktualne oprogramowanie antywirusowe, a także rozsądne surfowanie po internecie i niepobieranie plików z nieznanych źródeł. Obecnie jest to najczęściej spotykany sposób ataku. Hakerzy nie przestali korzystać z ransomware’u, niemniej internauci są coraz bardziej świadomi sieciowych zagrożeń. Lepiej zabezpieczone przed tego typu atakami są systemy IT. Producenci systemów bezpieczeństwa wprowadzają na rynek ciekawe produkty, takie jak chociażby EDR oraz zabezpieczenia dla urządzeń mobilnych. Jednak, aby zadomowić się na naszym rynku, potrzebują one większej promocji.
EDR – broń przeciw zaawansowanym atakom
Wprawdzie oprogramowanie antywirusowe wciąż odgrywa istotną rolę w procesie ochrony urządzeń końcowych, niemniej producenci wprowadzają na rynek bardziej zaawansowane produkty. Na fali wznoszącej znajdują się rozwiązania Endpoint Detection & Response (EDR) przeznaczone do wczesnego wykrywania ataków. Ich rola polega na detekcji nowych, potencjalnie niebezpiecznych zdarzeń, aplikacji, kodów itp. EDR stanowi swojego rodzaju odpowiedź producentów aplikacji bezpieczeństwa na cyberataki wymierzone w konkretne przedsiębiorstwa.
– Tego typu rozwiązania już działają w Polsce. Odpowiednie moduły, a nawet całe platformy uruchamiane w środowisku lokalnym lub chmurowym spotkały się z dobrym przyjęciem wśród rodzimych klientów. Myślę, że z biegiem czasu ich popularność będzie wzrastać – mówi Damian Przygodzki, inżynier wsparcia technicznego w ABC Data.
Również specjaliści z Dagmy widzą przyszłość EDR w jasnych barwach.
– Jeszcze do niedawna traktowano to rozwiązanie jako uzupełnienie antywirusów. Ale zauważamy, że wchodzi ono do głównego nurtu – tłumaczy Paweł Jurek, wicedyrektor ds. rozwoju katowickiego dystrybutora.
Należy zaznaczyć, że EDR jest produktem przeznaczonym dla dużych firm. Jego zastosowanie pozwala uzyskać mnóstwo cennych informacji, z tym że analiza danych, a następnie podejmowanie na ich podstawie decyzji wymaga odpowiedniej wiedzy. W mniejszych przedsiębiorstwach trudno byłoby znaleźć pracowników, którzy podjęliby się realizacji tego typu zadań. Zdaniem przedstawicieli F-Secure ciekawą alternatywną dla tradycyjnego modelu jest EDR oferowane w formie usługi. W przypadku wyboru tej opcji klient nie musi monitorować incydentów ani zarządzać nimi, a o potencjalnych zagrożeniach zawiadamia go integrator.
Mobilni na celowniku
Cyberprzestępcy biorą na cel nie tylko laptopy bądź serwery, ale również smartfony. Inteligentne telefony komórkowe, podobnie jak komputery stacjonarne, są narażone na działanie trojanów bankowych, cryptojacking oraz ransomware. Co ciekawe, okup za odszyfrowanie smartfona wynosi od 10 do 500 dol. Analitycy G Data w pierwszym półroczu bieżącego roku wykryli ponad 2 mln nowych próbek złośliwego oprogramowania na urządzenia z systemem operacyjnym Android. To niemal 40 proc. więcej niż rok wcześniej.
– Problemem podczas zabezpieczania urządzeń mobilnych jest propagacja szkodliwego oprogramowania. Co chwila w mediach pojawiają się informacje o złośliwych aplikacjach na Androida. Poza tym pracownicy nierzadko tracą smartfony w wyniku kradzieży bądź je po prostu gubią – tłumaczy Grzegorz Michałek, prezes Arcabitu.
