`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

О последних тенденциях в области масштабных кибератак

В соответствие с исследованиями Fortinet, сегодня можно вести речь о трех основных взаимодополняющих угрозах: это эксплойты-приложения, вредоносное ПО и ботнеты.

Итак, какие же основные тенденции?

Возникновение неотложных проблем в связи с серьезностью атак. В 3-м квартале 2017 г. 79% организаций столкнулись с серьезными атаками. По данным исследований, проводившихся на протяжении квартала, было зафиксировано 5973 уникальных эксплойта, 14 904 уникальные вариации вредоносных программ, принадлежащих к 2646 семействам вредоносного ПО, и 245 уникальных ботнетов. Помимо этого, за текущий год компания Fortinet выявила 185 уязвимостей «нулевого дня».

Повторное появление ботнетов. Многие организации неоднократно подвергались атакам, при которых использовались одни и те же ботнеты. Это настораживающая статистика, из которой можно сделать два вывода. Во-первых, масштабы атаки могли уйти от внимания организаций, вследствие чего ботнеты перешли в состояние покоя и вновь активизировались после возобновления коммерческой деятельности на прежнем уровне. Во-вторых, первоисточник угрозы мог остаться неизвестным, и организации повторно подверглись поражению при помощи того же вредоносного ПО.

Поражение уязвимостей при помощи технологии «роя». Эксплойт-приложение, с помощью которого злоумышленники проникли в сеть компании Equifax, оказался наиболее распространенным в прошлом квартале: более 6000 уникальных экземпляров. В текущем квартале этот эксплойт сохранил за собой лидирующее положение по распространенности. Известно, что в число 10 наиболее распространенных угроз вошли три эксплойта, применявшиеся для атаки на инфраструктуру Apache Struts. Это пример того, как злоумышленники создают «рои» эксплойтов для атак на широко представленные уязвимые цели.

Мобильные угрозы. Каждая четвертая организация сталкивалась с мобильным вредоносным ПО. Впервые удалось выявить четыре наиболее распространенных семейства мобильного вредоносного ПО. Это свидетельствует о том, что мобильные устройства будут все чаще становиться целью злоумышленников, применяющих автоматизированное полиморфное ПО. Это чрезвычайно настораживающая тенденция, так как в разгаре сезона праздничных покупок многие люди прибегают к мобильному шопингу и приобретают устройства IoT в качестве подарков.

Широко распространенное и скрытое вредоносное ПО. Вредоносные программы, принадлежащие к основным семействам, оснащены одинаковыми функциями: загрузка, отправка и внедрение вредоносного ПО в системы. При помощи такой процедуры вредоносный код в составе динамически изменяющегося пакета успешно обходит устаревшие средства защиты. Кроме того, широко применяются разновидности вредоносного ПО, которые получают удаленный доступ к системе, захватывают вводимые пользователями данные и собирают сведения о системе. В последнее время эти продвинутые угрозы получают все более широкое распространение. По результатам наблюдений выявлены тенденции к повышению степени интеллектуальности и автоматизации вредоносного ПО.

Существование программ-вымогателей. В первой половине года активность на этом направлении атак была низкой, однако затем появилась новая серьезная угроза — программа-вымогатель Locky, которая применялась в трех кампаниях. Об атаках с использованием этой программы сообщили около 10% организаций. Кроме того, на протяжении квартала по меньшей мере 22% организаций столкнулись с другими типами программ-вымогателей.

Атаки киберпреступников на организации любого размера. Предприятия среднего бизнеса все чаще подвергаются атакам при помощи ботнетов, что вынуждает их решать проблемы безопасности на уровне, который превышает их возможности. Организации среднего бизнеса представляют собой привлекательную цель для злоумышленников, так как они не всегда обладают столь же обширными ресурсами безопасности и эффективными технологиями, что и более крупные организации, но при этом могут располагать ценными данными. Кроме того, атаки на предприятия среднего бизнеса становятся все более частыми вследствие распространения облачных технологий в средах этих предприятий.

