`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Кибербезопасность переходит на национальный уровень

Май 2017 года стал особо показательным в плане противоречивости государственных и коммерческих инициатив в области кибербезопасности. Всего через месяц после того, как группировки киберпреступников получили доступ к специальным программным инструментам Агентства национальной безопасности США, хакерская атака разразилась по всему миру [BBC. May 13, 2017].

Стала видна несостоятельность многих подходов в области кибербезопасности. Бодрые рапорты, концептуальные подходы, лозунги и призывы, которые озвучивались с различных трибун, не выдержали минимальной проверки на здравый смысл и не смогли противостоять реальной угрозе, возникшей в киберпространстве.

И это только видимая часть проблемы обеспечения безопасности бизнеса. Скрытая же может серьезно затронуть внутренние вопросы кибербезопасности в государственном и частном секторах. Эти вопросы со временем будут только обостряться, поскольку быстро расширяющийся ландшафт киберугроз дает злоумышленникам все новые возможности для широкого использования внешних признаков кибер-ландшафта с целью сокрытия внутренних инсайдерских атак. Очень трудно, к примеру, отличить внешнюю атаку трояна-шифровальщика от внутренних злоупотреблений, которые могут быть достаточно эффективно скрыты под имитацией действий шифровальщика.

Кибербезопасность стала предметом, в котором стало очень трудно ориентироваться. Оценить уровень угроз и реальность существующих требований, спланировать адекватные меры и вложиться в ограниченный бюджет, выстроить прозрачный план стратегических действий и его поэтапную реализацию с постоянно изменяющимся вектором внешних и внутренних угроз стало сложно даже мировым компаниям с сотнями и тысячами специалистов по кибербезопасности.

Число целенаправленных киберугроз будет расти и этому дополнительно будет способствовать широкое использование биткоина в киберпространстве. Наличие виртуальной денежной единицы значительно упрощает «отмывание» денег для киберкриминала. Теперь вывод финансовых средств киберпреступниками может осуществляться без использования дополнительных высокозатратных сервисов, которые обходились в существенную долю от похищенных сумм. Упрощение перетоков виртуальных биткоинов в материальное пространство становится дополнительным стимулирующим фактором для роста преступности в киберпространстве.

Отдельной проблемой станет реализация киберстратегий на уровне государственных политик. Первые и достаточно настораживающие результаты в геополитическом плане были продемонстрированы на выборах президентов в США и Франции, проведении референдума об ассоциации Украина-ЕС в Нидерландах, кибератаках на энергосистемы нашей страны и государств Прибалтики.

Публикации WikiLeaks, документов и файлов из закрытой сети Центра радиотехнической и электронной разведки ЦРУ в Лэнгли — по сути элементов кибероружия, а потом, спустя короткий срок, их эффективное использование в криминальных целях демонстрирует очень эфемерную черту между работой спецслужб в интересах государства и криминалом [WikiLeaks (@wikileaks). March 7, 2017].

Все эти факторы позволяют прогнозировать в ближайшей перспективе значительный рост количества успешно реализованных внешних и внутренних угроз, а, следовательно, увеличение катастрофических масштабов последствий от их реализации. Как пример, атака шифровальщика WannaCry вызвала хаос в 150 странах — наиболее пострадавшие Великобритания, Испания, Германия, Турция, Россия, Вьетнам, Япония и др. Атаковано, по данным Europol, более 200 000 компьютеров. Среди жертв оказались такие гиганты как FedEx, Telefonica и Deutsche Bahn. Французский автопроизводитель Renault закрыл свой завод в Дуэ — один из его крупнейших объектов, в котором занято 5500 человек [1) The New York Times, 2) AFP].

Как видим в киберпространстве начинает прослеживаться четкая тенденция — один и тот-же инструментарий может использоваться как в интересах уполномоченных государственных структур, так и в интересах криминалитета.

Возникает необходимость в формулировке базового перечня вопросов, основанных на лучших практиках, который должен быть рассмотрен и реализован в коммерческих и государственных структурах для предотвращения атак и уменьшения рисков независимо от существующего ландшафта киберугроз.

Анализ рисков

  1. Должен проводиться регулярный анализ рисков в сфере кибербезопасности. Периодичность проведения процедуры анализа рисков не должна превышать один год.

