О чем поведал годовой отчет Cisco по информационной безопасности

3 Февраля, 2015 19:10
Иван Карповцев
Компания Cisco провела 29 января пресс-конференцию, на которой огласила итоги своего очередного ежегодного отчета по информационной безопасности. В мероприятии приняли участие Владимир Илибман, менеджер по продуктам безопасности, и Алексей Бессараб, технический директор Cisco Ukraine. Спикеры уделили внимания трем аспектам ИБ: изменениям на стороне атакующих, ситуации на стороне защиты и особенностям нынешней геополитики.

Тренды среди атакующих

Киберпреступники стали более эффективными и умеют качественно использовать слабые места в защите. Также они научились хорошо маскироваться, по причине чего результатов их работы не видно долгое время. Так, Владимир Илибман привел следующую статистику: 60% атак, направленных на похищение данных, длятся всего несколько часов, однако 85% атак на point-of-sale не обнаруживаются неделями. 54% взломов остаются нераскрытыми месяцами, при этом 51% компаний заявили о потерях в $10M и больше за последние 3 года.

Атаки киберпреступников продолжают оставаться глобальными. Даже если мы видим атаку, которая осуществляется якобы из Китая, далеко не факт, что это действительно так. На самом деле, атаку могут вести из другой страны, лишь маскируясь под Китай.

Для проведения атак все чаще используются методы социальной инженерии, в результате чего пользователь сам открывает дверь для злоумышленников. Отметим, что хотя многие атаки занимает лишь считанные часы, подготовка к ним может вестись несколько месяцев. Киберпреступники осуществляют долгосрочную подготовку плацдарма, изучают поведение пользователей, находят слабые места. Зачастую для атаки применяют не последнюю версию уязвимостей (zero-day), а что-либо более устаревшее.

   

Цель взломов – кибершпионаж и компрометация

Кроме того, сейчас методы работы ИТ-криминала все более напоминают обычный бизнес с точки зрения закупки киберуслуг: фактически хакеры переходят на модель Crime-as-a-Service. То есть, заказчик покупает услугу по взлому ИТ-системы, а исполнители пытаются ее качественно предоставить. Например, современные конструкторы вирусов обладают удобными и интуитивно-понятными интерфейсами. 

Спам становится более опасным

Злоумышленники постоянно совершенствуют свои приемы, атакуя пользователей через браузер и электронную почту. Cisco снова отмечает рост спама, причем как в количественном, так и качественном выражении. Сейчас спам – это прежде всего способ заражения ПК, а не средство рекламы. Cлужба информационной безопасности Cisco выявила три наиболее актуальные тенденции:

  • «Спам на снегоступах»: злоумышленники распространяют спам небольшими порциями с большого количества IP-адресов, что позволяет успешно избежать обнаружения. При этом зараженные компьютеры могут быть использованы и для других атак.  
  • Спам распространяется с элементами социальной инженерии.
  • Преступники генерируют до 95 вариаций одного и того же сообщения.

Исследования, проведенные в 2014 г. службой ИБ Cisco, показали, что теперь злоумышленники преимущественно атакуют не только серверы и операционные системы, но и данные пользователей через браузеры и электронную почту. Из-за пользователей, загружающих данные с зараженных веб-страниц, количество атак через Silverlight возросло на 228%, а количество спама и рекламных вирусов — на 250%.

Также эксперты Cisco отмечают следующие тренды:

  • Секретные веб-эксплойты. Широко распространенные наборы эксплойтов быстро нейтрализуются службами безопасности. Чтобы не привлекать внимания, киберпреступники используют менее распространенные эксплойты. Такой механизм работы отслеживать сложнее, что позволяет пользоваться им постоянно. Проблема в том, что очень много пользователей в мире используют устаревшие версии браузеров. Только 10% используют последнюю версию веб-браузера Internet Explorer, и только 64% применяют последнюю версию Chrome. 
  • Сочетания вредоносных техник. Технологии Flash и JavaScript всегда были небезопасными. Успехи в разработке механизмов защиты и обнаружения заставили злоумышленников разработать средства, которые используют уязвимости Flash и JavaScript одновременно. Распределение эксплойта между двумя файлами — Flash и JavaScript — делает его менее заметным для защитных устройств и затрудняет его анализ через реверс-инжиниринг. В 2014 году для активного заражения использовали всего 1% известных уязвимостей.
  • Вредоносная реклама с легитимных сайтов. (Malvertising = malware + advertising) находится на подъеме, так как вредителей сложно распознать. В октябре 2014 зафиксирован всплеск malvertising до 250%.

