Czy 25 lat temu Twoja firma była w sieci? Prawdopodobnie nie: niewiele było takich firm. W końcu wtedy sieć była jeszcze w powijakach – pierwsze oprogramowanie przeglądarki uruchomiono w 1993 r., a zatem tylko niewielki odsetek firm w ogóle zdawał sobie sprawę z istnienia Internetu, nie mówiąc już o potencjalnych zagrożeniach dla bezpieczeństwa. Jednak już nawet w czasie kształtowania się ogólnie dostępnego Internetu istniały pionierskie firmy, które zdawały sobie sprawę, że łączenie się ze światem może stanowić zagrożenie dla sieci i danych organizacji. Pierwsze rozwiązania antywirusowe zostały wprowadzone pod koniec lat osiemdziesiątych, a w 1994 roku pojawiła się pierwsza komercyjna zapora ogniowa wyprodukowana przez Check Point. Zapora ogniowa umożliwiła firmom oddzielenie swoich sieci i transmisji danych od Internetu oraz zabezpieczyła je przed przechwyceniem i innymi potencjalnymi zagrożeniami w Internecie – nawet jeśli faktyczne zagrożenia w dobie tworzenia się sieci były nieliczne. I wystarczy przejść o 25 lat do przodu, by krajobraz zagrożeń zmienił się nie do poznania. Według Online Trust Alliance rok 2017 był najgorszym rokiem pod względem cyberataków na całym świecie.

Liczba zgłoszonych incydentów cybernetycznych, począwszy od zakrojonych na szeroką skalę ataków z wykorzystaniem ransomware, takiego jak WannaCry czy NotPetya, aż po wycieki danych w firmach Equifax i Uber, podwoiła się w porównaniu z poprzednim rokiem. I choć jak dotąd obraz roku 2018 nie rysuje się aż tak ponuro, to jednak wciąż miało miejsce wiele poważnych, szkodliwych incydentów – takich jak ataki na British Airways, Under Armour i Ticketmaster.

Gil Shwed, CEO Check Point
Na zdjęciu Gil Shwed, Dyrektor Generalny firmy Check Point, zamykający sesję giełdową Nasdaq w USA.

Jak zatem Check Point doszedł do tego punktu? W jaki sposób krajobraz zagrożeń ewoluował tak szybko w ciągu ostatnich 25 lat? I jak rozwinęły się rozwiązania z zakresu bezpieczeństwa cybernetycznego w tym samym czasie, aby móc sprostać i przeciwdziałać tym zagrożeniom?

Przyjrzyjmy się kolejnym pokoleniom ataków i zabezpieczeń, od najwcześniejszych dni istnienia informatyki, aż po dziś.

Cybernetyczny wyścig zbrojeń

Jak zauważył Isaac Newton, „każdej akcji towarzyszy odpowiednio równa przeciwna reakcja”. Rosnąca dostępność i rozpowszechnienie komputerów osobistych w latach 80. doprowadziło bezpośrednio do opracowania najwcześniejszych narzędzi do cyberataków i stworzenia podwalin dla powstawania przyszłych zagrożeń.

Pierwszą generacją ataków były wirusy komputerowe – szkodliwe programy, które replikują się na każdym zainfekowanym przez nie urządzeniu. Mimo że sieć była jeszcze w powijakach, a wirusy mogły przenosić się z komputera na komputer jedynie za pośrednictwem dyskietek, wpływ ataków przy użyciu wirusów był na tyle destruktywny, że dał bodziec do stworzenia pierwszej generacji mechanizmów obrony cybernetycznej: komercyjnych programów antywirusowych.

Start cyberprzestępczości

Druga generacja ataków pojawiła się w latach 90., wraz z nadejściem sieci i Internetu. Ta eksplozja łączności otworzyła drogę dla cyberprzestępczości w dzisiejszym rozumieniu: kluczowym przykładem jest kradzież kwoty ponad 10 mln dolarów z Citibanku z 1994 roku. W tym samym czasie firma Check Point opracował i wprowadził pierwszą w branży zaporę ogniową stosującą filtr „stateful inspection”, która ocenia każdy pakiet danych w kontekście jego aktywnego połączenia, celem blokowania transmisji niechcianych lub złośliwych danych.

Połączenie zapór ogniowych typu stateful i oprogramowania antywirusowego stało się niezbędne dla ochrony firm, ponieważ zaczęły one łączyć swoje wewnętrzne sieci z Internetem. Jest to także podstawa dzisiejszej infrastruktury bezpieczeństwa korporacyjnego.