Важность безопасности систем SCADA. Помимо широкомасштабных атак, например атаки на инфраструктуру Apache Struts, некоторые угрозы действуют скрытно или вызывают серьезные негативные последствия, которые затрагивают не только организацию, ставшую первоначальной целью. Из числа зафиксированных эксплойтов, направленных на поражение разных типов систем диспетчерского управления и сбора данных (SCADA), лишь один эксплойт преодолел значение порога распространенности 1/1000. Каждый зафиксированный эксплойт поразил менее 1% организаций. Проникновения в корпоративные сети и сбои — это серьезные проблемы, однако нарушения безопасности сред SCADA, к сожалению, еще более опасны, так как они ставят под удар физические инфраструктуры, от бесперебойной работы которых зависят человеческие жизни. Таким образом, приведенная статистика заслуживает внимания.

Резюмируя можно привести слова Фила Квада (Phil Quade), руководителя по информационной безопасности компании Fortinet. Он отметил, что вне зависимости от того, идет ли речь об атаке при помощи WannaCry в мае или поражении Apache Struts в сентябре, можно заметить, что входной точкой для злоумышленников снова и снова становятся давно известные, но остающиеся неисправленными уязвимости. Очевидно, что бдительное отслеживание новых угроз и уязвимостей должно быть одной из приоритетных задач организаций, однако важно также контролировать и события внутри корпоративной среды. Как никогда актуальными стали задачи обеспечения высокого уровня защиты и внедрения подходов, основанных на применении систем безопасности и поддерживающих автоматизацию, интеграцию и стратегическую сегментацию.

На горизонте массированые самообучающиеся кибератаки

Созданная киберпреступниками экономика использует инновационные решения в сфере искусственного интеллекта и автоматизации, создавая новые механизмы атак на важнейшие инфраструктуры при помощи больших групп устройств IoT

Как отметил Дерек Мэнки (Derek Manky), специалист по вопросам мировой безопасности, компания Fortinet, в одном из своих выступленией инновационные технологии, которые способствуют развитию виртуальной экономики, в то же время создают почву как для конструктивной, так и для злонамеренной деятельности в сфере информационной безопасности.

Вследствие стремительного распространения подключенных устройств в настоящее время возникают гиперподключенные инфраструктуры. Обеспечить их безопасность чрезвычайно нелегко, что создает благоприятные условия для деятельности киберпреступников. Кроме того, злоумышленники задействуют технологии автоматизации и искусственного интеллекта для непрерывной разработки огромного количества новых угроз, охватывающих все направления. Такие атаки, как WannaCry и NotPetya, служат предостережением о потенциальных масштабных нарушениях и негативных экономических последствиях, связанных с вымогательством и блокировкой доступа к интеллектуальной собственности и коммерческим услугам. Эффективное противодействие интеллектуальным атакам будущего возможно только за счет внедрения подхода к защите инфраструктур, в основе которого лежит система безопасности, поддерживающая автоматизацию, интеграцию и стратегическую сегментацию«.

Компания Fortinet на днях обнародовала прогнозы, составленные специалистами отдела исследования угроз FortiGuard Labs и касающиеся развития угроз по всему миру в 2018

На протяжении ближайших нескольких лет количество направлений атак продолжит расти. В то же время возможности комплексного отслеживания и управления современными инфраструктурами снизятся. Наблюдаются такие тенденции, как распространение подключенных устройств, имеющих доступ к персональным и финансовым данным, и появление новых подключений между самыми разными объектами — от скоплений устройств IoT и важных инфраструктур автомобилей, домов и офисов до комплексов «интеллектуальных городов». Эти тенденции способствуют появлению новых возможностей для киберпреступников и других злоумышленников. Последние достижения в таких сферах, как разработка искусственного интеллекта, активно используются на рынке киберпреступности в целях создания более эффективных атак.