Эксперты подвели черту: между защитой и нападением растет разрыв. Киберпреступники начали применять нестандартные подходы для атак на ИТ-системы, в то время как компании по-прежнему используют традиционные подходы. 

Компании переоценивают уровень своей защиты

Cisco провела опрос руководителей служб информационной безопасности 1700 организаций из США, Бразилии, Великобритании, Германии, Италии, Индии, Китая, Австралии и Японии. Вывод следующий: руководители стали чаще переоценивать свои возможности по обеспечению ИБ. Например, более 75% респондентов считают, что их системы информационной безопасности очень, а то и чрезвычайно надежны. При этом менее 50% опрошенных уделяют внимание таким стандартным средствам устранения уязвимостей, как регулярное обновление и безопасная настройка ПО. Скажем, Heartbleed стала крупнейшей уязвимостью прошлого года, и тем не менее 56% используемых версий OpenSSL старше 4 лет. В крупномасштабных атаках используется лишь один процент всех высококритичных на конкретный момент времени уязвимостей. Несмотря на это, более половины опрошенных представителей служб безопасности не применяет стандартные средства защиты ― например, обновление ПО и его безопасную настройку. Даже используя лучшие технологии ИБ, нужно безупречно выстраивать рабочие процессы, чтобы защитить организации и пользователей от изощренных атак и вредоносных кампаний

Многие компании применяют точечные продукты высокой сложности и низкой эффективности. Многовекторные и продвинутые угрозы остаются незамеченными. Вообще, существует термин «бумажная безопасность», отражающий излишний фокус CISO на формальном выполнении нормативов и организационных требований в ущерб обеспечению реальной безопасности. 

Кибербезопасность – дело общее

Спикеры сформулировали несколько рекомендаций по защите корпоративных сетей. Во-первых, надо стараться использовать последние версии ПО и устанавливать все новейшие обновления. Во-вторых, надо использовать элементарные средства защиты с обновлением антивирусных баз. В-третьих, не открывать подозрительные письма и файлы.

В целом результаты проведенного компанией Cisco исследования показывают, что в постановке задач информационной безопасности и управлении ее приоритетами пришло время проявить себя руководству компаний. Принципы же таковы:

  1. ИБ должна поддерживать бизнес.
  2. Механизмы ИБ должны быть удобны и способны работать в условиях существующей архитектуры.
  3. ИБ должна быть незаметной, но информативной.
  4. ИБ должна давать возможность вести наблюдение и предпринимать необходимые меры.
  5. ИБ должна рассматриваться как комплекс человеческих факторов.

Геополитические аспекты

В 2015 году Украина была одной из основных целей кибератак, нацеленных на кибершпионаж и компрометацию веб-ресурсов. С точки зрения кибербезопасности украинскому государтству присущи многие проблемы, например, увеличение реальных угроз при катастрофической нехватке квалифицированных специалистов. Особенно это актуально для госорганов, поскольку найти хорошего специалиста за 6 тысяч грн достаточно тяжело.

Еще одна проблема — устаревшая нормативная база. Термины, которыми пользуется ИТ-специалисты уже много лет, до сих пор не нашли отражения в законодательстве. Более того, некоторые госорганы до сих используют электронные ящики с доменом .ru, чего быть не должно. 

 

Ограниченность ресурсов государства и бизнеса в сравнении с глобальными злоумышленниками представляет собой еще одну проблему. Государство и бизнес поодиночке борятся с киберпреступниками. Хотя во всем мире для соединения усилий между государством и частным бизнесом используется особая «прослойка» — глобальные экспертные сообщества, которые обеспечивают аккумуляцию знаний для борьбы с киберпреступниками.

Одной из таких прослоек является облачный сервис Cisco Talos Security Intelligence & Research Group. Сервис обеспечивает раннюю информацию об угрозах, их динамический анализ и реакцию на угрозы, информирование клиентов и партнеров, анализ репутаций веб-сайтов, файлов и почты.

  


ИБ-прогнозы на 2015-й год 

Какие ИБ-прогнозы можно сделать на этот год? Очевидно, что продолжатся озвученные тенденции. Кроме того, ИТ-директорам и менеджерам по ИБ необходимо обратить внимание на интернет вещей, BYOD и облака.

 

Материалы по теме:

Комментарии: