Ofiary hakerów mimo ścian przeciwogniowych

Współczesne cyberataki na firmy i instytucje są coraz bardziej wyrafinowane i skuteczne.

- W ciągu minionych dziesięciu lat tempo rozwoju złośliwego oprogramowania i cyberataków przewyższyło zdolności dostawców zabezpieczeń do adekwatnej reakcji. Wiadomości o hakerskich wyczynach, których ofiarami padają firmy i instytucje na całym świecie, są jedynie wierzchołkiem góry lodowej. Hakerzy potrafią dziś przedostawać się do wnętrza systemów chronionych przez firewall (ściany ogniowe), IPSy (systemy zapobiegające inwazji intruzów), bramki antyspamowe i aplikacje antywirusowe - twierdzi Paul Davis, wiceprezes firmy FireEye odpowiedzialny za Europę.

E-mail pułapka

Ogół infekcji zaczyna się od otworzenia e-maila lub kliknięcia na link w e-mailu - wynika z piętnastego z kolei Światowego Badania Bezpieczeństwa Informacji Ernst & Young. Niedbali lub nieświadomi pracownicy to największe zagrożenie dla bezpieczeństwa informacji w firmach i instytucjach publicznych. Hakerzy potrafią starannie przygotować e-mail pułapkę, np. powoływać się w nim na dyspozycje od przełożonego adresata. Po otworzeniu załącznika lub strony www dochodzi do infekcji. Zdobycie takiego przyczółka to początek penetracji atakowanej sieci i skrytego wysyłania z niej cennych danych na zewnątrz, do twórców złośliwego kodu.

- Świadomość narastającego ryzyka nie idzie niestety w parze ze zwiększoną skłonnością do zabezpieczania danych w bardziej zorganizowany sposób. Aż 63 proc. ankietowanych dyrektorów IT uważa, że ich firmy nie mają formalnie opracowanej architektury bezpieczeństwa, a 70 proc. jest świadoma, że stosowany system zabezpieczeń nie odpowiada w pełni potrzebom - wskazuje Michał Kurek, starszy menedżer w dziale zarządzania ryzykiem informatycznym w Ernst & Young.

Z raportów FireEye wynika, że w 95 proc. przedsiębiorstw, które już miały zainstalowane systemy zabezpieczeń, co tydzień dochodzi do zainfekowania komputerów przez internet. W przypadku 80 proc. firm do takich sytuacji dochodzi ponad 100 razy w tygodniu. To dowód na to, że potrzebne jest nowe podejście do bezpieczeństwa zasobów informatycznych.

Bezsygnaturowa odsiecz

FireEye, amerykański start-up, który w ostatnich latach odnotował dynamiczny rozwój i powoli przeobraża się w międzynarodową korporację, to jeden z ciekawszych podmiotów, które pojawiły się w branży bezpieczeństwa IT. Fundatorzy firmy postanowili skonstruować rozwiązania, które stawią czoła tym atakom, z którymi nie radzą sobie tradycyjne rozwiązania mające za podstawę bazę sygnatur i rejestry niebezpiecznych aplikacji.

- Rozwiązania FireEye nie tyle zastępują antywirusy i firewalle, ile uzupełniają je. Oczywiście można je stosować zamiast dotychczasowych zabezpieczeń, ale wówczas trudno byłoby płynnie korzystać z łączy internetowych, bo sygnały ostrzegające o zagrożeniu rozbrzmiewałyby nieustannie. Lepiej więc stosować je jako rozwiązania uzupełniające dotychczas użytkowane narzędzia - wyjaśnia Robert Żelazo, dyrektor regionalny FireEye na Europę Środkowo-Wschodnią.

Bezsygnaturowe rozwiązania FireEye badają ruch sieciowy w firmie - poddają analizie ponadnormatywne transmisje, w czasie rzeczywistym testują próbki w wirtualnym środowisku, otwierają podejrzane pliki w różnych programach i przeglądarkach, badając ich zachowanie, a przypadku podejrzanych interakcji blokują je. W efekcie przychodzą z odsieczą już stosowanym systemom - dochodzi do zatrzymania cyber ataków we wszystkich fazach ich prowadzenia, od infekcji exploitów do eksfiltracji, niezależnie czy pochodzą ze stron www, czy z e-maili. Chronią też przed zagrożeniami ukrytymi we współdzielonych zasobach plikowych. Robert Żelazo przyznaje, że zainteresowanie nimi jest spore. Na pierwsze testy zdecydowały się firmy przemysłowe, finansowe i instytucje publiczne.

POL