Analiza rzeczywistych wdrożeń dowodzi istnienia krytycznych błędów w większości architektur cyberzabezpieczeń nieobejmujących rozwiązań FireEye

Firma FireEye Inc., opublikowała raport zatytułowany „Cybersecurity’s Maginot Line: A Real-world Assessment of the Defense-in-Depth Model” (Linia Maginota w cyberbezpieczeństwie: rzeczywista ocena modelu ochrony wielowarstwowej). W tym pionierskim badaniu przeanalizowano dane z ataków wychwyconych przez urządzenia zabezpieczające FireEye w 1217 przedsiębiorstwach z całego świata. Firmy te testowały platformę FireEye od października 2013 r. do marca 2014 r., nie były jednak jeszcze objęte jej ochroną. Raport z przeprowadzonego badania w wyjątkowy sposób pozwala przyjrzeć się skuteczności istniejących zabezpieczeń w rzeczywistych środowiskach. Wynika z niego, że oparte na sygnaturach zapory (firewall), systemy zapobiegania włamaniom (IPS), bramy internetowe, szablonowe sandbox-y i oprogramowanie antywirusowe — oraz różne kombinacje tych narzędzi — nie blokują ataków w pełni skutecznie aż w 97% przedsiębiorstw, które je stosują.

„Współczesne zaawansowane zagrożenia i stojący za nimi cyberprzestępcy nie mają litości. Ataki mają coraz bardziej niepowtarzalny charakter i szybko się zmieniają, co sprawia, że można je zidentyfikować i zatrzymać dopiero po ich nastąpieniu”

— powiedział David DeWalt, prezes i dyrektor generalny firmy FireEye.

„Rezultaty odnotowane przez firmy testujące nasze produkty na całym świecie dowodzą, że bardzo potrzebne są wyspecjalizowane rozwiązania stworzone z myślą o wykrywaniu zaawansowanych zagrożeń i ochronie przed nimi. Atakujący znajdują coraz więcej sposobów na ukrycie się w świecie rzeczywistym, ale nasza umiejętność wykrywania wielu wektorów ataków przez nich stosowanych, pomoże naszym klientom być nadal o krok przed przestępcami”.

Najważniejsze wnioski z opublikowanego raportu:

  • W niemal wszystkich przedsiębiorstwach (97%) doszło do naruszenia bezpieczeństwa, co oznacza, że co najmniej jeden cyberprzestępca pokonał wszystkie warstwy ich architektury zabezpieczeń.

  • Ponad jedna czwarta (27%) wszystkich przedsiębiorstw miała do czynienia ze zdarzeniami typowymi dla narzędzi i taktyk stosowanych w zaawansowanych atakach o długotrwałym działaniu (APT).

  • W trzech czwartych przedsiębiorstw odnotowano aktywną komunikację na zewnątrz (tzw. Command&Control), co sugeruje, że atakujący uzyskali kontrolę nad zaatakowanymi systemami i mogli już pozyskać z nich dane.

  • Nawet po skutecznym ataku, cyberprzestępcy w dalszym ciągu próbują pokonać zabezpieczenia typowej firmy średnio częściej niż raz w tygodniu (1,6-krotnie).

  • Ataki typu „software exploits” oraz „drive-by-download” stosowane przez cyberprzestępców pokonywały średnio inne warstwy zabezpieczeń odpowiednio 1,51 i 122 razy.

Raport szczegółowo przedstawia skalę zaawansowanych ataków o długotrwałym działaniu i ich skuteczność względem tradycyjnych cyberzabezpieczeń. 348 uczestników testów wzięło też udział w ankiecie, co pozwoliło stworzyć kompleksowy obraz ich architektur zabezpieczeń oraz porównać rozwiązania poszczególnych dostawców dla każdej warstwy typowej architektury ochronnej.

Opublikowany raport oferuje dogłębną analizę przygotowaną przez dział FireEye Labs. Wyjaśniono w niej, dlaczego cyberzprzestępcy tak łatwo pokonują tradycyjne zabezpieczenia, czego szukają i jak funkcjonują stosowane przez nich procesy. Dokument zawiera też dalsze porady analityków firmy FireEye na temat dostosowywania budżetów na cyberochronę adekwanie do współczesnych zagrożeń w świecie rzeczywistym.

Pełną wersję raportu można znaleźć tutaj: „Cybersecurity’s Maginot Line: A Real-world Assessment of the Defense-in-Depth Model”.

Źródło: FireEye