Security

zsarolo_virus
Forrás: neovera.com
Megérkezett a Cisco évközi kiberbiztonsági jelentése

Egyre fejlettebb zsarolóvírusok és növekvő szerveroldali támadások

A Cisco jelentése (Midyear Cybersecurity Report, MCR) szerint a zsarolóvírusok teljesen új generációival kell számolni, amelyek teljes hálózatokat, egész vállalatokat és intézményeket béníthatnak meg.

A Cisco közzétette évközi kiberbiztonsági jelentését, amely rálátást ad napjaink legmeghatározóbb fenyegetettségeire és a legfontosabb védelmi teendőkre. A riport a zsarolóvírusok kapcsán kiemelten foglalkozik a támadási módszerekkel és a biztonsági résekkel. Utóbbiak közül a legfontosabbak a sérülékeny informatikai infrastruktúrák, a hálózatok nem megfelelő karbantartása és az átlagos felderítési idő hosszúsága. A jelentés másik fontos következtetése, hogy a kiberbűnözők egyre nagyobb mértékben alkalmaznak szerveroldali támadásokat, és egyre gyakrabban használnak titkosítást valódi tevékenységük álcázására.

Egyre fejlettebb zsarolóvírusok

A biztonsági kutatók szerint 2016 első félévében a zsarolóvírusok váltak minden idők legjövedelmezőbb kártékony programjaivá. A Cisco várakozásai szerint ráadásul a kedvezőtlen trendek tovább folytatódnak, és még veszélyesebb károkozók megjelenésére kell számítani, amelyek már önmagukat terjesztik, miközben teljes hálózatokat tartanak majd sakkban. A programok új generációi moduláris felépítésűek lesznek, így a hatékonyság maximalizálásának érdekében gyorsan alkalmazkodnak majd a különféle környezetekhez és biztonsági megoldásokhoz. Az új zsarolóvírusok például csökkentik a processzorok használatát és a vezérlőszerverekkel (C&C) való kommunikációt annak érdekében, hogy minél nehezebben lehessen őket detektálni.

Ács György, a Cisco regionális hálózatbiztonsági szakértője szerint a legnagyobb veszélyt jelenleg Magyarországon is a zsarolóvírusok jelentik. Nemcsak egyéni felhasználókat, de közintézményeket, például kórházakat is támadnak zsarolóvírusokkal.

Átláthatóság és gyorsabb reagálás

A Cisco évközi jelentése ezúttal is kitér a hálózatok és a végpontok átláthatóságának, illetve a fenyegetettségek felderítési idejének fontosságára. A Cisco az elmúlt fél évben 13 órára csökkentette a felderítés idejét (time to detection - TTD), szemben az iparágban átlagos 200 napos felderítési időkkel. A fenyegetések gyorsabb felderítése kulcsfontosságú a támadási felületek és a károk csökkentésének érdekében.

Globális méretű kihívás

Miközben a támadók folyamatosan fejlesztik módszereiket, a szervezetek nagy részének saját rendszereik és eszközeik folyamatos védelme is kihívást jelent. A támogatás nélküli, elavult és befoltozatlan rendszerek nagy lehetőséget jelentenek a támadóknak, akik könnyen megszerzik a behatoláshoz szükséges hozzáféréseket, láthatatlanok maradnak, és hatalmas károkat okoznak. A támadások száma az olyan kritikus iparágakban is jelentősen megnövekedett, mint például az egészségügy.

 

5 javaslat a hatékonyabb védelemhez

> 1. Javítani kell a hálózatok “tisztaságát”, amely monitorozással, megfelelő patch menedzsmenttel, szegmentációval és kellően erős hálózati védelemmel segíthető elő. Fontos szerepet kell kapniuk a következő generációs tűzfalaknak és behatolásmegelőző rendszereknek, illetve az e-mail és webes biztonsági megoldásoknak.

> 2. Integrált védelemre van szükség. A hiányzó biztonsági megoldások pótlása helyett architekturális megközelítés szükséges.

> 3. A felderítési idő mérése, amelynek célja a lehető leggyorsabb detektálási idő elérése, majd az azonnali reagálás. Fontos lenne, hogy ezek a mutatók a szervezeti biztonsági szabályozás részévé váljanak.

> 4. A folyamatos felhasználói védelem jegyében a biztonságot garantálni kell, függetlenül attól, hogy a felhasználók távolról vagy az irodában dolgoznak, és nemcsak azokra a rendszerekre kell ügyelni, amelyek közvetlenül kapcsolódnak a vállalati hálózathoz.

> 5. Az adatmentés során minden kritikus fontosságú adat biztonsági mentésére szükség van. A mentéseket rendszeresen tesztelni kell, így az incidensek kártékony hatása csökkenthető.

 

A Cisco MSR jelentésének további fontos megállapításai


Bővülő célpontok – A kiberbűnözők egyre nagyobb hangsúlyt helyeznek a szerveroldali exploitok fejlesztésére. Ez a trend különösen jól megfigyelhető volt az elmúlt félévben a Jboss szerverek esetében. A kutatók az internethez is kapcsolódó Jboss kiszolgálók 10 százalékát találták fertőzöttnek, és sok esetben többéves sérülékenységek okozták a problémákat. A kliensoldali támadások száma sem csökkent, és a legtöbb támadás továbbra is az Adobe Flash sebezhetőségeit használta ki. Az elmúlt időszakban a Windows-os exploitok váltak a legelterjedtebb webes támadási formává, miközben a Facebookra épülő csalások száma csökkenni kezdett.

Rejtett támadások – Miközben a rendszerek átláthatóságának megteremtése továbbra is kihívást jelent a biztonsági szakembereknek, addig a támadók egyre hatékonyabban rejtik el tevékenységüket. Mára általánossá vált a kiberbűnözők körében a TLS (Transport Layer Security), a Tor és a kriptovaluták alkalmazása. A malvertising kampányokban használt, HTTPS titkosított károkozók mennyisége 2015 decembere és 2015 márciusa között 300 százalékkal nőtt.

Problémás patch menedzsment – A támadók egyre gyakrabban találkoznak elavult, foltozatlan rendszerekkel, ami jelentősen megkönnyíti a dolgukat. Az automatikusan frissülő alkalmazások esetében jobb a helyzet, a Chrome böngészők 75-80 százaléka mindig naprakész. Ezzel szemben azonban a Java vagy akár a Microsoft Office esetében már korántsem ilyen kedvező a kép. A vizsgált rendszerek egyharmadán még mindig a Java SE 6-os verziója fut, az Office 2013 példányoknak pedig maximum 10 százaléka kapta meg a legújabb javítócsomagot.