Распространение самообучающихся «роевых» сетей и больших групп ботов. По результатам анализа таких изощренных атак, как Hajime, Devil’s Ivy и Reaper, мы можем заявлять, что в будущем на смену ботнетам придут интеллектуальные скопления пораженных устройств — «роевые» сети. Это приведет к появлению более эффективных направлений атак. «Роевые» сети будут задействовать технологию самообучения в целях эффективного поражения уязвимых систем на беспрецедентном уровне. Устройства в составе этих сетей будут взаимодействовать друг с другом и согласованно принимать меры на основе обмена локальными данными. Помимо этого, интеллектуальные устройства-«зомби» будут самостоятельно выполнять команды без вмешательства оператора ботнета. Таким образом, количество устройств в составе «роевой» сети будет расти по экспоненте, как и в скоплениях роящихся насекомых. Эти устройства смогут одновременно атаковать множество целей, что существенно усложнит выявление и устранение угроз. Несмотря на то, что в настоящее время подобные атаки пока еще не проводятся по технологии «роя», так как их охват ограничен особенностями кода, злоумышленники могут внести изменения, направленные на повышение способности ботов к самообучению. Преступники будут использовать большие группы подконтрольных устройств (ботов) для одновременного выявления и поражения разных направлений атак. Высокая скорость осуществления этих массированных атак приведет к исчезновению момента предсказуемости, который необходим для противодействия атакам. В предыдущем квартале текущего года отдел FortiGuard Labs зафиксировал 2,9 миллиарда попыток установки связи между ботнетами. Это свидетельствует о серьезности потенциальных последствий распространения «роевых» сетей и больших групп ботов.

Вымогательство в сфере коммерческого обслуживания — это доходное дело. Количество атак при помощи червей-вымогателей и других типов программ за последний год увеличилось в 35 раз, однако это еще не предел. T Вероятно, следующей целью программ-вымогателей станут поставщики облачных услуг и другие коммерческие организации, деятельность которых направлена на обеспечение регулярного поступления дохода. Поражение созданных поставщиками облачных услуг сложных гиперподключенных сетей может привести к нарушению деятельности сотен коммерческих организаций, государственных учреждений, важных инфраструктур и организаций здравоохранения. Согласно нашему прогнозу, киберпреступники начнут сочетать технологию искусственного интеллекта с методами атак, ориентированными на поиск, выявление и использование уязвимостей сред поставщиков облачных услуг по всем направлениям. Подобные атаки чреваты такими сокрушительными последствиями, как огромные убытки поставщиков облачных услуг в связи с уплатой выкупов преступникам и перерывы в обслуживании сотен и тысяч коммерческих организаций, а также десятков тысяч и даже миллионов их клиентов.

Изменчивое вредоносное ПО следующего поколения. В скором времени, а возможно, и в следующем году мы столкнемся с вредоносным ПО, от начала до конца разработанным при помощи машин. При создании такого ПО будут использоваться технологии автоматизированного выявления уязвимостей и комплексного анализа данных. Мы уже знакомы с полиморфным вредоносным ПО, однако вскорости ситуация примет новый оборот: злоумышленники начнут применять технологию искусственного интеллекта для создания сложных кодов, способных скрываться от обнаружения при помощи написанных машинами процедур. Используя возможности естественного развития уже существующих средств, злоумышленники будут разрабатывать специализированные эксплойты, направленные на максимально эффективное поражение определенных уязвимостей. Вредоносное ПО уже применяет модели обучения в целях обхода систем безопасности. Кроме того, ежедневно появляется более миллиона вариаций вирусов. Однако на сегодняшний день разработка этих вариаций осуществляется в соответствии с алгоритмом, результат реализации которого не отличается сложностью и не поддается контролю. За один квартал 2017 г. в отделе FortiGuard Labs было зафиксировано 62 миллиона образцов вредоносного ПО. При помощи анализа миллионов экземпляров вредоносного ПО нам удалось выявить 16 582 вариации, в основе которых лежат 2534 семейства вредоносного ПО. Каждая пятая организация сообщила о выявлении вредоносного ПО, целью которого являлись мобильные устройства. В следующем году эта проблема станет еще более актуальной в связи с повышением степени автоматизации вредоносного ПО.

