Где слабо, там и рвется

2 апрель, 2015 - 10:38Тимур Ягофаров

Абсолютно непробиваемых систем не бывает, и виной тому является чаще всего не программно-аппаратная составляющая, а сотрудники. Поэтому на семинаре, организованном совместно компанией «СЛ Глобал Сервис» и Cisco, речь шла о средствах, позволяющих свести к минимуму потери от взлома и быстро ликвидировать его последствия.

Для иллюстрации проблемы человеческого фактора Владимир Илибман, менеджер Cisco по продуктам для обеспечения безопасности, привел несколько примеров социального инжиниринга из недавней практики компании. Посудите сами, разве чиновник не откроет вложение в электронном письме, где якобы приведен список лиц, подлежащих проверке в рамках программы люстрации? Нужно ли говорить, что, на первый взгляд, все реквизиты данного сообщения были оформлены должным образом, поэтому содержащийся во вложении вредоносный код очень быстро попал в информационные системы госорганов. Впрочем, не стоит винить относительно слабо осведомленных в вопросах безопасности чиновников. Согласно приведенной выступающим статистике, полученной по результатам исследования около 30 тыс. человек из сферы бизнеса, только 6% в состоянии должным образом идентифицировать фишинговые письма. А как минимум один пользователь из пяти кликнет на ссылку, содержащуюся в сообщении.

Где слабо, там и рвется

Владимир Илибман: «Уникальной особенностью технологии fireAMP является возможность ретроспективного анализа файлов, позволяющая быстро оценить масштабы заражения, если вредоносный код все же проник в ИТ-инфраструктуру»

Владимир Илибман привел и пример из исследования, которое проводилось среди сотрудников Cisco, обладающих достаточно высокой квалификацией по вопросам безопасности. Оказалось, что из девяти человек, получивших тестовое письмо со ссылкой на якобы замещенное на корпоративном сервере факсимильным сообщением, не среагировали шестеро, тогда как трое открыли его, а один использовал для этого виртуальную машину. Что лишний раз подтвердило важность человеческого фактора в организации информационной безопасности (ИБ). Причем злоумышленники при организации атаки оказываются быстрее ИБ-специалистов: если проникновение в 75% случаем происходит за минуты, то от утечки до обнаружения в 54% проходят месяцы, а от обнаружения до локализации и устранения в 32% — дни, а в 38% — недели.

Не секрет, что главной целью атак на ИТ-системы является информация. Причем взломы поставлены на коммерческие рельсы, а современный рынок кибер-злоумышленников оценивается от 450 млрд долл. до 1 трлн долл., тогда как для региона стран СНГ он составляет около 1,5 млн долл. Но стоит иметь в виду, что база атак постоянно увеличивается, чему способствует быстрый рост популярности разнообразных «умных» устройств, включая Smart TV. А при ограниченном сроке поддержки обновления их прошивок, не превышающем 2-3 года, такие платформы становятся дополнительными точками входа в локальную сеть.

Cisco в последнее время приступила к активному развитию направления информационной безопасности. И одним из ключевых событий для компании в данном сегменте рынка стало приобретение ею в начале 2014 года Sourcefire, известной благодаря технологии Advanced Malware Protection для выявления атак и обнаружения вредоносного кода в ИТ-системе. Она была интегрирована в межсетевые экраны Cisco ASA, в результате для заказчиков стало доступно решение, цена которого ранее превышало 100 тыс. долл.

Специалист Cisco подробнее остановился на технологиях Advanced Malware Protection и Cyber Threat Defense. Стоит отметить, что мы уже неоднократно писали о них, но на этот раз Владимир Илибман сделал акцент на тех их особенностях, необходимость в которых возникает, когда все же происходит проникновение вредоносного кода через периметр ИТ-защиты. Полностью исключить этого на сегодня невозможно, так как всегда будет существовать класс угроз, получивший название «один процент». Именно такая доля приходится на то вредоносное ПО, что еще не попало в классификаторы систем обнаружения вторжения. В отличие от традиционных антивирусов, ограничивающихся однократным исследованием полученного файла в «песочнице», AMP выполняет постоянную проверку по принципу ретроспективного обнаружения за горизонтом событий. Поэтому в случае выявления угрозы, в системе хранится информация обо всем пути перемещения содержащего этот код файла и его взаимодействиях. Что позволяет быстрее и более эффективно ликвидировать последствия взлома.

Кроме того, в программу семинара вошли выступления представителей «СЛ Глобал Сервис», посвященные ее разработкам на базе технологий Cisco. В частности компания предлагает систему аудиозаписи Sonnar, интегрируемую с Cisco Unified Communication Manager и Media Sense. Она предоставляет возможность группового управления настройками записи, поддерживает иерархическое распределение прав доступа. В ней доступны функции мониторинга записей разговоров и поиска по списку. Уже имеется опыт инсталляции Sonnar. Причем в первых реализациях данного решения была достигнута производительность до 100 одновременных аудио-потоков.