`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

По следам недавней атаки

В настоящее время мы отслеживаем новый вариант ransomware по всему миру, который имеет возможность изменять главную загрузочную запись, аналогичную предыдущей атаке, известной как Petya.
 
Исследователи ссылаются на него как на Petya, так и на NotPetya, поскольку не определено, является ли это вредоносное ПО вариантом, принадлежащим семье Petya. Новый зловред оказывает влияние на широкий спектр отраслей и организаций, включая критические инфраструктуры, такие ​​как энергетика, банковское дело и транспортные системы.

Это новое поколение вируса-вымогателя имеет несколько векторов атак и включает те же уязвимости, которые были использованы во время недавней атаки Wannacry в мае нынешнего года. Подобно Wannacry, эта атака сочетает в себе вымогательство с поведением червя и относится к новой группе вредоносных программ, называемых ransomworms. Вместо того, чтобы нацеливаться на одну организацию, ransomworms используют широкомасштабный подход, который увеличивает область действия атаки.

Хотя на данном этапе исследование продолжается, мы можем утверждать, что этот вирус-вымогатель демонстрирует поведение, подобное червям (ransomworm) благодаря его активному зонду для SMB-сервера. Мы можем также предположить, что он распространяется через EternalBlue и WMIC. Исследователи изначально полагали, что Petya / NotPetya был передан его первым жертвам через электронные письма, содержащие зараженные документы Microsoft Office, которые использовали CVE-2017-0199. На данный момент мы продолжаем исследования, чтобы подтвердить это. Пока применение соответствующего патча MS Office для вашей системы защитит вас от этого вектора атаки.

Как только уязвимое устройство подверглось заражению, Petya / NotPetya, по-видимому, нарушает главную загрузочную запись (MBR) во время цикла заражения. Затем он посылает пользователю сообщение о выкупе, в котором говорится: «Ваши файлы больше не доступны, потому что они были зашифрованы», и требует выкуп в 300 долларов в цифровой валюте Биткойн. Затем он указывает, что выключение компьютера приведет к полной потере системы.

Это иная тактика, чем обратный отсчет времени или постепенное стирание файлов данных, как в других версиях ransomware. С большинством атак Ransomware единственной потенциальной потерей являются данные. Поскольку Petya изменяет главную загрузочную запись, основной риск - это потеря всей системы. Кроме того, он инициирует перезагрузку системы в течение одного часа, добавив к атаке дополнительный элемент отказа в обслуживании.

Любопытно, что в дополнение к эксплойтам Microsoft Office Petya / NotPetya использует тот же вектор атаки, что и Wannacry, применяя те же уязвимости Microsoft, которые были обнаружены Shadow Brokers в начале этого года. Однако из-за того, что в этом эксплойте использовались дополнительные векторы атаки, их исправление было бы недостаточным для полного прекращения этого эксплойта, а это значит, что исправление должно сочетаться с хорошими инструментами и практиками безопасности. Клиенты Fortinet, например, были защищены от всех векторов атаки, поскольку они были обнаружены и заблокированы нашими решениями ATP, IPS и NGFW. Кроме того, наша команда AV выпустила новую антивирусную сигнатуру в течение нескольких часов после выявления атаки, чтобы улучшить первую линию защиты.

Необходимо обратить внимание на два аспекта. Во-первых, несмотря на широкую огласку уязвимостей и исправлений Microsoft и всемирный характер атаки Wannacry, по-прежнему остаются тысячи организаций, в том числе, в области критической инфраструктуры, которые подверглись атаке и не смогли защитить свои системы. Во-вторых, возможно, что эта атака является просто тестом для подготовки будущих атак, нацеленных на недавно обнаруженные уязвимости.

С финансовой точки зрения, атака Wannacry была не очень успешной, так как принесла очень мало дохода своим разработчикам. Частично это объяснялось тем, что исследователи смогли найти возможность обезвредить атаку. Атака Petya намного сложнее, хотя еще и предстоит увидеть, будет ли она более успешной финансово, чем ее предшественница.

На сегодняшний день ясно: 1) слишком многие организации практикуют плохую «гигиену» безопасности. Когда эксплойт нацелен на известную уязвимость, для которой патч доступен в течение нескольких месяцев или лет, жертвы, к сожалению, виноваты сами. Ключевыми элементами этой атаки были уязвимости, для которых исправления были доступны в течение некоторого времени. 2) эти же организации также не располагают достаточными инструментами для обнаружения таких видов эксплойтов.

Борьба со злоумышленниками в сети IoT

С увеличением поверхности атак IoT управление и безопасность конечных точек становятся все более раздробленными. Большинство устройств IoT поставляются без антивируса, но даже если бы он был установлен, размер и разнообразие экосистемы IoT делают этот процесс слишком сложным для управления.

Поэтому проверка сети является единственным решением для IoT. В каждой сети должно быть интеллектуальное устройство обеспечения безопасности, способное выполнять глубокую проверку кода, написанного для таких нетрадиционных платформ. Мы в Fortinet называем это агностической проверкой платформы и считаем лучшим способом масштабирования в среде IoT.