На передний план выступают важные инфраструктуры. Поставщики важных инфраструктур по-прежнему подвергаются наиболее существенному риску в связи со стратегическими и экономическими угрозами. Речь идет об организациях, которые обеспечивают функционирование сетей высокого значения, предназначенных для защиты важнейших служб и данных. Известно, что важные инфраструктуры и сети на базе эксплуатационных технологий в большинстве своем отличаются уязвимостью, так как изначально они были изолированы от других сетей. В связи с распространением высокоскоростных цифровых подключений среди сотрудников и клиентов требования к этим сетям изменились. Появилась потребность в развертывании современных систем безопасности в сетях, рассчитанных на автономную работу. Такие факторы, как важность этих сетей и потенциально разрушительные последствия их поражения или отключения, вынуждают поставщиков важных инфраструктур вступать в своего рода гонку вооружений с государственными, преступными и террористическими организациями. В связи с высокой активностью злоумышленников, а также сближением эксплуатационных и информационных технологий обеспечение безопасности важных инфраструктур становится приоритетной задачей на 2018 г. и последующие годы.

Темная паутина и экономика киберпреступности предлагают новые услуги на базе автоматизации. Одновременно с развитием сферы киберпреступности происходит и расширение темной паутины. Согласно прогнозу, в связи с деятельностью организаций в составе инфраструктуры «Преступление как услуга», использующих передовые технологии автоматизации, в темной паутине станут доступными новые услуги. Уже зафиксированы случаи выставления на продажу на рынках темной паутины современных служб, разработанных на основе технологии машинного обучения. В состав некоторых предложений, к примеру, входит служба «полной невидимости» (Fully Undetectable, FUD). При помощи этой технологии разработчики угроз за определенную плату загружают коды атак и вредоносное ПО в службу анализа. Затем они получают отчет о возможности обнаружения угрозы средствами безопасности разных поставщиков. В будущем этот цикл сократится: коды угроз, которые были выявлены в лабораториях, будут оперативно изменяться при помощи машинного обучения, что усложнит обнаружение используемых киберпреступниками средств проникновения. «Песочницы», оснащенные технологией машинного обучения, поддерживают своевременное выявление ранее неизвестных угроз и оперативную разработку мер защиты. Безусловно, аналогичный подход может использоваться иным образом: для автоматизированного сопоставления сетей, поиска целей атак и выявления наименее защищенных из них, анализа цели с последующим проведением виртуального теста на проникновение и запуском специально разработанной атаки.

В связи с появлением новых технологий в сфере автоматизации и искусственного интеллекта перед изобретательными киберпреступниками открываются новые возможности для нанесения ударов по виртуальной экономике. В основе средств защиты должны лежать интегрированные технологии безопасности, актуальные данные об угрозах и динамически конфигурируемые адаптивные системы сетевой безопасности. Система безопасности должна функционировать на скорости, не уступающей скоростям цифровых подключений, что требует автоматизации реагирования, применения актуальных данных и внедрения функции самообучения. Благодаря этим мерам сети станут более эффективными и независимыми в принятии решений. Такой подход не только повышает эффективность отслеживания и способствует централизации управления, но и позволяет осуществлять стратегическую сегментацию в целях обеспечения более полного охвата сетевой инфраструктуры системой безопасности. Эта концепция поддерживает оперативное выявление пораженных устройств, их изоляцию и устранение угроз в целях противодействия атакам в разных сетевых экосистемах — от конечных устройств и локальных сетевых ресурсов до облака. Кроме того, базовые меры защиты должны войти в состав основных протоколов безопасности. Это требование не всегда учитывается, однако именно его исполнение является ключевым фактором предотвращения негативных последствий, вызывающих опасения у всех нас.

Безопасность IoT — дело рук самих утопающих

Согласно данным отчета Fortinet о киберугрозах, Threat Landscape Report, за II квартал 2017 г. подавляющее количество пострадавших организаций буквально напрашивались, чтобы их взломали, на протяжении многих лет злостно пренебрегая установкой доступных патчей и обновлений.

В девяти из десяти случаев успешные кибератаки были нацелены на уязвимости систем и устройств, выявленные по меньшей мере за три года до инцидента, для которых имелись в наличии все необходимые патчи. Более того, 60% взломанных организаций пострадали от «дыр» в защите, которые они не удосужились закрыть за 10 и более лет.

Сегодня, когда к Интернету подключены не только корпоративные интранет, но и миллиарды IoT-устройств, сложность обеспечения контроля, видимости и защиты возрастает многократно. Одновременно, широкое распространение автоматизированных атак увеличивает и вероятность того, что упущения обернутся серьёзными проблемами для предприятия и его клиентов.

Прошлогоднее ПО Mirai стало первым ботнетом, использовавшим IoT для организации беспрецедентных по своим масштабам атак DDoS. Текущий год принес новый урожай IoT-угроз, таких как кросс-платформенный Hajime или самораспространяющийся Poison Ivy с многочисленными инструментальными наборами, встроенными в них.

Дерек Мэнки (Derek Manky), занимающийся в Fortinet глобальными стратегиями безопасности, перечислил четыре ключевых практики обеспечения защиты IoT.

Управление патчами лишь одна из них, хотя и первая и самая важная. Целью WannaCry была уязвимость, «заплата» для которой была выпущена за два месяца до начала атак. Спустя еще две недели в ту же болевую точку ударило ransomware Petya и все ещё обнаружило миллионы непропатченных устройств.

Планируя безопасность IoT нужно также учитывать, что есть миллиарды уязвимых устройств, для которых физические обновления недоступны. Поэтому кибергигиена предприятия должна включать системы предотвращения вторжений, способные виртуальным образом латать прорехи в защите IoT и прочего оборудования.

Второй совет Мэнки заключается в избыточной сегментации резервных копий данных. Все бэкапы следует сканировать на вредоносное ПО, а чистые копии хранить вне сети. Такой подход защитит и от вымогательских атак ransom-of-service, пик которых ожидается в этом году.

Третий важный аспект это полная видимость, которая должна распространяться на ядро сети и на самую отдалённую периферию, включая устройства с дистанционным подключением и облака. Каждый взлом должен предоставлять богатую информацию о технике, тактике и процедурах хакеров, помогающую идентифицировать их, понять их цели и мотивации.

Четвёртый и последний совет — защита должна быть своевременной. Срок реагирования на вторжение необходимо предельно сократить. Для этого требуется координация профилактических процедур, интеграция разнородных компонентов информационной экосистемы предприятия с упрощением последней, консолидация решений безопасности и автоматизация взаимодействия между системами защиты.

«Многие руководители отделов безопасности предприятий спрашивают меня — «Какой была бы ваша рекомендация по IoT-безопасности одной фразой?», — пишет Мэнки. — Мой ответ: «Знайте ваши цифровые активы. Обеспечьте видимость, потому что вы не сможете защитить то, чего не видите»».

Каждой организации требуется постоянно обновлять данные инвентаризации сетевых активов, включая сервисы. При анализе рисков и планировании мер безопасности следует всякий раз задавать вопрос — «Если эти данные или эта служба станут недоступны онлайн, то какими потерями это обернётся для доходов и для бренда?».

Руководство компаний все еще не относит информационную безопасность к приоритетным направлениям

Организации вступают на путь цифровой трансформации и в этих условиях информационная безопасность перестает быть одним из направлений инвестиций в ИТ-сферу и превращается в область стратегических бизнес-решений.

На днях компания Fortinet результаты глобального исследования корпоративной безопасности. И один из главных выводов этого отчета — почти половина ИТ-руководителей полагает, что руководящий состав организаций не уделяет надлежащего внимания вопросу обеспечения информационной безопасности, несмотря на происходящие резонансные кибератаки. Тем не менее, многие ИТ-специалисты убеждены, что переход к облаку, являющийся одним из этапов процесса корпоративной цифровой трансформации, приведет к тому, что обеспечение безопасности станет приоритетным направлением.

Почти 48% опрошенных руководителей полагают, что ИТ-безопасность пока не входит в число вопросов, стоящих на повестке дня совета директоров. Это не влияет на бюджет: в 61% организаций расходы на обеспечение безопасности составляют более 10% ИТ-бюджета. Стоит отметить, что это достаточно высокий показатель. 71% опрошенных респондентов сообщили об увеличении выделенного на обеспечение ИТ-безопасности бюджета по сравнению с прошлым годом.

ИТ-руководители убеждены, что информационная безопасность должна войти в число приоритетных задач в сфере управления. По мнению 77% респондентов, ИТ-безопасность должна стать предметом пристального внимания руководящего состава.

Отмечается три ключевых фактора, способствующих переходу информационной безопасности в разряд приоритетных направлений.

Во-первых, рост количества нарушений безопасности и международных кибератак. За последние два года 85% организаций столкнулись с нарушениями безопасности. Наиболее распространенными технологиями атак (47% респондентов) стали вредоносное ПО и программы-вымогатели.

49% ИТ-руководителей заявили, что международные кибератаки, например WannaCry, привели к повышению приоритетности направления ИТ-безопасности. Сфера безопасности привлекает внимание руководящего состава в связи с такими факторами, как масштабность и направленность международных кибератак. Теперь вопросы безопасности обсуждаются не только в ИТ-отделах.

Во-вторых, повышение давления со стороны регулирующих структур. Как сообщили 34% респондентов, другим важным фактором, привлекающим внимание руководящего состава, является рост количества нормативных требований. Например, в скором времени на территории Европейского союза вступит в силу документ GDPR («Общие положения о защите данных»), предусматривающий существенные штрафы. Безусловно, эти тенденции представляют интерес для руководящего состава организаций.

И наконец в-третьих, переход к облачным технологиям является фактором повышения приоритетности вопросов безопасности. Для многих организаций переход к облаку является частью процесса цифровой трансформации. 74% ИТ-руководителей выразили уверенность в том, что вопросы безопасности облака приобретают приоритетное значение. 77% респондентов также заявили, что обеспечение безопасности облака, наряду с вложениями в развитие поддерживающих эту функцию инфраструктур безопасности, становится задачей первостепенной важности для руководящего состава. В связи с этим половина опрошенных респондентов (50%) в течение ближайших 12 месяцев планируют инвестировать средства в обеспечение облачной безопасности.

По следам недавней атаки

В настоящее время мы отслеживаем новый вариант ransomware по всему миру, который имеет возможность изменять главную загрузочную запись, аналогичную предыдущей атаке, известной как Petya.
 
Исследователи ссылаются на него как на Petya, так и на NotPetya, поскольку не определено, является ли это вредоносное ПО вариантом, принадлежащим семье Petya. Новый зловред оказывает влияние на широкий спектр отраслей и организаций, включая критические инфраструктуры, такие ​​как энергетика, банковское дело и транспортные системы.

Это новое поколение вируса-вымогателя имеет несколько векторов атак и включает те же уязвимости, которые были использованы во время недавней атаки Wannacry в мае нынешнего года. Подобно Wannacry, эта атака сочетает в себе вымогательство с поведением червя и относится к новой группе вредоносных программ, называемых ransomworms. Вместо того, чтобы нацеливаться на одну организацию, ransomworms используют широкомасштабный подход, который увеличивает область действия атаки.

Хотя на данном этапе исследование продолжается, мы можем утверждать, что этот вирус-вымогатель демонстрирует поведение, подобное червям (ransomworm) благодаря его активному зонду для SMB-сервера. Мы можем также предположить, что он распространяется через EternalBlue и WMIC. Исследователи изначально полагали, что Petya / NotPetya был передан его первым жертвам через электронные письма, содержащие зараженные документы Microsoft Office, которые использовали CVE-2017-0199. На данный момент мы продолжаем исследования, чтобы подтвердить это. Пока применение соответствующего патча MS Office для вашей системы защитит вас от этого вектора атаки.

Как только уязвимое устройство подверглось заражению, Petya / NotPetya, по-видимому, нарушает главную загрузочную запись (MBR) во время цикла заражения. Затем он посылает пользователю сообщение о выкупе, в котором говорится: «Ваши файлы больше не доступны, потому что они были зашифрованы», и требует выкуп в 300 долларов в цифровой валюте Биткойн. Затем он указывает, что выключение компьютера приведет к полной потере системы.