Gwałtowny wzrost liczby exploitów

Kolejna generacja zabezpieczeń cybernetycznych powstała na początku XXI wieku, kiedy to atakujący nauczyli się wykorzystywać luki we wszystkich komponentach infrastruktury informatycznej. Luki te szybko pojawiały się w systemach operacyjnych, sprzęcie i aplikacjach. Przykładem ataków był robak SQL Slammer, który zaatakował luki w zabezpieczeniach oprogramowania Microsoft SQL Serwer i MSDE, i stał się najszybciej rozprzestrzeniającym się robakiem w dziejach. Atakujący stali się bardziej zorganizowani i wyrafinowani oraz zainteresowani zdobywaniem pieniędzy z wykorzystaniem nielegalnych środków. Masowe rozpowszechnienie poczty elektronicznej dało przestępcom także nowe możliwości socjotechniczne, ułatwiające przeprowadzanie ataków na skalę organizacji i państw.

W epoce tej nastąpił także boom technologii i usług, co z kolei doprowadziło do gwałtownego wzrostu liczby dostawców usług i produktów związanych z bezpieczeństwem. Ponieważ każdy nowy produkt bezpieczeństwa posiadał własny interfejs użytkownika i konsolę zarządzania, rozszerzyło to zakres obowiązków informatyków i zespołów ds. bezpieczeństwa, tym samym zwiększając złożoność systemu zabezpieczeń i powodując brak skuteczności. Co ważniejsze, ochrona zapewniana przez infrastrukturę bezpieczeństwa w firmach przestała nadążać za prędkością, z jaką ataki usprawniano pod względem zaawansowania i skuteczności.

Ataki wyprzedzają zabezpieczenia bazujące tylko na wykrywaniu zagrożeń

W roku 2010 ataki osiągnęły nowy poziom zaawansowania, ponieważ ludzie za nimi stojący stali się wysoce zorganizowani i profesjonalni. Ataki te trafiły na nagłówki najważniejszych mediów ze względu na ich duży wpływ na ogół społeczeństwa, wpływając również na decyzje zarządów firm i skutkując dochodzeniami prowadzonymi przez rządy państw na całym świecie. Przykłady takich ataków obejmują masowy wyciek danych amerykańskiej sieci handlowej Target, stanowiący zagrożenie dla 40 milionów kart kredytowych klientów i prywatnych danych blisko 110 milionów osób.

Zagrożenia dla firm
Cyberprzestępcy stali się coraz bardziej śmiali. Zaczęli opracowywać specjlalistyczne wirusy.

Złośliwe oprogramowanie było ukryte we wszystkim, począwszy od fałszywych dokumentów biznesowych aż po pliki obrazów. Jedyne co musiał zrobić użytkownik, to nieumyślne otwarcie załącznika do wiadomości e-mail, pobranie pliku z Internetu lub podłączenie USB do laptopa, aby atak został po cichu uruchomiony.

Ataki czwartej generacji oznaczały, że zabezpieczenia bazujące na wykrywaniu zagrożeń nie wystarczały już do ochrony organizacji. Produkty przeznaczone tylko do wykrywania zagrożeń rozpoznają jedynie znane sygnatury ataków i są tworzone dopiero po wykryciu i przeanalizowaniu ataku. W związku z tym firmy mogą być narażone przez wiele dni, tygodni lub nawet miesięcy, zanim dostępna stanie się aktualizacja – przy czym atak może w ciągu kilku minut spowodować poważne szkody dla firmy. Ponieważ nowe i bardziej zaawansowane złośliwe oprogramowanie (pozbawione sygnatur możliwych do wykrywania) wykraczało poza możliwości zabezpieczeń opartych na sygnaturach, dla potrzeb obrony przed programami mającymi na celu wykorzystanie błędów w oprogramowaniu, zanim producent opublikuje poprawki (ang. zero-day exploits), opracowano nowe technologie, takie jak tzw. piaskownica (ang. sandbox). Tym samym pojawiły się kolejne rozwiązania dla środowisk korporacyjnych, jeszcze bardziej komplikując ich infrastrukturę bezpieczeństwa.

Zapobieganie dzisiejszym dużym atakom

Obecna, piąta generacja ataków pojawiła się z początkiem 2017 roku. Dostępność wyrafinowanych i zaawansowanych narzędzi hackerskich doprowadziła do potężnych, wielowektorowych akcji cybernetycznych, które generowały przychody dla przestępców i powodowały poważne straty finansowe i utratę reputacji marek. Współczesne złośliwe oprogramowanie może przeniknąć do praktycznie każdej części infrastruktury informatycznej i rozprzestrzenić się w niej, w tym w lokalnych sieciach, w chmurze obliczeniowej, zdalnych biurach, urządzeniach mobilnych itd. Przykładem może być atak przy użyciu oprogramowania WannaCry, który dotyczył 300 000 komputerów w 150 krajach oraz NotPetya, który spowodował straty w wysokości 300 milionów dolarów dla zaatakowanych firm.

Check Point Next Gen Protection
Ataki cybernetyczne zaczęły być przeprowadzane ukradkiem i stały się trudne do zidentyfikowania dla pracowników organizacji.

Ataki te następują z niespotykaną szybkością, powodując ogromne uciążliwości i szkody, i bez trudu radzą sobie z wcześniejszymi generacjami niezintegrowanych technologii, które służą jedynie do wykrywania zagrożeń – właśnie dlatego nadal powodują tak ogromny zamęt na całym świecie.

Ochrona przed atakami 5. generacji

Raport Bezpieczeństwa Check Point z 2018 roku (2018 Security Report) pokazuje, że 97% organizacji stosuje oprogramowanie antywirusowe dla ochrony swoich systemów i zapory chroniące ich sieci, co chroni przed zagrożeniami drugiej i trzeciej generacji. Jednak tylko 21% respondentów używa piaskownicy i rozwiązań przeciwko botom, chroniących przed zaawansowanymi zagrożeniami czwartej generacji. I zaledwie 3% twierdzi, że korzysta z aktywnych funkcji zapobiegania zagrożeniom z zabezpieczeniami w warstwach chmury oraz zabezpieczeniami mobilnymi, będące jedynymi zabezpieczeniami, jakie mogą zapobiec dzisiejszym atakom piątej generacji.

Ze względu na szybkość, z jaką ataki te mogą się rozprzestrzeniać, nie wolno czekać z reakcją na zagrożenie do momentu, gdy zostaną złamane zabezpieczenia. Zamiast tego trzeba zapobiegać atakom i blokować je w czasie rzeczywistym. W związku z tym firmy muszą odejść od dotychczasowych, niezintegrowanych zabezpieczeń na rzecz skonsolidowanej infrastruktury, która zapewnia zaawansowaną ochronę przed zagrożeniami w całej infrastrukturze IT, posiadającej centralny panel zarządzania dla potrzeb administrowania, monitorowania i reagowania.

Taka zintegrowana architektura zapewnia ochronę w czasie rzeczywistym przed znanymi i nieznanymi zagrożeniami, wykorzystując zaawansowane zapobieganie zagrożeniom i technologie „zero-day”. Wykorzystuje automatyczne udostępnianie informacji o zagrożeniach we wszystkich sieciach, punktach końcowych, w chmurze i urządzeniach mobilnych, pozwalając na uszczelnienie wszelkich luk w sieci organizacji. Ta zdolność do uszczelniania luk ma kluczowe znaczenie, ponieważ cyberataki są w coraz większym stopniu zautomatyzowane, wykorzystując boty, które skanują sieci organizacji i znajdują najsłabsze miejsca. Aby temu przeciwdziałać, trzeba stosować sztuczną inteligencję i modele uczenia maszynowego, które rozpoznają szybko zmieniające się wzorce ataków i automatyzują reakcje.

Ewolucja zarówno cyberataków, jak i cyberbezpieczeństwa w ciągu ostatnich 25 lat następowała niezwykle szybko i wciąż przyspiesza. Kiedy zakładałem Check Point, nie mogłem przewidzieć, jak niezwykle połączony będzie dzisiejszy świat i jakie rodzaje zagrożeń cybernetycznych będą przed nami stały. Ciągłym wyzwaniem jest opracowywanie nowych sposobów ochrony przed tymi zagrożeniami. Jedno jest pewne: następna generacja ataków będzie jeszcze bardziej inteligentna niż te, z którymi mamy do czynienia obecnie, zatem musimy zadbać o to, aby również następna generacja mechanizmów obronnych była jeszcze bardziej inteligentna, pozwalając zadbać o bezpieczeństwo naszej przyszłości.

- powiedział Gil Shwed, Dyrektor Generalny firmy Check Point

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz