2020 egyik főtanulsága az IT-biztonság szempontjából, hogy az előző évhez képest gyakorlatilag megkétszereződött a koronavírus-járvány elleni küzdelem frontvonalában működő iparágak elleni kibertámadások száma. A bűnözők fokozták a Linux-felhasználókat célzó kártevő programok használatát; a támadások legnagyobb részét zsarolóprogramokkal követték el, de a szolgáltatásmegtagadással járó DDoS-támadások száma is rekord szintre ugrott; közben a társaságok a kiberbiztonsági munkaerő hiányával küzdenek.
A világjárvány által előidézett példátlan kihívásokból profitálni kívánó támadók célkeresztjébe jellemzően olyan intézmények és vállalatok kerültek, mint a kórházak, az orvosi felszerelés- és gyógyszergyártók, valamint az energiaipari vállalatok, amelyek nem kockáztathatják meg a leállást. A leginkább támadott iparág a pénzügyi és biztosítási szektort megelőzve a feldolgozó- és az energiaipar volt 2020-ban, miközben az ipari vezérlőrendszerek (ICS) sebezhetősége csaknem 50 százalékkal nőtt.
A járvány lényegében átformálta azt, hogy mit értünk kritikus infrastruktúra alatt, ezt pedig a támadók pontosan érzékelték is, amint azt az IBM Security 2021-es jelentése (X-Force Threat Intelligence Index) is aláhúzza. Sok szervezet most először került a reagálási erőfeszítések első vonalába - akár a vírussal kapcsolatos kutatás támogatása, akár az oltóanyag- és élelmiszer-ellátási láncok fenntartása, akár a védőfelszerelések gyártása révén. A vírushelyzet kibontakozásával a támadók stratégiája is módosult, jelezve alkalmazkodóképességüket, találékonyságukat és kitartásukat is. Az áldozatok elérésének elsődleges módja tavaly már a sebezhetőségek felkutatása és kiaknázása volt, évek óta először megelőzve az adathalászatot.
Bár 2020-ban a jelenség tovább erősödött, már az azt megelőző években tapasztalható volt a kritikus infrastruktúra ellen indított támadások számának emelkedése. A tendencia annak ellenére is megfigyelhető, hogy a például a kórházakat, a vízellátó rendszereket, a rendőrséget és az áramtermelést célzó támadások elhárítására a bűnüldöző és hírszerző szervek értelemszerűen nagyobb erőforrásokat mozgósítanak. Ez ugyan a bűnözők számára kockázatosabbá teszi ezek támadását, ugyanakkor jövedelmezőbbek is lehetnek számukra.
Hosszabb távon is egyértelműen emelkedő tendencia tapasztalható az IoT-eszközök ellen indított támadások gyakoriságában is. A riasztó trend a Nokia szerint a gyenge védelmi szinttel, illetve az ezt automatizált eszközökkel kihasználó bűnözők fokozódó aktivitásával függ össze. Az intelligens otthoni biztonsági megfigyelő rendszerektől a drónokon át az orvostechnikai eszközökig egyre több típusú eszközt magukba foglaló internethez csatlakoztatott (IoT) tárgyak köre várhatóan tovább bővül, ahogy a fogyasztók és a vállalkozások mind nagyobb számban csatlakoznak az 5G hálózatokhoz. Az IoT-eszközök megfertőzésének sikeressége nagyban annak függvénye, hogy az eszközök mennyire láthatók az interneten: azokban a hálózatokban, ahol az eszközökhöz rutinszerűen nyilvános IP-címeket rendelnek, magas a fertőzési arány.
A felhőkre figyelnek a kiberbűnözők
A legfontosabb 2020-as tapasztalatok közé tartozik, hogy a kiberbűnözők fokozzák a Linux-felhasználókat célzó kártevő programok (malware) használatát: az Intezer a Linuxhoz kapcsolódó rosszindulatú programok családjainál 40 százalékos bővülést figyelt meg tavaly. A támadók tehát egyértelműen gyorsítják a rosszindulatú programok Linux világába történő bejuttatását, amely könnyebben fut különböző platformokon, beleértve a felhőkörnyezeteket is. Ez pedig a jövőre nézve is borús kilátásokat fest.
Nyereségességük fokozása érdekében az elmúlt időszakban több bűnözői csoport is a nyílt forráskódú kártevő programok felé fordult. Az ezek számában tapasztalható felfutás a következő évben a felhőalapú támadások számának növekedésével járhat. Mindez nyilván a felhőkörnyezeteket is veszélyezteti, amelyek a támadások fő felületévé válhatnak, márpedig a járvány közepette sok vállalkozás igyekezett felgyorsítani felhőre való átállását. A felhőben zajló munkafolyamatok 90 százaléka a Linuxhoz fűződik, az ezt célzó rosszindulatú programok száma pedig 500 százalékkal nőtt az elmúlt évtizedben, az áldozat szervezetekre hárítva tovább a felhőhasználat súlyos költségeit is.
Felfutóban a zsarolóprogramok
A támadások legnagyobb részét - csaknem minden negyediket - agresszív zsarolóprogramokkal (ransomware) követték el. Ez az üzleti modell meglehetősen kifizetődő is volt, miután az áldozatok mintegy kétharmada váltságdíjat fizetett. A zsarolóprogram-támadások száma emelkedő tendenciát mutat, az azonosított támadások közel 60 százaléka pedig kettős zsarolási stratégiát alkalmazott: ennek során a támadók adatokat titkosítanak, lopnak, majd az adatok kiszivárogtatásával fenyegetnek arra az esetre, ha a váltságdíjat nem kapják meg. A 2020-ban az X-Force által észlelt adatsértések 36 százaléka ransomware-támadásokból származott, amelyek vélhetően adatlopást is magukba foglaltak, vagyis az adatsértések és a zsarolóprogram-támadások egyre inkább összefüggenek. A legeredményesebb ransomware-csoportokra már jellemző az is, hogy kartelleket hoztak létre, működésük kulcsfontosságú résztevékenységeit kiszervezve a támadások különböző aspektusaira szakosodott kiberbűnözőknek.
A járvány előtti években már egyértelműen a zsarolóprogramok váltak az első számú kiberbűnözési veszélyforrássá - ahogyan ez az Europol évente megjelenő jelentéseiből is kiderült (Internet Organized Crime Threat Assessment, IOCTA). Bár a ransomware-támadások száma nem mutatott töretlen emelkedést, ugyanakkor azok egyre célzottabbakká és kifizetődőbbé váltak a támadók számára, vagyis trendszerűen egyre nagyobb gazdasági károkat okoztak. Az elmúlt években a vállalatok mellett a kormányzati és helyi önkormányzati célpontok ellen végrehajtott zsarolóprogram-támadások is súlyosabbá váltak.
Az úgynevezett BEC (Business Email Compromise) típusú fenyegetés szintén nem új jelenség, azonban ez is fejlődést mutat. A támadók többnyire e-mailben érik el, hogy nem ritkán cégvezető pozíciót betöltő célpontjuk a tervezett cím helyett az arra megtévesztően hasonló, de a bűnözők által felügyelt bankszámla felé teljesítse a pénzügyi tranzakciót. Ez a csalási típus kihasználja a szegregált vállalati struktúrákat és a fizetési hitelesítési folyamatok belső hiányosságait is.
Csúcson a DDoS-támadások száma
2020 lényeges tapasztalata, hogy a szolgáltatásmegtagadással járó úgynevezett DDoS-támadások száma ugrásszerűen emelkedve rekord szintet ért el, ezzel napjaink egyik leggyakoribb támadási formájává válva. Ez a jelenség is összefügg a járványhelyzettel és az ennek hatására mindinkább megfigyelhető digitalizációval, illetve az online folyamatok térnyerésével. Erre a támadási típusra is jellemző, hogy gyakorlatilag a feketegazdaság önálló ágazatává vált, amely tetemes károkkal járhat. A korábbiakkal szemben a DDoS-támadások ma már az alkalmazásokra és szolgáltatásokra fókuszálnak, célpontjaik pedig egyre szélesebb körből kerülnek ki, miközben a védelmi rendszer kiépítése intenzív befektetési és karbantartási nyomást helyez a vállalkozásokra.
A DDoS-támadások esetében az esetszám évek óta meredeken nő, az elmúlt bő évtizedben több tízszeresére. A fenyegetés fokozódását nem utolsó sorban az motiválja, hogy a DDoS-támadást lehetővé tevő eszközök könnyen elérhetőek, a támadás néhány nem túl bonyolult lépésben kivitelezhető, és míg kevesebb forgalmat és költséget igényel, összetettebbé és nehezebben felismerhetővé vált a korábbiaknál.
Munkaerőhiány nehezíti a védekezést
Ugyancsak tartós trend a szakképzett kiberbiztonsági munkaerő hiánya a vállalati szférában. A PwC szerint 2021-ben világszerte már 3,5 millió kiberbiztonsági állás vár betöltésre. A tanácsadó által végzett felmérésben részt vett cégvezetők mintegy fele tervezi, hogy teljes munkaidős kiberbiztonsági munkatársakat alkalmaz már jövőre, részben létszámbővítéssel, részben a munkatársak képzésével. Más cégvezetők ugyanakkor menedzselt szolgáltatások igénybevételével adnának választ a kihívásra.
Az egyre szofisztikáltabb támadások megelőzése és kivédésük összetettsége miatt nem ritkán túl nagy feladatot jelent a belső IT-kapacitás számára. Ezért sok vállalatnak megéri az IT-rendszer biztonságának fokozását erre specializált szolgáltatóra bízni, amely rendelkezik az ehhez szükséges szaktudással és technológiai háttérrel. Ilyen az Antenna Hungária saját üzemeltetésű szolgáltatása, hatékony védelmet nyújtva a DoS és DDoS támadások ellen, a vállalati igényektől függően választható többféle csomagban.
Az Antenna Hungária DDoS védelmi szolgáltatásáról bővebben itt olvashat.