Cisco: tombolnak a spamek, lappanganak a vírusok

Napjainkban már nem elég a megelőzésre és a detektálásra törekedni. Arra is fel kell készíteni a védelmet, hogy felismerje a hálózatokba korábban észrevétlenül bejutó fenyegetettségeket.
 

A Cisco kiadta a legfrissebb biztonsági jelentését, amelyet 1700 IT-biztonsági vezető megkérdezésével elvégzett felmérés alapján készített el. A nemzetközi szintű elemzőmunkának az volt az elsődleges célja, hogy felmérje napjaink leggyakoribb fenyegetettségeit, az azokkal kapcsolatos trendeket, és azt, hogy a vállalatok, intézmények miként állják a sarat a mindennapi védekezés során. A rengeteg incidens ellenére a felmérésben résztvevő szakemberek 75 százaléka úgy gondolja, hogy a munkahelyén alkalmazott védelmi megoldások nagyon vagy rendkívül hatékonyak. Komoly ellentmondás, hogy ezzel párhuzamosan a felmérés arra is fényt derített, hogy a cégek kevesebb, mint 50 százalékánál használnak szabványos technológiákat és ezek legfrissebb kiadásait a biztonsági problémák megelőzésére.

Rossz hírek a spamek frontjáról 

Az elmúlt néhány évben a kéretlen levelek aránya globális viszonylatban csökkent, azonban 2014-ben ez a trend megfordult, nem is akárhogy. 2014 januárja és novembere között 250 százalékos növekedés volt tapasztalható a spamek mennyiségében. Ráadásul a nemkívánatos küldemények felismerését, szűrését számos tényező hátráltatta. Ezek közül az egyik az úgynevezett Snowshoe jelenségnek tudható be, amelynek révén a spammerek jóval több e-mail címről küldözgették a leveleiket, így a hírnévalapú (reputációs) technológiák számára sokkal nehezebbé vált a terep. Emellett a spammerek sokszor a felhasználók legitim e-mail címeihez tartozó belépési adatokat lopták el, és az így "feltört", a címzett szempontjából megbízhatónak tűnő fiókokból küldözgették a küldeményeiket, amelyeket gyakorta dinamikusan generált tartalmakkal láttak el.

Vesztettek erejükből a Java alapú támadások

A Cisco statisztikái szerint a vizsgált időszakban elkezdtek háttérbe szorulni azok a támadások, amelyek a Java egyes sebezhetőségeit használják ki. Ugyan e tekintetben 34 százalékos csökkenés figyelhető meg, azonban még így is a javás incidensek vezetik a toplistát. Roppant mód feljövőben vannak a Silverlight biztonsági résein keresztül bekövetkező támadások, amelyek száma 228 százalékkal nőtt. A sebezhetőségek élmezőnyében találjuk még a Flash-t, valamint az Adobe Acrobat/Reader alkalmazásokat.
A biztonsági hibákon keresztül végrehajtott támadások magas száma ellenére a szoftverek frissítése és az ennek kapcsán kialakított gyakorlatok még mindig sok kívánni valót hagynak maguk után. Jól mutatja mindezt az is, hogy a számos feltárt sebezhetőség dacára, továbbra is az Internet Explorer az egyik legelhanyagoltabb szoftver a számítógépeken. A Microsoft böngészője által generált adatforgalomnak mindössze a 10 százaléka származik az aktuálisan legfrissebb IE verzióktól. Ezzel szemben a Chrome - melynek patch-elését teljes mértékben automatizálta a Google - az esetek 64 százalékában naprakész.

A webes támadások kapcsán érdekes megemlíteni, hogy az ilyen módon bekövetkező támadások legnagyobb hányada a gyógyszer- és vegyipari cégek ellen irányult. Emellett sok károkozással kellett szembenézniük a média és a szállítmányozó cégeknek, valamint a légitársaságoknak is. Ugyanakkor a kormányzati és az állami intézmények általánosságban némileg nyugodtabb időszakot tudhatnak maguk mögött, legalábbis globális szinten.

Háromszintű stratégia

"Az IT biztonság területén olyan megközelítésre van szükség, amelyben a szervezet minden tagja részt vesz, a végfelhasználóktól a vállalat legfelsőbb vezetéséig. Régebben a DoS támadások és az IP-cím lopások okoztak fejfájást az informatikai biztonsággal foglalkozó szakértőknek, ma az adatlopástól és a kritikus szolgáltatások meghibásodásától tartunk. A támadók egyre nagyobb tudással rendelkeznek, és kíméletlenül kihasználják a vállalatok gyengeségeit, miközben tevékenységüket igyekeznek elrejteni a kíváncsi tekintetek elől. A biztonsági rendszereknek ma már a támadás minden fázisa alatt megfelelő védelmet kell nyújtaniuk, így a vállalatoknak olyan technológiába érdemes befektetniük, amelyik alkalmas erre a feladatra" - mondta Ács György, a Cisco regionális hálózatbiztonsági szakértője, aki ezzel arra is utalt, hogy új megközelítésre van szükség az IT-biztonságban. 
Noha a megelőzés és a detektálás kritikus fontossággal bír, továbbra sem lehet figyelmen kívül azt, hogy nincs 100 százalékos biztonság. Emiatt utólagos (retrospektív) és folyamatos ellenőrzésekre is szükség van. Mivel nem lehet 100 százalékban kizárni, hogy egy - amúgy jól védett - rendszerbe nem kerül be ártalmas kód, vagy nem sújtja azt hosszú lappangási idővel rendelkező, célzott, APT-fenyegetettség, ezért célként kell kitűzni, hogy a hálózatba esetlegesen már bejutott fenyegetettségeket is minél előbb fel lehessen ismerni, blokkolni, illetve szükség esetén forensic vizsgálatoknak alávetni. Ennek megfelelően a Cisco már háromlépcsős stratégiát követ, amely lefedi a prevenciós, a detektálási és az utólagos reagálási folyamatokat is.

Összefoglalásul elmondható, hogy a vállalatok csak átfogó megközelítéssel védekezhetnek hatékonyan az egyre kifinomultabb kibertámadások ellen, aminek egyik kulcseleme, hogy az IT szakemberek mellett a védekezésbe a végfelhasználóktól a vállalat vezetéséig mindenkit be kell vonni.