Mediarecovery wspólnie z amerykańską firmą NetWitness proponują nowe podejście do kwestii bezpieczeństwa IT w polskich firmach i instytucjach. Coraz większą grupę cyberataków przygotowuje się indywidualnie pod kątem konkretnej organizacji. W związku z tym należy odejść od tradycyjnie pojmowanego bezpieczeństwa. Zasady oparte na kontroli dostępu, bazach sygnatur, zasad i restrykcji już nie wystarczają.

Technologie informatyczne są najszybciej na świecie rozwijającą się gałęzią gospodarki. Ich postęp w kontekście innych aspektów rozwoju cywilizacyjnego osiąga prędkości kosmiczne. Dotyczy to niestety również cyberzagrożeń.

Jasna i ciemna strona mocy

Zapewnienie bezpieczeństwa IT oraz znajdowanie nowych sposób na obejście zabezpieczeń to ciągły wyścig. Dotychczasowa taktyka przyjęta przez firmy stojące po „jasnej stronie mocy” polegała na reakcji na pojawiające się nowe zagrożenia. Zatem to cyberprzestępcy byli zawsze krok do przodu.

„Większość firm i instytucji spogląda na bezpieczeństwo poprzez firewalle, antywirusy, systemy IDS/IPS, kontroli zawartości itp. zasadach” – mów Zbigniew Engiel z laboratorium informatyki śledczej Mediarecovery – „Nie odpowiadają one poziomowi zaawansowania współczesnych cyberzagrożeń” – dodaje.

Współczesne cyberzagrożenia

Obecnie prawdziwą plagą w USA i Europie Zachodniej są indywidualnie przygotowywane ataki pod kątem konkretnych organizacji. Część z nich nie bazuje jednak na wysokim stopniu zaawansowania, wykorzystując po prostu nowe sposoby ataku. W konfrontacji z nimi zupełnie nie skuteczne są programy antywirusowe, IDS/IPS czy firewalle. Wszystkie bowiem bazują na zamkniętej bazie ustawień i nie są w stanie zareagować na nieznane zagrożenia. Dodatkowo generują z siebie ogromne ilości alertów, które zazwyczaj nie są analizowane bo to zajęcie wymagałoby całej armii specjalistów. Są jednak sposoby by uczynić ten proces bardziej efektywnym. Jak może wyglądać analiza ruchu sieciowego prezentuje amatorskie nagranie z konferencji Black Hat w 2010 roku: http://www.youtube.com/watch?v=eOGcHIXiifs

„Oczywiście wspomniane wyżej rozwiązania są niezbędne w infrastrukturze IT, nikt nie namawia do ich usunięcia, jednak ich funkcjonalność nie zapewnia już odpowiedniego poziomu bezpieczeństwa” – twierdzi Engiel.

196 państw ofiarą jednego Trojana, Polska na 7 miejscu

Dobrym przykładem jest botnet Zeus w swojej mutacji Kneber. Z raportu NetWitness wynika, iż wskazany trojan tygodniami infekował komputery zarówno instytucji państwowych, jak i firm w 196 krajach na świecie nie będąc wykrytym. Udało mu się zainfekować 72 126 serwerów. Jak twierdzą specjaliści NetWitness skuteczność trojana była tak wysoka ponieważ dla wszystkich tradycyjnych urządzeń i systemów był czymś nieznanym i swoją charakterystyką wymykał się nawet zaawansowanej heurystyce.

Co ciekawe aż 7% wszystkich infekcji dotknęło polskie firmy i instytucje. Oznacza to, iż 5048 naszych serwerów pracowało na usługach botnetu Zeus. Potwierdza to jedynie, że w dobie globalnej sieci polskie firmy i instytucje są narażone na takie same zagrożenia, jak ich odpowiedniki w innych miejscach świata.

Nowe metody obrony

Dlatego też specjaliści z laboratorium informatyki śledczej Mediarecovery widzą ochronę przez pryzmat platform bezpieczeństwa działających na innych zasadach niż do tej pory. „Można zamknąć je w trzech krokach: podejrzyj, przejrzyj, działaj” – mówi Zbigniew Engiel.

Budując infrastrukturę bezpieczeństwa IT w firmie, warto wziąć pod uwagę prawdopodobieństwo wystąpienia nowego, nieznanego incydentu, a co za tym idzie uzbroić się w odpowiednie środki obrony. Jak wynika z badań Mediarecovery przeprowadzanych regularnie od 2007 roku, aż 70% firm spotyka się z przypadkami cyberzagrożeń z zewnątrz. Pozostaje jedynie pytanie ile takich przypadków pozostało niewykrytych.