Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » Depistarea breșelor de securitate durează 15 luni
Depistarea breșelor de securitate durează 15 luni

469 de zile este intervalul de timp de care au nevoie organizatiile din Europa pentru a depista un incident care le-a compromis infrastructura de securitate informatica. Cu aproximativ 10 luni mai mult decat media inregistrata la nivel global (de 146 de zile).

Mandiant M-Trends, companie specializata in furnizarea de servicii de detectie a amenintarilor informatice, achizitionata de catre FireEye la inceputul anului 2014, a publicat recent primul raport asupra breselor de securitate, dedicat in exclusivitate regiunii EMEA (Europe, Middle East, Africa) din care face parte si Romania.

Care sunt rezultatele cercetarii? Conform datelor Mandiant valorile medii pentru o organizatie care a suferit o bresa de securitate sunt urmatoarele:

  • 40 de sisteme (statii de lucru sau servere) afectate;
  • 2,6 GB de date furate;
  • 37 de conturi de utilizatori si 7 conturi de administratori compromise
  • 469 de zile necesare, in medie, pentru depistarea unui incident.

Cele aproape 15 luni evidentiate de raportul FireEye/Mandiant reprezinta un interval de timp indeajuns de mare pentru a permite dezvoltarea unui atac informatic de amploare prin intermediul caruia pot fi atinse mai multe obiective. Intervalul permite atacatorilor sa migreze fara nicio restrictie de la o simpla infectie malware nedepistata in timp util la crearea unei cai de acces la distanta (prin instalarea de aplicatii de tip web shells sau backdoors).

Raportul a evidentiat faptul ca organizatiile din zona EMEA realizeaza preponderent intern analizele nivelului de securitate si integritate a infrastructurii informatice, pe un numar limitat de sisteme, fapt care nu le permite sa depisteze in timp util incidentul de securitate, amploarea acestuia si nici scopurile urmarite de atacatori. Acesta este si unul dintre principalele motive pentru care companiile sunt frecvent victima unor noi atacuri, la doar cateva luni de la depistarea initiala a problemei de securitate.

Rezultatele demonstreaza faptul ca metoda traditionala de depistare a problemelor de securitate bazata pe principiul „luarii urmei” si pe analiza unui numar restrans de sisteme este inadecvata. Faptul ca din cele 40.167 statii de lucru analizate in total, doar 40 de statii per organizatie compromisa  au fost descoperite ca fiind afectate (0,001% din total) arata ca atacatorii reusesc sa isi mentina o amprenta cat mai mica in infrastructura informatica a companiilor-victima pentru a preveni depistarea lor.

Analiza modului de desfasurare a penetrarii sistemelor de securitate a relevat ca, o data asigurat accesul in infrastructura victimei, una dintre tintele predilecte ale atacatorilor o reprezinta credentialele administratorilor de sistem, pentru a putea prelua controlul asupra aplicatiilor si bazelor de date, dar si pentru a se proteja impotriva eventualelor schimbari ale datelor de autentificare. (Specialistii Mandiant au realizat teste de penetrare care au demonstrat ca au nevoie de maximum 3 zile pentru a obtine datele de autentificare ale administratorilor IT pentru a accesa  informatiile vizate.)

Raportul FireEye/Mandiant a mai subliniat o limitare importanta a strategiilor de securitate clasice: organizatiile isi concentreaza eforturile pe protectia impotriva potentialelor amenintari care vin din afara (inbound trafic), in fata carora se protejeaza cu solutii Firewall, sisteme de Intrusion Detection etc. Majoritatea companiilor neglijeaza insa traficul dinspre interior spre exterior (outbound trafic) generat de statiile de lucru si serverele compromise deja.

O abordare deficitara in conditiile in care serverele proxy si serviciile DNS externe ofera protectie doar impotriva amenintarilor comune si malware-ului cu potential de risc redus, capabilitatile de detectie fiind similare celor utilizate de tehnologiile antivirus clasice care utilizeaza librarii de semnaturi pentru a bloca activitatea amenintarilor cunoscute. Problemele apar cu precadere atunci cand atacatorii modifica amenintarile malware cunoscute cu doar cateva zile inainte de lansarea atacului. Atacurile avansate utilizeaza amenintari „personalizate”, care nu pot fi depistate de sistemele clasice, fiind necunoscute solutiilor antivirus si neaparand pe black-list-urile serverelor proxy.

Analiza FireEye/Mandiant insista asupra faptului ca, in zona EMEA, organizatiile se bazeaza preponderent pe capabilitatile interne de detectare a amenintarilor, apeland rareori la o sursa externa de analiza si depistare a potentialelor riscuri de securitate. Raportul identifica drept unul dintre principalele motive ale celor 469 de zile scurse din momentul compromiterii pana in cel al detectarii acesteia faptul ca doar 12% din organizatiile din zona EMEA au apelat la surse externe pentru depistarea problemelor pe care le au. (Spre deosebire de 53% cat se inregistreaza la nivel global.)

Raportul citat se adauga semnalelor de alarma din ce in ce mai numeroase lansate de companiile de analiza care avertizeaza ca depistarea atacurilor informatice reprezinta o provocare majora pentru numeroase organizatii.

Cauzele sunt multiple, fiind atat de natura externa, cat si interna. Pe de o parte este vorba de evolutia accelerata a volumului de amenintari informatice, care se diversifica si cresc continuu ca nivel de complexitate. Pe de alta, de faptul ca numeroase companii utilizeaza solutii de securitate inadecvate si/sau depasite din punct de vedere tehnologic si inregistreaza un deficit cronic de competente interne si experienta concreta pe aceasta zona. La acest cumul de factori se adauga in ultimii ani o alta provocare importanta, intalnita frecvent in cadrul organizatiilor de dimensiuni medii si mari – cea a falsului sentiment de securitate. Discrepanta dintre perceptia organizatiilor si situatia reala se datoreaza, in principal, vizibilitatii reduse asupra gradului de risc la care sunt expuse infrastructurile informatice. De exemplu, conform raportului de securitate Cisco pe anul 2016, 92% dintre echipamentele conectate la Internet au vulnerabilități cunoscute, in timp ce in cazul infrastructurilor IT invechite 31% dintre echipamentele utilizate nu mai dispun de actualizari.

Astfel de informatii sunt cvasi-necunoscute la nivel de top management in majoritatea organizatiilor. Dar efectele deficientelor de securitate sunt vizibile. Si, chiar daca nu toate companiile raporteaza public incidentele de securitate suferite si pagubele aferente, ponderea autoevaluarilor pozitive scade lent, dar sigur. Pentru inceput la nivelul managerilor responsabili cu securitatea informatica. Raportul Cisco citat arata ca, anul acesta, doar 45% dintre managerii IT mai au incredere in protectia sistemelor pe care le utilizeaza, (fata de 59% in 2015 si 64% in 2014). Si nu este singurul semnal in acest sens: editia de anul trecut a Cybersecurity Poverty Index, studiu RSA care a evaluat nivelul de maturitate al programelor de protectie utilizate de organizatii, a relevat faptul ca 75% dintre respondenti se considerau „imaturi”.

Sunt semnale clare ca perceptia incepe sa schimbe. Dar, pentru a se ajunge la rezultate concrete in domeniul securitatii informatice, este nevoie ca, intr-o prima faza, factorii decizionali sa constientizeze nivelul real de risc la care sunt supuse organizatiile.

 

Referinte:

Mandiant Consulting: M-Trends 2016, EMEA edition (www2.fireeye.com/rs/848-DID-242/images/Mtrends2016EMEA_LR.pdf)

Cisco 2016 Annual Security Report (www.cisco.com/c/en/us/products/security/annual_security_report.html)

RSA Cybersecurity Poverty Index 2015 (www.emc.com/collateral/ebook/rsa-cybersecurity-poverty-index-ebook.pdf)

 

Aflați mai multe despre portofoliul Datanet Systems, in sectiunea dedicată.
Pentru mai multe informații, contactați:
Gabriel Mușat
Technical and Marketing Manager
office@datanets.ro
www.datanets.ro