Közvetlenül a CLOUDSEC 2018 előtt tette közzé féléves jelentését (Midyear Security Roundup 2018) a Trend Micro. A Londonban szeptember elején megrendezett konferencia előadásai az emberi és a mesterséges intelligencia dinamikusan fejlődő kapcsolatát a kiberfenyegetések és -védelem összefüggésében vizsgálták, így a friss elemzés eredményeire több ponton is hivatkozhattak.
Január és június között a kriptopénzeket bányászó bűnözők bizonyultak a legaktívabbnak. A múlt év első hat hónapjához képest 956 százalékkal nőtt a számítógépes erőforrások megszerzését célzó támadások száma, de ha 2017 egészéhez viszonyítunk, az idei év első fele akkor is 96 százalékos növekedést hozott. Mindez arra utal, hogy a kiberbűnözők a kisebb bevétellel kecsegtető, de gyorsan fizető zsarolóprogramos támadások helyett - amelyek nem is olyan rég még az online alvilág slágerének számítottak - ma már inkább a színfalak mögé bújnak, és a lassabb, de a konyhára sokkal többet hozó módszereket részesítik előnyben. Az erőforrás-igényes kriptopénz-bányászathoz az áldozatok feldolgozási kapacitását megszerző akcióik pontosan ilyenek.
- Évek óta tapasztaljuk a trendet, amelyet a fenyegetési környezet mostani változása is tükröz - mondta Jon Clay, a Trend Micro globális fenyegetéskommunikációs igazgatója -, a kiberbűnözők folyamatosan változtatnak eszközeiken, taktikájukon és eljárásaikon, hogy minél több számítógépet keríthessenek hatalmukba, és a lehető legnagyobb zsákmányra tehessenek szert. A vaktában lövöldöző, a nagy számok törvényében bízó támadások, mint például a zsarolóprogramokkal végrehajtott akciók és a tömeges adatlopások az utóbbi években túlságosan elterjedtek, ismertté váltak, ezért a kiberbűnözők ismét taktikát váltottak, és a háttérben lopakodva, eddig kevéssé vagy egyáltalán nem alkalmazott módszerekkel próbálnak behatolni a kiszemelt áldozatok rendszereibe. Válaszul a szervezetek informatikai biztonságáért felelő vezetőknek is folyamatosan újra kell értékelniük és szükség szerint továbbfejleszteniük kibervédelmüket, hogy az mindig helytálljon a legfrissebb és leginkább fenyegető támadásokkal szemben is.
Soha nem látott fenyegetések
A rosszindulatú szoftverek olyan szokatlan típusai ütötték fel fejüket az év első felében, mint a fileless, a macro és a small file malware. A múlt év második feléhez képest a Trend Micro idén január és június között például 250 százalékos növekedést mért a small file kategóriába tartozó TinyPOS aktivitásában. Ezek az egzotikus kártevők könnyen kijátsszák a csupán egyfajta védelmet adó kiberbiztonsági megoldások éberségét. A fájl nélküli (fileless) fenyegetések például azért kapták nevüket, mert jellemzően a megtámadott rendszer memóriájában futnak vagy beállításjegyzékében, konfigurációs adatbázisában lapulnak meg, így működésükhöz nem használnak a gép helyi tárolójára írt bináris fájlokat. Mondhatnánk úgy is, hogy ezek a kártevők a papírmunkát mellőzve, röptében pusztítanak - injektálják magukat a futó alkalmazásokba, vagy olyan, legitim eszközökben futtatnak le kódrészeket, mint a PowerShell. A fájl nélküli fenyegetések aktivitása ezért csak közvetett módon, speciális kódfuttatási események valós idejű figyelésével és elemzésével, például a gépi tanulás, a mesterséges intelligencia képességeivel bíró eszközökkel érhető tetten.
Januártól júniusig a Trend Micro Zero Day Initiative (ZDI) programja - amelyben több mint 3 ezer független kiberbiztonsági kutató vesz részt - hatszáznál több nulladik napi sérülékenységet publikált, ami szintén növekedést mutat a múlt év második felében közzétett 578-hoz képest. Közülük azonban csupán 23 jelent meg úgy, hogy a szoftver szállítója a megadott határidőre nem készült el a javítással, ami azért biztató.