  2. При возникновении глобальных инцидентов должен проводиться внеплановый анализ рисков с учетом изменившегося ландшафта киберугроз.

Сканирование угроз и патчинг

  1. Должно быть обеспечено регулярное сканирование сети, операционных систем и приложений на наличие уязвимостей. Для приложений третьих производителей должен проводиться регулярный контроль наличия обновлений. Периодичность сканирования не должна превышать один месяц.

  2. Должен существовать план устранения выявленных уязвимостей системными администраторами.

  3. Должен быть обеспечен еженедельный контроль со стороны службы кибербезопасности за процессом устранения выявленных уязвимостей системными администраторами.

  4. Для уязвимостей, для которых не существует стандартных средств их устранения (патчи), должны быть предусмотрены альтернативные способы их нейтрализации или минимизации возможного ущерба от их использования.

Использование белого списка приложений

  1. В сети должен быть разрешен только запуск авторизованных службой кибербезопасности программ и приложений.

  2. Список авторизованных программ и приложений должен формироваться для каждого профиля пользователей индивидуально.

  3. Ежегодно список авторизованных программ и приложений должен пересматриваться и подтверждаться службой кибербезопасности.

Обеспечение резервного копирования

  1. Должно быть обеспечено резервное копирование всей критической информации.

  2. Должно быть обеспечено создание офлайн-хранилища резервных копий. Схема ротации офлайн-хранилища должна гарантировать в каждый момент времени нахождение в 72 часовом офлайне как минимум одной полной резервной копии.

  3. Должно быть обеспечена регулярная проверка возможности переключения на резервные копии в случае возникновения каких-либо инцидентов.

Обучение персонала

  1. Должно регулярно проводиться обучение персонала по применению лучших практик в сфере кибербезопасности.

  2. Не реже чем один раз в год целесообразно «в реальных условиях» проведение обучения персонала по противодействию различным атакам с обязательным анализом созданных инцидентов и действиям персонала по их локализации (стресс-тестирование). Результаты итогового анализа с выводами и рекомендациями должны доводиться до персонала.

  3. Специалисты по кибербезопасности должны проходить переподготовку в специализированных центрах по кибербезопасности не реже одного раза в три года.

Реагирование на инциденты

  1. Должен быть разработан план реагирования на инциденты.

  2. Служба кибербезопасности должна регулярно мониторить киберпространство с целью поддержания план реагирования на инциденты в актуальном состоянии путем «проецирования» киберинцидентов на существующую инфраструктуру.

  3. План реагирования на инциденты должен тестироваться не реже один раз в год.

Бизнес непрерывность

  1. Должно быть обеспечено четкое понимание возможностей обеспечения работы бизнеса без доступа к определенным системам.

  2. Должны быть проведены временные и ресурсные оценки ведения бизнеса без доступа к определенным система.

  3. По результатам оценок должны быть разработан план восстановления нормального функционирования бизнеса. Для «узких» мест должен быть составлен и утвержден отдельный план неотложных действий.

  4. Должно проводиться регулярное тестирование плана реагирования на угрозы кибербезопасности и обеспечения бизнес непрерывности.

Тестирование на проникновение

  1. Должны проводиться регулярные попытки атак на собственные системы с целью их дискредитации и проверки собственных возможностей защиты от таких атак.

  2. Тестирование на проникновение должно совмещаться с обучением персонала по способам отражения таких атак.

  3. По результатам тестирования должны быть внесены изменения и дополнения по всем вопросам, которые регламентируют текущие требования по кибербезопасности.

