Η σημαντική πρόοδος που έχει συντελεστεί στον εντοπισμό και στην ανάλυση των κυβερνοεπιθέσεων δεν φαίνεται να φέρνει ουσιαστικά αποτελέσματα στην ψηφιακή άμυνα των επιχειρήσεων, τουλάχιστον όσον αφορά την εφαρμογή αντιμέτρων από αυτές, όπως καταγράφεται στην πρόσφατη μελέτη Data Breach Investigations Report (DBIR) της Verizon.

Είναι γνωστό τι μεθόδους και τι εργαλεία χρησιμοποιούν οι κυβερνοεγκληματίες, είναι γνωστό τι πρέπει να γίνει για την αντιμετώπισή αυτών των απειλών, αλλά, παρόλο αυτά, μέχρι στιγμής δεν έχουν αλλάξει πολλά πράγματα, σύμφωνα με την Verizon. Παρά την καλύτερη αντίληψη που υπάρχει σήμερα για τα προβλήματα ασφάλειας, τα αποτελεσματικά αντίμετρα, δυστυχώς, δεν εφαρμόζονται στις περισσότερες εταιρείες.

Η τελευταία έκθεση ασφάλειας της αμερικανικής εταιρείας παροχής τηλεπικοινωνιακών υπηρεσιών κάνει λόγο άλλη μια φορά για γνωστές απειλές, συνήθεις στόχους και επαναλαμβανόμενα λάθη. Έτσι, πίσω από τη συντριπτική πλειοψηφία των επιβεβαιωμένων ψηφιακών επιθέσεων παγκοσμίως βρίσκονται οικονομικά κίνητρα (75%). Οι, δε, περισσότερες επιθέσεις εκμεταλλεύονται, ήδη γνωστά κενά ασφαλείας, που, εν μέρει, δεν έχουν αντιμετωπιστεί για μήνες ή ακόμα και για χρόνια. Σχεδόν στο 60% των επιτυχημένων επιθέσεων, οι εισβολείς αξιοποιούν αδύνατα, προκαθορισμένα ή υποκλεμμένα passwords, για να μπορέσουν να αποκτήσουν πρόσβαση σε σημαντικά δεδομένα.

Η ανίχνευση των επιθέσεων στο κυβερνοχώρο πρέπει να γίνεται ταχύτερα, όπως καταγράφεται στην έρευνα. Έως τώρα, οι εγκληματικές ψηφιακές δράσεις αντιμετωπίζονταν κυρίως από εξωτερικούς φορείς ή από την αστυνομία. Για μια επιτάχυνση της αντιμετώπισης των επιθέσεων, οι Διευθύνσεις Πληροφορικής χρειάζεται να εξοπλιστούν καλύτερα, ενώ η ανάληψη δράσεων πρέπει να γίνεται άμεσα και με την υποστήριξη της διοίκησης. Πρέπει να δυσκολευτεί το έργο των επιτιθέμενων, ώστε να χρειάζονται πολύ περισσότερο χρόνο για εξαπολύσουν μια επίθεση και, ως εκ τούτου, να αποθαρρύνονται από να την ξεκινήσουν. Όπως, επίσης, καταγράφει η μελέτη, η κλοπή laptops ανήκει στα πιο συχνά συμβάντα που οδηγούν στην υποκλοπή των δεδομένων. Η πλήρη κρυπτογράφηση των δεδομένων θα ήταν ένα καλό αντίμετρο, κάτι το οποίο χρησιμοποιούν ήδη οι πιο εξελιγμένες τεχνολογικά φορητές συσκευές.

Tα clients στο στόχαστρο
Εκτός από τα κίνητρα των επιθέσεων σε δίκτυα και συστήματα, η αναφορά της Verizon χαρτογραφεί και τη φύση των επιθέσεων που γίνονται στις μέρες μας. Σύμφωνα με τα αποτελέσματα της μελέτης, οι στοχευμένες επιθέσεις σε εταιρείες και ιδιώτες – μέσω τεχνικών Social Engineering – έχουν γίνει περισσότερο δημοφιλείς από ποτέ για τους ψηφιακούς εγκληματίες. Ειδικά στο στόχαστρο των επιτιθέμενων βρίσκονται προσωπικές συσκευές, όπως υπολογιστές desktop, notebooks, smartphones και tablets.

