Informacje zawarte w raporcie ułatwiają przedsiębiorstwom i instytucjom rządowym rozeznanie sytuacji w zakresie zagrożeń oraz ocenę stanu swojego bezpieczeństwa. Raport wskazuje na stale zmieniającą się motywację hakerów, co ma związek z rosnącym znaczeniem grup „haktywistów”, takich jak Anonymous i LulzSec, które przeprowadzają dobrze zorganizowane ataki w odwecie za działania postrzegane przez nich jako niekorzystne. Oprócz zmiany motywacji, dokonuje się postęp w zakresie technik ataków, które wskutek naruszenia bezpieczeństwa coraz częściej kończą się powodzeniem. W efekcie przedsiębiorstwa i instytucje rządowe mają do czynienia z nowymi wyzwaniami w obszarach oceny i eliminowania ryzyka.
Dawniej liczba ujawnianych rocznie podatności była wskaźnikiem aktualnego stanu bezpieczeństwa, ułatwiającym przedsiębiorstwom i instytucjom wyznaczenie priorytetów obrony. Z raportu HP wynika, że obecnie sama liczba ujawnianych luk nie jest miarodajnym wskaźnikiem sytuacji w obszarze bezpieczeństwa. Pomimo stale spadającej liczby nowo ujawnionych luk, występuje duża liczba podatności nieujawnionych, nieznanych szerzej w branży bezpieczeństwa.
– Aby ochronić przedsiębiorstwa i instytucje przed różnego rodzaju atakami, powołaliśmy międzynarodowy zespół ekspertów w dziedzinie bezpieczeństwa, którzy poszukują nieujawnionych podatności – powiedział Michael Callahan, wiceprezes ds. światowego marketingu produktów i rozwiązań, dział enterprise security products w HP. – Informacje uzyskane dzięki tym badaniom są wykorzystywane przy opracowywaniu rozwiązań naszej firmy służących do zabezpieczenia przedsiębiorstw. Staramy się w ten sposób prewencyjnie zmniejszać ryzyko.
Nowe okoliczności powstawania luk w zabezpieczeniach
Od 2006 r. liczba nowo ujawnianych luk w zabezpieczeniach aplikacji komercyjnych powoli spada i w 2011 r. była mniejsza o prawie 20% w porównaniu z poprzednim rokiem. Jednak z raportu wynika, że spadek ten nie oznacza zmniejszenia ryzyka. Jest on spowodowany kilkoma czynnikami, między innymi pojawieniem się czarnego rynku wymiany informacji o lukach w zabezpieczeniach. Ponadto rozpowszechnienie się aplikacji internetowych tworzonych na zamówienie, takich jak sklepy internetowe, otworzyło pole dla wyjątkowych, ukierunkowanych ataków, których wykrycie i wyeliminowanie wymaga dużej wiedzy.
Oto najważniejsze wnioski z raportu:
• Chociaż liczba doniesień o nowych lukach w zabezpieczeniach spada, liczba ataków w drugim półroczu 2011 r. wzrosła ponad dwukrotnie (wg pomiarów systemów zapobiegania włamaniom HP TippingPoint).
• Prawie 24% wykrytych w 2011 r. podatności w aplikacjach komercyjnych to luki o stopniu istotności 8-10. Takie luki mogą prowadzić do zdalnego wykonania kodu, co jest najbardziej niebezpiecznym rodzajem ataku.
• Ok. 36% wszystkich podatności występuje w komercyjnych aplikacjach internetowych.
• Ok. 86% aplikacji internetowych jest podatnych na atak typu „injection”, tzn. polegających na uzyskaniu przez hakera dostępu za pośrednictwem serwisu do jego wewnętrznej bazy danych.
• W 2011 r. nadal były popularne zestawy narzędziowe ułatwiające przeprowadzenie ataku z wykorzystaniem określonej luki, (tzw. exploit toolkit), co wynika z dużej skuteczności takiej metody. Takie „zestawy do ataków”, sprzedawane w sieci, umożliwiają hakerom dostęp to systemów informatycznych przedsiębiorstw i kradzież poufnych danych. Na przykład zestaw Blackhole Exploit Kit, używany przez większość przestępców internetowych, uzyskał pod koniec listopada 2011 r. wskaźnik skutecznego infekowania wynoszący ponad 80%, co jest niezwykle wysoką wartością.
Metodyka
Cyber Security Risks Report jest publikowany od 2009 r. w cyklu półrocznym przez HP DVLabs – wysokiej klasy ośrodek badawczy zajmujący się analizą i wykrywaniem podatności w systemach IT. HP DVLabs analizuje dane dotyczące wykorzystania podatności, gromadzone z tysięcy zainstalowanych systemów HP TippingPoint. Dane są następnie korelowane z informacjami z następujących źródeł:
• Zero Day Initiative – realizowany pod nadzorem HP DVLabs program badawczy mający na celu podnoszenie poziomu bezpieczeństwa poprzez rozpoznawanie wad oprogramowania umożliwiających ataki i naruszenia bezpieczeństwa.
• Open Source Vulnerability Database – niezależna baza danych oparta na modelu open source, utworzona i wykorzystywana przez środowisko specjalistów w zakresie luk w zabezpieczeniach.
• Dane nt. aplikacji internetowych pochodzące z grupy ds. badań bezpieczeństwa internetowego (Web Security Research Group) w HP Fortify Application Security Center – ośrodku, który ułatwia specjalistom ds. bezpieczeństwa i zapewnienia jakości oraz programistom zabezpieczanie aplikacji internetowych w przedsiębiorstwach, a także w działach HP Software Professional Services i HP Fortify on Demand.
Dane z HP DVLabs są także przekazywane do HP Information Security Pulse – bezpłatnej aplikacji mobilnej, która umożliwia specjalistom ds. bezpieczeństwa informatycznego monitorowanie w czasie rzeczywistym aktualnych tendencji w zakresie ataków internetowych. Aplikacja ta jest obecnie dostępna na platformę HP webOS, a wkrótce zostanie udostępniona także na urządzenia z systemami Apple iOS oraz Android.
W dniach 4-7 czerwca br. w Las Vegas odbędzie się jedna z najważniejszych konferencji dla klientów HP pod nazwą HP Discover. Doroczna konferencja poświęcona bezpieczeństwu przedsiębiorstw pod nazwą HP Protect odbędzie się w dniach 10–12 września br. w Nashville w stanie Tennessee.