Stan i prognozy bezpieczeństwa
- Józef Muszyński,
- 05.05.2008
Z końcem roku 2006 liczba zgromadzonych przez 20 lat próbek kodów złośliwych wynosiła 250 tys., jednak już pod koniec roku 2007 wzrosła do ok. pół miliona, co oznacza, że w ciągu zaledwie roku powstało ich tyle samo, co przez ostatnich 20 lat.
Z końcem roku 2006 liczba zgromadzonych przez 20 lat próbek kodów złośliwych wynosiła 250 tys., jednak już pod koniec roku 2007 wzrosła do ok. pół miliona, co oznacza, że w ciągu zaledwie roku powstało ich tyle samo, co przez ostatnich 20 lat.
Według firmy Panda Software, w drugiej połowie 2007 r. średnia cena skomplikowanego trojana wahała się w granicach od 350 do 700 USD, podczas gdy lista skrzynek pocztowych, które mogą być celem takiego programu, kosztowała ok. 100 USD za milion pozycji.
Zorganizowany rynek online kodów złośliwych, to zarówno "sklepy", w których można kupić taki program, jak i "centra usługowe", gdzie istnieje możliwość zamówienia np. dystrybucji pakietów kodów złośliwych lub przeprowadzenia ataku DDoS na wskazany cel.
Czego można spodziewać się w roku 2008? Eksperci z laboratorium F-Secure oceniają, że w br. pojawi się więcej ukierunkowanych ataków pocztowych, w których technika inżynierii społecznej zostanie wzbogacona informacjami wykradzionymi z baz danych.
W ocenie firmy Symantec, rośnie wykorzystanie ataków wieloetapowych. Polegają one na dokonaniu wstępnego włamania w celu stworzenia "bazy wypadowej" dla kolejnych ataków.
Nowe możliwości, ale i nowe zagrożenia wnosi Web 2.0. Rosnąca popularność serwisów społecznościowych sprawia, że stają się one bardziej narażone na ataki. Są też dobrym celem dla napastników, ponieważ umożliwiają dostęp do dużej liczby użytkowników, spośród których wielu ma bezkrytyczne zaufanie do bezpieczeństwa witryny.
Botnety i dziurawe oprogramowanie
Jednym z bardziej wymyślnych zagrożeń są botnety. Zbiór programowych robotów znanych jako "boty" pracuje na przejętych komputerach (zombie), kontrolowanych przez infrastrukturę komunikacyjną oznaczaną skrótem C&C (Command and Control). Wartość botnetów jest proporcjonalna do liczby maszyn, które kontrolują, oraz pasma, jakim dysponują.
Początkowo botnety były kontrolowane przez pojedyncze ośrodki C&C. Obecnie większość botnetów zawiera wiele takich centrów, ukrywających się w wielu serwerach. Ich twórcy współpracują ze sobą, dzieląc się pulą botów czy serwerami C&C, w celu zwiększenia odporności na ubytki w sieci.
Stałym problemem są luki w programach. Dla ponad 3600 luk wykrytych w ostatnim roku nadal nie opracowano łatek programowych. Według raportu przygotowanego przez IBM Internet Security Systems X-Force, w roku 2007 wykryto 6437 luk w oprogramowaniu, co oznacza spadek o 5,4% w porównaniu z rokiem 2006. Jednak najbardziej ryzykowne luki, związane z możliwością zdalnego lub lokalnego dostępu, zwiększyły swoją liczbę o 16,2%. Oprogramowania Microsoft, Apple, Oracle, IBM i Cisco zaliczyło 13,6% wszystkich luk, z których 20% nie połatano. Ponad 50% luk dotyczących innych rozwiązań jest do tej pory niepołatanych.
Problemy z wyciekami danych
Według danych Ponemon Institute, naruszenia bezpieczeństwa danych w roku 2007 kosztowały firmy 197 USD za rekord. Są to jednak tylko koszty bezpośrednie. Szeroko nagłośnione naruszenia danych mogą także przekładać się na utratę sposobności biznesowych i są szacowane na ok. 128 USD na rekord.
Kolejnym kanałem wycieku są utracone laptopy, telefony komórkowe czy pamięci USB. Większość organizacji nie dostrzega ryzyka związanego z utratą laptopa czy nośnika wymiennego. W kontekście ochrony danych różnica pomiędzy laptopem a pamięcią USB jest jedynie taka, że ta ostatnia służy przede wszystkim do przenoszenia danych.
Innym miejscem ujawniania tajemnic są firmowe blogi. Mogą być one źródłem wiedzy dla konkurencji czy nawet obcego wywiadu. Większość organizacji nie ma pomysłu jak zarządzać takimi blogami i w rezultacie często, po wpadkach, po prostu je zamyka, co zazwyczaj budzi niezadowolenie pracowników i odbija się na wizerunku firmy.
Prawdopodobieństwo kradzieży danych zwiększa się również podczas fuzji, podziałów i reorganizacji. Kiedy firma zapowiada fuzje - lub co gorsza redukcje - lojalność pracowników może być problematyczna. W czasie takich wydarzeń dochodzi bardzo często do wyprowadzania danych z firmy.
Według prognoz Gartnera, naruszenia danych z motywów finansowych mają do 2009 r. kosztować biznes więcej o 20% w skali roku.
Największe ryzyko związane jest z atakami ukierunkowanymi. Ataki typu phishing i kradzież tożsamości powodują zwiększanie się liczby ataków "uwierzytelnionych", w których napastnik wykorzystuje referencje legalnego użytkownika.
Inwestycje poczynione w systemy zapobiegania włamaniom, zarządzania słabymi punktami i kontroli dostępu do sieci w znacznej mierze się zwracają. Jednak 90% ukierunkowanych ataków można uniknąć, bez zwiększania budżetów przeznaczonych na zapewnienie bezpieczeństwa w organizacjach.
Najbardziej efektywnym sposobem zwiększania efektywności wydatków na bezpieczeństwo jest unikanie słabych punktów bezpieczeństwa poprzez wprowadzenie zasady, że bezpieczeństwo jest podstawowym wymogiem dla każdej nowej aplikacji, procesu czy produktu wprowadzanego do IT.