Użytkownicy smartfonów z systemem operacyjnym Google bardzo często pobierają aplikacje z internetu, omijając Google Play. Co gorsza, nawet na oficjalnej platformie zakupowej Google niejednokrotnie można natrafić na złośliwe oprogramowanie. Lukas Stefanko, analityk zagrożeń z ESET-a, informuje na swoim blogu, że w ciągu ostatnich kilku miesięcy znalazł 50 złośliwych aplikacji w Google Play, które łącznie pobrano 350 tys. razy. Większość z nich to były gry lub kolorowanki dla dzieci. Zaskakująca jest też naiwność internautów, którym zdarza się zapłacić za program wydłużający czas działania baterii lub wirtualną kartę SD umożliwiającą „rozszerzenie” pamięci o 32 GB. Nie bez przyczyny wiele firm coraz częściej boryka się z problemami związanymi z zarządzaniem mobilnymi terminalami oraz ich ochroną – i poszukuje odpowiednich rozwiązań.
– Producenci zabezpieczeń oferują bardziej inteligentne systemy oparte na analizie zachowania, reputacji, silnikach antywirusowych. Łączą one ochronę przed złośliwymi aplikacjami i bezpieczne przeglądanie zasobów w internecie z efektywnym zarządzaniem urządzeniem, uwzględniając przy tym firmową politykę bezpieczeństwa. Co więcej, bardzo często jedna konsola zabezpiecza środowisko komputerowe oraz mobilne – zauważa Damian Przygodzki.
Przemysław Biel
Country Sales Representative, Synology
Jednym z najważniejszych elementów bezpieczeństwa sieci jest ochrona urządzeń przed złośliwymi atakami. Ponieważ smartfony lub komputery są często dobrze chronione przez aplikacje, wielu hakerów próbuje dotrzeć do słabo zabezpieczonych sieci, atakując najsłabsze ogniwo w łańcuchu. W większości przypadków są to źle strzeżone urządzenia IoT, zazwyczaj bezprzewodowo podłączone do sieci. Niestety, 15-letni standard WPA2 nie jest w stanie zapewnić całkowitej ochrony sieci, co wykazał w ubiegłym roku KRACK. Nowy protokół WPA3 pomoże nawet niedoświadczonym użytkownikom zadbać o bezpieczeństwo sieci, nawet jeśli używają prostych haseł Wi-Fi.
Łatanie dziur
Publikowane na początku tego roku informacje o lukach występujących w procesorach sprawiły, że kwestie dotyczące uaktualniania oprogramowania, zazwyczaj pomijane w dyskusjach o bezpieczeństwie, znalazły się w centrum uwagi. Wielu ekspertów uważa, że zamieszanie wokół chipów zdopinguje firmy do częstszych aktualizacji oprogramowania i systemów operacyjnych. Co więcej, przykłady Spectre i Meltdown dowodzą, że łatanie dziur wcale nie jest procesem trywialnym. Mniejsze organizacje, korzystające ze stosunkowo niewielkiej liczby urządzeń i prostej infrastruktury, mogą śledzić, testować i wprowadzać poprawki bez stosowania specjalistycznych narzędzi. Natomiast większe firmy, dysponujące złożonymi i niestandardowymi środowiskami informatycznymi, stają przed dużo trudniejszym zadaniem.
Z jednej strony wprowadzone uaktualnienia mogą spowolnić działanie sprzętu i oprogramowania, z drugiej zaś ich brak oznacza… otwartą furtkę dla hakerów. Dlatego też specjaliści od bezpieczeństwa sieciowego zalecają korzystanie z produktów usprawniających wprowadzanie aktualizacji. Umożliwiają one bowiem szybkie i spójne stosowanie łatek na różnych platformach informatycznych. Rozwiązania przeznaczone do aktualizacji software’u wchodzą często w skład większych systemów realizujących funkcje związane z zarządzaniem infrastrukturą i oprogramowaniem. Tego typu produkty oferują m.in. Baramundi, Ivanti czy SolarWinds.
Wprawdzie po szumie medialnym, który wywołały luki w procesorach, w ostatnim czasie nieco mniej mówi się o kłopotach z aktualizacją oprogramowania, niemniej dostawcy systemów operacyjnych z optymizmem patrzą w przyszłość. Najgroźniejsze ataki typu ransomware były skierowane przeciw użytkownikom komputerów z niezaktualizowanym systemem operacyjnym Windows. Ciekawostką jest, że FBI wśród zalecanych dziewięciu kroków zapobiegających atakom typu ransomware na pierwszym miejscu wymienia uaktualnianie systemów operacyjnych i najważniejszych aplikacji. Nie inaczej jest w przypadku cryptojackingu.
