W sierpniu 2021 – zespół ABW, CSIRT GOV, opublikował raport [1] dotyczący incydentów teleinformatycznych w 2020 roku. Publikacja przedstawia dane zebrane z 246107 zawiadomień o potencjalnych incydentach. To znaczący wzrost względem ubiegłych lat. Raport zawiera także informacje o kampaniach phishingowych i informacje o ocenie bezpieczeństwa systemów IT w RP, informacje o ćwiczeniach, w których brał udział zespół CSIRT GOV, a także rekomendacje dotyczące bezpieczeństwa pracy zdalnej.
Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT GOV) jest jednym z trzech krajowych zespołów reagowania. Pozostałe to CSIRT MON oraz CSIRT NASK. CSIRST GOV został powołany w lutym 2008 roku. Do 5 lipca 2018 roku funkcjonował jako CERT.GOV.PL (Rządowy Zespół Reagowania na Incydenty Komputerowe). Głównymi zadaniami zespołu jest monitorowanie zagrożeń cyberbezpieczeństwa na poziomie krajowym, szacowanie ryzyka związanego z zaistniałymi incydentami, wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberprzestrzeni, reakcja na incydenty, a także prowadzenie i koordynacja systemu wczesnego ostrzegania o zagrożeniach występujących w sieci internetowej.
Na liczbę zgłoszeń w roku 2020 znaczący wpływ miały dwa czynniki - wejście w życie przepisów ustawy o krajowym systemie bezpieczeństwa w roku 2019 i wybuch pandemii koronawirusa. Liczba zgłoszeń w roku 2020 wzrosła o około 8% względem roku 2019, ale liczba faktycznych incydentów wzrosła o 88%.
Liczba faktycznych incydentów wzrosła w 2020 o
88%względem roku 2019
Autorzy raportu wskazują również na różnice w poszczególnych kwartałach – najwięcej zgłoszeń przypadło na kwartał I i IV – odpowiednio 89486 oraz 90818. Spowodowane to było alarmami systemu ARAKIS GOV. Na początku oraz pod koniec 2020 roku wykrył on aktywne skanowania adresów sieciowych należących do instytucji administracji państwowej i operatorów infrastruktury krytycznej.
Największa liczba faktycznych incydentów w cyberprzestrzeni przypada na II kwartał 2020 roku. Przy niskiej liczbie zgłoszeń (niecałe 34 tysiące) doszło do blisko ośmiu tysięcy potwierdzonych incydentów. Prawdopodobnym powodem był wybuch pandemii, a także lockdown wprowadzony w wielu krajach.
Duże różnice między liczbą zgłoszeń, a faktycznymi incydentami wynikają z kilku czynników, do najważniejszych należą:
- false-positive – błędne wskazania na zagrożenie, często wynikające z niewłaściwej interpretacji prawidłowego ruchu sieciowego,
- wielokrotne zgłoszenia tego samego incydentu, szczególnie obecne przy większych akcjach phishingowych,
- zgłoszenia z systemów zautomatyzowanych jak wspomniany wcześniej ARAKIS 3.0 GOV czy N6, które są odnotowywane automatycznie, a dopiero potem weryfikowane przez zespół CSIRT.
2020 rok zdominowany został przez cztery główne kategorie incydentów – wirusy, skanowanie, phishing oraz podatność. Dominującą kategorią (16777 incydentów, czyli aż 72% potwierdzonych incydentów) stanowiły wirusy. Jednym z głównych powodów wzrostu o 132% względem roku 2019, jest zwiększenie skuteczności identyfikacji oprogramowania złośliwego – między innymi takie powiadomienia wysyłał również system ARAKIS – co mogło świadczyć o infekcjach stacji roboczych w instytucjach administracji państwowej lub u operatora infrastruktury krytycznej. Jedno z najbardziej znanych zagrożeń, które towarzyszy internetowi od jego pierwszych dni. Zagrożenie to ewoluowało od prostych „żartów” po otwieranie luk, otwieranie nowych kierunków ataków, a nawet przejmowanie kontroli nad urządzeniami. Związane jest to z modułowością wirusów, które już dawno przestały być prostymi programami. Dziś ich budowa potrafi być bardzo skomplikowana, a poszczególne moduły odpowiadają m.in. za infiltrację, ukrywanie się, replikację. Często w wielomodułowym wirusie tylko jeden, dwa moduły odpowiadają za właściwy atak.
Aż
72%potwierdzonych incydentów stanowiły wirusy
Na drugim miejscu pod względem liczby potwierdzonych incydentów (2604) znajduje się skanowanie. Dotyczy ono podejrzanego lub złośliwego ruchu sieciowego na adresy podmiotów podległych CSIRT GOV. To bardzo ważna informacja. Skanowanie polega na wyszukiwaniu potencjalnych luk, nieprawidłowości, starych wersji oprogramowania podatnych na ataki. Tak duża liczba skanowań wymierzona w administrację lub infrastrukturę krytyczną, to poważny sygnał alarmowy.
Kategoria trzecia to incydenty phishingowe, których w roku ubiegłym było aż 1396. Są one bardzo istotne z punktu widzenia bezpieczeństwa systemów, organizacji oraz państwa. Choć polegają na socjotechnice i wymierzone są w ludzi, to dane ujawnione przez osoby zaatakowane mogą posłużyć nie tylko do rozpoznania wewnętrznej struktury systemów, ale także do praktycznie niezauważalnego wniknięcia i przejęcia kontroli lub uzyskania dostępów do chronionych zasobów.
Ostatnią znaczącą pod względem liczby incydentów w cyberprzestrzeni (1366 – niecałe 6%) kategorię stanowiły podatności. Chodzi tu o luki związane z brakiem aktualizacji, błędami konfiguracyjnymi czy brakami odpowiedniej polityki bezpieczeństwa. Takowe podatności są bardzo niebezpieczne, ponieważ otwierają dodatkowe kierunki ataku potencjalnym przestępcom. Co więcej, jest to jedyna kategoria niezależna od atakujących, czyli może być poprawiona. Wymaga to oczywiście przeznaczenia odpowiednich zasobów. Niestety liczba 1366 incydentów jest większa o ponad 34% od liczby incydentów z poprzedniego roku 1016).
Choć pozostałe kategorie stanowią jedynie 5,1% wszystkich potwierdzonych incydentów nie należy o nich zapominać. Do tych kategorii należą: niedostępność, wyciek, atak, podszywanie, błędna konfiguracja, kompromitacja, botnet, podmiana, publikacja, włamanie.
Poza odnotowaniem incydentów zespół CSIRT GOV przebadał 84 systemy teleinformatyczne związane z administracją publiczną, wojskiem oraz infrastrukturą krytyczną. Testy polegały na zbieraniu informacji wybranymi technikami, identyfikacji oraz wykorzystaniu odnalezionych podatności, a także sprawdzenie odporności pracowników na mechanizmy inżynierii społecznej.
Łącznie wykryto 4325 podatności. Najważniejsze z nich (kategorie krytyczne oraz wysokie) to przede wszystkim nieaktualne wersje oprogramowania (często zawierające podatności), niewspierane wersje oprogramowania [2] oraz systemów operacyjnych, a także nieprawidłowo zabezpieczone dostępy do usług/urządzeń/portali – poprzez brak, domyślne lub nieodpowiednio złożone hasła.
Dane zebrane przez zespół CSIRT GOV wskazują obszary, w których można dokonać największych zmian oraz usprawnień. Nowsze, na bieżąco aktualizowane oprogramowanie oraz wykwalifikowany personel mogą znacząco zmniejszyć ryzyko związane z cyberbezpieczeństwem. Niestety, postęp technologiczny oraz postępująca globalizacja dają odpowiednie narzędzia osobom mogącym temu bezpieczeństwu zagrozić. Zgodnie z maksymą białych kapeluszy – zawsze trzeba być o krok przed „hakerem”.
Kolejny artykuł przybliży kampanie phishingowe, socjotechniki, a także możliwe usprawnienia w pracy zdalnej.
Zobacz również
Wstecz
