Cisco: maleje ilość spamu, rośnie liczba ataków wymierzonych w określone cele

Warszawa, 11 stycznia 2012 r. ― Rok 2010 to punkt zwrotny w rozwoju cyberprzestępczości ― wtedy właśnie po raz pierwszy zaczęła maleć ilość generowanego spamu. W 2011 r. tendencja ta utrzymała się, głównie w wyniku likwidacji w ciągu ostatnich dwóch lat kilku kluczowych botnetów. Liczba luk w zabezpieczeniach wzrosła, odnotowano mniej ataków podejmowanych na szeroką skalę, natomiast zwiększyła się liczba ataków ukierunkowanych na określone cele. To niektóre spośród najważniejszych wniosków z Cisco 2011 Annual Security Report (Dorocznego raportu Cisco nt. bezpieczeństwa w 2011 r.), w którym przedstawiono najbardziej znaczące tendencje w zakresie zagrożenia dla bezpieczeństwa w sieci odnotowane w tym roku oraz zamieszczono wskazówki i wytyczne, których przestrzeganie pozwoli firmom zapewnić większe bezpieczeństwo ich środowisk biznesowych.

W 5. edycji dorocznego raportu Cisco nt. bezpieczeństwa po raz pierwszy przeanalizowano także dogłębnie, jak zachowania nowej generacji pracowników zwiększają ryzyko osobiste i korporacyjne w i tak już skomplikowanej sytuacji w zakresie bezpieczeństwa.

Najważniejsze tendencje i fakty

· Radykalny spadek ilości spamu

Według danych Cisco Security Intelligence Operations (SIO) od sierpnia 2010 r. do listopada 2011 r. ilość przesyłanego spamu spadła z ponad 379 miliardów do około 124 miliardów wiadomości dziennie ― tak niskiego poziomu nie notowano od 2007 r. Wpływ tej sytuacji na dochody z cyberprzestępczości jest znaczny: wg szacunków działu SIO firmy Cisco korzyści finansowe dla cyberprzestępców płynące z tradycyjnych ataków opartych na wykorzystaniu poczty elektronicznej zmalały w ujęciu rocznym (w okresie od czerwca 2010 r. do czerwca 2011 r.) o 50% ― z 1 miliarda USD do 500 milionów USD. W ogólnoświatowym rankingu państw będących źródłem największej ilości spamu sporządzonym we wrześniu 2011 r. pierwsze miejsce zajęły Indie ― ich udział w ogólnej ilości przesyłanego spamu wyniósł 13,9%. Drugą pozycję zajął Wietnam (8%), a trzecią Rosja (7,8%).

· Konkurs 2011 Cisco Cybercrime Showcase

W trzecim dorocznym konkursie Cisco Cybercrime Showcase przyznano dwie nagrody za 2011 r. Pierwszą z nich, w kategorii „Dobro”, zdobyła firma Microsoft za wyróżniający się udział w przygotowaniach do likwidacji kilku najbardziej szkodliwych na świecie botnetów. Natomiast drugą, w kategorii „Zło”, uzyskała luźno zorganizowana grupa Anonymous związana z międzynarodową działalnością hakerską ― nagrodę tę przyznano z uwagi na rosnący wpływ tej grupy w branży.

· Macierz Cisco Cybercrime Return on Investment (CROI) Matrix .

Macierz zwrotu z inwestycji w cyberprzestępczość Cisco CROI Matrix, którą po raz pierwszy zaprezentowano w raporcie Cisco nt. bezpieczeństwa w 2009 r., zawiera analizę rodzajów cyberprzestępstw, na których ― zdaniem specjalistów ds. bezpieczeństwa z firmy Cisco ― hakerzy zorientowani na osiąganie zysków skoncentrują swoje wysiłki i zasoby w 2012 r. Z tej opartej na wynikach z 2011 r. macierzy wynika, że w 2012 r. hakerzy będą coraz chętniej wykonywać ataki na urządzenia mobilne oraz na infrastrukturę chmur. Jednym z głównych obszarów inwestycji cyberprzestępców pozostanie też nadal pranie brudnych pieniędzy. Niezbyt zaskakującym nowicjuszem w kategorii „wschodzące gwiazdy” są urządzenia mobilne, które w macierzy z 2010 r. zostały wymienione w kategorii „potencjalne obszary zagrożenia”. Cyberprzestępcy z reguły koncentrują się na obszarach popularnych wśród użytkowników, a ci coraz częściej uzyskują dostęp do Internetu, poczty elektronicznej i sieci korporacyjnych właśnie za pośrednictwem zaawansowanych urządzeń mobilnych. Ataki na urządzenia mobilne są już podejmowane od lat, ale wcześniej nie były aż tak rozpowszechnione i miały raczej charakter projektów badawczych niż udanej działalności cyberprzestępczej. Jednak ta sytuacja się zmienia, i to szybko. Coraz więcej firm przechodzi na przetwarzanie w chmurze i na usługi udostępniane w hostingu, w wyniku czego cyberprzestępcy zaczynają traktować jako potencjalne źródło dochodu również chmurę.