Это иная тактика, чем обратный отсчет времени или постепенное стирание файлов данных, как в других версиях ransomware. С большинством атак Ransomware единственной потенциальной потерей являются данные. Поскольку Petya изменяет главную загрузочную запись, основной риск - это потеря всей системы. Кроме того, он инициирует перезагрузку системы в течение одного часа, добавив к атаке дополнительный элемент отказа в обслуживании.

Любопытно, что в дополнение к эксплойтам Microsoft Office Petya / NotPetya использует тот же вектор атаки, что и Wannacry, применяя те же уязвимости Microsoft, которые были обнаружены Shadow Brokers в начале этого года. Однако из-за того, что в этом эксплойте использовались дополнительные векторы атаки, их исправление было бы недостаточным для полного прекращения этого эксплойта, а это значит, что исправление должно сочетаться с хорошими инструментами и практиками безопасности. Клиенты Fortinet, например, были защищены от всех векторов атаки, поскольку они были обнаружены и заблокированы нашими решениями ATP, IPS и NGFW. Кроме того, наша команда AV выпустила новую антивирусную сигнатуру в течение нескольких часов после выявления атаки, чтобы улучшить первую линию защиты.

Необходимо обратить внимание на два аспекта. Во-первых, несмотря на широкую огласку уязвимостей и исправлений Microsoft и всемирный характер атаки Wannacry, по-прежнему остаются тысячи организаций, в том числе, в области критической инфраструктуры, которые подверглись атаке и не смогли защитить свои системы. Во-вторых, возможно, что эта атака является просто тестом для подготовки будущих атак, нацеленных на недавно обнаруженные уязвимости.

С финансовой точки зрения, атака Wannacry была не очень успешной, так как принесла очень мало дохода своим разработчикам. Частично это объяснялось тем, что исследователи смогли найти возможность обезвредить атаку. Атака Petya намного сложнее, хотя еще и предстоит увидеть, будет ли она более успешной финансово, чем ее предшественница.

На сегодняшний день ясно: 1) слишком многие организации практикуют плохую «гигиену» безопасности. Когда эксплойт нацелен на известную уязвимость, для которой патч доступен в течение нескольких месяцев или лет, жертвы, к сожалению, виноваты сами. Ключевыми элементами этой атаки были уязвимости, для которых исправления были доступны в течение некоторого времени. 2) эти же организации также не располагают достаточными инструментами для обнаружения таких видов эксплойтов.

Борьба со злоумышленниками в сети IoT

С увеличением поверхности атак IoT управление и безопасность конечных точек становятся все более раздробленными. Большинство устройств IoT поставляются без антивируса, но даже если бы он был установлен, размер и разнообразие экосистемы IoT делают этот процесс слишком сложным для управления.

Поэтому проверка сети является единственным решением для IoT. В каждой сети должно быть интеллектуальное устройство обеспечения безопасности, способное выполнять глубокую проверку кода, написанного для таких нетрадиционных платформ. Мы в Fortinet называем это агностической проверкой платформы и считаем лучшим способом масштабирования в среде IoT.

Для каждого запроса данных такое устройство должно определить три параметра важной информации: кто пользователь, где он находится и какие данные ему необходимы. Это означает, что сеть должна включать в себя традиционные технологии защиты сети, такие как брандмауэр, средства предотвращения вторжений, web filtering и решения защиты от вредоносного ПО для применения политик, управления приложениями и предотвращения потери данных. Что еще более важно, в результате увеличения поверхности атак необходимо проверять и содержимое. В настоящее время угрозы могут скрываться где угодно, их можно обнаружить в любых потоках данных.

Только такие интеллектуальные решения, тщательно продуманные политики и бдительные сотрудники служб ИТ-безопасности предприятия могут стать надеждой на победу в жесткой борьбе за безопасность IoT.

Устройства IoT как звено атаки на внутреннюю сети

Увы, но взломать устройства IoT, как правило, не составляет особого труда, поскольку они используют широкий спектр модулей и общих библиотек, которые, как правило, имеют открытый исходный код.