Использование лучших практик является важным моментом в защите сетей, операционных систем и приложений. Выполнение этих рекомендаций позволяет предотвратить примерно 80-85% целевых кибератак на бизнес. Однако не будем забывать, что при всех усилиях существует один критичный элемент, который относят к человеческому фактору. И тут важным становиться организация процесса непрерывного тренинга персонала. Многие вопросы можно естественным путем обеспечить и интегрировать в сам бизнес. Однако осуществление обучения персонала методами стресс-тестирования и обеспечение непрерывности бизнеса может оказаться во многих случаях достаточно проблематичным. И здесь нельзя не обойтись без подключения в общий процесс ВУЗов, которые готовят специалистов по кибербезопасности. Параллельно, при таком системном подходе, решается вопрос с плановой переподготовкой специалистов государственного и коммерческого секторов по практическим вопросам кибербезопасности. Все упирается в необходимость выстраивания цельной системы управления предотвращением киберугроз, подготовки и переподготовки специалистов и увязки ее с интересами и пониманием этого процесса со стороны бизнеса. А пока системного подхода и полной координации в этом вопросе не видно, а все внешние признаки говорят о том, что этот вопрос уже начинает переходить в область национальной безопасности.

2016 год сквозь призму ИБ

До наступления Нового года остались считанные дни и по традиции пришло время проанализировать основные тренды и подвести итоги в области информационной безопасности.

 
С чем мы столкнулись в году уходящем? В киберпространстве начинает формироваться устойчивая тенденция своего рода гибридных войн. Отмечается рост заинтересованности правительственных структур в получении информации, которая может быть использована в мировой конкурентной и политической борьбе. Глобализация и высокая эффективность получаемых результатов способствует росту данных тенденций. Кибератаки становятся инструментом быстрого достижения требуемых результатов как в экономической, так и политической сферах. В качестве показательного примера - хакерская атака на сервера Национального Комитета Демократической партии США. Похищенная электронная переписка 7 ключевых руководителей партии была в открытую использована для достижения политических целей на выборах в США.
 
В Украине только в этом году зарегистрировано более 200 успешных атак на ИТ инфраструктуры в сфере энергетики, государственных и банковских финансов, транспорта и связи. Хакерские атаки в декабре 2016 на ресурсы Министерства финансов и Государственного казначейства Украины привели к потере порядка 3 терабайтов данных (по заявлению первого заместителя директора Национального института стратегических исследований Александра Власюка - http://biz.censor.net.ua/n3017228).
 
Количество атак против государственных и корпоративных структур растет и они становятся все более совершенным. Очень часто экспертам достаточно трудно определить инициаторов атак – это государственные структуры или частные группы злоумышленников, которые зарабатывают таким образом деньги. 
 
Масштабные утечки персональных данных из крупных баз данных (социальных сетей, медицинских учреждений и т. п.) вносят свою лепту в осуществление успешных атак на ИТ-инфраструктуры государственных и корпоративных систем.
 
Эксперты продолжают отмечать устойчивый рост успешных кибератак и утечек информации. В отчете компании Dell за апрель 2016 года стоимость преодоления сетевого периметра ИТ инфраструктуры на подпольном хакерском рынке имеет практически фиксированную цену и в среднем не превышает 500 долл. (http://online.wsj.com/public/resources/documents/secureworks_hacker_annu...). 
 
Внешний периметр ИТ инфраструктуры (по данным компании Positive Technologies) преодолевается в 83% случаев, и в 54% это не требует высококвалифицированной подготовки. Стоимость взлома почтовых аккаунтов Mail.ru, Yandex.ru, Rambler.ru составляет 65-103 долл., а Ukr.net, Gmail.com, Yaho.com, Hotmail.com, Facebook.com – 129 долл. США, социальных аккаунтов Vkontakte (VK.ru), Odnoklasniki (OK.ru) – 194 долл. США.
 
При этом по статистике примерно каждый пятый (http://www.securitylab.ru/news/480306.php) сотрудник компании готов сознательно продать свои учетные данные. В 40% случаев пользователи готовы продать свои учетные данные, в том числе и от удаленного доступа, за сумму меньше 1000 долл. А в некоторых случаях этот порог составлял 100 долл. и даже меньше. Все это колоссально упрощает преодоление сетевого периметра ИТ-инфраструктуры.
 
Изменились и подходы к целям преодоления сетевых периметров. Вместо того, чтобы просто похищать данные, киберпреступники шифруют их с целью вымогательства. При средней стоимости выкупа в 300 долларов и 2,9% уплаченных выкупов (Форум Cisco – Технологии кибербезопасности, Киев, 8 декабря 2016) расчетный валовый доход от программ-шифровальщиков составляет 34 млн. долл на компанию. Расцвету данной стратегии способствует рост популярности крипто-валют и электронных платежей, использование которых значительно усложняет задачи поиска и идентификации злоумышленников. По оценке ФБР, в уходящем году виртуальное вымогательство вошло в число самого прибыльного хакерского ПО с предполагаемой доходностью в 1 млрд долл.
 