· Wskaźnik Cisco Global ARMS Race Index

Wskaźnik Global Adversary Resource Market Share (ARMS) Race Index został opracowany przez Cisco w celu monitorowania ogólnoświatowego poziomu zagrożenia zasobów oraz, w miarę upływu czasu, w celu zapewniania lepszego wglądu w poziom skuteczności, z jaką społecznościom przestępców internetowych udaje się infekować zasoby przedsiębiorstw i użytkowników indywidualnych. Zgodnie z danymi zgromadzonymi na potrzeby obliczenia tegorocznego wskaźnika, zagregowana liczba określająca poziom zainfekowania zasobów wyniosła pod koniec 2011 r. 6.5, czyli nieznacznie spadła w porównaniu z poziomem z grudnia 2010 r., gdy wskaźnik ten osiągnął wartość 6.8. Wskaźnik Cisco Global ARMS Race Index opublikowano po raz pierwszy w dorocznym raporcie Cisco nt. bezpieczeństwa w 2009 r. Jego wartość wynosiła wtedy 7.2, co oznaczało, że w tym czasie sieci przedsiębiorstw były ciągle infekowane, a systemy użytkowników indywidualnych były zainfekowane w tak wysokim stopniu, że mogło to powodować ciągłe i alarmujące zakłócanie świadczonych usług.

· Na rynek pracy wkracza internetowa generacja pracowników, która ma skłonność do ignorowania zagrożeń bezpieczeństwa

Z trzyczęściowego Cisco Connected World Technology Report wynika, że 70% młodych pracowników często łamie zasady korzystania z infrastruktury informatycznej, a co czwarty staje się ofiarą kradzieży tożsamości przed osiągnięciem wieku 30 lat. W raporcie tym zwrócono uwagę na zdumiewające podejście do zasad polityki informatycznej oraz rosnące zagrożenie dla bezpieczeństwa danych ze strony nowego pokolenia pracowników, które właśnie wchodzi na rynek pracy. Jest to generacja, która wyrosła w epoce Internetu i prowadzi tryb życia „na żądanie”, mieszając w miejscu pracy czynności służbowe z prywatnymi. Najnowsze wyniki badania przedstawione w raporcie wskazują, że pracodawcy mają coraz więcej powodów do niepokoju.Potrzeba natychmiastowego dostępu do informacji na każde żądanie jest u młodych pracowników tak głęboko zakorzeniona, że wielu z nich dopuszcza się skrajnie ryzykownych zachowań w celu uzyskania dostępu do Internetu, nawet jeśli stanowi to zagrożenie dla bezpieczeństwa firmy lub ich własnego. Do zachowań takich należy na przykład potajemne korzystanie z połączeń bezprzewodowych sąsiadów, przesiadywanie w pobliżu siedziby jakiejś firmy w celu uzyskania bezpłatnego dostępu do sieci Wi-Fi oraz zezwalanie innym osobom na korzystanie z własnego sprzętu bez nadzoru.

W sytuacji, gdy ponad jedna trzecia pracowników (36%) twierdzi, że nie darzy respektem działu informatyki w swojej pracy, pogodzenie konieczności przestrzegania zasad korzystania z infrastruktury informatycznej z wykazywaną przez młodych pracowników potrzebą elastyczniejszego dostępu do mediów społecznościowych i urządzeń oraz dostępu zdalnego do sieci staje się wyzwaniem dla tradycyjnej kultury korporacyjnej. Jednocześnie tego typu potrzeby pracowników powodują wywieranie coraz większej presji na osoby zajmujące się rekrutacją, kierownictwo działu kadr, działy informatyki oraz kulturę korporacyjną, aby zezwolić na większą elastyczność w zasadach dostępu ― w nadziei, że utalentowani pracownicy nowej generacji zapewnią firmie przewagę nad konkurencją.

