Orange oszacował, że w ubiegłym roku cybertarcza uchroniła przed cyberatakim ponad 320 tys. klientów operatora. Najczęstszym rodzajem zagrożenia jakie wykrywała było oprogramowanie wymuszające zapłacenie okupu (ransomware) – w ten sposób od cyberataku uchroniono 119 tys. klientów.
W sumie systemy monitorujące sieć Orange Polska w ubiegłym roku rejestrowały w sieci miesięcznie aż 10 mld podejrzanych zdarzeń, czyli o miliard więcej niż rok wcześniej. Jak podkreśla operator, wynika to z rosnącej liczby monitorowanych systemów i aktywności w sieci. Jednocześnie, faktycznych incydentów bezpieczeństwa zarejestrowano mniej – około 1000 miesięcznie (blisko 1400 w 2016 r.).
Według Orange, to efekt ulepszania mechanizmów wykrywania zagrożeń oraz klasyfikowania incydentów (np. szybszego eliminowania fałszywych alertów), a także doskonalenia środków prewencyjnych, zapobiegających nadużyciom. W ubiegłym roku Orange rozbudował cybertarczę m.in. o automatyczną blokadę phishingu.
Generalnie, najczęściej analizowanymi incydentami z jakim mieli do czynienia pracownicy CERT Orange Polska było „rozpowszechnianie obraźliwych i nielegalnych treści”. Ta kategoria stanowiła już prawie połowę wszystkich zagrożeń (o niemal 8 p.p. więcej niż rok wcześniej). Obejmuje także rozsyłanie spamu, w tym spamu phishingowego, w którym wiadomości e-mail czy SMS są nośnikiem złośliwego oprogramowania szyfrującego czy wykradającego dane z urządzeń ofiary.
Sporą grupę zagrożeń (prawie 20 proc.) wciąż stanowią ataki DDoS polegające na „zalewaniu” atakowanego systemu ogromną ilością danych. W ten sposób doprowadzają do jego niedostępności, a skutkiem biznesowym takiej sytuacji może być utrata reputacji firmy czy straty finansowe. Jak zaobserwowali autorzy raportu CERT Orange Polska, zmniejsza się liczba długich i spektakularnych ataków. Bardziej opłacalna jest seria krótkich ataków, kończących się zanim rozpocznie się proces ich unieszkodliwiania, ponieważ nawet krótki atak dostarczy cyberprzestępcom informacji o odporności systemu na ataki tego typu.
Co nam grozi w przyszłości?
W Orange spodziewają się, że w najbliższych latach wyzwaniem będzie nadal rozwijający się Internet Rzeczy (IoT). „Inteligentne urządzenia” muszą być odpowiednio zabezpieczone, aby nie były podatne na ataki i wykorzystanie ich jako boty do przeprowadzania ataków DDoS.
Michał Sajdak, konsultant z firmy Securitum – komentując raport CERT Orange – podkreśla, że w przypadku IoT najbardziej spektakularne ataki jeszcze przed nami – szczególnie, że trudno zauważyć bardziej profesjonalne podejście do bezpieczeństwa u twórców świata IoT.
Nowym zjawiskiem jest wykorzystywanie sztucznej inteligencji (AI - Artificial Intelligence), zarówno do złych celów (omijania systemów zabezpieczeń czy znajdowania podatności) ale też skutecznej ochrony przed takimi działaniami. Zdolności analityczne systemów AI przetwarzających bardzo duże zbiory danych (big data) praktycznie w czasie rzeczywistym, mogą znacząco przyspieszyć reakcję systemów zabezpieczających przed atakami oraz umożliwić wykrywanie podejrzanych zachowań w sieci, których nie są w stanie wykryć dotychczasowe rozwiązania.
Kolejny trend wskazany w raporcie to pozyskiwanie kryptowaluty dla przestępców. Służy temu złośliwe oprogramowanie, np. BitCoinMiner, wykorzystujący zasoby zainfekowanych urządzeń.
Grzegorz Michałek, właściciel i prezes zarządu Arcabit zwraca w tym ostatnim kontekście uwagę, że sam pomysł oczywiście nie jest nowy i przywołuje niezwykle popularny niegdyś projekt SETI@home, w ramach którego użytkownicy mogli wspierać badania naukowe mocą swoich prywatnych maszyn.
– Cyberprzestępcy wykorzystują dokładnie ten sam model z tą jednak różnicą, że moc obliczeniowa jest utylizowana bez wiedzy użytkowników, a sami twórcy szkodliwego oprogramowania wykorzystują szeroką paletę mechanizmów socjotechnicznych, luk w oprogramowaniu i w zabezpieczeniach, aby uruchomić na jak największej liczbie maszyn procedury koparek – mówi Grzegorz Michałek.
Według niego, malware z rodziny BitCoinMiner będzie zajmować czołowe miejsca na liście cyberzagrożeń przez najbliższe 10–12 miesięcy. A dodatkowo będziemy również obserwować nawracające ataki ransomware, które będą wykorzystywały uśpioną czujność internautów.