Firma FireEye poinformowała o opublikowaniu piątego dorocznego raportu Mandiant M-Trends. W raporcie „Beyond the Breach”, opracowanym na podstawie analizy zaawansowanych zagrożeń wykrytych w 2013 r., podsumowano szczegółowo metody stosowane przez cyberprzestępców w celu złamania zabezpieczeń oraz kradzieży firmowych danych. Zaawansowane ataki pozostają niewykryte średnio przez 229 dni; tylko 1/3 przedsiębiorstw i instytucji udaje się wykryć włamania samodzielnie.
Raport zwraca też uwagę na nowych aktorów, wyłaniających się w branży globalnych cyberprzestępców, opisuje motywy ich działania, przykładowe cele ataków oraz rodzaje informacji, które chcą zdobyć.
"Trudno przecenić szybkość, z jaką cyberprzestępczość przekształciła się z niszowego problemu branży informatycznej, w utrapienie konsumentów i priorytetowe wyzwanie dla zarządów przedsiębiorstw. W ciągu minionego roku firma Mandiant obserwowała, że przedsiębiorstwa wprowadziły jedynie niewielkie udoskonalenia w swoich mechanizmach obrony przed atakami. Pozytywne jest to, że firmy szybciej wykrywają naruszenia zabezpieczeń, ale wciąż mają trudności w ich wykrywaniu we własnym zakresie. Naszym celem jest pokonanie tej bariery i dalsze wzmacnianie pozytywnych tendencji obserwowanych u naszych klientów" - powiedział Kevin Mandia, wiceprezes i dyrektor operacyjny firmy FireEye.
Oto niektóre z kluczowych wniosków raportu „Beyond the Breach” sformułowane w oparciu o incydenty bezpieczeństwa przeanalizowane przez Mandiant w 2013 roku:
• Coraz krótszy jest czas niezbędny do wykrycia naruszenia zabezpieczeń. Średnia liczba dni obecności atakujących w sieci ofiar przed ich wykryciem spadła z 243 dni w roku 2012 do 229 dni w roku 2013. Oznacza to dalszą poprawę w stosunku do 416 dni w roku 2011, choć mało pocieszający jest fakt, że przedsiębiorstwa i instytucje mogą wciąż przez lata nie zdawać sobie sprawy, że padły ofiarą skutecznego ataku. W 2013 roku najdłuższy stwierdzony czas takiej obecności atakującego w sieci ofiary, przed jego wykryciem, wynosił sześć lat i trzy miesiące!
• Większość przedsiębiorstw i instytucji musi jeszcze udoskonalić swoją zdolność do wykrywania włamań. W 2012 roku 37% organizacji wykryło włamania we własnym zakresie, natomiast w 2013 roku wskaźnik ten spadł do zaledwie 33%.
• Następstwem konfliktów politycznych są coraz częściej cyberataki skierowane przeciw przedsiębiorstwom i instytucjom prywatnym. W minionym roku Mandiant zareagowała na większą liczbę incydentów związanych z konfliktami politycznymi między krajami, w ramach których dokonano cyberataków skierowanych przeciw sektorowi prywatnemu. W szczególności Mandiant zareagowała na incydenty, w ramach których Syryjska Armia Elektroniczna (Syrian Electronic Army - SEA) złamała zabezpieczenia zewnętrznych serwisów internetowych i kont społecznościowych przedsiębiorstw i instytucji prywatnych, mając głównie na celu podniesienie poziomu ich świadomości na temat politycznych powodów swoich działań.
• Wiadomości e-mail wysłane w ramach ataków typu phishing najczęściej bazowały na zaufaniu do działów informatyki. W treści 44% odnotowanych phishingowych wiadomości e-mail próbowano się podszyć pod działy informatyki atakowanych przedsiębiorstw i instytucji. Zdecydowana większość tych wiadomości e-mail została wysłana we wtorek, środę lub czwartek.
• Podejrzani cyberprzestępcy z Iranu przeprowadzają rozpoznanie w sektorze energetycznym i w administracji publicznej różnych państw. Liczne dochodzenia w firmach z sektora energetycznego i agencjach rządowych wielu państw dotyczące podejrzanych sieciowych działań rozpoznawczych prowadzonych z Iranu świadczą o tym, że cyberprzestępcy z tego kraju aktywnie angażują się w działalność szpiegowską. Mimo tego, że podejrzani cyberprzestępcy z Iranu wydają się mniej sprawni niż ich odpowiednicy z innych krajów, nadal testują i rozwijają swoje umiejętności.
Pełna wersja raportu Mandiant M-trends jest dostępna na stronie
www.mandiant.com/m-trends2014.
Źródło: FireEye