Batalia impotriva atacurilor cibernetice se inteteste

 
Acest raport trimestrial se concentreaza pe 3 indicatori cheie: exploituri, malware si botneti. Primii doi furnizeaza o imagine de ansamblu asupra incercarilor de a identifica si compromite sisteme vulnerabile. Cel de-al treilea, botnetii, furnizeaza informatii legate de fisierele malware care reusesc sa patrunda in retea si modul in care acestea trimit informatii inapoi la atacator.
Combinate, acesti trei indicatori furnizeaza informatii legate de valoare atacurilor cibernetice si tehnicile si tehnologiile pe care s-au bazat acestea. La randul lor, aceste informatii pot ajuta organizatiile sa isi planifice mai bine masurile de precautie si de securitate.

Exploiturile

Orice exploit poate fi urmarit pana la ziua zero, momentul in care a fost ceat pentru a exploata o vulnerabilitate proaspat descoperita. Pe masura ce un exploit se doveste de succes, imediat apar diverse forme modificate ale acestuia care graviteaza in jurul respectivelor vulnerabilitati.
Pentru inceput, Fortinet a format o echipa de analisti si cercetatori care a avut responsabilitatea de a examina aplicatii si produse provenite de la producatori terti si de a gasi la acestea puncte clabe si vulnerabilitati inca neexploatate. Echipa de cercetare de la FortiGuard Labs a identificat in 2017 si a raportat un numar de 185 vulnerabilitati zero-day.
Acest tip de abordare este esentiala, pentru ca atunci cand ne referim la atacurile cibernetice intotdeauna se confirma doua adevaruri: 1. Intotdeauna cineva va fi capabil sa identifice o vulnerabilitate care poate fi exploatata (de aceea, Fortinet va comunica producatorilor care sunt descoperirile sale in materie de zero-day, asa incat acestia sa poata produce patch-urile necesare) si 1. In ciuda faptului ca producatorii lanseaza patch-uri de securitate, cele mai multe organizatii nu reusesc sa se protejeze impotriva acestor vulnerabilitati (tocmai de aceea, Fortinet produce update-uri de semnaturi IPS asa incat, in cazul in care un atacator descopera respectivele vulnerabilitati si lanseaza un atac de tip zero-day, clientii sa fie deja protejati).
In materie de exploituri, 79% din organizatiile monitorizate s-au confruntat cu atacuri severe attacks in trimestrul al treilea din 2017, cu o medie de 153 de atacuri / companie. Cel mai serios exploit al aacestui trimestru a vizat vulnerabilitatea Apache.Struts, si a fost inregistrat de 35% dintre organizatiile monitorizate. Cea mai critica situatie cauzata de acest exploit a fost inregistrata la biroul de credite Equifax, pe 7 septembrie, cand atacatorii au reusit sa puna mana pe aproximativ 145 de milioane de inregistrari.

Malware

Ca si in cazul exploiturilor, analiza fisierelor malware ne ajuta sa identificam intentia atacatorului cat si abilitatile sale. Pe parcursul trimestrului 3/2017, echipa FortiGuard Labs a detectat aproape 15,000 de variante unice de malware provenite din 2,600 de familii diferite, care desi indica o ameliorare fata de Q2, reprezinta totusi o varietate uriasa de modalitati de a compromite o retea. Din numarul total al organizatiilor analizate, 22% au raportat incercari de infectare in sistem cu fisiere ransomware, in care familia ransomware Locky pare sa revina in top dupa o vara de relativ calm, cu trei variante noi: Diablo6, Lukitus si Ykcol.
In plus, 25% dintre organizatii au detectat atacuri malware directionate catre dispozitivele mobile, in crestere fata de 18% in Q2. Acesta este un indicator evident al faptului ca atacurile cibernetice incearca noi modalitati sa se infiltreze in retea, folosindu-se de dispozitivele mobile care nu au acelasi nivel de control, vizibilitate si protectie de care se bucura elementele din sistemele traditionale. O strategie eficienta de securitate mobila va trebui sa tina cont de aceasta realitate, consolind si extinzand parghiile de control si securitate aplicate in retea catre echipamentele si dispozitivele mobile.
Cea mai populara functionalitate prezenta la familiile de malware de top consta in capacitatea de a arunca fisierul malware in sistemele vulnerabile. Aceasta tehnica permite sarcinilor malitioase sa se infiltreze in dinamica proceselor curente si sa penetreze straturile de aparare. Odata instalate, cele mai multe dintre malware vor incerca sa efectueze conexiuni cu acces remote, sa capteze informatii de la utilizaor, sa stranga date din sistem, demonstrand un nivel superior de inteligenta si automatizare.
Faptul ca exista atat de multe variante si tipuri de atac ar trebui sa ne ajute sa constienizam ca o simpla solutie AV nu poate compensa lipsa unei strategii de securitate. Este esential ca echipele de specialisti IT din companii sa integreze straturi suplimentare de aparare impotriva malware, care sa aiba capacitatea de a detecta amenintari cunoscute sau inca neidentificate.

Botneti

In vreme ce analiza exploiturilor si a atacurilor malware se refera la eforturile atacatorilor de a compromte un dispozitiv sau o retea, bonetii furnizeaza date relevante post-event.
Dupa ce o retea a fost compromisa, botnetii stabilesc legatura cu sursa de atac, comunicand instructiuni sau update-uri de informatii sau trimitand datele furate. Detectarea si controlul traficului intr-un mediu corporate va indica cu certitudine o neregula, o abatere din perspectiva apararii, inca din fazele initiale ale atacului. Desigur, astfel de evenimente de securitate sunt inevitabile, de vreme ce nu exista sistem 100% sigur. Tocmai de aceea este extrem de important ca o strategie de securitate sa cuprinda toate fazele unui atac.  Pentru a putea stopa un atac inca din fazele initiale.
In trimestrul 3, s-au inregistrat aproximativ 2 boneti per organizatie, detectati in interiorul retelelor, iar 3% din organizatii s-au confruntat cu 10 sau mai multe infectii ale sistemului.
In mod surprinzator, in vreme ce activitatea generala a bonetilor a inregistrat o ameliorare in trimestrul 3/2017, cei mai activi boneti (Gh0st, Pushdo, Andromeda, Necurs, Conficker) au ramas tot cei care au s-au marcat si in trimestrul 2.
Din activitatea bonetilor, cele mai interesante sunt: 75% din organizatii care au raportat infectare cu Gh0st in lun iulie, au repetat istoria si in luna august, iar 70% din acestea si in luna septembrie. Prima explicatie a acestei situatii ar putea fi faptul ca, desi organizatiile sunt preocupate sa raspunda rapid simptomelor in urma unei infectari, multe dintre acestea se interseaza prea putin sa inteleaga sfera de actiune a unei brese sau cauta un raspuns complet la incidentele de securitate. Pentru a evita repetabilitatea indicentelor, organizatiile ar trebui sa intocmeasca un plan cu pasii de urmat, asa incat sa nu se sara peste etape esentiale. O alta explicatie ar putea fi concentrarea exclusiva pe remedierea sietemelor, fara a se mai aloca resurse pentru indentificarea cauzelor.
Ca o concluzie, peisajul amenintarilor de securitate castiga teren prin inteligenta si automatizare, iar pentru a face fata acestei confruntari, organizatiile – la randul lor – vor trebui sa raspunda intr-o maniera similara. Timpul de la patrunderea in sistem pana la compromiterea acestuia sau a datelor din acesta va fi cat de curand masurat in milisecunde. Ca atare, este imperativ ca organizatiile sa-si automzatizeze masurile elementare de securitate, precum patch-ingul, consolidarea sistemelor si implementarea autentificari bazate pe minim doi factori.
Comunicarea completa legata de raportul si concluziile echipei de specialisti de la FortiGuard Labs o gasiti pe pagina producatorului.