Настоящей головной болью стало использование IoT устройств при DDoS-атаках. Фиксировалась пиковая мощность атак с использованием данной технологии в 1 Тбит/с. Опробованы DDoS-атаки с использованием протоколов шифрования, что дополнительно затрудняет идентификацию таких атак.
 
Киберпреступники начинают активно использовать системные подходы и комбинации различных инструментов. Процесс осуществления кибератак постоянно меняется и зачастую значительно отличается от прогнозов экспертов в области ИБ. 
 
Модель угроз теперь должна учитывать тот факт, что при таргетированной атаке злоумышленники достигнут 100% успеха. Основываясь на данной аксиоме должны быть внесены соответствующие изменения в инфраструктуру ИТ и ИБ, а, с очень высокой степенью вероятности, и в некоторые бизнес-процессы, которые могут оказаться критичными в случае успешной кибератаки.
 
Инфраструктура ИТ и ИБ должна выстраиваться на основе многоэшелонированных организационно-технических слоев безопасности. На сегодняшний день можно определить следующие основные направления, которые должны попасть в сферу приоритетного внимания:
  • Постоянный контроль наличия уязвимостей, оценка существующих рисков и организация процесса оперативного развертывания имеющихся обновлений системного и прикладного программного обеспечения. 
  • Обеспечение защиты периметра сети ИТ инфраструктуры. Контроль доступа к Интернет ресурсам, фильтрация почты, установка файрволлов нового поколения и систем предотвращения вторжений.
  • Сегментирование инфраструктуры ИТ и ограничение доступа из сети Интернет к особенно критичным сегментам. 
  • Организация «белых списков» и введение временного контроля на доступ пользователей к критичным ресурсам ИТ инфраструктуры.
  • Контроль беспроводных сетей и управление правами доступа к ним корпоративных пользователей.
  • Постоянный мониторинг и управление правами доступа пользователей к ресурсам ИТ инфраструктуры. Внедрение систем многофакторной аутентификации на базе PKI и электронных ключей, систем предотвращения утечек информации (DLP). 
  • Разработка эффективных парольных политик и внедрение для пользователей инструмента эффективного управления созданием, хранением и изменением паролей.
  • Непрерывный мониторинг систем безопасности, активное обнаружение и противодействие атакам. Приоритетное разворачивание систем ИБ, которые способны сократить время обнаружения и обеспечить минимизацию последствий успешных атак.
  • Шифрование критичных данных и управление хранением и защитой от несанкционированного доступа к секретным ключам пользователей.
  • Организация системы резервного копирования критически важных данных и оценка их уязвимости к успешным атакам. Следует учитывать возможности локального и «облачного заражения» (cloud poisoning) резервных копий.
  • Непрерывная защита и обучение конечных пользователей. Проведение стресс-тестирования пользователей путем проведения учебных атак и отработки действий пользователей на такое тестирование. 
 
Охватывает ли этот перечень все организационно-технические мероприятия? Безусловно, нет. В области информационной безопасности постоянно появляются новые подходы, идеи и решения. Приоритеты должны задаваться политиками безопасности на основе постоянной оценки текущих угроз. 
 
Хватает ли нам ресурсов финансовых и материальных чтобы противостоять или хотя бы минимизировать постоянно растущие и динамически изменяющиеся угрозы? И на этот вопрос приходится давать отрицательный ответ. Как выходить из создавшегося положения? Только непрерывной оценкой рисков и «ювелирным» управлением имеющимися финансовыми и техническими ресурсами в соответствии с принятыми политиками безопасности. В дополнение мы должны более активно оценивать возможности и вводить в слои безопасности продукты ИБ Open Source (при наличии). На сегодняшний день, в условиях ограниченного финансирования и реального роста числа кибернетических атак на ИТ инфраструктуры государственных и корпоративных структур Украины, другого пути не видно. 
 
