Monolit-IT - Blog - szczegóły

Baza wiedzy

Trendy cyberbezpieczeństwa 2019 i prognozy na 2020 rok

27.11.2019

Liczba incydentów związanych z bezpieczeństwem IT rośnie i rosnąć będzie. To nieustający wyścig pomiędzy służbami bezpieczeństwa IT organizacji a cyberprzestępcami usiłującymi te zabezpieczenia złamać. Poznajmy więc trendy na 2019 oraz zastanówmy się nad prognozami na nadchodzący 2020 rok.

Gartner specjalizujący się w badaniu i definiowaniu trendów, w tym kierunków z zakresu zarządzania i wykorzystania technologii, zdefiniował 7 najważniejszych trendów w zakresie bezpieczeństwa i zarządzania ryzykiem na 2019 rok:

  1. Kwestie związane z podejmowaniem ryzykownych decyzji mają przełożenie na wyniki biznesowe.
  2. Wdrażane są centra operacji bezpieczeństwa kładące nacisk na wykrywanie i reagowanie na zagrożenia.
  3. Założenia dotyczące polityk bezpieczeństwa danych prioretetyzują nakłady na inwestycje organizacji w bezpieczeństwo danych.
  4. Autentykacja bez użycia hasła może przełożyć się na nieuprawniony wyciek informacji.
  5. Dostawcy produktów zabezpieczających coraz częściej oferują wysokiej jakości umiejętności/kompetencje i usługi szkoleniowe.
  6. Inwestycje w kompetencje w zakresie bezpieczeństwa w chmurze jako główny nurt platformy obliczeniowej.
  7. Zwiększenie obecności CARTA firmy Gartner na tradycyjnych rynkach bezpieczeństwa.

Z kolei Forbes Technology Council definiuje 5 trendów cyberbezpieczeństwa, na które należy zwrócić uwagę w 2019 roku. A są to:

  1. Ukierunkowane ataki phishingowe.
  2. Operacjonalizacja RODO.
  3. Zarządzanie urządzeniami zarządzanymi i niezarządzanymi.
  4. Świadomość użytkownika.
  5. Kontrola nad nieuprawnionym korzystaniem z niezatwierdzonego w organizacji oprogramowania.

To są trendy globalne, którym organizacje i firmy specjalizujące się w bezpieczeństwie IT powinny szczególnie się przyglądać. Prawdopodobnie w nadchodzącym 2020 roku trendy te, co do zasady, nie powinny ulec drastycznej zmianie.

Techniki przełamywania zabezpieczeń.

Wstrzyknięcie kodu (code injection) - kod malware jest wstrzykiwany do legalnego procesu (np. explorer.exe) w celu ukrycia się przed zabezpieczeniami.

Pakowanie (packing) - kod malware jest zaciemniany lub szyfrowany za pomocą programów pakujących i szyfrujących, aby analiza statyczna kodu była bezużyteczna.

Obchodzenie sandbox (sandbox evasion) - techniki omijania dynamicznej analizy kodu, np. opóźnione wykonania złośliwych działań, wyszukanie znanych nazw procesów, sprawdzenie czasu potrzebnego do zakończenia operacji w celu zidentyfikowania zwirtualizowanych systemów.

Wielofazowe droppery (multiphase droppers) - początkowy dropper najpierw sprawdza system, a następnie pobiera prawdziwy malware z serwera command/control (C2). Części payload mogą być zaszyfrowane i otrzymywać dynamicznie kod deszyfrowania z serwera C2.

Zmiany sposobu działania (breaking execution flow) - techniki służące do zmiany sposobu działania złośliwego oprogramowania znane dla zabezpieczeń, np. złośliwe oprogramowanie współdziała z przeglądarką (IExplorer.exe) i klientem poczty (Outlook.exe) za pomocą interfejsów Microsoft COM (component object model), których używanie jest trudne do monitorowania.

Bez dotykania dysku (living off the land) - złośliwe oprogramowanie wykorzystuje PowerShell do uruchamiania kodu w pamięci bez dotykania dysku i innych działań w celu ominięcia zabezpieczeń skanujących pobrane pliki.

Omijanie przechwytów OS (OS hooks evasion) - techniki pozwalające ominąć zabezpieczenia, które umieszczają wiele przechwytów nad interfejsami API, przechwytują niektóre wywołania interfejsu Windows API i alarmują o złośliwej aktywności, np. używanie nieudokumentowanych interfejsów API.

Jednak istnieją metody, aby oszukać intruzów w sieciach wewnętrznych organizacji. Można to nazwać oszukiwaniem oszusta.Służby Security IT mogą zastosować:

  • wabik (ang. decoy) - imitacja prawdziwego systemu, np. stacji roboczej, serwera, serwera bazy danych, drukarki, itp. W chwili gdy intruz dotrze do wabika, zainstalowany wcześniej system Fidelis Cybersecurity podnosi alarm,
  • okruszek (ang. breadcrumb) - informacja umieszczana w rzeczywistym systemie, która w razie gdy dostanie się tam intruz ma za zadanie przekierować go do wabika, np. wpis w rejestrze, wpis w AD, plik cookie, które prowadzą do wabika (tzn. okłamują włamywacza, że znalazł coś wartościowego).

Bardzo ważną technologią, nad którą pracuje między innymi firma Forcepoint jest analiza zachowań użytkownika i zrozumienie/nauka przez system sposobu jego działania. Technologia ta nosi nazwę UEBA (User and Entity Behavior Analitics).Nietypowe dla pojedynczego użytkownika działanie np. nagłe logowanie się z Nigerii jeśli użytkownik 2 godziny wcześniej logował się z Polski, czy bardzo nietypowe dla niego godziny logowania się do systemu powodują alert.


Zarządzanie bezpieczeństwem, automatyzacja i reagowanie (SOAR - Security Orchestration, Automation and Response) to rozwiązanie umożliwiające zespołom bezpieczeństwa IT na sprawne i szybkie identyfikowanie incydentów oraz ustalenie ścieżki priorytetów.

Wykrywanie punktu końcowego i odpowiedź (EDR - Endpoint Detection and Response) to szybko rozwijająca się dziedzina cyberbezpieczeństwa, która uzupełnia standardowe produkty służące zabezpieczeniu użytkowników (punktów) końcowych. Umożliwia skuteczniejszą ochronę przed wyrafinowanymi atakami a służbom bezpieczeństwa IT ich skuteczniejszym zarządzaniem.

Coraz więcej danych, często kluczowych dla organizacji, znajduje się w chmurze. CASB (Cloud Access Security Broker) to rozwiązanie umożliwiające:

  • monitorowanie działań użytkowników w chmurze SaaS,
  • wbudowane DLP lub integracja z zewnętrznymi DLP (ICAP),
  • kontrola współdzielenia danych w chmurze,
  • wykrywanie incydentów (User Behavior Analysis),
  • wymuszanie MFA,
  • API aplikacji SaaS,
  • Forward Proxy: endpoint agent, przekierowanie DNS,
  • Reverse Proxy: SSO w Identity-as-a-Service (przekierowanie SAML),
  • analiza logów FW i Proxy.

Widoczność i kontrola urządzenia (DVC - Device Visibility and Control) to rozwiązanie Forescout, które między innymi:

  • odpytuje przełączniki sieciowe, koncentratory VPN, punkty dostępowe i kontrolery WiFi ,
  • odbiera SNMP Traps z przełączników i kontrolerów,
  • monitoruje zapytania 802.1X na wbudowanym lub zewnętrznym serwerze RADIUS,
  • monitoruje zapytania DHCP, aby wykryć kiedy nowy host prosi o adres IP,
  • opcjonalnie monitoruje ruch sieciowy, taki jak ruch HTTP i banery,
  • uruchamia skanowanie Network Mapper (Nmap),
  • używa poświadczeń, aby uruchomić skanowanie na urządzeniu,
  • odbiera NetFlow,
  • importuje zewnętrzną klasyfikację adresów Media Access Control lub odpytuje LDAP,
  • monitoruje maszyny wirtualne w chmurze publicznej/prywatnej,
  • klasyfikuje urządzenia za pomocą protokołu Power over Ethernet with SNMP,
  • używa opcjonalnego agenta.

Warto zwrócić uwagę na monitorowanie bezpieczeństwa sieci OT. Umożliwia ono między innymi:

  • wykrywanie anomalii w sieci przemysłowej oparte na analizie zachowania i dopasowywaniu wzorców szkodliwej aktywności,
  • automatycznie wykrywanie zasobów, wizualizuje ścieżki komunikacyjne aż do najniższych poziomów sieci OT gdzie kontrolowane są procesy technologiczne,
  • pasywny system monitorowania - nie wywiera żadnego wpływu na sieć OT, nie jest wymagane aktywne skanowanie, nie ma potrzeby instalowania oprogramowania na urządzeniach końcowych,
  • wysyła alarmy bezpieczeństwa do systemu zarządzania i SOC.

Pamiętajmy, że cyberbezpieczeństwo jest obowiązkiem prawnym nałożonym na organizacje, w szczególnym zakresie dotyczącym danych osobowych (RODO) a każde naruszenie musi zostać zgłoszone organowi nadzorczemu. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia musi incydent zgłosić. Podobne wymagania nakłada ustawa o krajowym systemie cyberbezpieczeństwa - incydent poważny wymaga zgłoszenia do właściwego CSIRT niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia. Specjalistyczne narzędzia jak UEBA, EDR i SOAR mogą znacząco pomóc organizacjom w spełnieniu tych wymagań.

Zainteresował Cię ten wpis?
Chcesz dowiedzieć się więcej?

dr inż. Mariusz Stawowski

dr inż. Mariusz Stawowski

Odpowiada za rozwój strategii biznesowej oraz zarządzanie działem technicznym CLICO. Posiada 20-letnie doświadczenie w prowadzeniu projektów i audytów bezpieczeństwa. Posiada certyfikaty CISSP, CCISO i PRINCE2 Practitioner.

biuro(at)monolit-it.pl

Zobacz wszystkie artykuły danego autora »