Dell Annual Threat Report Sheds Light on Emerging Security Risks

• Dell report analyses the most common attacks observed in 2014 and how emergent threats will affect organisations throughout 2015
• Research shows a rise in point-of-sale (POS) malware variants and attacks against payment card infrastructures targeting retail organisations
• More companies were exposed to attackers hiding in plain sight as a result of SSL/TLS encrypted traffic
• Research found a 100 percent increase in attacks against industrial control (SCADA) systems

Dubai, UAE, 23rd April 2015 – Dell today announced the results of its annual Threat Report, which leverages research from Dell’s Global Response Intelligence Defense (GRID) network and telemetry data from Dell SonicWALL network traffic to identify emerging threats and equip organisations of all sizes with insights to improve their security posture.

Analysing Dell data sources and the 2014 threat landscape, this year’s report found a surge in point-of-sale (POS) malware, increased malware traffic within encrypted (https) web protocols, as well as twice the number of attacks on supervisory control and data acquisition (SCADA) systems over 2013. The Dell Security Threat Report aims to equip organisations with practical, evidence-based advice to help them more effectively prepare for and prevent attacks, even from threat sources yet to emerge.

“Everyone knows the threats are real and the consequences are dire, so we can no longer blame lack of awareness for the attacks that succeed,” said Patrick Sweeney, executive director, Dell Security. “Hacks and attacks continue to occur, not because companies aren’t taking security measures, but because they aren’t taking the right ones.”

Retail industry experiences surge in point-of-sale (POS) malware and attacks

The retail industry was shaken to its core in 2014 after several major brands experienced highly publicised POS breaches, exposing millions of consumers to potential fraudulent purchases and risk for identity theft. Forrester Research notes, “The major breaches of 2013 and 2014 brought to the fore the lack of security surrounding point of sale (POS) systems, the risks involved with third parties and trusted business partners, and the new attack vectors opened through critical vulnerabilities such as Heartbleed.”

The report shows that these retailers were not the only targets, as Dell also saw a rise in POS attacks attempted among Dell SonicWALL customers.

• The Dell SonicWALL Threat Research Team created 13 POS malware signatures in 2014, compared to three in 2013 for a 333 percent increase in the number of new POS malware countermeasures developed and deployed.
• The majority of these POS hits targeted the U.S. retail industry.

In addition to the increased quantity of attacks, Dell threat researchers observed an evolution of POS malware tactics.

“Malware targeting point-of-sale systems is evolving drastically, and new trends like memory scraping and the use of encryption to avoid detection from firewalls are on the rise,” said Sweeney. “To guard against the rising tide of breaches, retailers should implement more stringent training and firewall policies, as well as re-examine their data policies with partners and suppliers.”

More companies exposed to attacks within “secure” HTTPS web protocol

For many years, financial institutions and other companies that deal with sensitive information have opted for the secure HTTPS protocol that encrypts information being shared, otherwise known as SSL/TLS encryption. More recently, sites such as Google, Facebook, and Twitter began adopting this practice in response to a growing demand for user privacy and security.

While this move to a more secure web protocol is a positive trend, hackers have identified ways to exploit HTTPS as a means to hide malicious code. Given that data (or in this case malware) transmitted over HTTPS is encrypted, traditional firewalls fail to detect it. Without a network security system that provides visibility into HTTPS traffic, organisations run the risk of letting malware from sites using HTTPS enter their systems and go undetected.

Dell’s research saw a rise in HTTPS traffic in 2014, which could lead to an increase in attacks leveraging encrypted web traffic in 2015:

• Dell saw a 109 percent increase in the volume of HTTPS web connections from the start of 2014 to the start of 2015.
• Encrypted malware attacks have already begun to target mainstream media sources. In December 2014, Forbes’ Thought of the Day interstitial page was hijacked by Chinese hackers to distribute malware over a three-day period.

“Managing threats against encrypted web traffic is complicated. Just as encryption can protect sensitive financial or personal information on the web, it unfortunately can also be used by hackers to protect malware,” said Sweeney. “One way organisations mitigate this risk is through SSL-based web browser restrictions, with exceptions for commonly used business applications to avoid slowing company productivity.”

Attacks double on supervisory control and data acquisition (SCADA) systems

Industrial operations leverage SCADA systems to control remote equipment and collect data on that equipment’s performance. Attacks against SCADA systems are on the rise, and tend to be political in nature as they target operational capabilities within power plants, factories, and refineries.  

Dell SonicWALL saw an increase in SCADA attacks against its customer base this year.

