Пользователи, будьте бдительны!

Возможно, наши читатели отметили, что недавно даже по неспециализированной прессе прокатилась хоть и не высокая, но заметная волна публикаций, вызванная годовым отчетом Cisco по информационной безопасности. Его выводы весьма неутешительны для «белых шляп».

Результаты отчета за 2014 год обсуждались на пресс-конференции, которую провел киевский офис Cisco 29 января. Перед журналистами с комментариями выступили технический директор Алексей Бессараб и менеджер по продуктам ИБ Владимир Илибман (оба из Cisco Ukraine).

Ситуация в области киберугроз остается напряженной. Злоумышленники становятся все более профессиональными, все лучше используют уязвимости в средствах информационной защиты, позволяющие скрывать атаки. Поэтому службы ИБ должны постоянно улучшать методы своей работы. Сегодня для обеспечения ИБ необходимо задействовать всех сотрудников, от совета директоров до рядовых пользователей.

Владимир Илибман: «Атаки на целевые системы сегодня не используют прямые переходы на веб-сайт компании или БД, а направляются на конечных пользователей, поскольку именно они являются наиболее слабым звеном в защите»

Результаты анализа порядка 45 тыс. инцидентов по всему миру показали, что атака занимает минуты, иногда часы, в то время как ее обнаружение — недели, а иногда и месяцы. Существует некий разрыв между использованием нестандартных подходов злоумышленниками и, в основном, традиционными процессами и методами защиты. Таким образом, киберпреступники постоянно оказываются на шаг впереди защищающейся стороны.

Каковы же тенденции замечены в области киберугроз? Атаки продолжают быть глобальными относительно источников, другими словами, атаки наносятся из многих географических точек. При этом зачастую из тех стран, где нет законов, преследующих киберпреступников. Участились случаи так называемых атак на доверии с использованием методов социальной инженерии.

Хотя большинство атак длятся часы, однако подготовка к ним может занимать довольно длительное время. Злоумышленник собирает необходимую информацию о цели, изучает развернутые средства защиты и часто использует не последние версии уязвимостей, а более старые, которые оказались не закрытыми в атакуемой системе.

Методы организации работы киберпреступников все больше приближаются к методам ведения бизнеса. Появился рынок вредоносного ПО и средств его разработки со всеми присущими атрибутами. Вредоносные программы и инструменты для разработки становятся коммерческими продуктами. Современные интерфейсы конструкторов вирусов по удобству использования зачастую превосходят офисные продукты. Получает распространение модель услуг Crime-as-a-Service. Появились центры разработки вредоносного ПО и центры поддержки.

Атаки на целевые системы сегодня не используют прямые переходы на веб-сайт компании или БД, а направляются на конечных пользователей, поскольку именно они являются наиболее слабым звеном в защите. При этом 99% атак осуществляются через браузеры и электронную почту. Спама становится меньше, но он становится более опасным. Появился новый подход к рассылке спама, называемый Snowshoe Spamming (снегоступный спамминг, спам с распределенной нагрузкой), при котором рассылается очень много сообщений с большого количества компьютеров, иногда с десятков тысяч. При этом письма несколько отличаются друг от друга. Кроме этого, спам стал более адресным и с элементами социальной инженерии, учитывающей специфику работы жертвы. Владимир Илибман привел пример реальной атаки, которая была осуществлена в августе 2014 г. на ряд госмонополий и министерств Украины. Письмо вполне адекватного содержания, способного заинтересовать любого из получателей, несло в присоединении презентацию PowerPoint, содержащую уязвимость zero-day. В результате все цели были взломаны.

Алексей Бессараб отметил, что сегодня спам является очень распространенным способом заражения конечных станций, а имеющиеся способы защиты от его рассылки зачастую не достаточно эффективны. Этому, в частности, способствует популярность социальных сетей, из которых злоумышленники могут получить интересующую их информацию о намеченной цели. В качестве исследования феномена целевого спама, а также для оценки готовности персонала к атакам и обучения, служба безопасности компании Cisco осуществила рассылку своим сотрудникам «провокационного» письма. Как оказалось, ряд сотрудников выполнили предлагаемые в письме действия.

Алексей Бессараб: «Спам является очень распространенным способом заражения конечных станций, а имеющиеся способы защиты от его рассылки зачастую не достаточно эффективны»

Еще более популярным среди злоумышленников является веб-канал. Ситуация усугубляется тем, что очень многие сотрудники разных компаний используют устаревшие версии ПО и, в частности, браузеров. Так, исследования показали, что через последние версии браузеров поступает только 10% IE-запросов и 64% Chrome-запросов. Много атак проводятся даже с легитимных сайтов с помощью вредоносной рекламы (malvertising = malware + advertising).

Итоговые рекомендации для конечных пользователей весьма просты: (1) работать с последними версиями ПО и следить за обновлениями, (2) использовать хотя бы элементарные средства защиты, такие как антивирусы, и (3) немножко подумать, прежде чем выполнять какие-либо не проверенные действия, которые предлагаются подозрительными источниками.

Что касается защиты в целом, то, согласно опросам, большинство компаний считают, что у них есть адекватная политика безопасности, и она успешно внедрена. Однако на деле 54% компаний публично признали, что их системы защиты были взломаны. Почему же существует такой разрыв между предположениями и реальностью? Ответ кроется в приведенном докладчиками изречении CEO Cisco Джона Чемберса, которое он сделал на экономическом форуме в Давосе: существуют два типа компаний, те, которые взломали, и те, которые пока не знают, что их взломали. Другими словами, многие компании не знают о взломе. Это отчасти подтверждается и разной оценкой надежности защиты руководством и сотрудниками отдела ИБ. Кроме этого, зачастую руководители подразделений ИБ переоценивают свои ресурсы. Результаты опроса показали, что только менее половины служб ИБ используют проверенные методы защиты. К примеру, управление идентификацией используют 43% из опрошенных, управление обновлениями и конфигурацией — 38%, тестирование на проникновения — 39%.

В последние два—три года Украина является одним из центров для кибератак. В 2013 г. она разделила пятое—шестое место с Колумбией в мире по количеству атак с целью кибершпионажа. Одной из причин является отсутствие достаточного количества специалистов в области кибербезопасности, особенно в госструктурах. Второй причиной является недостатки нормативной базы. В законах и подзаконных актах отсутствует многие понятия из области ИТ и ИБ. Не хватает также ресурсов для борьбы с киберугрозами.

Однако во всем мире существует разрыв между тем, что может государство, и тем, что требуется для надежной защиты информации. Небольшие компании не в состоянии в одиночку бороться с кибератаками. Поэтому создаются некоторые структуры, которые предоставляют помощь бизнесу в области ИБ. В их функции, в частности, входит сбор экспертных данных, информирование клиентов об актуальном положении дел в области ИБ, организация обратной связи и т. п. Таких сообществ уже достаточно много, они стали появляться и в Украине. Компания также организовала такую структуру, которая называется Cisco Talos Security Intelligence & Research Group. В задачи группы входит сбор данных о реальных угрозах и предоставление их клиентам и партнерам. Информация собирается с 1,6 млн. сенсоров, 150 млн. устройств, анализируется 35% электронной почты, 13 млрд. веб-запросов. Группа насчитывает более 600 экспертов в области ИБ.

Предыдущий год был особо продуктивным для Cisco с точки зрения выпусков новых продуктов в области ИБ. Было объявлено о доступности брандмауэра следующего поколения ASA (Adaptive Security Appliance) с пропускной способностью 120 Гб/с в режиме брандмауэра и 60 Гб/с в режиме IPS. Для защиты от вредоносного кода разработана система Advance Malware Protection, которая была интегрирована с целым набором продуктов Cisco. Для построения систем безопасности в виртуальных средах компания предлагает использовать виртуальный брандмауэр ASAv, который может устанавливаться на любой платформе х86 и по функциональности эквивалентен ASA. В дополнение к ASAv у компании появился целый ряд виртуализованных продуктов, которые, по сути, являются виртуальными двойниками физических устройств. Cisco также адаптировала технологии, полученные вместе с приобретением лидера в области IPS компании Sourcefire, в свой продуктовый ряд. Сейчас они называются FirePower. Cisco также предлагает компаниям локальную систему Talos, которую они могут развернуть на собственных ресурсах.

Что же рекомендует Cisco в сложившейся ситуации? Прежде всего, необходимо изменить отношение к ИБ всем сотрудникам, вплоть до руководства. Ликвидация пробелов в обеспечении ИБ должна начинаться на уровне руководства. От него требуется глубокое стратегическое понимание проблемы и отношения к ИБ как к приоритетной задаче в операционной деятельности.

Среди основных угроз в 2015 году Cisco отмечает Интернет вещей, BYOD, рост количества целенаправленных атак, распространение облачных вычислений, атаки на медицинские системы, рост угроз со стороны программ-вымогателей и ряд других.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365