Кроме того, есть тенденция использования в таких устройствах новых протоколов, например UPnP (Universal Plug n Play), которые имеют больше недостатков по сравнению с традиционными и уже опробованными протоколами.

Во-вторых, большинство производителей IoT не заботятся о безопасности при создании и проектировании своих устройств и не предусматривают никаких механизмов реагирования на случай взлома устройства.

Крупные поставщики программного обеспечения, например Microsoft и Adobe, всегда были целями для атак злоумышленников. Поэтому они создают безопасные жизненные циклы разработки и часто выпускают исправления. Если их программное обеспечение атакуют через какие-то уязвимости, их специальные группы реагируют на нарушения системы безопасности продукта (PSIRT, Product Security Incident Response Team) для оперативного решения проблемы.

Кроме того, такие крупные поставщики программного обеспечения создали множество инструментов контроля защиты своих продуктов, чтобы усложнить возможность атаки. Например, теперь Adobe Reader имеет варианты среды, которые обеспечивают более высокий уровень устойчивости к атакам. В устройствах IoT, как правило, нет таких точных элементов управления. Более того, с повышением возможности интеграции и сложности устройств IoT будет расти и количество уязвимостей. Большинство из них будут традиционными веб-недостатками в интерфейсе пользователя, который управляет устройством IoT.

Лаборатория исследования угроз компании Fortinet, FortiGuard Labs, уже обнаружила, что злоумышленники исследуют нетрадиционные цели, такие как IoT. Пока немного угроз было зафиксировано, но несомненно, в ближайшие месяцы их количество значительно возрастет. Атаки на устройства IoT представляют собой путь наименьшего сопротивления и прекрасную возможность для хакеров, которые знают, что без надлежащей команды PSIRT для управления исправлениями и устранения проблем безопасности IoT их попытки будут успешны в течение более длительного времени.

Если устройство подключено к сети, имеет хранилище, память и процессор, оно становится идеальной мишенью для атаки. Вероятнее всего, устройства IoT будут выступать в качестве промежуточного звена для последующей атаки внутренней сети.

Утечка данных в «Интернете вещей» — реальная угроза

IoT изменит наш образ жизни — будь то общение с людьми, совместная работа или заключение сделок. Кроме того, IoT станет базой для создания инновационных решений и сервисов. Но «Интернет вещей» существенно повышает угрозы безопасности.

Прежде всего, необходимо отметить, что при использовании IoT гораздо больше информации и операций выполняется в Интернете. Эти данные можно легко перехватить по двум причинам. Во-первых, в результате подключения IoT-устройств существенно снижается безопасность сети, а, во-вторых, программное обеспечение, установленное на устройствах IoT, часто не достаточно защищено и его легко взломать.

В эпоху, когда клиенты и сотрудники ожидают, что компании будут обеспечивать безопасность их личных данных, это может стать разрушительной комбинацией. В настоящее время организации несут ответственность за защиту не только собственных бизнес-ресурсов, но и сведений своих клиентов и сотрудников, касающихся компенсаций, состояния здоровья, истории поисковых запросов и покупок, а также других конфиденциальных данных. Такой переход от защиты клиентов только от несанкционированных операций по кредитным картам к обеспечению безопасности их личных и конфиденциальных данных происходит в глобальном масштабе. Нарушение этих обязанностей может подвергнуть бизнес серьезному риску.

По результатам последнего глобального исследования Fortinet, касающегося IoT, 62% респондентов заявили, что «посчитали бы, что их права нарушены, и полном негодовании готовы были бы подать в суд», если бы узнали, что их домашнее устройство IoT тайно собирает информацию о них и делится ею с другими. Если было бы известно, что устройство IoT собирает данные, 66% респондентов сказали, что разрешили бы доступ к этим данным только для себя и указанных ими лиц.

Согласно Gartner к 2020 г. количество IoT-устройств достигнет 26 млрд., а доход поставщиков товаров и услуг в этом сегменте превысит 300 млрд. долл и бурное развитие IoT, сулит нам не только новые возможности, но и новые вызовы, с которыми как-то придется совладать. И к этому нужно быть готовым уже сейчас.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT