12 godzin, aby złamać każdy system

0

Mimo stosowanych przez firmy zabezpieczeń, systemy informatyczne są pełne luk i bardzo łatwo je złamać. Aż 88% tzw. etycznych hakerów ankietowanych przez firmę Nuix przyznaje, że w ich dotychczasowej karierze nie było systemu teleinformatycznego, z którym trzeba było walczyć dłużej niż 12 godzin.

Co więcej, 69% z nich przyznaje, że w przypadku włamań dokonywanych incognito ślady ich działania nigdy nie zostały zauważone przez ekspertów ds. cyberbezpieczeństwa zatrudnionych w sprawdzanych firmach.

Białe kapelusze
Powyższe statystyki to dwa z najciekawszych wniosków zawartych w przygotowanym przez firmę Nuix opracowaniu „The Black Report 2017”. I bardzo wiarygodne, bo jej reprezentanci postanowili przeprowadzić ankietę wśród  specjalistów IT sprawdzających zabezpieczenia informatyczne w firmach. W trakcie takich wydarzeń, jak Black Hat USA czy DEFCON, pytano ich o osobiste doświadczenia związane z ich wieloletnią aktywnością jako „białych kapeluszy”, jak czasem określa się etycznych hackerów.

Eksperci ze wspomnianej firmy, dostarczającej narzędzia i rozwiązania wspierające tworzenie odpowiedzialnych polityk bezpieczeństwa informacji, słusznie zwrócili uwagę na fakt, że większość analogicznych raportów bazuje na obserwacjach i sugestiach menadżerów szczebla C czy członków rad nadzorczych. To sprawia, że  zawarte w nich informacje często bywają stronnicze i odległe od rzeczywistego stanu bezpieczeństwa firmowych danych. Poszukując rozwiązania, postanowili więc z pytaniami dotrzeć do samego źródła, a więc w tym przypadku bezpośrednio do ekspertów na co dzień zajmujących się detekcją luk i braków w sprzęcie i oprogramowaniu, które tworzą złożoną infrastrukturę IT przedsiębiorstwa.

– Analiza bazuje na doświadczeniach tzw. hakerów w białych kapeluszach (pentesterów), czyli cyberaktywistów mających umiejętności i know-how analogiczne do tych, jakimi dysponują cyberprzestępcy, jednak w odróżnieniu od nich wykorzystujących tę wiedzę do uświadamiania firmom i instytucjom zagrożeń związanych z lukami i brakami w zabezpieczeniach ich systemów IT. Zdecydowana większość z nich przyznała, że odnalezienie furtki umożliwiającej im uzyskanie dostępu do wrażliwych firmowych danych jest kwestią mniej niż 12 godzin. Jednocześnie połowa respondentów nie kryła, że w przypadku każdej kontrolnie atakowanej firmy stosuje zupełnie inną strategię działania, w tym często korzysta z socjotechniki – zwraca uwagę Ewelina Hryszkiewicz z Atmana, lidera polskiego rynku data center i operatora telekomunikacyjnego oferującego także rozwiązania z zakresu bezpieczeństwa sieciowego.

Luki kryją się wszędzie
Rezultat badania dowodzi jednoznacznie, że systemy IT, na których przedsiębiorstwa w zdecydowanej większości opierają wszystkie swoje operacje biznesowe, łącznie z przetwarzaniem dużych zbiorów wrażliwych i krytycznych danych, mają wiele luk, które mogą zostać wykorzystane przez cyberprzestępców do przeprowadzenia ataku. Jego celem może być zarówno kradzież danych i ich sprzedaż na internetowym czarnym rynku, jak i blokada dostępu do kluczowych plików i baz danych powiązana z żądaniem wysokiego okupu za jego przywrócenie.

Nuix nie jest jedyną firmą, która zwraca uwagę na niski poziom zabezpieczeń. Eksperci z Check Point Software Technologies w ubiegłorocznym badaniu dowiedli, że aż 92% przeanalizowanych przez nich urządzeń podłączonych do sieci jest podatnych na cyberataki. Nie bez powodu słynne oprogramowanie wynajdujące luki w oprogramowaniu – Angler Exploit Kit – atakowało dziennie aż 90 tysięcy celów w 2016 roku. Na odbywającej się w maju konferencji CPX Milan, specjaliści z Check Point poinformowali, że zgodnie z ich prognozami infekcji wywoływanych exploit kitami ma być jeszcze więcej. Biorąc pod uwagę zasięg i skalę szkód wywołanych atakiem ransomware WannaCry, który dotknął ponad 200 000 użytkowników sieci w ponad 150 krajach, trudno kwestionować te przewidywania.

– Zgodnie z analizami Deloitte duże firmy zatrudniające ponad 100 osób mają średnio od 150 do 200 furtek, którymi cyberprzestępcy mogą obejść zabezpieczenia. Te tworzą się w dużej mierze wskutek nieaktualizowanego oprogramowania i starzejącej się infrastruktury sprzętowej. W tej sytuacji normą powinno być regularne sprawdzanie odporności firmowych zabezpieczeń na cyberataki. Najskuteczniejszym narzędziem są tzw. testy penetracyjne, służące do identyfikacji słabych punktów i wskazania adekwatnych środków naprawczych – przekonuje Ewelina Hryszkiewicz z Atmana. Zwraca ona jednak uwagę, że warto szczegółowo przeanalizować doświadczenie i referencje partnera, któremu zamierzamy zlecić tego typu operację, gdyż pentester otrzymuje tym samym dostęp do wrażliwych informacji i systemów wewnętrznych przedsiębiorstwa.

Niekonsekwentny biznes?
Trzeba podkreślić, że samo przeprowadzenie tego typu testu nie oznacza automatycznej poprawy poziomu odporności na cyberataki. Kolejnym krokiem powinno być wdrożenie zaleceń rekomendowanych w raporcie powstałym po przeprowadzeniu penstestu. Według autorów „The Black Report 2017” nie jest to jednak oczywiste – 75% ankietowanych pentesterów stwierdziło, że firmy nawet po otrzymaniu szczegółowych sugestii uszczelnienia swojej infrastruktury wdrażają jedynie śladowe i niewystarczające zmiany, a 64% z nich nie kryło swojej frustracji. Powód? Trudno im zaakceptować fakt, że choć przedsiębiorstwa wiedzą, jaki jest stan bezpieczeństwa ich systemów, nie podejmują żadnych działań zmierzających do jego poprawy.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