Aggasztó viszont az ipari felügyelő, vezérlő és adatgyűjtő rendszerek - ezzel együtt a kritikus infrastruktúrák - biztonságára nézve, hogy a ZDI kétszer annyi SCADA-sérülékenységet talált, mint a múlt év azonos időszakában, de a növekedés 2017 második feléhez mérten is 30 százalékos volt. A SCADA-rendszerekben felfedezett sérülékenységek 65 százalékát a kutatók az Advantech webalapú HMI (human-machine interface) szoftverében találták. A SCADA HMI digitális csomópontként segíti a kritikus infrastruktúrák központi menedzselését, a működést vezérlő, különböző rendszerek állapotának áttekintését. Bár korlátozott mértékben fér hozzá az egyes folyamatokhoz, azokról diagnosztikai adatokat gyűjt, hogy összevesse őket a célul megjelölt szintekkel, ezért a benne lévő adatok hírszerzés szempontjából nagyon is értékesek lehetnek a kiberbűnözők számára. Nem kizárt persze az sem, hogy a támadók továbbmennek a puszta kémkedésnél, és a feltört HMI rendszerben átállítják például a veszélyes anyagokat tartalmazó tartályok telítettségét jelző értékeket, így azok túlcsordulnak, a megrongált eszközök kiesésével a folyamatok is leállnak, és még nagyobb kárt okoznak. Ma még kevéssé jellemzőek az ilyen típusú támadások, de kockázatuk nagyon is valós, amivel a kritikus infrastruktúrák védelmével megbízott vezetőknek mindenképpen számolniuk kell, figyelmeztet jelentésében a Trend Micro.
Kétszeresen is fontossá vált az idei év első felétől a SCADA-sérülékenységek kezelése az Európai Unió területén működő szervezetek meghatározott körén belül. A sokkal ismertebb GDPR mellett májusban ugyanis hatályba lépett az Európai Bizottság NIS irányelve (Network and Information Security Directive) is, amelynek értelmében a kritikus infrastruktúrát működtető - pénzügyi, távközlési, energetikai, egészségügyi és más - szolgáltatóknak azonnal jelenteniük kell a hatóságoknak, ha olyan kiberbiztonsági eseményt élnek meg, amely érezhetően kihat tevékenységükre. Ennek elmulasztása esetén az érintett szervezetek ugyanolyan súlyos, éves bevételük 4 százalékát vagy 20 millió eurót elérő bírságra számíthatnak, mint amilyen a GDPR esetében is kiróható.
A lakossági, illetve irodai felhasználásra készült szofverek kategóriájában az Adobe termékeiben találták a ZDI kutatói a legtöbb nulladik napi sérülékenységet. Nem túl jó hír, hogy a sérülékenységekkel az alternatív PDF-olvasóként számon tartott Foxitnak is meggyűlt a baja az első félévben. A Microsoft szoftvereiben felfedezett sérülékenységek harmadát a két böngésző, az Internet Explorer és az Edge jegyezte ebben az időszakban, míg a többit főleg a Windows.
Rés a vason
Januárban a Google azzal indította az évet, hogy bejelentette, komoly biztonsági résre bukkant az Intel és az AMD, valamint az ARM processzorokban. A Meltdown és a Spectre kártevőkkel megcélozva ezeket a CPU-utasítások végrehajtásával összefüggő sérülékenységeket a kibertámadók olyan információkhoz férhettek hozzá, amelyeket eddig alapvetően elszigeteltnek, a fenyegetésekkel szemben immunisnak hittünk.
A szoftverek sérülékenységeivel szemben - amelyek jellemzően egy-egy operációs rendszer vagy alkalmazás meghatározott verzióira korlátozódnak, így egyetlen szállító is javítani tudja őket - a hardver biztonsági rései egészen más léptékű kihívás elé állítják az iparág egészét és a vállalati hálózatukat védeni próbáló szervezeteket is. A hasonló felfedezések arra figyelmeztetnek, hogy a teljes informatikai ökoszisztéma már hosszabb ideje alapjaiban sérülékeny lehet, és valószínűleg további, mélyen gyökerező biztonsági rések is megbújnak benne. Még aggasztóbb, hogy ez a kiberbűnözők és más agresszorok figyelmét sem kerüli el, és az eddiginél aktívabban kereshetik a támadási felületeket ezen a szinten is.
Éppen ezért egy percig sem lehet kétséges a vállalati rendszerek biztonságáért felelő informatikai szakemberek számára, hogy a rájuk bízott hálózatban található minden eszközt folyamatosan frissíteniük és javítaniuk kell, de a gyakorlatban ez nem ilyen egyszerű. A felfedezett sérülékenységeket javító csomagokat kibocsátó hardver- és szoftverszállítók eltérő ütemezése miatt a frissítéseket nehéz összehangolni és úgy menedzselni, hogy ne okozzon fennakadást a napi munkában. Ráadásul az informatikai vezetőknek és a rendszeradminisztrátoroknak mérlegelniük kell azt is, hogy a javítások telepítésével a teljesítményből mennyit készek feláldozni a biztonság oltárán.
Bár újabb rendszerekkel is megesik, hogy javítást követően lassulnak, esetleg el sem indíthatók, a régebbi verziójú szoftvereket futtató gépek különösen ki vannak téve a teljesítménycsökkenés kockázatának. Minthogy a kritikus infrastruktúrákban igen elterjedtek az örökölt rendszerek, működtetőiknek nagy gondot kell fordítaniuk kibervédelmük fejlesztésére, figyelmeztet jelentésében a Trend Micro. Érdemes ehhez olyan szállító megoldásaira és szakértelmére támaszkodniuk, amely átfogó és többrétegű védelmet ad mind az elterjedt és ismert, mind az újonnan felbukkanó egzotikus fenyegetésekkel szemben.