• 2014 saw a 2x increase in SCADA attacks compared to 2013.
• The majority of these attacks targeted Finland, the United Kingdom, and the United States; one likely factor is that SCADA systems are more common in these regions and more likely to be connected to the Internet.
• Buffer overflow vulnerabilities continue to be the primary point of attack.

“Since companies are only required to report data breaches that involve personal or payment information, SCADA attacks often go unreported,” said Sweeney. “This lack of information sharing combined with an aging industrial machinery infrastructure presents huge security challenges that will to continue to grow in the coming months and years.”

Additional predictions: two-factor authentication, mobile malware, and Bitcoin  

Dell’s Threat Report also identified the following trends and predictions, which are discussed in further detail in the full report.

• More organisations will enforce security policies that include two-factor authentication. Along with this development we will see an increase in attacks against these technologies.
• Android will remain a hot target for malware writers. Dell expects new, more sophisticated techniques to thwart Android malware researchers and users by making the malware hard to identify and research.
• The emergence of more malware for Android devices targeting specific apps, banks, and user demographics, along with more malware tailored for specific technologies, such as watches and televisions, is expected.
  
• As wearable technology becomes more widespread in the next year, expect to see the first wave of malware targeting these devices.
• Digital currencies including Bitcoin will continue to be targeted; Botnets will be involved in the digital currency mining attacks.
• Home routers and home network utilities, such as surveillance systems, will be targeted and perhaps used to assist large DDoS attacks.
• Electric vehicles and their operating systems will be targeted.
  

About the Dell Security Annual Threat Report

The data for Dell’s report was gathered by the Dell Global Response Intelligence Defense (GRID) Network, which sources information from a number of devices and resources including:

• More than 1 million security sensors in more than 200 countries;
• Activity from honeypots in Dell’s threat centers;
• Malware/IP reputation data from tens of thousands of firewalls and email security devices around the globe;
• Shared threat intelligence from more than 50 industry collaboration groups and research organisations;
• Intelligence from freelance security researchers; and
• Spam alerts from millions of computer users protected by Dell SonicWALL email security solutions.
  
  
  التقرير السنوي للتهديدات من «ديل» Dell يلقي الضوء على المخاطر الأمنية الصاعدة
• يحلل تقرير شركة «ديل» Dell الهجمات الأكثر شيوعاً التي تم رصدها خلال العام 2014، وكيف ستؤثر التهديدات الصاعدة على المؤسسات في جميع أنحاء العالم خلال العام 2015
• تظهر الأبحاث ارتفاعاً في عدد البرمجيات الخبيثة التي تصيب نقاط بيع POS، والهجمات ضد البنى التحتية لبطاقات الدفع، التي تستهدف مؤسسات البيع بالتجزئة
• تعرضت الكثير من الشركات لهجمات قراصنة على مرأى من الجميع، وذلك بسبب آلية تشفير حركة مرور البيانات طبقة المقابس الآمنة / طبقة النقل الآمنة SSL/TLS
• كشفت الأبحاث عن وجود زيادة بنسبة 100 بالمائة في الهجمات التي تستهدف أنظمة الرقابة الصناعية SCADA

دبي، الإمارات العربية المتحدة، 23 أبريل 2015: أعلنت اليوم شركة «ديل» Dell عن نتائج تقريرها السنوي للتهديدات، الذي يعزز نتائج أبحاث شبكة «ديل» Dell العالمية للدفاع باستقصاء الاستجابات GRID، وقياس بيانات Dell SonicWALL لحركة البيانات في الشبكات عن بعد، وذلك من أجل تحديد طبيعة التهديدات الصاعدة، وتوفير الرؤى العملية للشركات من كافة الأحجام كي تتمكن من تحسين مستوى إجراءاتها الأمنية.

وبتحليل مصادر بيانات شركة «ديل» Dell ومشهد التهديدات الشامل خلال العام 2014، وجد تقرير هذا العام ارتفاعاً في معدل إصابة نقاط بيع POS بالبرمجيات الخبيثة، وتزايداً في حركة البرمجيات الخبيثة داخل بروتوكولات شبكة الإنترنت المشفرة https، فضلاً عن تضاعف عدد الهجمات على أنظمة التحكم الرقابية والاستحواذ على البيانات SCADA خلال العام 2013. ويهدف التقرير السنوي للتهديدات الذي تصدره شركة «ديل» Dell إلى تقديم النصائح العملية القائمة على الدلائل والبراهين للشركات، وذلك لمساعدتها على الاستعداد بشكل كافٍ لمنع ومواجهة الهجمات، حتى ضد مصادر التهديدات التي لم تظهر بعد.

في هذا السياق قال باتريك سويني، المدير التنفيذي للحلول الأمنية لدى شركة «ديل» Dell: "الجميع يعي العواقب الوخيمة للتهديدات، لذا ليس بإمكاننا إلقاء اللوم على نقص الوعي عند نجاح الهجمات. ولا تزال عمليات القرصنة والهجمات تتوالى، ليس بسبب عدم اتخاذ الشركات للتدابير الأمنية، ولكن لعدم اتخاذها التدابير الأمنية المناسبة".

ارتفاع وتيرة البرمجيات الخبيثة والهجمات التي تستهدف نقاط البيع POS في قطاع البيع بالتجزئة

اهتز قطاع البيع بالتجزئة خلال العام 2014 بعد تعرض نقاط البيع POS للعديد من العلامات التجارية الكبرى لخروقات أمنية حظيت بتغطية إعلامية كبيرة، التي قد تعرض الملايين من المستهلكين لعمليات شراء احتيالية، فضلاً عن مواجهة خطر انتحال الهوية. حيث أشارت عمليات رصد شركة فورستر للأبحاث إلى أن "الخروقات الأمنية الكبيرة التي حصلت خلال العامين 2013 و2014 برهنت للجميع انعدام الحلول الأمنية الفعالة في بيئة عمل أنظمة نقاط البيع POS، التي تخطتها المخاطر لتصيب الأطراف الثالثة وشركاء الأعمال المعتمدين، كما أن ناقلات الهجمات الجديدة جاءت عبر نقاط الضعف الخطيرة، على غرار الثغرة الأمنية Heartbleed".

كما يشير التقرير إلى أن الأهداف لم تقتصر على شركات البيع بالتجزئة فحسب، حيث رصدت شركة «ديل» Dell أيضاً ارتفاعاً في معدل الهجمات ضد نقاط البيع POS لعملائها الذي يستخدمون شبكة حلول Dell SonicWALL الأمنية.

• رصد فريق أبحاث التهديدات في شبكة Dell SonicWALL إصابة 13 نقطة بيع POS بالبرمجيات الخبيثة خلال العام 2014، بالمقارنة مع ثلاثة إصابات فقط خلال العام 2013، أي بزيادة نسبتها 333 بالمائة في عدد نقاط البيع POS الجديدة المصابة بالبرمجيات الخبيثة المتقدمة والمنتشرة.
• غالبية الهجمات ضد نقاط البيع POS استهدفت صناعة البيع بالتجزئة في الولايات المتحدة.

بالإضافة إلى تنامي معدل الهجمات، لاحظ باحثوا التهديدات في شركة «ديل» Dell تطوراً في الطرق التي تنتهجها البرمجيات الخبيثة في الهجوم على نقاط البيع POS.

ويعلق السيد سويني على هذه النقطة قائلاً: "تتطور البرمجيات الخبيثة التي تستهدف نقاط البيع POS بشكل كبير، وذلك مع انتشار أساليب وتوجهات جديدة في هذا المجال، مثل تفريغ الذاكرة واستخدام التشفير لتجنب اكتشافها من قبل جدران الحماية النارية. ولتأمين الحماية ضد المد المتصاعد لموجة الخروقات الأمنية، ينبغي على تجار البيع بالتجزئة إتباع طرق تدريب وسياسات أكثر صرامة في تنفيذ جدران الحماية، بالإضافة إلى إعادة النظر في سياساتها لحفظ البيانات الخاصة بالشركاء والموردين".

ارتفاع عدد الشركات التي تتعرض للهجمات من خلال بروتوكولات شبكة الإنترنت المشفرة https

على مر العديد من السنوات، وقع اختيار المؤسسات المالية وغيرها من الشركات التي تتداول بالمعلومات الحساسة على بروتوكولات شبكة الإنترنت المشفرة https التي تقوم بتشفير المعلومات المتداولة، والمعروفة باسم تشفير طبقة المقابس الآمنة / طبقة النقل الآمنة SSL/TLS. ومؤخراً، بدأت العديد من المواقع مثل غوغل وفيسبوك وتويتر باعتماد هذه الممارسات استجابة للطلب المتزايد على خصوصية المستخدم والأمن.