Prognozy na rok 2012 i zalecenia specjalistów z firmy Cisco

Specjaliści z Cisco przewidują, że główne tendencje w dziedzinie zagrożeń dla bezpieczeństwa utrzymają się również w roku 2012. Należy spodziewać się, że ataki ukierunkowane na określone cele będą w coraz większym stopniu zastępować ataki masowe, będzie się też nadal nasilać działalność hakerów. Można również oczekiwać dalszego wzrostu liczby ataków na systemy infrastrukturalne o znaczeniu krytycznym, a także na przemysłowe systemy sterowania (Industrial Control System ― ICS) oraz na systemy kontroli nadzorczej i pozyskiwania danych (Supervisory Control And Data Acquisition system ― SCADA).

W „Cisco 2011 Annual Security Report” zamieszczono też 10 zaleceń sformułowanych przez specjalistów ds. bezpieczeństwa z firmy Cisco, dotyczących najważniejszych, ich zdaniem, działań warunkujących bezpieczeństwo przedsiębiorstwa.

1. Należy dokonać oceny całej sieci przedsiębiorstwa . „Firma musi wiedzieć, gdzie zaczyna się i gdzie kończy jej infrastruktura informatyczna ― wiele przedsiębiorstw nie ma pojęcia o strukturze swojej sieci. Należy też wiedzieć, co w danej firmie uchodzi za „normę”, aby móc szybko identyfikować problemy i na nie reagować.” ― powiedział John N. Stewart, wiceprezes i dyrektor ds. bezpieczeństwa (CSO) w firmie Cisco.
2. Należy zweryfikować przyjętą w firmie politykę użytkowania infrastruktury oraz kodeks postępowania biznesowego. „Firma powinna zrezygnować z długiej listy zasad bezpieczeństwa. Należy skoncentrować się tylko na tych zasadach, co do których ma się pewność, że musi się i może je wyegzekwować.” ― powiedział Gavin Reid, kierownik zespołu Cisco CSIRT (Computer Security Incident Response Team).
3. Należy określić, które dane muszą być chronione. „Nie można zbudować skutecznego programu zapobiegania utracie danych (Data Loss Prevention ― DLP), jeśli nie wie się, które informacje w przedsiębiorstwie należy zabezpieczyć. Trzeba też określić, kto w przedsiębiorstwie może mieć dostęp do tych informacji i w jaki sposób.” ― powiedział David Paschich, specjalista ds. rozwoju zabezpieczeń internetowych w firmie Cisco.
4. Należy wiedzieć, gdzie znajdują się dane przedsiębiorstwa i znać zasady ich ochrony (o ile takowe istnieją). „Należy zidentyfikować wszystkie podmioty zewnętrzne, które mają zezwolenie na przechowywanie danych firmy ― od operatorów usług w chmurze po podmioty zajmujące się marketingiem za pośrednictwem poczty elektronicznej ― oraz upewnić się, że informacje firmy są właściwie zabezpieczone. Wymagania dotyczące przestrzegania przepisów oraz występująca teraz w cyberprzestępczości tendencja „hack one to hack them all” (złam zabezpieczenia jednego, a uzyskasz kontrolę nad wszystkimi) oznaczają, że przedsiębiorstwa nie mogą nigdy bezkrytycznie zakładać, że ich dane są bezpieczne, nawet jeśli przekazują je w ręce podmiotów, którym ufają.” ― powiedział Scott Olechowski, specjalista ds. badania zagrożeń z firmy Cisco.
5. Należy ocenić procedury szkolenia użytkowników. „Długie seminaria i podręczniki są nieskuteczne. Młodzi pracownicy lepiej przyjmą bardziej ukierunkowane podejście do szkolenia użytkowników, w tym krótsze sesje i szkolenia potrzebne dokładnie w danym czasie (just-in-time). W dzisiejszym środowisku pracy opartym na współpracy dobrze sprawdzają się też szkolenia przeprowadzane przez współpracowników.” ― powiedział David Evans, główny specjalista ds. prognoz w firmie Cisco.
