Cisco évközi biztonsági jelentésében a gyenge láncszemek és biztonsági rések

A Cisco közzétette Cisco 2014 Midyear Security Report évközi adatbiztonsági jelentését, amely a vállalatok gyenge pontjait vizsgálja. Ezek a gyenge pontok – amelyek lehetnek elavult szoftverek, rossz kódok, elhagyott digitális eszközök vagy felhasználói hibák – nagymértékben hozzájárulnak ahhoz, hogy a támadók kihasználják a sérülékenységeket.

A Cisco közzétette Cisco 2014 Midyear Security Report évközi adatbiztonsági jelentését, amely a vállalatok gyenge pontjait vizsgálja. Ezek a gyenge pontok – amelyek lehetnek elavult szoftverek, rossz kódok, elhagyott digitális eszközök vagy felhasználói hibák – nagymértékben hozzájárulnak ahhoz, hogy a támadók kihasználják a sérülékenységeket.

Napjainkban elsősorban a nagy visszhangot kiváltó sérülékenységekre összpontosul a figyelem. Ezt a támadók is tudják, így – miközben a biztonsági szakemberek a Heartbleed-hez hasonló nagy horderejű incidensekre koncentrálnak -,  a kevésbé szembeötlő, régebbi alkalmazások és infrastruktúrák ismert sérülékenységeit kihasználó támadások gyorsabban terjedhetnek.

 "A Minden a hálón és a dolgok internete trendek alapvetően változtatják meg az IT biztonság terepét" – mondta Ács György, a Cisco regionális hálózatbiztonsági szakértője. „A biztonsági lánc elemzése és a gyenge láncszemek megtalálása elsősorban attól függ, hogy az egyes szervezetek és iparágak mennyire képesek felmérni az informatikai veszélyforrások és a kiberbiztonság jelentőségét. A vállalatoknak az egész támadási kontinuum, azaz a támadás előtti, alatti és utáni időszak lefedéséhez a támadási felületek széles spektrumára kell felkészülniük olyan biztonsági megoldásokkal, amelyek a veszélyforrások minden lehetséges felbukkanási pontján jól működnek."

A jelentés kiemeli, hogy a széles körben elterjedt Blackhole exploit kit készítőjének tavalyi letartóztatása óta 87%-kal csökkent az exploit kitek száma. A 2014 első felében megfigyelt exploit kitek közül több is megpróbált beférkőzni a Blackhole által korábban uralt területre, de a szektornak egyelőre még nincs új éllovasa.

A Cisco biztonságtechnikai kutatói szerint továbbra is a Java viseli a kártevők által leginkább kihasznált programozási nyelv kétes dicsőségű címét. A Cisco 2014 Annual Security Report szerint a behatolási okok (Indicators of compromise – IoC) között a Java sebezhetőségeinek kihasználása a 2013 novemberi 91%-os csúcs után 2014 májusára újabb rekordmagasságba, 93%-ra növekedett.

Az elemzés szerint a vertikális piacokon szokatlan módon elszaporodtak a malware programok. 2014 első felében a gyógyszer- és vegyipar a webes kártevőket tekintve ismét a három legmagasabb kockázatú piac között szerepelt. Az első helyen a média áll, ahol az átlag közel négyszerese volt a webes kártevők előfordulásának száma.

A jelentés további fontosabb megállapításai

A szakemberek 16 multinacionális szervezetet vizsgáltak, amelyek összvagyona a 2013-as adatok szerint meghaladta a 4 billió dollárt, bevételük pedig a 300 milliárdot. Az elemzés három lényeges területre mutatott rá:

o       A Man-in-the-Browser (MitB) támadások komoly veszélyt jelentenek a vállalatokra nézve: A 2014-ben vizsgált hálózatok több mint 94 százalékánál derült fény kártevőket tartalmazó weboldalak felé irányuló forgalomra. A felmérés azokat a Domain Name System (DNS)-kéréseket sorolta ide, amelyek Palevo, SpyEye és Zeus nevű, MitB funkciókat is tartalmazó kártevőkhöz kapcsolódtak.

o       Botnetek: A hálózatok több mint 70%-a küldött DNS-lekérdezéseket dinamikus DNS (DDNS) tartományokra, amely azt bizonyítja, hogy ezeket a hálózatokat visszaélésekhez, esetleg botnetekhez használták. Egy vállalati hálózatban kevés olyan kimenő kapcsolati kísérlet van, amely jogszerűen keres DDNS-tartományokat, az ilyen kérések általában egy botnet álcázását szolgálják.

o       Lopott adatok titkosítása: A vizsgált hálózatok közel 44%-a küldött DNS-kérelmet olyan oldalakra, amelyeket kiberbűnözők használtak nyomaik eltüntetésére. Ezekben az esetekben az elkövetők titkosított VPN, SSH, SFTP, FTP vagy FTPS kapcsolaton keresztül mentettek ki adatokat.