Według autorów raportu wielu użytkowników koncentruje się na eliminowaniu najgroźniejszych słabości systemów i aplikacji, lekceważąc standardowe, powszechnie znane luki, co w efekcie powoduje, że poziom zagrożeń w praktyce rośnie. Cyberprzestępcy zwiększają liczbę ataków na przestarzałe aplikacje i obsługujące je elementy infrastruktury, które nie mają znaczenia krytycznego dla działania firm. Wykorzystując znane luki i słabości oprogramowania, są oni w stanie uniknąć wykrycia ataku przez specjalistów ds. bezpieczeństwa, którzy koncentrują się na eliminacji największych i najpoważniejszych zagrożeń, takich jak choćby Heartbleed.

Podstawowe wnioski z raportu

Analizy zawarte w raporcie Cisco 2014 Midyear Security Report zostały oparte na szczegółowych badaniach 16 międzynarodowych korporacji, które w 2013 roku wykazały przychody o łącznej wartości ponad 300 miliardów dolarów oraz dysponowały aktywami przewyższającymi 4 biliony dolarów. Z analiz tych wynikają trzy najważniejsze wnioski dotyczące wpływu złośliwego ruchu w sieci na bezpieczeństwo systemów firmowych:

• Ataki typu MiTB (Man-in-The-Browser) są dużym zagrożeniem dla korporacji: blisko 94% sieci firmowych analizowanych w pierwszej połowie 2014 roku obsługiwało ruch do stron webowych zawierających złośliwy kod. Chodzi tu o zapytania kierowane do serwerów DNS o nazwy serwerów webowych, których adresy IP zostały zidentyfikowane jako związane z dystrybucją takich rodzin szkodliwego oprogramowania, jak Palevo, SpyEye lub Zeus, wykorzystujących funkcje MiTB.

• Ukryte botnety: blisko 70% sieci wykonuje zapytania DNS dotyczące dynamicznych nazw domen (Dynamic DNS Domains). Oznacza to, że systemy te są nieprawidłowo wykorzystywane lub zawierają komputery należące do sieci botnet i zainfekowane przez oprogramowanie, które stosuje mechanizm DDNS do zmiany rzeczywistego adresu IP i uniknięcia w ten sposób wykrycia przez systemy zabezpieczeń. W firmach zewnętrzne połączenia DDNS są potrzebne i stosowane bardzo rzadko, najczęściej jest to komunikacja z serwerami C&C (Command & Control) sterującymi botnetem, a ukrywanie adresów IP ma na celu utrudnienie lokalizacji botnetu.

• Szyfrowanie wykradanych danych: w 44% badanych w 2014 roku przez Cisco sieciach dużych firm generowane były zapytania DNS dotyczące stron WWW lub domen, które oferują usługi szyfrowania transmisji danych. Wiadomo, że cyberprzestępcy wykorzystują techniki eksfiltracji kradzionych danych przy wykorzystaniu szyfrowanych kanałów takich, jak VPN, SSH, SFTP, FTP i FTPS, by uniknąć detekcji przez systemy wykrywające włamania i blokujące wycieki informacji.

Kilka wartych uwagi ciekawostek

Z raportu wynika ponadto, że liczba pojawiających się exploitów zmniejszyła się o 87% od czasu, gdy w ubiegłym roku został aresztowany domniemany twórca bardzo popularnego zestawu exploitów Blackhole. W pierwszej połowie 2014 roku pojawiło się przynajmniej kilkanaście nowych zestawów, które starają się zastąpić Blackhole, ale na razie brakuje wśród nich zdecydowanego lidera.

Java wciąż utrzymuje niechlubną pozycję lidera wśród języków programowania najczęściej wykorzystywanych do tworzenia szkodliwych programów. Analitycy Cisco twierdzą, że udział exploitów napisanych w Javie wśród wszystkich wskaźników IOC^* wzrósł w maju 2014 roku do poziomu 93% (w porównaniu z 91% w listopadzie 2013 roku).

Specjaliści zwracają również uwagę na niezwykły wzrost zagrożeń dotyczących branż specjalistycznych. W pierwszej połowie 2014 roku wśród trzech najbardziej zagrożonych przez ataki branż ponownie znalazł się bardzo dochodowy przemysł farmaceutyczny i chemiczny. W pierwszej trójce jest też branża medialna i wydawnicza, która w porównaniu do globalnej średniej jest 4-krotnie bardziej narażona na ataki, a także przemysł lotniczy (2-krotnie bardziej narażony na ataki niż wynosi globalna średnia).

Pełny raport w jęz. angielskim można pobrać ze strony Cisco.

--

* IOC, Indicators Of Compromise – oznaka, że system został zainfekowany