Однозначно, что в направлении использования продуктов Open Source целесообразно иметь координирующую структуру, которая бы обеспечивала оценки эффективности использования, выработку рекомендаций, оказывала техническую и методическую помощь. И здесь таким центром могли бы выступить украинские вузы, которые занимаются подготовкой специалистов по информационной безопасности.
 
Сейчас это высказывание звучит утопически. Но давайте глянем на мировой опыт, где государственные структуры и бизнес выделяют гранты на проведение научных исследований, разработку новых технологий и подготовку специалистов. Может пришло время и нам начать двигаться в эту сторону? С одной стороны, мы могли бы получить современные и хорошо оснащенные методические центры, с другой стороны повысить уровень подготовки специалистов по информационной безопасности, которые завтра придут на объекты энергетики, в структуры государственных и корпоративных финансов, управления, транспорта и связи. 
 
Новый год на пороге. Пришло время ставить новые амбициозные задачи. С наступающим Новым годом и Рождеством Христовым! 
 

И снова в первый класс или Новые требования к парольным политикам

Американский NIST сформулировал новые рекомендации относительно создания парольных политик корпоративных пользователей.

И снова в первый класс или Новые требования к парольным политикам

В них впервые предложено использовать шаблон для парольных политик с учетом «менталитета» пользователей и отказаться от неэффективной и трудозатратной практики выполнения действий, которые не улучшают безопасность.

Учитывая рекомендации, которые выдвинул NIST, можно выделить несколько основных положений.

Аутентификация с помощью ответов на вопросы, которые пользователь дал заранее, а также использование SMS-сообщений в двухфакторной аутентификации из-за проблем с безопасностью их доставки является неэффективной. Это основывается на том, что: устройство может быть заражено вредоносным программным обеспечением (ПО); возможно перенаправление сообщения злоумышленникам; хакеры могут атаковать сеть оператора связи и др.

Установление срока окончания действия пароля без особой необходимости нецелесообразно (хотя практический опыт дает основания действовать наоборот - устанавливать срок жизни сложного пароля от 6 до 12 месяцев).

Учетные данные целесообразно изменять в случаях, когда они были забыты, украдены с помощью фишинга или взломаны.

Длина пароля должна быть не менее 8 и не более 64 символов. При этом целесообразно проверять пароли с помощью частотных словарей, а также отказаться от порочной практики использования подсказок и вспомогательных вопросов, которые упрощают взлом паролей и их восстановление (типа «Имя вашего питомца?», «Какое девичье имя вашей матери?» и т.п.).

Последнее утверждение основано на том, что пароли должны храниться в хешированном виде с добавлением модификатора (не менее 32 бит), а ограничение длины не должно быть обязательным (модификатор - строка данных, которая передается хэш-функции вместе с паролем. Используется для удлинения строки пароля, чтобы увеличить сложность взлома).

Дополнительно пользователям должна быть обеспечена возможность использовать все печатные символы ASCII, пробелы и символы UNICODE, включая емодзи (смайлики). Использование парольных фраз и их проверка с помощью частотных словарей позволит выбирать любые существующие знаки пунктуации и любой, выбранный пользователями, язык, а также исключить из употребления такие широко применяемые варианты, как «qwerty», «welcom», «ThisIsPassword» и т.д.

На основании анализа вышеизложенных рекомендаций NIST, можно сформулировать базовые требования к созданию парольных политик корпоративных пользователей.Для удобства приведем их в виде правил, которые легко могут быть адаптированы в любую парольную политику.

Напомним, что парольная политика устанавливает требования к порядку выбора, хранения, использования, периодичности смены и других вопросов, связанных с применением механизмов парольной аутентификации в информационных системах и прикладных приложениях.

Требования по созданию парольных политик корпоративных пользователей

Правило 1.

Длина пароля должна составлять не менее 8 символов. При этом пароль должен быть похожим больше на криптографический ключ в виде набора случайных символов, чем на секретное слово. Так, например,

при длине пароля от 8 до 11 символов обязательно должен использоваться микс (смесь) букв в нижнем и верхнем регистре, цифрами и спецсимволами;

длина пароля от 12 до 16 символов должна предусматривать использование микса букв в нижнем и верхнем регистре и цифр;

длина пароля от 16 до 21 символа должно основываться на использовании микса букв в нижнем и верхнем регистрах;

при длине пароля более 22 символов целесообразно использовать любые буквенные символы.

