Raport Internet Security Systems
W pierwszym kwartale 2001 i bieżącego roku, zanotowano 830 milionów alarmów i 2185 przypadków naruszenia bezpieczeństwa sieci teleinformatycznych na świecie – wynika z raportu opracowanego przez firmę Internet Security Systems (ISS).
Jak się okazuje, najwięcej ataków prowadzonych jest z terytorium USA, Chin i krajów europejskich – wiadomo to już dzięki przeprowadzonemu raportowi przez firmę Predictive Systems. Ogólny poziom zagrożenia oceniono jako wysoki, a prognozy na rok bieżący wskazują, że ryzyko to będzie rosnąć. Na wzrost zagrożenia cyberterroryzmem wpływa:
– pojawienie się hybryd,
– zaawansowanych programów atakujących sieci teleinformatyczne
– niski poziom świadomości w zakresie zabezpieczeń systemów IT.
Nową grupą szczególnie narażoną na ataki są dostawcy usług internetowych oraz małe i średnie przedsiębiorstwa. Badania przeprowadzono na podstawie monitoringu 350 systemów wykrywania intruzów RealSecure oraz 400 zapór ogniowych zarządzanych przez ISS Managed Security Services, a zainstalowanych w sieciach komputerowych największych przedsiębiorstw i organizacji rządowych na całym świecie.
Poziom zagrożeń spowodowanych atakami wirusów lub zablokowaniem usług DoS (Denial of Service) pozostaje na stałym poziomie. Największe niebezpieczeństwo obecnie wiąże się z rozprzestrzenianiem się hybryd będących kombinacją wirusów i różnorodnych automatycznych skryptów atakujących. Innym typem nowych działań cyberterrorystów jest automatyczne sondowanie możliwości dokonania ataku. Najbardziej znane hybrydy roku 2001 to Code Red, działający w lipcu i sierpniu, oraz Code Blue i Nimda z września. Z danych firmy ISS wynika, że najniższy poziom ataków dokonywanych przez Nimdę wynosił 600 na godzinę, najwyższy – ponad 8000 na godzinę, ze średnią około 3500. Hybrydy same się instalują i rozsyłają, z dużą łatwością oszukując oprogramowanie antywirusowe i zapory ogniowe, które wciąż pozostają kluczowym elementem pierwszej linii obrony. Z danych firmy ISS wynika, że około 70 procent całego ruchu będącego efektem działań cyberterrorystów, przechodzi przez port 80, który zwykle (w zaporach ogniowych) pozostaje otwarty, ponieważ większość działań biznesowych odbywa się poprzez protokół WWW (HTTP). Na ataki hybryd narażone są również wirtualne sieci prywatne (VPN).
Użytkownicy domowi, małe i średnie firmy oraz operatorzy Internetu (ISP) – to obecnie główne grupy szczególnie narażone na ataki cyberterrorystów. Powszechny dostęp do Internetu spowodował pojawienie się grupy użytkowników sieci nie dysponujących odpowiednią wiedzą i nie umiejących poprawnie administrować oraz zabezpieczać swoich komputerów. Przez komputery domowe i notebooki hybrydy przenikają do sieci korporacyjnych, wykorzystując komputery osobiste jako swoiste „stacje przesiadkowe”. Przykładem może być atak zanotowany przez firmę ISS na przełomie grudnia i stycznia – prawdopodobnie jako wynik podłączenia do Internetu komputerów zakupionych na Gwiazdkę, wyposażonych w nieaktualne oprogramowanie antywirusowe.
Z badań wynika także, że większość firm nie posiada kadry i zasobów pozwalających na wprowadzenie standardów rutynowego skanowania (analizowania podatności na włamanie) i naprawy swoich systemów. Aby skutecznie zapobiegać atakom ze strony hybryd chronione muszą być wszystkie poziomy infrastruktury IT – sieci, serwery, komputery, bramki i aplikacje. Na każdym z tych poziomów należy identyfikować i likwidować słabe punkty. Standardem zabezpieczającym przed ich destrukcyjną działalnością powinno stać się stosowanie dynamicznej, proaktywnej obrony będącej kombinacją zabezpieczeń antywirusowych, zapór ogniowych i detekcji włamań wraz z restrykcyjną polityką i procedurami regularnego aktualizowania oprogramowania i aplikowania programów korygujących.
W pierwszym kwartale bieżącego roku firma ISS zidentyfikowała 112 nowych wirusów i wykryła 537 istotnych słabych punktów, luk w systemach IT przez które może nastąpić włamanie. Według programu ISS AlertCon – systemu oceny poziomu bezpieczeństwa w Internecie prowadzonego przez firmę ISS – niezabezpieczone w żaden sposób urządzenie zostanie zaatakowane w czasie krótszym niż jeden dzień od podłączenia do Internetu.