6. Należy wprowadzić monitorowanie ruchu wychodzącego. „To podstawowa praktyka, jednak stosuje je wciąż zbyt mało przedsiębiorstw ― na szczęście wymogi dotyczące przestrzegania przepisów sprawiły, że wdraża je coraz więcej firm. Monitorowanie ruchu wychodzącego oznacza odejście od skupiania się jedynie na blokowaniu zagrożeń „wchodzących”. Należy monitorować to, co jest wysyłane z firmy, a także przez kogo i do kogo ― trzeba też blokować wysyłanie danych, które nie powinny być wysyłane.” ― powiedział Jeff Shipley, kierownik zespołu ds. badań nad bezpieczeństwem i zarządzania operacyjnego zabezpieczeniami w firmie Cisco ( Cisco Security Research and Operations).
7. Należy przygotować się na nieuchronność modelu BYOD (bring-your-own-device ― przynieś własny sprzęt) „Przedsiębiorstwa muszą przestać zastanawiać się, „kiedy” przejść na model BYOD, a zacząć myśleć, „jak” to zrobić.” ― powiedział Nasrin Rezai, dyrektor ds. architektury zabezpieczeń i dyrektor ds. bezpieczeństwa w dziale rozwiązań do współpracy (Collaboration Business Group) w firmie Cisco.
8. Należy opracować plan reagowania na incydenty „Ryzyko dotyczące infrastruktury informatycznej powinno być traktowane jak wszystkie inne przypadki ryzyka biznesowego. Oznacza to, że przedsiębiorstwa muszą dysponować precyzyjnym planem szybkiego i właściwego reagowania na wszelkie próby naruszenia bezpieczeństwa, takie jak złamanie zabezpieczeń dostępu do danych w wyniku ukierunkowanego ataku, naruszenie przepisów w wyniku bezmyślności pracownika, czy też incydenty związane z atakiem hakerskim.” ― powiedział Pat Calhoun, wiceprezes firmy Cisco i dyrektor działu bezpiecznych usług sieciowych (Secure Network Services Business Unit).
9. Należy wdrożyć środki bezpieczeństwa, które pomogą zrekompensować brak kontroli nad sieciami społecznościowymi. „Nie wolno bagatelizować mechanizmów kontroli technologii, takich jak system zapobiegania włamaniom służący do ochrony przed zagrożeniami sieciowymi. Ważnym narzędziem do wykrywania podejrzanych działań i treści jest też filtrowanie na podstawie reputacji.” ― powiedział Rajneesh Chopra, dyrektor ds. rozwoju produktów w dziale technologii zabezpieczeń (Security Technology Group) firmy Cisco.
10. Należy monitorować dynamicznie zmieniające się zagrożenia dla bezpieczeństwa oraz na bieżąco informować o nich użytkowników. „Przedsiębiorstwa i ich zespoły ds. bezpieczeństwa muszą być świadome znacznego poszerzenia gamy źródeł zagrożenia ― począwszy od urządzeń mobilnych, poprzez chmurę, a skończywszy na sieciach społecznościowych i wszelkich innych nowych technologiach, które mogą się pojawić w przyszłości. Powinny w związku z tym zastosować podejście dwustopniowe: reagować na ujawnianie luk w zabezpieczeniach i jednocześnie prewencyjnie szkolić swoich pracowników, ucząc ich zasad ochrony danych osobistych i korporacyjnych przed obecnymi i potencjalnymi cyberzagrożeniami." ― powiedział Ambika Gadre, dyrektor działu technologii zabezpieczeń (Security Technology Group) firmy Cisco.

Informacje o firmie Cisco:
Cisco (NASDAQ: CSCO) jest światowym liderem w dziedzinie rozwiązań sieciowych, które zmieniają sposób, w jaki ludzie kontaktują się ze sobą, komunikują i współpracują. Więcej informacji na temat Cisco można znaleźć na stronach http://www.cisco.pli http://www.cisco.com. Polskie informacje prasowe firmy można znaleźć na stroniecisco.com.pl/prasa, natomiast centralny serwis informacyjny znajduje się pod adresem http://newsroom.cisco.com.

Dodatkowych informacji udziela:
Klaudia Mencina
Manager
Solski Burson-Marsteller
ul. Krakowskie Przedmieście 47/51
00-071 Warszawa
tel. +48 660 094 130
email: [email protected]
www: www.solskibm.pl