– Napastnicy infekują niezabezpieczone witryny złośliwym kodem, który potem trafia na stacje klienckie w celu generowania kryptowaluty. Jeśli użytkownik dba o aktualizacje software’u na urządzeniach końcowych, a w szczególności przeglądarek internetowych, może udaremnić atak lub znacznie zmniejszyć zagrożenie – tłumaczy Sebastian Wąsik, Country Manager w Baramundi software.
Paweł Jurek
wicedyrektor ds. rozwoju, Dagma
W 2019 r. spodziewamy się nadal rosnącego wpływu geopolityki na bezpieczeństwo IT – motywowane politycznie cyberataki na infrastrukturę będą powtarzać się w różnych rejonach świata. Stąd administratorzy będą nadal brać pod uwagę pochodzenie geograficzne konkretnych rozwiązań – widzimy taki trend obecnie na polskim rynku. Spodziewam się, że w przyszłym roku ta tendencja może się nawet nasilić. Niebagatelny wpływ na rynek będzie miał dalszy rozwój sytuacji politycznej i chociażby działania Komisji Europejskiej. Przed nami również druga fala zmian na rynku związanych z wprowadzeniem RODO. W 2018 r. odnotowaliśmy z tego powodu na przykład duży wzrost zainteresowania rozwiązaniami do szyfrowania.
Co dalej?
Nadchodzący 2019 r. nie przyniesie rewolucyjnych zmian w rozwoju narzędzi ochronnych. Niemniej integratorzy oraz resellerzy powinni uważnie śledzić najbardziej rozwojowe obszary rynku. Do takich należy segment rozwiązań EDR. Gartner prognozuje, że skumulowany wskaźnik wzrostu dla tej grupy produktów w latach 2015–2020 wyniesie 45 proc., a w 2020 r. producenci mają uzyskać ze sprzedaży systemów EDR 1,5 mld dol. Dużym wyzwaniem jest ujednolicenie zarządzania punktami końcowymi, w związku z czym firmy zaczną częściej poszukiwać systemów UEM (Unified Endpoint Management) i MDM (Mobile Device Management). Sebastian Wąsik uważa, że przedsiębiorcy będą musieli zmierzyć się ze zjawiskiem shadow IT.
– Według Gartnera do 2020 r. co trzeci udany cyberatak w sektorze biznesowym ma być wymierzony w programy umieszczone w chmurze publicznej. Niestety, tylko 7 proc. aplikacji w modelu SaaS spełnia standardy bezpieczeństwa dla przedsiębiorstw – ostrzega Sebastian Wąsik.
Resellerzy poza promocją nowych rozwiązań powinni informować klientów o czyhających na nich zagrożeniach. Nawet najbardziej inteligentne urządzenia i aplikacje zawiodą, jeśli będą obsługiwane przez nieroztropnych użytkowników.
Podobne artykuły
Prawo stwarza szansę dla integratorów
Przedsiębiorcy zgłaszają potrzebę i chęć współpracy z zewnętrznymi zaufanymi ekspertami, aby pokonać bariery i wdrożyć szyfrowanie w kluczowych dla swojego funkcjonowania obszarach.
Channel Manager staje się zaufanym doradcą partnera
Obecnie rolą Channel Managera jest zapewnienie partnerom kompleksowego wsparcia nie tylko w zakresie portfolio produktowego, ale też w prowadzeniu działalności biznesowej. Przy czym kluczowym elementem zarządzania kanałem sprzedaży jest efektywna komunikacja z uczestnikami rynku.
Synology: pełna ochrona w jednym serwerze
Sprawne tworzenie kopii zapasowych wszystkich rodzajów danych, jak i obejmowanie ich innymi mechanizmami ochronnymi, zapewniają serwery NAS firmy Synology.