Kyberútoky jako byznys – roční zisk jediné kampaně je až 34 milionů dolarů
Výsledky studie společnosti Cisco odhalily, že kyberzločinci si stále častěji budují legální a robustní IT infrastrukturu, kterou pak využívají k vlastním kyberútokům. Efektivnost jejich útoků tak roste souběžně s tím, jak se jejich metody stávají sofistikovanější. Dříve používané metody obrany i bezpečnostní strategie jsou proti pokročilým typům prakticky neúčinné. To vede k tomu, že klesá důvěra manažerů ve schopnost jejich firem ubránit se kybernetickým útokům. Jak zjistil Cisco Annual Security Report, pouze 45 % organizací na světě důvěřuje svému stávajícímu zabezpečení proti kybernetickým útokům. V porovnání s výsledky z minulých let toto číslo přitom setrvale klesá.
„Zabránit proniknutí škodlivého kódu do sítě je dnes prakticky nemožné. Bezpečností strategie musí být založena na schopnosti co nejrychleji napadení odhalit,“ konstatoval Michal Stachník, generální ředitel Cisco ČR. „Efektivní ochrana proti pokročilým typům útoků musí fungovat ještě před započetím samotného útoku, po proniknutí malwaru do sítě, pokud již útok propukne, musí být schopna ochránit zbylé části sítě, a po útoku zajistit zmapování škod a odstranění všech následků,“ doplnil Michal Stachník.
Firmy si nicméně uvědomují důležitost efektivní obrany. Podle zmínění studie je 92 % firem přesvědčeno, že investoři a regulatorní orgány očekávají, že se firmy s těmito kybernetickými hrozbami budou umět vypořádat. V éře digitální revoluce jsou firmy závislé na své IT infrastruktuře a její případný výpadek může přímo ohrozit existenci firmy na trhu. I proto je již dnes stanovení bezpečnostní politiky součástí firemní strategie a rozhodování o ní se přesouvá z IT oddělení na management společností.
Jediný útok vynese až 34 milionů dolarů
Společnosti Cisco se v loňském roce podařilo odhalit původ jednoho z nejpopulárnějších a nejnebezpečnějších exploit kitů Angler. To jí umožnilo podrobněji analyzovat jeho fungování a zpřesnit tak odhad výnosnosti současných kybernetických útoků. Ukázalo se, že jediná kampaň postavená na Angleru mohla za rok jen z vyděračských (ransomware) útoků vynést až 34 milionů dolarů. Angler byl totiž schopen napadnout až 147 serverů měsíčně a z každého provést 90 tisíc útoků. Ty byly úspěšné zhruba v desetině případů.
Ransomware útoky probíhají tak, že útočníci zablokují uživatelský počítač a za jeho opětovné zprovoznění vyžadují „výpalné“. Vzhledem k velké efektivitě Angleru bylo napadeno asi 40 % počítačů, které se připojily na nakažený server a na 62 % z nich se podařilo ransomware nainstalovat. I když výhružkám vyděračů ustoupila jen necelá tři procenta uživatelů, při průměrné platbě 300 dolarů to pro útočníky znamená více než slušný výdělek.
Zastarávající infrastruktura
Zatímco techniky kyberzločinců se stále vylepšují, nedostatečná pozornost věnovaná nastavení bezpečnostních pravidel v řadě firem zvyšuje riziko napadení. Již loňský výzkum Cisco Annual Security Report upozornil na fakt, že ani bezpečnostní specialisté nevěnují dostatečnou pozornost pravidelné instalaci záplat a modernizaci bezpečnostního vybavení. Tím útočníkům zjednodušují situaci. Výsledky letošní analýzy naznačují, že situace se zhoršuje. Ačkoli intenzita a úroveň kybernetických útoků roste, zejména malé a střední podniky používají méně nástrojů a procesů pro zabezpečení vůči hrozbám než dříve. Ve srovnání s rokem 2014 poklesl během roku 2015 počet malých a středních podniků, které používají nástroje pro zabezpečení webu o více než 10 %.
Firmy zároveň zapomínají aktualizovat síťovou infrastrukturu, ačkoli její zastarávání přímo zvyšuje riziko kybernetického útoku. Oproti roku 2015 klesl počet firem, které uváděly, že jejich bezpečnostní infrastruktura je aktuální, o desetinu. Studie zjistila, že 92 % internetových zařízení provozují organizace s vědomím, že tato zařízení obsahují slabá místa v zabezpečení. Ze všech analyzovaných zařízení celých 31 % již není podporováno ani udržováno prodejcem.
Cílem není útoku zabránit, ale odhalit ho
Velké nebezpečí se skrývá zejména v internetových prohlížečích, které se stávají nejobvyklejší cestou do uživatelských počítačů a dále do sítě. Podle údajů společnosti Cisco byly až v 85 % počítačů zahrnutých do výzkumu Annual Security Report zjištěny stopy po napadení využívajícím rozšíření nejběžnějších internetových prohlížečů. Při plánování svých útoků se dnes kyberpiráti soustředí na využití známých bezpečnostních chyb. To je jeden z důvodů, proč je pravidelná instalace aktualizací jedním z důležitých pilířů bezpečnostní strategie pro firmy i uživatele.
Pro šíření svých kampaní využívají útočníci vlastní infrastrukturu, které vypadá zdánlivě bezpečně. Například počet zneužitých WordPress domén vzrostl od února do října 2015 o 221 %. Drtivá většina útoků pak využívá nezabezpečené DNS servery. Autoři studie zjistili, že DNS protokol se stal jedním z pilířů kybernetického útoku v 92 % případů.
Změna strategie kybernetických útočníků mimo jiné znamená, že firmy o svém napadení dlouho neví. Zatímco v minulosti byly útoky obvykle dobře patrné, dnes se snaží útočníci zůstat naopak skrytí, aby zabránili detekci útoku bezpečnostními mechanismy sítě. V celé řadě firem tak může škodlivý kód existovat v síti až 200 dní, aniž by byl detekován. Právě zkrácení času, po který má útočník přístup k napadené síti, je jedním z klíčových prvků bezpečnostních strategií.
Síťová infrastruktura musí být schopna bránit kybernetickému útoku již před jeho započetím, tedy v okamžiku, kdy útočník pronikne do sítě, a pokračovat v obraně až do jeho skončení. Díky neustálému vývoji nástrojů obrany proti pokročilým hrozbám (AMP) se podařilo společnosti Cisco za poslední období snížit čas potřebný pro detekci škodlivého kódu v síti ze 46 hodin v minulém roce na současných 17,5 hodiny. Tedy asi třistakrát rychleji, než je běžné u firem, které ochranu AMP nepoužívají.
Kybernetičtí žoldáci
V éře digitální ekonomiky jsou na fungující IT infrastruktuře závislé nejen firmy, ale celé státy či veřejná správa. Na straně útočníků v kybernetické válce dnes stojí často profesionálové, které lze na útok najmout. V komerční sféře se stal kyberzločin v podstatě samostatným průmyslovým odvětvím. Tato situace ovšem může nahrávat k tomu, aby se pozornost útočníků nesoustředila jen na krádeže peněz a informací, ale například na kritickou infrastrukturu států.
V minulosti byly již zaznamenány případy zneužití kybernetických útoků vládami různých států. Vzhledem k důsledkům, jaké by mohlo mít napadení kritické infrastruktury státu, se mohou tito profesionálové snadno dostat do hledáčku teroristických organizací či diktátorských režimů a místo peněženek a bankovních účtů zacílit své útoky na ochromení běžného života a fungování veřejné správy v napadených státech.