Tehnologia depășită, principala cale de acces spre companii a atacatorilor din mediul cibernetic

Aceste verigi slabe – reprezentate de  programe software neactualizate, linii de cod greșite, sau de erori în utilizare – contribuie la accentuarea riscului ca un atacator să exploateze vulnerabilitățile asociate prin intermediul unui set de metode, precum interogări DNS, kit-uri de exploatare, atacuri prin amplificare, compromiterea sistemelor de tip POS (point-of-sale), malvertising, ransomware, infiltrarea protocoalelor de criptare, atacuri de tip inginerie socială și spam de tip ”life event”.

Raportul subliniază, de asemenea, comportamentul greșit al companiilor care se axează pe vulnerabilitățile pe care le consideră importante, în detrimentul amenințărilor obișnuite  și puțin exploatate, însă cu impact considerabil asupra securității, situație ce duce la un risc crescut de compromitere a sistemelor informatice.

Astfel, prin orientarea atenției atacatorilor către aplicațiile și infrastructura din generația anterioară, ale căror vulnerabilități sunt cunoscute, aceștia pot rămâne nedetectați, în timp ce echipele de securitate se concentrează pe vulnerabilitățile intens mediatizate, precum Heartbleed, spre exemplu.

“Multe companii își schimbă viitorul folosind internetul. Pentru a avea succes în acest domeniu care se dezvoltă rapid, managerii trebuie să își însușească și să gestioneze riscurile cibernetice asociate, care ar putea avea impact asupra afacerilor. Analiza și înțelegerea punctelor slabe din cadrul întregului proces de securitate se bazează în mare parte pe capacitatea companiilor și industriei de a crea un grad de conștientizare cu privire la riscul cibernetic, la nivelurile cele mai înalte de management, inclusiv la nivel de consiliu de administrație – abordând securitatea cibernetică similar unui proces de business și nu ca pe unul tehnologic. Pentru a fi bine protejate  – înaintea, în timpul și după un atac –  organizațiile de astăzi trebuie să folosească soluții de securitate care iau în calcul orice situație în care se poate manifesta o amenițare de acest gen”, spune John N. Stewart, senior vice president, chief security officer, Cisco.

Cisco a evaluat 16 organizații multinaționale, ale căror active combinate depășesc suma de 4 trilioane de dolari, cu venituri de peste 300 de miliarde de dolari, conform datelor aferente anului 2013. Această analiză a dus la conturarea a trei elemente ce leagă companiile de traficul malițios:

• Atacurile de tip “Man-in-the-Browser” reprezintă un risc crescut pentru companii: Aproape 94% din rețelele analizate în anul 2014 direcționau utilizatorii către site-uri Web infectate cu malware. Mai exact, inițierea de cereri DNS pentru hostname-uri ale căror adrese IP returnate sunt asociate cu distribuția de programe malițioase precum Palevo, SpyEye sau Zeus, ce încorporează funcționalități man-in-the-browser (MiTB).
• Botnet-urile: Aproape 70% dintre rețele trimit cereri DNS către domenii de tip Dynamic DNS. Acest lucru dovedește că rețelele erau utilizate în mod malițios sau erau compromise, dat fiind că botnet-urile utilizează adesea DDNS pentru a-și modifica IP-ul în timp, cu scopul evitării detecției.. Sunt foarte puține cazurile în care rețelele companiilor ar transmite  cereri către domenii cu DNS dinamic în mod legitim, majoritatea cererilor fiind, de fapt, apeluri către centre de comandă și control (C&C) ale botnet-urilor.
• Criptarea datelor furate: Aproape 44% dintre rețelele analizate în 2014 au fost identificate ca fiind inițiatoare de cereri DNS pentru site-uri și domenii prin protocoale precum VPN, SSH, SFTP, FTP sau FTPS ce permit criptarea datelor. Acestea sunt utilizate de către atacatorii ce doresc să își protejeze anonimitatea utilizând canale securizate de transmisie a datelor.

• Numărul de kit-uri de exploatare a scăzut cu 87% de când presupusul creator al kit-ului de exploatare Blackhole a fost arestat anul trecut, potrivit cercetătorilor Cisco în probleme de securitate. Mai multe astfel de pachete de exploatare a vulnerabilităților analizate în 2014 încercau să se extindă în zona dominată în trecut de kit-ul Blackhole, însă nu s-a remarcat încă un lider în acest sens.

• Java continuă să fie limbajul de programare cel mai exploatat de atacatorii cibernetici. Cercetătorii pe probleme de securitate  din cadrul Cisco au descoperit că exploatările vulnerabilităților Java au crescut la 93% din toți indicatorii de compromis (IOC) din mai 2014, față de un nivel de 91% înregistrat în noiembrie 2013, așa cum se poate observa în  Cisco 2014 Annual Security Report.

• Creșteri neobișnuite ale prezenței malware în industrii specific. Pentru prima jumătate a anului 2014, industriile farmaceutică și chimică, domenii cu un profit foarte mare, s-au aflat din nou în top 3 zone cu risc crescut de infectare cu malware pe web. Domeniul media și publishing conduce topul cu un nivel de atacuri cibernetice de patru ori mai mare decât media înregistrată pe web, iar industria aviatică a ajuns pe locul al treilea, cu un nivel dublu, raportat la media atacurilor malware la nivel global.