Velcí dodavatelé ztrácejí

Gartner uvádí, že tržby za bezpečnostní software loni celosvětově vzrostly o 3,7 % a dosáhly výše 22,1 mld. dolarů.

Nejdynamičtějším oborem byla správa bezpečnostních informací a událostí s růstem o 16 %. Naopak prodej bezpečnostního softwaru koncovým uživatelům poklesl meziročně o 6 %. Placená řešení nedokážou konkurovat těm bezplatným.

Pětice hlavních dodavatelů (Symantec, Intel/McAfee, IBM, Trend Micro a EMC) ovládala v roce 2015 38 % trhu, meziročně jejich celkový podíl o 3 % poklesl. Z této pětice dokázalo v absolutních číslech růst pouze IBM, a to díky bezpečnostním službám a prodeji svého řešení SIEM. Nejvýznamnější dodavatelé, Symantec a Intel Security/McAfee, stále doplácejí na rozvrat trhu pro koncové uživatele. I přes pokles si však dokázali s odstupem udržovat pozici jedničky/dvojky na trhu. Mnohem větší růst tržeb nicméně zaznamenali dodavatelé mimo pět největších, jimž příjmy vzrostly meziročně o 9,2 %.

Podle IDC stoupnou firemní výdaje za zabezpečení z letošních 74 na 102 miliard v roce 2020. Odpovídá to průměrnému meziročnímu růstu 8,3 %, což je více než dvojnásobek růstu tržeb za IT jako celek. Růst potáhne poptávka zdravotnického průmyslu a přetrvávající velké výdaje finančních institucí, telekomunikačních firem. Již letos jsou největší kategorií bezpečnostních řešení služby (45 %), a to včetně řízených bezpečnostních služeb. Dále pak jednotné řízení hrozeb (UTM), řízení identit a přístupu a software provádějící behaviorální analýzu.

Dodavatelé zabezpečení se mohou těšit na růst trhu, protože firmy jsou vesměs ochotné rozpočty na zabezpečení zvyšovat. Platí to i pro ČR. Podle průzkumu společnosti Intel 60 % českých firem z kategorie velkých a středních plánuje v nejbližších dvou letech navyšovat investice do bezpečnosti IT. Ochota k investicím je v ČR podle průzkumu napříč střední Evropou navíc vyšší než v sousedních zemích. I při vyšších rozpočtech si nicméně firmy dle jiných průzkumů stěžují na nedostatek kvalifikovaných odborníků, což mj. povede k vyššímu podílu outsourcingu (nejen) bezpečnosti IT.

 

Snadný zisk pro podvodníky

Začněme trendy v oblasti ransomwaru. Jak se shoduje řada analýz, tvorba tohoto malwaru je pro podvodníky poměrně jednoduchá (navíc je na černém trhu vše dostupné i formou služby) a výpalné placené prostřednictvím bitcoinu navíc nevyžaduje vytvářet složitou infrastrukturu bankovních převodů.

Podle indexu hrozeb společnosti Check Point ransomware v září poprvé pronikl mezi trojici nejrozšířenějších rodin malwaru: konkrétně ransomware Locky byl zodpovědný v průběhu září za 6 % všech detekovaných útoků po celém světě, speciálně v ČR pak ještě rozšířenější než Locky byl Cryptowall.

Podle průzkumu 2016 Corporate IT Security Risks společnosti Kaspersky Lab má za posledních 12 měsíců zkušenost s útokem ransomwaru celosvětově až 20 % podniků. Až 40 % obětí je útočníkům ochotno zaplatit, ačkoliv ani pak nemají žádnou záruku, že se ke svým datům znovu dostanou; toto vysoké procento však dále nahrává podvodníkům. V Evropě je přitom tento problém závažnější, napadeno bylo až 28 % firem. Přitažlivost ransomwaru pro současné útočníky ukazuje i průzkum NetScope: 44 % malwaru objeveného v podnikových cloudových aplikacích se snaží právě o distribuci ransomwaru.

Zranitelnost jednotlivých průmyslových segmentů ransomwarem analyzuje průzkum firmy BitSight. Do analýzy byly zahrnuty organizace z oborů financí, zdravotnictví, vzdělávání, maloobchodu, energetiky/utilit a vládní instituce. Nejvíce incidentů bylo zaznamenáno ve vzdělávacích (reportuje 13 % respondentů z oboru) a vládních institucích (6 %), nejméně ve finančním sektoru (1,5 %) s již existujícím robustním zabezpečením. V ostatních oborech byl podíl mezi 3 a 4 %. Aktuálně se alespoň v zahraničí stává cílem ransomwarových útoků čím dál více nemocnic a dalších zdravotnických zařízení, která mají omezené rozpočty na zabezpečení IT a obvykle nedostatečně školený personál. Již několikrát došlo k omezení provozu, i když nikoliv k výpadku přístrojové techniky a bezprostřednímu ohrožení pacientů.

Novinkou je rovněž ransomware, který napadá servery a data vůbec nešifruje, pouze si je stáhne (respektive to alespoň tvrdí vyděrači při své žádosti o výkupné) a ze serveru smaže. V tomto případě útočníci neriskují, že jejich šifrování bude prolomeno, nemusí ho dokonce vůbec implementovat; i když tato metoda je omezená na stahování dat ze serverů, u pracovních stanic je takový postup obtížně realizovatelný.

A nakonec se v poslední době objevil i ransomware (Cerber a další) specializující se na zašifrování provozních dat v podnikových databázích. Tato data jsou pro podniky samozřejmě velmi cenná, nicméně za provozu se k nim podvodníci mohou těžko dostat (soubory, s nimiž se pracuje, jsou otevřené a tím před zašifrováním chráněné). Útočníci proto nejprve musí databázovou aplikaci zastavit, což by správce mělo varovat.

90 % pro DLP

Do roku 2018 nasadí 90 % organizací (tedy o polovinu více než dnes) alespoň jeden typ integrovaného řešení typu DLP (prevence úniku dat). Zdaleka nepůjde už jen o reakci na legislativní/regulační požadavky.

Studie Cisco 2016 Midyear Cybersecurity Report navíc tvrdí, že ransomware bude brzy ještě mnohem sofistikovanější. Omezí například komunikaci s řídicími servery, v infrastruktuře se maximálně tiše rozšíří, šifrování bude probíhat se snahou minimalizovat dopad na výkon systémů, takže na incident se přijde až v okamžiku, kdy bude znepřístupněno maximum dat.

Jaké jsou obranné možnosti proti tomuto typu útoků? V první řadě samozřejmě příslušný malware nepustit do sítě (což platí pro libovolné útoky) a používat bezpečnostní řešení schopné behaviorální analýzy i neustálých aktualizací. Za další je důležitá strategie zálohování dat a nakonec stojí za zvážení i jednoúčelové utility, které detekují "hromadné" šifrování souborů, pokusí se takovou akci zastavit a zobrazit dialog pro uživatele.

 

DDoS a IoT, třaskavá kombinace

Dalšími významnými trendy posledního období jsou internet věcí a útoky DDoS. Jak se nedávno ukázalo, obě záležitosti spolu úzce souvisejí. Botnet Mirai složený z kompromitovaných zařízení byl zodpovědný za dosud vůbec největší distribuovaný útok na odepření služby, který vyřadil významného poskytovatele DNS, firmu Dyn. Následně pak na svých doménách přestaly fungovat například Twitter, PayPal a Airbnb.

Názory na to, z jakých zařízení je botnet Mirai složen, se různí. Podle společnosti Imperva zde převažují CCTV kamery, mnohem méně mělo být ovládaných směrovačů a DVD rekordérů. Jiné studie vedou k závěru, že hlavní součástí botnetu jsou videorekordéry, následují směrovače, IP kamery a linuxové servery.

Bez ohledu na to je ale jasné, že bezpečnost zařízení představuje z řady důvodů mnohem větší problém než v případě PC. Nedávno byly demonstrovány další útoky na připojené automobily, stejně jako na sítě chytrých žárovek nebo dopravních kamer.

Podle průzkumu společnosti Eset až 15 % testovaných domácích směrovačů používá slabá hesla, nejčastěji s uživatelským jménem "admin". Sedm procent zařízení navíc obsahovalo středně nebo vysoce vážnou zranitelnost. Zařízení jsou často přístupná nejen z vnitřních sítí, ale i přes internet. Podle údajů správce české národní domény, sdružení CZ.NIC, je v určitých kategoriích produktů kompromitovaných systémů dokonce většina zařízení - aniž o tom jejich vlastníci tuší, protože útočníci je používají proti externím cílům. Carl Redberger ze společnosti Radware nicméně v této souvislosti odhaduje, že brzy začne i trend ransomwarových útoků proti zařízením IoT. Vyděrači začnou požadovat výkupné za opětovné zpřístupnění systémů ovládajících domácí termostaty, auta, nebo dokonce medicínské implantáty.

Po posledních masivních útocích DDoS se objevila i varování, že za akcí stojí skupiny napojené na státy/tajné služby nebo disponující obdobnými zdroji. Možná šlo o zkoušku zranitelnosti kritické internetové infrastruktury, přípravu na ještě ničivější akci pro případ kybernetické války. Ukazuje se každopádně, že podobné akce mohou i přímo omezit použitelnost internetu v celých zemích a oblastech - alespoň k tomu po dalším útoku DDoS došlo v Libérii.

Za těchto okolností je jasné, že podniky mají proti útokům DDoS velmi obtížnou pozici. V typickém případě je DDoS útok spojen s vydíráním, součástí útoku může být ale i pokus o průnik do vnitřní sítě, zatímco personál se zabývá obnovou služeb. Především pro menší firmy lze doporučit jako určité řešení přesun některých služeb do cloudu, jehož poskytovatel disponuje přece jen účinnějšími obrannými prostředky než samotný zákazník.

 

Další hrozby: insideři a dolování kryptoměn

Podle průzkumu Bitglass 56 % respondentů věří, že činnost insiderů ohrožuje jejich podnik více než před rokem. Celá třetina firem z průzkumu pak za poslední rok přímo odhalila únik dat, k němuž došlo v důsledku činnosti vlastních zaměstnanců.

Společnost Sophos nedávno upozornila na perzistentní malware, který zneužíval úložné systémy NAS k instalaci programů pro těžbu kryptoměn. Tento druh malwaru bude pravděpodobně mnohem rozšířenější, než vyplývá z průzkumů - oběti okrádá "pouze" o výpočetní výkon a zvyšuje jim účty za energii, takže mnohdy po dlouhou dobu zůstává neodhalen.

Na závěr tzv. metaprognóza, tedy porovnání a shrnutí jednotlivých předpovědí a analýz jiných organizací, kterou provedla společnost Web Tech Pro Research. Srovnáno bylo 38 prognóz a studií vztahujících se k letošnímu roku, ať už je provedly přímo bezpečnostní firmy, nebo jiné subjekty. Jako pět nejčastěji zmiňovaných bezpečnostních trendů zde vyšel internet věcí, útoky CxO (cílené útoky směřující na členy vedení firem, nebo naopak útoky pomocí zpráv, které se vydávají například za e-maily ředitelů), politicky motivované útoky, bezpečnost mobilních systémů a bezpečnost cloudu. Ransomware se v tomto srovnání kupodivu umístil až na sedmém místě.

 

Článek byl publikován v ICT revue 12/2016.