Programele malware devin din ce în ce mai sofisticate, iar atacatorii încep să găsească modalități de exploatare a serviciilor cloud, pe care le utilizează ca pe un instrument de atac, evitând detecția prin intermediul criptării, folosită pentru a ascunde activitățile de tip „command-and-control”.
Pentru a reduce timpul de operare pentru atacatori, profesioniștii în securitate au declarat că vor investi sume mai mari în instrumente care utilizează inteligența artificială (AI) și procese de tip machine learning, după cum reiese din cel de-al 11-lea raport anual Cisco de securitate pentru 2018.
Criptarea este o metodă menită să sporească securitatea, însă volumul extins de trafic web criptat (50% din octombrie 2017) – atât legitim, cât și rău intenționat – a creat probleme pentru departamentele de securitate, care încearcă să identifice și să monitorizeze amenințările potențiale. Specialiștii în securitate cibernetică de la Cisco au observat o creștere de peste trei ori a comunicării de rețea criptate utilizată de tipurile de malware inspectate timp de 12 luni.
Aplicarea unor procese de tip machine learning poate ajuta la îmbunătățirea securității rețelei și, în timp, aceasta „învață” cum să detecteze automat tipare neobișnuite în traficul web criptat, în mediile cloud și IoT.
O parte dintre cei 3.600 de Chief Information Security Officers (CISO) care au oferit răspunsuri în cadrul raportului Cisco 2018 Security Capabilities Benchmark Study, au declarat că depind de instrumente precum machine learning și AI, dar s-au simțit frustrați de numărul de rezultate fals pozitive pe care le generează astfel de sisteme. Aflate încă într-o fază incipientă, tehnologiile machine learning și AI se vor maturiza în timp și vor învăța ce înseamnă o activitate „normală” la nivelul rețelelor pe care le monitorizează.
”Atacatorii cibernetici învață și se perfecționează, aspect care se reflectă în însăși evoluția atacurilor și în amplitudinea pagubelor pe care le produc. Din această perspectivă, eforturile factorilor de decizie din companii trebuie îndreptate cât mai mult înspre minimizarea riscurilor prin investiții în tehnologie și politici eficiente de securitate implementate la toate nivelurile organizației”, a declarat Dorin Pena, director general Cisco România.
Raportul Cisco de securitate 2018
- Costurile atacurilor nu mai reprezintă o cifră ipotetică
Potrivit respondenților din studiu, peste jumătate din totalul atacurilor s-au soldat cu pagube financiare mai mari de 500.000 de dolari, incluzând, dar fără a se limita la acest lucru, pierderi de venituri, clienți, oportunități și cheltuieli suplimentare.
- Atacurile îndreptate asupra lanțurilor de aprovizionare cresc în viteză și complexitate
Aceste atacuri pot afecta computerele la scară largă și pot persista luni sau chiar ani. Companiile trebuie să fie conștiente de riscul potențial de utilizare de software sau hardware de la organizații care nu au politici responsabile de securitate.
Două astfel de atacuri din 2017, Nyetya și Ccleaner, au infectat utilizatorii atacând software de încredere. De asemenea, companiile trebuie să verifice eficiența testărilor de către terți a tehnologiilor de securitate pentru a minimiza riscul de producere a atacurilor asupra lanțului de aprovizionare.
- Securitatea devine din ce în ce mai complexă, scopul producerii breșelor de securitate se extinde
Companiile implementează produse complexe de la mai mulți furnizori, pentru a se proteja împotriva unor breșe de securitate. Gradul de complexitate și numărul din ce în ce mai mare al breșelor de securitate provoacă efecte în cascadă asupra capacității organizației de a se proteja împotriva atacurilor, existând un risc crescut de înregistrare de pierderi.
În 2017, 25% dintre profesioniștii în securitate au declarat că au utilizat produse de la 11 până la 20 de furnizori, față de 18% în 2016. Profesioniștii în securitate au declarat că 32% dintre breșele de securitate au afectat mai mult de jumătate dintre sistemele lor, comparativ cu 15% în 2016.
- Profesioniștii în securitate consideră valoroase instrumentele de analiză comportamentală în localizarea elementelor rău intenționate de la nivelul rețelelor
92% dintre profesioniștii în securitate au declarat că instrumentele de analiză comportamentală funcționează eficient. Două treimi dintre respondenții din sectorul medical, urmat de cei din serviciile financiare au constatat că analiza comportamentală funcționează foarte eficient în identificarea elementelor rău intenționate.
- Utilizarea mediilor cloud este în creștere; atacatorii profită de lipsa unor sisteme de securitate avansate
În studiul din acest an, 27% dintre profesioniștii în securitate au declarat că utilizează medii cloud private off-premises, în comparație cu 20% în 2016. Dintre aceștia, 57% au declarat că găzduiesc rețele în cloud datorită unei securități mai bune asupra datelor; 48%, datorită scalabilității, iar 46% datorită ușurinței în utilizare.
În timp ce mediile cloud oferă o protecție mai bună a datelor, atacatorii profită de faptul că echipele de securitate întâmpină dificultăți în asigurarea securității mediilor cloud, aflate în continuă evoluție și extindere. O combinație de bune practici, tehnologii avansate de securitate precum machine learning și instrumente de apărare precum platforme de securitate cloud pot contribui la protejarea acestui mediu.
- Tendințele legate de volumul mare de malware au un impact asupra timpului de detecție al amenințărilor (TTD)
Timpul mediul de detecție Cisco de aproximativ 4,6 ore pentru perioada noiembrie 2016-octombrie 2017 – cu mult sub media de 39 de ore raportată în noiembrie 2015 și de 14 ore raportată în raportul anual Cisco de securitate 2017 pentru perioada noiembrie 2015-octombrie 2016.
Utilizarea unor tehnologii de securitate bazate pe cloud a ajutat Cisco să mențină timpul mediu de detecție la un nivel scăzut. Un timp de detecție mai scurt ajută companiile să acționeze mai repede în remedierea breșelor de securitate.
Recomandări pentru companii
- Validarea respectării politicilor și practicilor companiei în ceea ce privește acțiunile de patching pentru aplicații, sisteme și dispozitive.
- Accesați date precise și imediat despre amenințările de securitate, care pot fi ulterior integrate în monitorizările de securitate.
- Efectuați analize mai detaliate și avansate.
- Faceți des back-up de date și testați procedurile de restaurare, procese care sunt critice într-o lume dominată de viruși ransomware care se stabilesc la nivelul rețelei și de arme cibernetice distructive.
- Efectuați evaluări de securitate pentru sistemele de micro-servicii, servicii cloud și sistemele de administrare a aplicațiilor.