Monolit-IT - Blog

27.11.2019

Trendy cyberbezpieczeństwa 2019 i prognozy na 2020 rok

Liczba incydentów związanych z bezpieczeństwem IT rośnie i rosnąć będzie. To nieustający wyścig pomiędzy służbami bezpieczeństwa IT organizacji a cyberprzestępcami usiłującymi te zabezpieczenia złamać. Poznajmy więc trendy na 2019 oraz zastanówmy się nad prognozami na nadchodzący 2020 rok.

Gartner specjalizujący się w badaniu i definiowaniu trendów, w tym kierunków z zakresu zarządzania i wykorzystania technologii, zdefiniował 7 najważniejszych trendów w zakresie bezpieczeństwa i zarządzania ryzykiem na 2019 rok:

  1. Kwestie związane z podejmowaniem ryzykownych decyzji mają przełożenie na wyniki biznesowe.
  2. Wdrażane są centra operacji bezpieczeństwa kładące nacisk na wykrywanie i reagowanie na zagrożenia.
  3. Założenia dotyczące polityk bezpieczeństwa danych prioretetyzują nakłady na inwestycje organizacji w bezpieczeństwo danych.
  4. Autentykacja bez użycia hasła może przełożyć się na nieuprawniony wyciek informacji.
  5. Dostawcy produktów zabezpieczających coraz częściej oferują wysokiej jakości umiejętności/kompetencje i usługi szkoleniowe.
  6. Inwestycje w kompetencje w zakresie bezpieczeństwa w chmurze jako główny nurt platformy obliczeniowej.
  7. Zwiększenie obecności CARTA firmy Gartner na tradycyjnych rynkach bezpieczeństwa.

Z kolei Forbes Technology Council definiuje 5 trendów cyberbezpieczeństwa, na które należy zwrócić uwagę w 2019 roku. A są to:

  1. Ukierunkowane ataki phishingowe.
  2. Operacjonalizacja RODO.
  3. Zarządzanie urządzeniami zarządzanymi i niezarządzanymi.
  4. Świadomość użytkownika.
  5. Kontrola nad nieuprawnionym korzystaniem z niezatwierdzonego w organizacji oprogramowania.

To są trendy globalne, którym organizacje i firmy specjalizujące się w bezpieczeństwie IT powinny szczególnie się przyglądać. Prawdopodobnie w nadchodzącym 2020 roku trendy te, co do zasady, nie powinny ulec drastycznej zmianie.

Techniki przełamywania zabezpieczeń.

Wstrzyknięcie kodu (code injection) - kod malware jest wstrzykiwany do legalnego procesu (np. explorer.exe) w celu ukrycia się przed zabezpieczeniami.

Pakowanie (packing) - kod malware jest zaciemniany lub szyfrowany za pomocą programów pakujących i szyfrujących, aby analiza statyczna kodu była bezużyteczna.

Obchodzenie sandbox (sandbox evasion) - techniki omijania dynamicznej analizy kodu, np. opóźnione wykonania złośliwych działań, wyszukanie znanych nazw procesów, sprawdzenie czasu potrzebnego do zakończenia operacji w celu zidentyfikowania zwirtualizowanych systemów.

Wielofazowe droppery (multiphase droppers) - początkowy dropper najpierw sprawdza system, a następnie pobiera prawdziwy malware z serwera command/control (C2). Części payload mogą być zaszyfrowane i otrzymywać dynamicznie kod deszyfrowania z serwera C2.

Zmiany sposobu działania (breaking execution flow) - techniki służące do zmiany sposobu działania złośliwego oprogramowania znane dla zabezpieczeń, np. złośliwe oprogramowanie współdziała z przeglądarką (IExplorer.exe) i klientem poczty (Outlook.exe) za pomocą interfejsów Microsoft COM (component object model), których używanie jest trudne do monitorowania.

Bez dotykania dysku (living off the land) - złośliwe oprogramowanie wykorzystuje PowerShell do uruchamiania kodu w pamięci bez dotykania dysku i innych działań w celu ominięcia zabezpieczeń skanujących pobrane pliki.

Omijanie przechwytów OS (OS hooks evasion) - techniki pozwalające ominąć zabezpieczenia, które umieszczają wiele przechwytów nad interfejsami API, przechwytują niektóre wywołania interfejsu Windows API i alarmują o złośliwej aktywności, np. używanie nieudokumentowanych interfejsów API.

Jednak istnieją metody, aby oszukać intruzów w sieciach wewnętrznych organizacji. Można to nazwać oszukiwaniem oszusta.Służby Security IT mogą zastosować:

  • wabik (ang. decoy) - imitacja prawdziwego systemu, np. stacji roboczej, serwera, serwera bazy danych, drukarki, itp. W chwili gdy intruz dotrze do wabika, zainstalowany wcześniej system Fidelis Cybersecurity podnosi alarm,
  • okruszek (ang. breadcrumb) - informacja umieszczana w rzeczywistym systemie, która w razie gdy dostanie się tam intruz ma za zadanie przekierować go do wabika, np. wpis w rejestrze, wpis w AD, plik cookie, które prowadzą do wabika (tzn. okłamują włamywacza, że znalazł coś wartościowego).

Bardzo ważną technologią, nad którą pracuje między innymi firma Forcepoint jest analiza zachowań użytkownika i zrozumienie/nauka przez system sposobu jego działania. Technologia ta nosi nazwę UEBA (User and Entity Behavior Analitics).Nietypowe dla pojedynczego użytkownika działanie np. nagłe logowanie się z Nigerii jeśli użytkownik 2 godziny wcześniej logował się z Polski, czy bardzo nietypowe dla niego godziny logowania się do systemu powodują alert.


Zarządzanie bezpieczeństwem, automatyzacja i reagowanie (SOAR - Security Orchestration, Automation and Response) to rozwiązanie umożliwiające zespołom bezpieczeństwa IT na sprawne i szybkie identyfikowanie incydentów oraz ustalenie ścieżki priorytetów.

Wykrywanie punktu końcowego i odpowiedź (EDR - Endpoint Detection and Response) to szybko rozwijająca się dziedzina cyberbezpieczeństwa, która uzupełnia standardowe produkty służące zabezpieczeniu użytkowników (punktów) końcowych. Umożliwia skuteczniejszą ochronę przed wyrafinowanymi atakami a służbom bezpieczeństwa IT ich skuteczniejszym zarządzaniem.

Coraz więcej danych, często kluczowych dla organizacji, znajduje się w chmurze. CASB (Cloud Access Security Broker) to rozwiązanie umożliwiające:

  • monitorowanie działań użytkowników w chmurze SaaS,
  • wbudowane DLP lub integracja z zewnętrznymi DLP (ICAP),
  • kontrola współdzielenia danych w chmurze,
  • wykrywanie incydentów (User Behavior Analysis),
  • wymuszanie MFA,
  • API aplikacji SaaS,
  • Forward Proxy: endpoint agent, przekierowanie DNS,
  • Reverse Proxy: SSO w Identity-as-a-Service (przekierowanie SAML),
  • analiza logów FW i Proxy.

Widoczność i kontrola urządzenia (DVC - Device Visibility and Control) to rozwiązanie Forescout, które między innymi:

  • odpytuje przełączniki sieciowe, koncentratory VPN, punkty dostępowe i kontrolery WiFi ,
  • odbiera SNMP Traps z przełączników i kontrolerów,
  • monitoruje zapytania 802.1X na wbudowanym lub zewnętrznym serwerze RADIUS,
  • monitoruje zapytania DHCP, aby wykryć kiedy nowy host prosi o adres IP,
  • opcjonalnie monitoruje ruch sieciowy, taki jak ruch HTTP i banery,
  • uruchamia skanowanie Network Mapper (Nmap),
  • używa poświadczeń, aby uruchomić skanowanie na urządzeniu,
  • odbiera NetFlow,
  • importuje zewnętrzną klasyfikację adresów Media Access Control lub odpytuje LDAP,
  • monitoruje maszyny wirtualne w chmurze publicznej/prywatnej,
  • klasyfikuje urządzenia za pomocą protokołu Power over Ethernet with SNMP,
  • używa opcjonalnego agenta.

Warto zwrócić uwagę na monitorowanie bezpieczeństwa sieci OT. Umożliwia ono między innymi:

  • wykrywanie anomalii w sieci przemysłowej oparte na analizie zachowania i dopasowywaniu wzorców szkodliwej aktywności,
  • automatycznie wykrywanie zasobów, wizualizuje ścieżki komunikacyjne aż do najniższych poziomów sieci OT gdzie kontrolowane są procesy technologiczne,
  • pasywny system monitorowania - nie wywiera żadnego wpływu na sieć OT, nie jest wymagane aktywne skanowanie, nie ma potrzeby instalowania oprogramowania na urządzeniach końcowych,
  • wysyła alarmy bezpieczeństwa do systemu zarządzania i SOC.

Pamiętajmy, że cyberbezpieczeństwo jest obowiązkiem prawnym nałożonym na organizacje, w szczególnym zakresie dotyczącym danych osobowych (RODO) a każde naruszenie musi zostać zgłoszone organowi nadzorczemu. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia musi incydent zgłosić. Podobne wymagania nakłada ustawa o krajowym systemie cyberbezpieczeństwa - incydent poważny wymaga zgłoszenia do właściwego CSIRT niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia. Specjalistyczne narzędzia jak UEBA, EDR i SOAR mogą znacząco pomóc organizacjom w spełnieniu tych wymagań.

dr inż. Mariusz Stawowski

dr inż. Mariusz Stawowski

Odpowiada za rozwój strategii biznesowej oraz zarządzanie działem technicznym CLICO. Posiada 20-letnie doświadczenie w prowadzeniu projektów i audytów bezpieczeństwa. Posiada certyfikaty CISSP, CCISO i PRINCE2 Practitioner.

biuro(at)monolit-it.pl

Zobacz wszystkie artykuły danego autora >>
 
 

Tagi

Blog technologiczny Monolit IT

W Monolit IT chętnie dzielimy się wiedzą z zakresu technologii, rozwiązań IT, programowania, projektów czy budowy infrastruktury informatycznej. Naszego bloga piszemy sami. Macie wiedzę z pierwszej ręki od naszych inżynierów i wdrożeniowców z wieloletnim doświadczeniem. Zapraszamy!

czytaj więcej

kontakt

Z naszą wiedzą i doświadczeniem tworzymy profesjonalne i niezawodne rozwiązania IT.

Monolit IT Sp z o.o. Sąd Rejonowy Gdańsk-Północ w Gdańsku VIII Wydział Gospodarczy Krajowego Rejestru Sądowego, KRS: 0000280291 NIP: 958-155-93-85 REGON: 220431534 Wysokość kapitału zakładowego: 50 500 PLN





Monolit IT Sp. z o.o.
81-341 Gdynia
ul. Warsztatowa 12

tel: +48 58 763 30 00
fax: +48 58 763 30 10
e-mail: biuro@monolit-it.pl

Mapa Serwisu
Polityka Cookie
Projekty Unijne



Wszelkie Prawa zastrzeżone ©2020