ورغم أن هذا الأمر الذي سينقلهم إلى استخدام بروتوكول شبكة إنترنت أكثر أمنا هو من التوجهات الإيجابية، استطاع قراصنة الإنترنت وضع عدة طرق لاستغلال بروتوكولات شبكة الإنترنت المشفرة https، وذلك عبر إخفاء الشيفرات الخبيثة. وبما أن البيانات (أو في هذه الحالة البرمجيات الخبيثة) التي ستنتقل عبر بروتوكولات شبكة الإنترنت المشفرة https سيتم تشفيرها، ستفشل معظم جدران الحماية التقليدية بالكشف عنها. وفي ظل غياب نظام أمني للشبكات يوفر شفافية كاملة لرصد حركة مرور البيانات عبر بروتوكولات شبكة الإنترنت المشفرة https، فإن الشركات ستخاطر بالسماح للبرمجيات الخبيثة، القادمة من المواقع التي تستخدم بروتوكولات شبكة الإنترنت المشفرة https، بالدخول إلى أنظمتها دون الكشف عنها.

علاوةً على ذلك، رصدت أبحاث شركة «ديل» Dell ارتفاعاً في حركة البيانات عبر بروتوكولات شبكة الإنترنت المشفرة https، ما يؤدي إلى تنامي استفادة الهجمات لحركة مرور البيانات عبر شبكة الإنترنت المشفرة خلال العام 2015.

• سجلت شركة «ديل» Dell ارتفاعاً بنسبة 109 بالمائة في حجم الاتصالات عبر شبكة الإنترنت من خلال بروتوكولات شبكة الإنترنت المشفرة https، وذلك منذ بداية العام 2014 حتى بداية العام 2015.
• بدأت الهجمات الخبيثة المشفرة باستهداف مصادر وسائل الإعلام الرئيسية، ففي شهر ديسمبر من العام 2014، تمت قرصنة صفحة "فكرة اليوم" في موقع مجلة فوربس الالكتروني على يد القراصنة الصينيين، الذين قاموا بنشر برمجيات خبيثة لمدة ثلاثة أيام انطلاقاً من هذه الصفحة.

وتطرق السيد سويني إلى هذا الموضوع بالقول: "تعتبر عملية إدارة شبكة الإنترنت المشفرة ضد مرور التهديدات معقدة جداً، فكما تقوم آلية التشفير بحماية المعلومات المالية أو الشخصية الهامة على شبكة الإنترنت، للأسف بالإمكان استخدامها في الوقت نفسه من قبل قراصنة الإنترنت لحماية البرمجيات الخبيثة. لكن هناك طريقة واحدة تستطيع من خلالها المؤسسات الحد من هذه المخاطر، وهي من خلال فرض قيود على تصفح الإنترنت انطلاقاً من طبقة المقابس الآمنة SSL، باستثناء تطبيقات الأعمال الشائعة الاستخدام، وذلك لتجنب تباطؤ إنتاجية الشركات".

الهجمات المزدوجة على أنظمة التحكم الرقابية والاستحواذ على البيانات SCADA

تستفيد العمليات الصناعية من أنظمة SCADA للتحكم بالمعدات عن بعد، ولجمع البيانات حول أداء هذه المعدات. وتتنامى موجة الهجوم على أنظمة SCADA، حيث أنها تميل لتأخذ طابعاً سياسياً، كما أنها تستهدف القدرات التشغيلية ضمن محطات الطاقة والمصانع والمصافي.

وقد شهدت شبكة Dell SonicWALL زيادة في الهجمات ضد أنظمة SCADA ضمن قاعدة عملائها هذا العام.

• سجل العام 2014 ارتفاعاً بلغ الضعف في الهجمات ضد أنظمة SCADA، وذلك بالمقارنة مع العام 2013.
• غالبية هذه الهجمات استهدفت فنلندا والمملكة المتحدة والولايات المتحدة، أما العامل المشترك فيما بين هذه الدول فيتمثل في كون أنظمة SCADA هي الأكثر شيوعاً واستخداماً في هذه المناطق، وأكثرها اتصالاً بالإنترنت.
• تواصل الثغرات الأمنية المرتبطة بتجاوز سعة تخزين الذاكرة المؤقتة كونها النقطة الرئيسية لانطلاق الهجمات.

ويوضح السيد سويني هذه النقطة قائلاً: "يتوجب على الشركات الإبلاغ عن خروقات البيانات التي تنطوي على معلومات شخصية أو معلومات للدفع، أما الهجمات على أنظمة SCADA فعادة لا يتم الإبلاغ عنها. وهذا النقص في تبادل المعلومات، والذي يترافق مع البنية تحتية للآلات الصناعية المتقادمة، يضعنا أمام مجموعة من التحديات الأمنية الهائلة، التي ستواصل نموها خلال الأشهر والسنوات القادمة".

توقعات إضافية: المصادقة ثنائية الجانب، والبرمجيات الخبيثة التي تستهدف الأجهزة المحمولة، والبيتكوين (العملة الالكترونية، العملة التشفيرية)

حدد تقرير التهديدات الصادر عن شركة Dell التوجهات والتوقعات التالية، التي تمت مناقشتها بالمزيد من التفاصيل في التقرير الكامل.

• ستفرض المزيد من المؤسسات سياسات أمنية تشمل المصادقة ثنائية الجانب، فإلى جانب هذا التطور الكبير سنشهد زيادة في الهجمات ضد هذه التقنيات.
• ستواصل أنظمة التشغيل آندرويد تصدرها كهدف ساخن لواضعي البرمجيات الخبيثة، حيث تشير توقعات شركة «ديل» Dell إلى ظهور تقنيات جديدة أكثر تطوراً ستعترض طريق الباحثين في مجال معالجة البرمجيات الخبيثة التي تصيب أنظمة التشغيل آندرويد، وذلك من خلال تصعيب مهمة تحديد والعثور على البرمجيات الخبيثة.
• من المتوقع ظهور المزيد من البرمجيات الخبيثة التي تصيب الأجهزة العاملة بأنظمة التشغيل آندرويد، والتي تستهدف التطبيقات، والمصارف، والتركيبة الديموغرافية المعينة للمستخدمين، إلى جانب تصميم المزيد من البرمجيات الخبيثة المخصصة لبعض التقنيات، ومنها الساعات وأجهزة التلفزيون.
• مع تنامي انتشار التقنيات للارتداء خلال العام المقبل، من المتوقع أن نشهد ظهور الموجة الأولى من البرمجيات الخبيثة التي تستهدف هذه الأجهزة.
• سيتواصل استهداف العملات الرقمية بما فيها البيتكوين، التي ستكون سبباً رئيسياً في استقطاب الهجمات على العملات الرقمية.
• سيتم استهداف الراوترات والتجهيزات المنزلية ذات الصلة، على غرار أجهزة المراقبة بالكاميرات والحساسات، التي سيتم استخدامها لتعزيز هجمات الحرمان من الخدمة DDoS الكبيرة.
• سيتم استهداف السيارات الكهربائية وأنظمة التشغيل الخاصة بها.

لمحة عن التقرير السنوي للتهديدات من «ديل» Dell

تم جمع البيانات المرتبطة بصياغة تقرير شركة «ديل» Dell من خلال شبكة «ديل» Dell العالمية للدفاع باستقصاء الاستجابات GRID، التي تحصل على مصادر المعلومات عبر عدد من التجهيزات والموارد، بما فيها:

• أكثر من مليون جهاز استشعار أمني منتشر في أكثر من 200 دولة.
• نشاط مصائد مخترقي الشبكات عبر مراكز التهديد التابعة لشركة «ديل» Dell.
• البيانات المعتمدة للبرمجيات الخبيثة / بروتوكولات الإنترنت القادمة من عشرات الآلاف من جدران الحماية، وأجهزة أمن البريد الإلكتروني في جميع أنحاء العالم.
• استقصاء المعلومات المشتركة للتهديدات لأكثر من 50 مجموعة تشاركية على مستوى الصناعة والمؤسسات البحثية.
• استقصاء المعلومات من الباحثين المستقلين في مجال الأمن.
• التنبيهات الصادرة عن البريد المزعج للملايين من مستخدمي أجهزة الكمبيوتر التي تحميها حلول وشبكة Dell SonicWALL لأمن البريد الإلكتروني.

وقال بريت هانلون، مدير البنية التحتية لتقنية المعلومات لدى مجموعة لا جولا: "يوفر برنامج الدفاع الأمني في العمق، المدعوم من قبل حلول وشبكة Dell SonicWALL، حماية متعددة المستويات لوقاية شبكة شركتنا، التي تتضمن 18 متجر للبيع بالتجزئة. ولا يقتصر دور حلول وشبكة Dell SonicWALL على ضمان سلامة وأمن بيانات العملاء الشخصية والمالية فحسب، فهو يمكننا أيضاَ من اتخاذ الإجراءات الوقائية للحد من خطر التهديدات الصاعدة، والتي تتضمن منع التسلل، وحجب البرمجيات الخبيثة، وتصفية المحتوى والروابط، ومراقبة التطبيقات. كما أن كلاً من جدران الحمايةDell SonicWALL SuperMassive، وجدران الحماية TZ Series Unified Threat Management، تعتبران من الأصول الهامة في الإستراتيجية الأمنية الشاملة لمجموعة لا جولا".

•