RAPORTUL CISCO DE SECURITATE PENTRU SEMESTRUL I/2015:  "Nu există pârghii pentru gestionarea ameninţărilor de securitate sau a provocărilor geopolitice"

Organizaţiile trebuie să reducă timpul de detecţie a ameninţărilor de securitate de la câteva luni la doar câteva ore, pentru a putea remedia eficient atacurile sofisticate, relevă Cisco 2015 Midyear Security Report, ce oferă informaţii legate de cele mai recente atacuri cibernetice, dar şi tendinţele din domeniu.

John N. Stewart, vicepreşedinte senior şi Chief Security Officer la Cisco, a declarat: "Organizaţiile nu pot accepta compromisurile în materie de securitate ca fiind inevitabile, chiar dacă uneori aşa pare. Industria trebuie să furnizeze produse şi servicii eficiente pentru detectarea ameninţărilor, prevenirea lor sau refacerea după un atac. În mod curent, auzim faptul că strategia de business şi strategia de securitate sunt prioritare pentru clienţii noştri şi că aceştia îşi doresc parteneriate cu noi, bazate pe încredere. Acest aspect este în strânsă legătură cu securitatea, iar transparenţa este esenţială, astfel că tehnologia de vârf reprezintă doar jumătate din soluţie".

Potrivit specialiştilor Cisco, organizaţiile întâmpină provocări majore dacă se rezumă la soluţii punctuale de securitate, motiv pentru care trebuie să ia în calcul folosirea de arhitecturi dedicate care să integreze securitatea la toate nivelurile. Pe măsură ce industria de securitate devine tot mai fragmentată, ameninţările sunt tot mai dinamice, potrivit Cisco, iar companiile trebuie să facă faţă şi unei lipse a resurselor umane bine pregătite în domeniu, dar trebuie să investească şi în soluţii şi servicii de securitate eficiente şi de încredere.

Raportul Cisco mai precizează: "Deocamdată nu există pârghii la nivel global pentru gestionarea ameninţărilor la scară largă sau a provocărilor geopolitice. Problema graniţelor - cum colectează administraţiile guvernamentale datele despre cetăţeni şi afaceri şi le partajează între jurisdicţii - constituie o barieră importantă în obţinerea unei coeziuni la nivel global în condiţiile în care cooperarea este limitată. Un cadru colaborativ, extins, cu mai mulţi participanţi este necesar pentru a susţine inovaţia în business şi creşterea economică la nivel global".

Angler Exploit Kit reprezintă o colecţie de ameninţări comune, cu incidenţă mare în economia digitală. În 2015, Angler s-a dovedit a fi kitul de exploatare cel mai sofisticat şi cu cel mai ridicat nivel de eficienţă, de două ori mai eficient decât ameninţările apărute în 2014.

Riscuri noi asociate cu Flash, evoluţia virusului ransomware şi campania de malware Dridex readuc în atenţia companiilor nevoia reducerii timpului necesar detectării ameninţărilor de securitate. În contextul digitizării şi al IoE (n.r. The Internet of Everything - internetul lucrurilor), ameninţările de tip malware se răspândesc cu o şi mai mare rapiditate, ceea ce ridică întrebări în privinţa eficienţei unor soluţii care au nevoie de 100 până la 200 de zile pentru a le detecta. Pentru soluţia Cisco Advanced Malware Protection (AMP), timpul mediu necesar detectării ameninţărilor, inclusiv analiza retrospectivă a celor care au trecut de barierele de securitate, este de 46 de ore.

Studiul subliniază, de asemenea, importanţa pe care trebuie sa o dea companiile implementării soluţiilor integrate şi nu a celor punctuale, de a apela la vendori de încredere şi la furnizori recunoscuţi de servicii de securitate pentru consiliere şi evaluare. Totodată, experţii geopolitici vorbesc de implementarea unui cadru general de guvernare în domeniul securităţii la nivel global, care să susţină creşterea economică.

Angler este, potrivit raportului Cisco, unul dintre cele mai sofisticate şi larg răspândite kit-uri de exploatare ca urmare a modului inovator în care se foloseşte de vulnerabilităţi ale Flash, Java, Internet Explorer sau Silverlight.

Raportul Cisco arată că, în medie, 40% dintre utilizatorii care ajung pe un site infectat cu Angler sunt compromişi. Acest lucru înseamnă că acest kit poate identifica o vulnerabilitate în Flash pe care o poate exploata. Apoi descarcă acel conţinut pe calculator. Prin comparaţie, în anii precedenţi, alte kituri utilizate pe scară largă aveau o rată medie de succes de doar 20%. O altă modalitate de a contracara detecţia este crearea unei copii a domeniului prin furtul datelor de înregistrare (domain shadowing).

Raportul mai precizează că exploatările de vulnerabilităţi din Adobe Flash integrate în kit-urile Angler şi Nuclear sunt în creştere. Aceasta se datorează patching-ului automat, dar şi consumatorilor care nu fac update-uri de securitate imediat ce aceastea apar. În prima jumătate a anului s-a înregistrat o creştere cu 66% a numărului de vulnerabilităţi înregistrate pentru Adobe Flash Player, comparativ cu 2014, potrivit sistemului Common Vulnerabilities and Exposure (CVE). Cu un astfel de ritm de creştere, Flash este pe punctul de a stabili un nou record ca număr de CVE raportate în 2015.

Ransomware este un virus extrem de productiv pentru hackeri, pe măsură ce lansează noi şi noi versiuni, mai precizează raportul Cisco. Ţinteşte date şi nu sisteme, criptează fişierele utilizatorilor - orice, de la date financiare, la poze de familie - şi furnizează cheile de decriptare doar după ce utilizatorul plăteşte o "răscumpărare". Operaţiunile de răscumpărare au ajuns la un asemenea nivel de sofisticare încât sunt complet automatizate. Pentru a ascunde tranzacţiile de sistemele de verificare, răscumpărările se plătesc în monede virtuale precum bitcoin. Utilizatorii se pot proteja de astfel de atacuri facând backup fişierelor celor mai importante şi păstrându-le intr-un mod adecvat.

Dridex, această nouă abordare de combinare a macro-urilor Microsoft Office şi Dridex, a captat atenţia hackerilor în prima jumătate a lui 2015. Creatorii campaniilor Trojan folosesc produse din generaţiile anterioare, cum ar fi macro-urile din Microsoft Office. Populare cu ani în urmă, aceste macro-uri nu mai sunt în prezent la fel de "atrăgătoare", fiind închise automat. Totuşi, folosind tehnici de inginerie socială, utilizatorii pot fi păcăliţi să le pornească. Campaniile de spam cu Dridex tind să aibă o durată foarte mică, de doar cîteva ore, astfel că sunt greu de detectat de către antiviruşi.