Для каждого запроса данных такое устройство должно определить три параметра важной информации: кто пользователь, где он находится и какие данные ему необходимы. Это означает, что сеть должна включать в себя традиционные технологии защиты сети, такие как брандмауэр, средства предотвращения вторжений, web filtering и решения защиты от вредоносного ПО для применения политик, управления приложениями и предотвращения потери данных. Что еще более важно, в результате увеличения поверхности атак необходимо проверять и содержимое. В настоящее время угрозы могут скрываться где угодно, их можно обнаружить в любых потоках данных.

Только такие интеллектуальные решения, тщательно продуманные политики и бдительные сотрудники служб ИТ-безопасности предприятия могут стать надеждой на победу в жесткой борьбе за безопасность IoT.

Устройства IoT как звено атаки на внутреннюю сети

Увы, но взломать устройства IoT, как правило, не составляет особого труда, поскольку они используют широкий спектр модулей и общих библиотек, которые, как правило, имеют открытый исходный код.

Кроме того, есть тенденция использования в таких устройствах новых протоколов, например UPnP (Universal Plug n Play), которые имеют больше недостатков по сравнению с традиционными и уже опробованными протоколами.

Во-вторых, большинство производителей IoT не заботятся о безопасности при создании и проектировании своих устройств и не предусматривают никаких механизмов реагирования на случай взлома устройства.

Крупные поставщики программного обеспечения, например Microsoft и Adobe, всегда были целями для атак злоумышленников. Поэтому они создают безопасные жизненные циклы разработки и часто выпускают исправления. Если их программное обеспечение атакуют через какие-то уязвимости, их специальные группы реагируют на нарушения системы безопасности продукта (PSIRT, Product Security Incident Response Team) для оперативного решения проблемы.

Кроме того, такие крупные поставщики программного обеспечения создали множество инструментов контроля защиты своих продуктов, чтобы усложнить возможность атаки. Например, теперь Adobe Reader имеет варианты среды, которые обеспечивают более высокий уровень устойчивости к атакам. В устройствах IoT, как правило, нет таких точных элементов управления. Более того, с повышением возможности интеграции и сложности устройств IoT будет расти и количество уязвимостей. Большинство из них будут традиционными веб-недостатками в интерфейсе пользователя, который управляет устройством IoT.

Лаборатория исследования угроз компании Fortinet, FortiGuard Labs, уже обнаружила, что злоумышленники исследуют нетрадиционные цели, такие как IoT. Пока немного угроз было зафиксировано, но несомненно, в ближайшие месяцы их количество значительно возрастет. Атаки на устройства IoT представляют собой путь наименьшего сопротивления и прекрасную возможность для хакеров, которые знают, что без надлежащей команды PSIRT для управления исправлениями и устранения проблем безопасности IoT их попытки будут успешны в течение более длительного времени.

Если устройство подключено к сети, имеет хранилище, память и процессор, оно становится идеальной мишенью для атаки. Вероятнее всего, устройства IoT будут выступать в качестве промежуточного звена для последующей атаки внутренней сети.

Утечка данных в «Интернете вещей» — реальная угроза

IoT изменит наш образ жизни — будь то общение с людьми, совместная работа или заключение сделок. Кроме того, IoT станет базой для создания инновационных решений и сервисов. Но «Интернет вещей» существенно повышает угрозы безопасности.

Прежде всего, необходимо отметить, что при использовании IoT гораздо больше информации и операций выполняется в Интернете. Эти данные можно легко перехватить по двум причинам. Во-первых, в результате подключения IoT-устройств существенно снижается безопасность сети, а, во-вторых, программное обеспечение, установленное на устройствах IoT, часто не достаточно защищено и его легко взломать.

В эпоху, когда клиенты и сотрудники ожидают, что компании будут обеспечивать безопасность их личных данных, это может стать разрушительной комбинацией. В настоящее время организации несут ответственность за защиту не только собственных бизнес-ресурсов, но и сведений своих клиентов и сотрудников, касающихся компенсаций, состояния здоровья, истории поисковых запросов и покупок, а также других конфиденциальных данных. Такой переход от защиты клиентов только от несанкционированных операций по кредитным картам к обеспечению безопасности их личных и конфиденциальных данных происходит в глобальном масштабе. Нарушение этих обязанностей может подвергнуть бизнес серьезному риску.

По результатам последнего глобального исследования Fortinet, касающегося IoT, 62% респондентов заявили, что «посчитали бы, что их права нарушены, и полном негодовании готовы были бы подать в суд», если бы узнали, что их домашнее устройство IoT тайно собирает информацию о них и делится ею с другими. Если было бы известно, что устройство IoT собирает данные, 66% респондентов сказали, что разрешили бы доступ к этим данным только для себя и указанных ими лиц.

Согласно Gartner к 2020 г. количество IoT-устройств достигнет 26 млрд., а доход поставщиков товаров и услуг в этом сегменте превысит 300 млрд. долл и бурное развитие IoT, сулит нам не только новые возможности, но и новые вызовы, с которыми как-то придется совладать. И к этому нужно быть готовым уже сейчас.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT