Stan i prognozy bezpieczeństwa

Z końcem roku 2006 liczba zgromadzonych przez 20 lat próbek kodów złośliwych wynosiła 250 tys., jednak już pod koniec roku 2007 wzrosła do ok. pół miliona, co oznacza, że w ciągu zaledwie roku powstało ich tyle samo, co przez ostatnich 20 lat.

Z końcem roku 2006 liczba zgromadzonych przez 20 lat próbek kodów złośliwych wynosiła 250 tys., jednak już pod koniec roku 2007 wzrosła do ok. pół miliona, co oznacza, że w ciągu zaledwie roku powstało ich tyle samo, co przez ostatnich 20 lat.

Wzrost głównych zagrożeń w latach 2006 - 2007

Wzrost głównych zagrożeń w latach 2006 - 2007

W roku 2007 twór-cy kodów złośliwych szybko reagowali na zmieniające się potrzeby "rynku" i popyt na konkretne informacje. Przestępcy korzystają obecnie z procedur i mechanizmów tworzenia oprogramowania podobnych do tych, jakie są stosowane przez legalnych producentów. Wykradzione dane są sprzedawane za pośrednictwem podziemnych serwisów aukcyjnych.

Według firmy Panda Software, w drugiej połowie 2007 r. średnia cena skomplikowanego trojana wahała się w granicach od 350 do 700 USD, podczas gdy lista skrzynek pocztowych, które mogą być celem takiego programu, kosztowała ok. 100 USD za milion pozycji.

Zorganizowany rynek online kodów złośliwych, to zarówno "sklepy", w których można kupić taki program, jak i "centra usługowe", gdzie istnieje możliwość zamówienia np. dystrybucji pakietów kodów złośliwych lub przeprowadzenia ataku DDoS na wskazany cel.

Czego można spodziewać się w roku 2008? Eksperci z laboratorium F-Secure oceniają, że w br. pojawi się więcej ukierunkowanych ataków pocztowych, w których technika inżynierii społecznej zostanie wzbogacona informacjami wykradzionymi z baz danych.

W ocenie firmy Symantec, rośnie wykorzystanie ataków wieloetapowych. Polegają one na dokonaniu wstępnego włamania w celu stworzenia "bazy wypadowej" dla kolejnych ataków.

Nowe możliwości, ale i nowe zagrożenia wnosi Web 2.0. Rosnąca popularność serwisów społecznościowych sprawia, że stają się one bardziej narażone na ataki. Są też dobrym celem dla napastników, ponieważ umożliwiają dostęp do dużej liczby użytkowników, spośród których wielu ma bezkrytyczne zaufanie do bezpieczeństwa witryny.

Botnety i dziurawe oprogramowanie

Jednym z bardziej wymyślnych zagrożeń są botnety. Zbiór programowych robotów znanych jako "boty" pracuje na przejętych komputerach (zombie), kontrolowanych przez infrastrukturę komunikacyjną oznaczaną skrótem C&C (Command and Control). Wartość botnetów jest proporcjonalna do liczby maszyn, które kontrolują, oraz pasma, jakim dysponują.

Początkowo botnety były kontrolowane przez pojedyncze ośrodki C&C. Obecnie większość botnetów zawiera wiele takich centrów, ukrywających się w wielu serwerach. Ich twórcy współpracują ze sobą, dzieląc się pulą botów czy serwerami C&C, w celu zwiększenia odporności na ubytki w sieci.

Stałym problemem są luki w programach. Dla ponad 3600 luk wykrytych w ostatnim roku nadal nie opracowano łatek programowych. Według raportu przygotowanego przez IBM Systems X-Force, w roku 2007 wykryto 6437 luk w oprogramowaniu, co oznacza spadek o 5,4% w porównaniu z rokiem 2006. Jednak najbardziej ryzykowne luki, związane z możliwością zdalnego lub lokalnego dostępu, zwiększyły swoją liczbę o 16,2%. Oprogramowania Microsoft, Apple, Oracle, IBM i Cisco zaliczyło 13,6% wszystkich luk, z których 20% nie połatano. Ponad 50% luk dotyczących innych rozwiązań jest do tej pory niepołatanych.

Problemy z wyciekami danych

Według danych Ponemon Institute, naruszenia bezpieczeństwa danych w roku 2007 kosztowały firmy 197 USD za rekord. Są to jednak tylko koszty bezpośrednie. Szeroko nagłośnione naruszenia danych mogą także przekładać się na utratę sposobności biznesowych i są szacowane na ok. 128 USD na rekord.

Udział procentowy luk w zabezpieczeniach

Udział procentowy luk w zabezpieczeniach

Jednym z kanałów wycieku danych jest poczta elektroniczna. Obecnie jest to powszechnie przyjęta metoda komunikowania się między różnymi organizacjami i łatwo można wyekspediować w sieć dokument zawierający wrażliwe informacje. Badania przeprowadzone przez Forrester Research ujawniły, że ok. 20% wychodzącej poczty elektronicznej zawiera informacje stwarzające ryzyko narażenia organizacji na straty finansowe lub naruszenia obowiązujących przepisów.

Kolejnym kanałem wycieku są utracone laptopy, telefony komórkowe czy pamięci USB. Większość organizacji nie dostrzega ryzyka związanego z utratą czy nośnika wymiennego. W kontekście ochrony danych różnica pomiędzy laptopem a pamięcią USB jest jedynie taka, że ta ostatnia służy przede wszystkim do przenoszenia danych.

Innym miejscem ujawniania tajemnic są firmowe blogi. Mogą być one źródłem wiedzy dla konkurencji czy nawet obcego wywiadu. Większość organizacji nie ma pomysłu jak zarządzać takimi blogami i w rezultacie często, po wpadkach, po prostu je zamyka, co zazwyczaj budzi niezadowolenie pracowników i odbija się na wizerunku firmy.

Prawdopodobieństwo kradzieży danych zwiększa się również podczas fuzji, podziałów i reorganizacji. Kiedy firma zapowiada fuzje - lub co gorsza redukcje - lojalność pracowników może być problematyczna. W czasie takich wydarzeń dochodzi bardzo często do wyprowadzania danych z firmy.

Według prognoz Gartnera, naruszenia danych z motywów finansowych mają do 2009 r. kosztować biznes więcej o 20% w skali roku.

Największe ryzyko związane jest z atakami ukierunkowanymi. Ataki typu phishing i kradzież tożsamości powodują zwiększanie się liczby ataków "uwierzytelnionych", w których napastnik wykorzystuje referencje legalnego użytkownika.

Inwestycje poczynione w systemy zapobiegania włamaniom, zarządzania słabymi punktami i kontroli dostępu do sieci w znacznej mierze się zwracają. Jednak 90% ukierunkowanych ataków można uniknąć, bez zwiększania budżetów przeznaczonych na zapewnienie bezpieczeństwa w organizacjach.

Najbardziej efektywnym sposobem zwiększania efektywności wydatków na bezpieczeństwo jest unikanie słabych punktów bezpieczeństwa poprzez wprowadzenie zasady, że bezpieczeństwo jest podstawowym wymogiem dla każdej nowej aplikacji, procesu czy produktu wprowadzanego do IT.