Длина пароля для мобильных устройств не должна быть менее 15 символов. Содержание пароль должен состоять из букв и цифр нижнего и верхнего регистров. Например, пароль для банковского приложения: 8xaFTMT8OZWxa1xv.

Правило 2.

Пароль не может состоять из одного слова, которое появляется в словаре (на украинском или любом другом языке). При формировании пароля целесообразно использовать кодовую фразу из нескольких слов.

Примечание: не все сайты и приложения поддерживают такую возможность. Часто длина пароля ограничивается сверху, что не позволяет использовать при формировании пароля длинные фразы.

Правило 3.

В устойчивом пароле должно быть не менее 3-х спецсимволов, 3-х цифр, 3-х заглавных и 3-х строчных букв.

Для облегчения запоминания пользователем требований к построению пароля - назовем это правило «правилом 3х4».

Пример построения стойкого пароля:

ФРАЗА: «Ежик в тумане. Мультфильм хороший и веселый»

ПАРОЛЬ: - *v~DisneyGo0d:)

  • *” - «ежик»;

  • v” - «в»;

  • ~” - «туман»;

  • Disney” - популярна студия мультфильмов;

  • Go0d” - “good” –> «золото» -> «хороший»;

  • :)” - «веселый».

ФРАЗА: «Снег зимой, а летом солнце»

ПАРОЛЬ: - *Pbvjq@ Ktnjv /o\

  • *” - «снег»;

  • Pbvjq” - на английской раскладке клавиатуры русскими буквами «Зимой»;

  • @” - «а»;

  • Ktnjv” - на английской раскладке клавиатуры русскими буквами «Летом»;

  • /o\” - «солнце».

Примечание: не используйте ни один из приведенных примеров в качестве пароля!

Правило 4.

При большом количестве учетных записей (более трех) желательно использовать функционал менеджеров паролей и обеспечить дополнительную защиту базы данных и ключевого файла менеджера паролей с помощью сертификата. Для этого может быть использован любой внешний носитель с аппаратным шифрованием (типа гибридных USB-аутентификаторов), использование которого позволит пользователю хранить сертификаты, секретные ключи и базы данных менеджера паролей. Политика блокировки учетных записей пользователей должна быть при этом ориентирована на следующие требования:

  • количество ложных вводов пароля - хх (рекомендуется 11);

  • время блокировки учетной записи - хх ч (рекомендуется 3 ч.);

  • время доступа пользователей до Active Directory - с хх.хх до хх.хх.

Правило 5.

С целью предотвращения несанкционированного доступа к рабочим местам пользователей, а также к ресурсам корпоративной сети с использованием чужих учетных записей (имен пользователей), пользователи обязаны блокировать экраны своих компьютеров в случае оставления ими своего рабочего места нажатием на компьютерной клавиатуре набора клавиш Ctrl + Alt + Del и далее - кнопки «Блокировки» («Lock Workstation»).

Правило 6.

Пользователям запрещается:

  • сообщать свой пароль кому-либо, включая своих коллег, друзей, непосредственных руководителей, специалистов служб технической поддержки и информационной безопасности;

  • хранить пароли в доступной для неуполномоченных лиц форме, в командных файлах, сценариях автоматической регистрации, программных макросах, функциональных клавишах терминала, на компьютерах с неконтролируемым доступом, а также в других местах, где неуполномоченные лица могут получить к ним доступ;

  • записывать пароли и оставлять эти записи в местах, где к ним могут получить доступ неуполномоченные лица;

  • использовать общие пароли для доступа к информационным системам и интернет-ресурсов дома и на рабочем месте;

  • использовать общие пароли совместно с другими сотрудниками организации.

Есть ли жизнь у антивирусов...?

Наконец свершилось! Открыто озвучен факт, который не принято было афишировать для простых смертных.

Ведущий разработчик Google по информационной безопасности Даррен Билби (Darren Bilby) на хакерской конференции Kiwicon X 17-18 ноября 2016 заявил о полной бесполезности антивирусной защиты.