Περισσότερο από το ένα τρίτο των αναλυθέντων επιθέσεων της Verizon στόχευαν σε clients. Όσον αφορά τις επιθέσεις σε servers, «μόνο» το 40% όλων των επιθέσεων ήταν αυτού του τύπου, επιβεβαιώνοντας μια τάση που έχει παρατηρηθεί εδώ και χρόνια, κάτι που μας κάνει να πιστεύουμε ότι στην επόμενη αναφορά ο αριθμός των επιθέσεων σε clients είναι πιθανό να ξεπεράσει για πρώτη φορά τις επιθέσεις σε servers. Φυσικά, αυτή η εξέλιξη θα μπορούσε να ερμηνευτεί στατιστικά και να αποδοθεί στο συνεχώς αυξανόμενο αριθμό των τελικών συσκευών. Δεν αποκτά κανείς κάθε χρόνο ένα νέο server, σε αντίθεση με τις συσκευές των τελικών χρηστών, ο αριθμός των οποίων αυξάνει με σαφώς μεγαλύτερους ρυθμούς.

Ωστόσο, δεν είναι οι εκλεπτυσμένες στοχευμένες επιθέσεις το μόνο πρόβλημα. Το παραδοσιακό malware συνεχίζει – αν και σε μικρότερο βαθμό από ότι παλιότερα – να κρατάει άγρυπνα τα στελέχη του ΙΤ που έχουν επωμιστεί την προστασία των πληροφοριακών υποδομών της εταιρείας τους. Σχεδόν το 17% των περιστατικών ασφαλείας που εξετάστηκαν στο πλαίσιο της μελέτης, σχετίζονταν με ευρέως διαδεδομένο κακόβουλο λογισμικό και κλασικούς τύπους επιθέσεων όπως DDoS, backdoors, keyloggers και spyware. Η υποκλοπή δεδομένων με την αρωγή τέτοιων malwares φαίνεται, ωστόσο, να έχει πιάσει ταβάνι. Συνολικά, σε σχέση με το προηγούμενο έτος, δεν φαίνεται να έχει βελτιωθεί η κατάσταση. Οι στρατηγικές, μέθοδοι και τα εργαλεία των επιτιθέμενων έχουν παραμείνει τα ίδια: phising, malware και επιθέσεις σε passwords. Oι hackers δεν χρειάζεται να εφεύρουν άλλες μεθόδους επιθέσεων για να αυξήσουν τα ποσοστά επιτυχίας τους.

Η λύση γνωστή, αλλά το πρόβλημα παραμένει
Αν και τα αντίδοτα στις υποκλοπές δεδομένων είναι γνωστά, δεν φαίνεται να έχει αλλάξει κάτι για τις επιχειρήσεις. Ας πάρουμε για παράδειγμα, το two-factor authentication. Αν αυτό εφαρμόζονταν παντού, τότε θα περίμενε κανείς ότι ο αριθμός των κλεμμένων identities θα μειώνονταν σημαντικά. Αυτό, ωστόσο, δεν συμβαίνει. Αντιθέτως, τα περιστατικά κλεμμένων identities αυξάνονται, διότι σχεδόν κανείς δεν χρησιμοποιεί αυτόν τον έλεγχο ταυτότητας δύο παραγόντων. Είναι σημαντικό, λοιπόν, οι επιχειρήσεις να αυξήσουν τις επενδύσεις που κάνουν για την αντιμετώπιση επιθέσεων στις πληροφοριακές υποδομές τους. Έτσι, δεν θα είναι πια τόσο εύκολο για τους hackers να διεισδύσουν στις ΙΤ υποδομές των εταιρειών. Χρειάζεται, εν τέλει, να αναγνωρίζονται ταχύτερα οι επιθέσεις και να δοθεί μια αποτελεσματική απάντηση σε αυτές, ώστε να μπορέσουν, επιτέλους, οι επιχειρήσεις να κάνουν τη ζωή των hackers πιο δύσκολη.

Το υποχρεωτικό reporting βοηθάει
Το Data Breach Investigations Report 2016 δίνει μια ξεκάθαρη απάντηση στο ερώτημα, για το ποιοι κλάδοι υπέστησαν τους προηγούμενους δώδεκα μήνες τις περισσότερες επιθέσεις και διαρροές δεδομένων: οι περισσότερες, μακράν, επιθέσεις – πάνω από 47.000 – αφορούσαν δημόσιες αρχές και δημόσιους φορείς στις ΗΠΑ. Ωστόσο, αυτό το νούμερο δεν θα πρέπει να εκπλήσσει, καθώς οι δημόσιοι οργανισμοί στις ΗΠΑ είναι υποχρεωμένοι από το νόμο να δηλώνουν τα όποια περιστατικά ασφάλειας τους αφορούν.

Στον ιδιωτικό τομέα αυτό δεν ισχύει ή ισχύει εν μέρει. Αυτό εξηγεί και το μικρό αριθμό δηλωμένων περιστατικών ασφαλείας σε κλάδους όπως είναι η παραγωγή, η παροχή υπηρεσιών υγείας και το retail, δημιουργώντας μια, μάλλον, διαστρεβλωμένη εικόνα της υπάρχουσας κατάστασης. Το πρόβλημα περιπλέκεται και από το γεγονός ότι πολλές εταιρείες δεν έχουν τη δυνατότητα να αναγνωρίσουν άμεσα ένα περιστατικό ασφαλείας που τους αφορά. Μια εταιρεία μπορεί να χρειαστεί μήνες μέχρι να ανακαλύψει μια διαρροή δεδομένων που λαμβάνει χώρα στο εσωτερικό της.

Αρκετές φορές, το περιστατικό δεν ανακαλύπτεται από την ίδια εταιρεία, αλλά από ένα πελάτη ή έναν συνεργάτη της, όπως καταγράφουν οι αναλυτές. Η μελέτη DBIR της Verizon ρίχνει φως σε περιστατικά ασφαλείας που δεν ανακοινώνονται, καθώς στόχος της είναι να ενημερώσει για όλα τα περιστατικά ασφαλείας που λαμβάνουν χώρα σε παγκόσμιο επίπεδο, βοηθώντας τις εταιρείες που δέχονται επιθέσεις να παραθέσουν πιο αποτελεσματικές άμυνες έναντι των επιθέσεων του αύριο.

Λήψη μέτρων
Για να μπορέσει μια επιχείρηση να υψώσει ένα αποτελεσματικό τοίχο προστασίας γύρω από τις IT υποδομές της, οι ειδικοί συστήνουν τα εξής:

  • Θα πρέπει να προϋπολογιστεί ένα επαρκές budget για το IT Security. Όσο περισσότερο αμελεί κανείς να το φροντίσει αυτό, τόσο πιο πολύ θα κοστίσει η βελτίωση του IT Security στο μέλλον.
  • Nα υπάρχει επίγνωση της ευθύνης που υπάρχει έναντι των εργαζομένων, αλλά και της ίδιας της εταιρείας – είναι σημαντικό να προστατεύονται όχι μόνο τα δεδομένα, αλλά και η φήμη της εταιρείας.
  • Δεν θα πρέπει ποτέ να επαναπαύεται κανείς όσον αφορά το θέμα του IT Security. Αυτό το γνωρίζουν καλά οι επιχειρήσεις που έχουν υποστεί hacking τουλάχιστον μια φορά, συνειδητοποιώντας το πόσο άσχημο και επιζήμιο είναι να βρίσκονται στο έλεος των επιτιθέμενων. Κανείς δεν μπορεί να ξέρει τι μπορεί να συμβεί με την επιχείρησή του, αν αυτή αποτελέσει το επόμενο στόχο των hackers. Αυτό αποτελεί ένα κίνδυνο που είναι δύσκολο να εκτιμηθεί, όπως και οι επιπτώσεις του.

2016 Data Breach Investigations Report

Με το «2016 Data Breach Investigations Report» η Verizon δημοσίευσε για 9η φορά μια μελέτη για γνωστές διαρροές δεδομένων σε επιχειρήσεις ανά τον κόσμο. Η εν λόγω αναφορά αξιολογεί πάνω από 2.260 επιβεβαιωμένες διαρροές δεδομένων και περισσότερα από 100.000 δημοσιευμένα περιστατικά ασφάλειας. Πάνω από 65 εταιρείες και οργανισμοί από τον κλάδο του ICT και IT Security συνεργάστηκαν σε αυτήν την έρευνα, συμβάλλοντας με τα δεδομένα και την τεχνογνωσία τους. Στο πλαίσιο της έρευνας αξιοποιήθηκαν πληροφορίες για επιθέσεις σε πάνω από 6.700 εταιρείες και οργανισμούς από όλους τους κλάδους, σε όλο τον κόσμο.