Według najnowszego raportu Cisco Annual Cybersecurity Report, ponad jedna trzecia firm, których zabezpieczenia zostały naruszone w 2016 roku, odnotowała straty w ważnych obszarach (możliwości biznesowe, klienci, obroty), sięgające powyżej 20%. Ponadto okazuje się, że powróciły klasyczne metody ataków na systemy IT.
Duże straty spowodowane atakami skłoniły 90% zaatakowanych firm do modernizacji procesów biznesowych i wdrożenie nowych technologii bezpieczeństwa przez separację funkcji związanych z utrzymywaniem systemu IT i zapewnianiem jego bezpieczeństwa (38%), zwiększenie liczby szkoleń z zakresu bezpieczeństwa wśród pracowników firmy (38%) oraz wdrożenie narzędzi i technik ograniczających ryzyko zagrożeń (37%).
Osoby odpowiedzialne za bezpieczeństwo wciąż podkreślają, że największymi barierami w zwiększeniu poziomu bezpieczeństwa są: ograniczony budżet, problemy z kompatybilnością systemów, brak odpowiednio wykwalifikowanej kadry.
Innym ważnym problemem jest rosnący poziom złożoności systemów bezpieczeństwa. 65% ankietowanych firm przyznaje, że wykorzystuje od 6 do ponad 50 różnych produktów zapewniających bezpieczeństwo, co zwiększa potencjalne ryzyko pojawienia się luk w efektywności systemów zabezpieczeń.
Jak wynika z danych przedstawionych w raporcie Cisco ACR, cyberprzestępcy powrócili do klasycznych metod ataków wykorzystujących takie mechanizmy jak adware lub spam – w tym ostatnim przypadku na poziomie niespotykanym od 2010 roku.
Spam ma obecnie 65-procentowy udział we wszystkich przesyłanych wiadomościach, z czego 8-10% to wiadomości zawierające złośliwe treści. Globalny poziom spamu często rozpowszechnianego przez duże sieci botnet wciąż rośnie. W obliczu tych masowych ataków, krytyczne znaczenie dla bezpieczeństwa ma możliwość pomiaru efektywności systemów zabezpieczeń.
Cisco śledzi postępy w zmniejszeniu czasu wykrycia zagrożeń (Time To Detection – TTD), czyli okresu od momentu włamania do systemu IT z wykorzystaniem nowego, nieznanego wcześniej zagrożenia, do jego detekcji. Skrócenie czasu wykrycia ma krytyczne znaczenie dla ograniczenia pola działania cyberprzestępców i zminimalizowania szkód poniesionych w wyniku udanego ataku. Technologie opracowane przez Cisco pozwoliły zmniejszyć czas wykrycia ze średnio 14 godzin na początku 2016 roku do 6 godzin w drugiej połowie 2016. Liczby te są oparte na danych telemetrycznych z systemów bezpieczeństwa Cisco zainstalowanych na całym świecie.
Biznesowe koszty cyberataków: utrata klientów, spadek obrotów
Raport Cisco ACR 2017 prezentuje potencjalne szkody finansowe na jakie narażone są firmy – od dużych korporacji po małe i średnie przedsiębiorstwa. Jak wynika z analiz, udane włamania do ponad 50% z nich zostały upublicznione. Największe szkody odnotowano w systemach operacyjnych i finansowych, a następnie dotyczyły one spadku reputacji marki oraz utraty klientów.
Dla firm, które padły ofiarą ataku, największe odnotowane szkody to:
- 22% firm utraciło klientów — 40% z nich straciło ponad 20% istniejącej bazy klientów.
- 29% firm odnotowało spadek przychodów, z czego 38% na poziomie przekraczającym 20%.
- 23% firm uważa, że udane włamania ograniczyły możliwości rozwoju biznesu, a 42% z nich szacuje stratę w potencjalnych dochodach na ponad 20%.
Aktywność hakerów i ich nowe „modele biznesowe”
W 2016 roku model działania cyberprzestępców stał się bardziej „korporacyjny”. Dynamiczne zmiany technologiczne i postępująca digitalizacja otworzyły przed atakującymi nowe możliwości. Choć cyberprzestępcy wciąż posługują się klasycznymi technikami ataku, jednocześnie zaczynają wykorzystywać nowe, oparte na znajomości korporacyjnej struktury zarządzania systemami IT.
- Nowe metody ataków wykorzystują modele hierarchii występujące w firmach: w niektórych atakach wykorzystywani są tzw. brokerzy („bramki”), którzy służą jako element pośredni ułatwiający dostęp do systemu i maskujący szkodliwą aktywność. Po włamaniu do systemów wykorzystywanych przez niektórych pracowników, cyberprzestępcy mogą próbować rozszerzyć pole działania i atakować inne zasoby firmy unikając wykrycia ich aktywności.
- Możliwości i ryzyko związane z wykorzystaniem chmury: 27% aplikacji chmurowych wykorzystywanych przez pracowników, które mają zwiększyć efektywność ich pracy i umożliwić wykorzystanie nowych możliwości rozwoju biznesu, uznawanych jest za narzędzia o wysokim poziomie ryzyka, stwarzające poważne zagrożenie dla bezpieczeństwa firmowego systemu IT.
- Klasyczny adware – oprogramowanie, które bez pozwolenia użytkownika importuje treści reklamowe lub inne – wciąż jest efektywną metodą ataków, wykorzystaną do wprowadzenia szkodliwych kodów w 75% badanych przez Cisco przedsiębiorstw.
- Pozytywną wiadomością jest spadek wykorzystania gotowych zestawów eksploitów, takich jak zneutralizowane w 2016 Angler, Nuclear i Neutrino, ale niestety wielu mniejszych graczy na rynku cyberprzestępczym pracuje nad wypełnieniem tej luki.
Raport Cisco został opracowany m.in. na podstawie ankiet przeprowadzonych wśród 3000 dyrektorów ds. bezpieczeństwa (Chief Security Officer) oraz innych osób odpowiedzialnych za bezpieczeństwo procesów biznesowych w firmach z 13 krajów, które zostały ujęte w publikacji Security Capabilities Benchmark Study, będącej elementem raportu Cisco ACR.