Специалисты по информационной безопасности давно говорят о неэффективности антивирусной защиты. Я уже писал о взломанных и опубликованных материалах итальянской компании Hacking Team (которая специализируется на поставках шпионского и хакерского ПО для спецслужб и правительственных органов самых разных стран мира). В частности, были опубликованы материалы, которые подтвердили, что для специализированных «хакерских инструментов» антивирусная защита не является особой помехой.

Нормальным и «вменяемым» пользователям антивирус в принципе не нужен, потому что у них хватит ума, чтобы не ходить на сомнительные сайты и не открывать файлы из непроверенных источников. А это типичные пути заражения, которые контролируют антивирусы.

Неэффективными называет Билби и системы обнаружения вторжений — «Мы должны прекратить инвестиции в те вещи, которые как мы показали, не работают».

Рекомендации по безопасному использованию Интернета являются «ужасными», заявил Даррен Билби. Рассказывать пользователям о том, что не надо нажимать на фишинговые ссылки и загружать исполняемые файлы достаточно «эффективно», поскольку эти рекомендации переносят вину на пользователей, и не на тех, кто производит аппаратное и программное обеспечение, которое недостаточно безопасно для использования в Интернете.

В реальности корпоративные системы безопасности не обеспечивают эффективную защиту, поскольку пользователи имеют неограниченные возможности использовать мобильные сети для загрузки данных из облачных сервисов, минуя все традиционные защитные барьеры.

Мы должны понимать, что если кто-то поставит цель атаковать корпоративный ИТ-ресурс, то у него есть все возможности проверить свой зловредный файл всеми популярными антивирусами на сайте VirusTotal. «Парадокс безопасности» на лицо. С одной стороны, мы предоставляем пользователям антивирусные сканеры для обеспечения безопасности, с другой стороны — даем инструмент злоумышленникам для подготовки эффективной хакерской атаки.

Бесполезность антивирусного ПО и других средств информационной безопасности стала особенно очевидной в ходе президентских выборов в США. Взломанные почтовые ящики стали основной темой в ходе президентских предвыборных дебатов, а через несколько часов после победы Дональда Трампа на президентских выборах в США группа хакеров начала серию атак на базирующиеся в США аналитические центры.

Мы входим в новую эпоху, когда трояны-вымогатели шифруют файлы на корпоративных компьютерах, а бытовые приборы (IoT) начинают контролировать большие участки интернета.

Это надо осознать и уже сейчас начинать переориентацию корпоративных бюджетов ИТ и ИБ на защиту от новых угроз. В этом направлении ключевыми вопросами становится формирование белых списков на файерволах, контроль прав пользователей в корпоративной сети и при доступе к интернет-ресурсам, эффективная парольная политика, аппаратные ключи, шифрование конфиденциальной информации и т.п. Защитит ли это полностью корпоративные ресурсы? Однозначно нет! Но эти меры (при условии их грамотного применения) позволят значительно снизить ущерб от успешной хакерской атаки.

Про включенное по умолчанию шифрование

В начале ноября ФБР опубликовало весьма интересны данные.

11 ноября главный юрисконсульт ФБР Джим Бейкер (Jim Baker) на мероприятии посвященном IT-безопасности, представил весьма интересную статистику, собранную с 1 октября 2015 года по 30 сентября 2016 гoда. За указанный период ФБР сталкивалось с устройствами, защищенным паролями и кодами, примерно в 30% случаев. Защищены оказались 2 095 смартфонов и ноутбуков из 6 814 устройств, изученными криминалистами. Из 2 095 заблокированных устройств специалисты ФБР смогли взломать 1210 (57%).

Глава Открытого технологического института на базе New America Foundation Кевин Бенкстон (Kevin Bankston) прокомментировал приведенную Бейкeром статистику так: «Эти цифры демонстрируют, что даже включенное по умолчанию шифрование, представленное на новых моделях iPhone и Android, представляет проблему [для правоохранительных органов] лишь в редких случаях...».

К примеру, журнал всех телефонных звонков устройств iPhone синхронизируются с iCloud. Пользователь не в состоянии запретить эту синхронизацию, не отключая iCloud. Автоматическое сохранение журналов вызовов (информация о входящих и исходящих вызовах, включая пропущенные или несостоявшиеся вызовы, а также другая информация) на серверах Apple доступна на устройствах под управлением iOS 9.x и 10.x.

Apple и третьи стороны, имеющие доступ к соответствующим учетным данным, могут при желании извлечь эту информацию. Для получения этих данных нужен ID и пароль пользователя или аутентификационный маркер iCloud. При помощи аутентификационных маркеров специалисты могут обойти проверки двухфакторной аутентификации.

Здесь также стоит учитывать, что вся информация, хранимая в iCloud доступна для сотрудников правоохранительных органов по запросу, в отличие от информации, хранимой на самом устройстве.

По мнению специалистов компании Elcomsoft, система iCloud является просто подарком для правоохранительных органов, так как позволяет им получить информацию, к которой они не смогли бы доступиться, если бы она хранилась только на устройстве.

И это лишь одна из проблем, с которой приходится сталкиваться тем, что пытается решить вопросы сохранения конфиденциальности на корпоративных смартфонах.

Обеспечение безопасности конечных точек требует новых подходов

В динамике роста киберугроз 2016 г. не стал исключением. К концу года киберпреступность обойдется мировой экономике, по различным оценкам, как минимум в 650 млрд долл.

Целенаправленны атаки практически не оставляют шансов обороняющейся стороне. Росту этой тенденции, к великому сожалению, способствует глобализация и высокая эффективность, получаемых результатов. Кибератаки становятся инструментом быстрого достижения требуемых результатов как в экономической, так и политической сферах. Вспомним хакерскую атаку на демократов США. Впервые кибератака в открытую была использована для достижения политических целей.

Анализ взломанных и опубликованных материалов итальянской компании Hacking Team (которая специализируется на поставках шпионского и хакерского ПО для спецслужб и правительственных органов самых разных стран мира) только подтверждает вывод, что защита конечных точек становится малоэффективной при таргетированной атаке. Чего стоят результаты тестирования продуктов компании на антивирусных средствах ведущих мировых производителей. При практически успешной атаке никаких инцидентов не зарегистрировано в журналах антивирусных средств.

Глава Hacking Team заявил: «Мы заканчиваем работу над новыми, беспрецедентными решениями, предназначенными для расследования киберпреступлений. Это, выражаясь мягко, революционные продукты». Не будем говорить о причинах такого заявления, но это косвенный показатель уровня возможностей атакующей стороны.

Анализ тренда киберугроз приводит к неутешительному выводу, что для эффективной защиты информационных ресурсов в государственном и корпоративном секторе необходимо использовать новые подходы, обеспечивающие защиту данных в пределах ИТ-ареала организации. Очевидно, что для этого необходимы не только средства защиты конечных точек от сложных угроз, но и различные превентивные механизмы защиты информации на различных уровнях ИТ-архитектуры.

В этом контексте стоит отметить представленную на ежегодном партнерском саммите Cisco, который проходил в Сан-Франциско с 1 по 3 ноября, новый подход к обеспечению информационной безопасности конечных точек. Облачное решение Cisco AMP for Endpoints сочетает в себе средства выявления и отражения угроз на точке входа, тем самым дополняя технологии обеспечения безопасности конечных точек новым уровнем безопасности на периметре организации. Пользователи получат возможность определять зону действия атаки, быстро находить угрозы, отграничивать и устранять угрозы по всем оконечным точкам.

Представленная концепция информационной безопасности конечных точек по сути дополняет инструментальные возможности по выстраиванию многослойного решения на базе интегрированных платформ различных производителей. Такой подход позволяет хорошо структурировать модель обеспечения информационной безопасности и значительно затруднить возможности и результативность несанкционированного вторжения.

Применение технологии безагентного обнаружения позволяет в среднем обнаруживать на 30% больше угроз, в конечных точках где агенты не используются или их использование невозможно или нежелательно.

В тестах NSS Labs решение Cisco AMP for Endpoints продемонстрировало самый высокий показатель локализации угроз — менее чем за три минуты было обнаружено 91,8% угроз.

Новый подход Cisco к защите точек входа — это еще одна платформа, которая может дополнять модель обеспечения информационной безопасности. Но лишь время покажет насколько она окажется действительно эффективной.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT