McAfee: фокус кибератак смещается в жизненно важные отрасли промышленности

В Киеве состоялась конференция по информационной безопасности McAfee Security Day in Ukraine. Участники форума смогли ознакомиться с основными тенденциями развития киберугроз и перспективными решениями для защиты от них, опытом внедрения продуктов McAfee в Украине локальными компаниями, а также проблемами правовой защиты в случае инцидентов.

Павел Ханко (Pavel Hanko), региональный менеджер по продажам в Украине, McAfee: «В условиях, когда большая часть «умных» инфраструктур, особенно в развивающихся странах, находится в частных руках, именно они ответственны за безопасность. Но во многих случаях рассогласованные действия государства и бизнеса не позволяют эффективно организовать проактивную защиту. Как показывает собственное исследование McAfee, наиболее высокий уровень безопасности жителей страны там, где наблюдается тесное сотрудничество государства и бизнеса, в Японии и Китае»

Открывая форум, директор Группы компаний «Бакотек» Евгений Бадах отметил, что последнее время число разнообразных угроз безопасности стремительно растет, за последний год с информационными угрозами хотя бы раз сталкивались 91% американских и европейских компаний, 96% организаций на просторах СНГ. Компания McAfee является крупнейшим производителем широкого спектра продуктов ИТ-безопасности, от антивируса до DLP, от сетевых решений до средств защиты данных. Многие из них партнеры Группы компаний «Бакотек» представили на своих демостендах, предоставив участникам конференции возможность протестировать продукты и получить дополнительные консультации, касающиеся функциональности и особенностей внедрения.

Ключевой доклад форума с детальным анализом новых киберугроз представил региональный менеджер по продажам в Украине компании McAfee Павел Ханко (Pavel Hanko). По данным собственного исследования McAfee, охватившего 14 крупнейших стран мира, риски вторжений, поражающих жизненно важные инфраструктуры (так называемые «умные сети», smart grid) существенно возросли. По большей части они связаны не с деятельностью отдельных преступных группировок, а с атаками, спонсируемыми недружественными государствами, что переводит киберугрозы на качественно новый уровень.

В ближайшие три года на создание «умных сетей» в мире будет потрачено $200 млрд, из которых $56 млрд только в США, при этом 56% их операторов намерены обеспечить доступ своих клиентов к сети через интернет. По большей части они осознают связанные с этим риски, но только две трети компаний намерены внедрять специальные инструменты защиты. И это при том, что в 2010 г. 80% крупных энергетических компаний уже столкнулись с DoS атаками и 85% — с проникновением в сети!

По оценкам экспертов, сегодня к DoS атакам не готовы 37% критически важных инфраструктур, к вторжениям — 35%, вредоносному ПО, саботирующему работу систем — 25%. После первой атаки, проведенной с использованием ПО Stuxnet, многие компании провели аудит своих инфраструктур и в 40% сетей был обнаружен этот вредонос.

Эксперты McAfee подчеркивают, что «умные сети» во многих случаях проектировались без учета возможности проникновения в них таких опасных инфильтрантов как Stuxnet или Night Dragon, которые могут поразить системы SCADA и передать в руки преступников управление инфраструктурами водоснабжения, энергоснабжения, нефте- и газопроводов, пр. Новейшие угрозы — это не просто вредоносы, а своего рода оружие, которое в состоянии саботировать работы систем жизнеобеспечения в пределах целых регионов, отключать отдельных пользователей и объекты, либо породить новые виды мошенничества в крупных масштабах, например, рассылку подложных счетов с завышенными показателями потребления.

По оценке McAfee, сегодня в 32% «умных сетей» не внедрены специальные меры защиты от новейших угроз, способных инициировать вывод из строя стратегических объектов. Эксперты подчеркивают: для защиты от кибервторжений необходима реализация комплексной системы защиты, обеспечивающей контроль приложений, конфигураций, сетей, защиту периметра, фильтрацию веб-трафика, защиту и шифрование данных на оконечных точках, DLP системы.

Такой изменившийся ландшафт угроз будет определять основные направления развития продуктовой линейки McAfee на ближайшую перспективу. Флагманский продукт компании VirusScan Enterprise (VSE), который сочетает защиту от вирусов и шпионских программ с возможностями межсетевых экранов и технологий предотвращения вторжений, ожидает несколько промежуточных обновлений, которые обеспечат поддержку Windows 8 и повышение производительности. В середине 2013 г. в VSE будет реализована новая версия антивирусного движка (5600 Engine), с расширенными возможностями сканирования PDF файлов, поддержкой дополнительных форматов, распаковщиков UPX, Nullsoft, AutoIt, ASProtect, пр. В области защиты почты и веб-трафика McAfee будет активно развивать направление SaaS, особенно актуальное для компаний с ограниченными ресурсами. Принимая во внимание рост числа никем не контролируемых мобильных приложений (а их уже более 180 млн), компания намерена развивать Enterprise Mobile Security, обеспечив поддержку всех ведущих мобильных ОС, EMM мобильных сервисов, Office 365 и Google Docs, новых инструментов шифрования данных, расширив интеграцию с платформой ePO (ePolicy Orchestrator) и возможности масштабирования.

Антон Поликарпов, юрист, Arzinger: «Со временем меняется не столько число преступлений, сколько разнообразие их форм, в особенности быстро эволюционируют разного рода банковские мошенничества. Основной мишенью целевых кибератак в Украине являются крупные промышленные предприятия и сервисные компании. Во многих случаях факты преступлений обнаруживаются слишком поздно, что не в последнюю очередь обусловлено непрозрачностью бизнес-процессов и не достаточно хорошо прописанными внутренними политиками проведения платежей»

Технические специалисты McAfee ознакомили участников форума с линейкой продуктов компании для защиты сети от внешних угроз (атак «нулевого дня», DoS-атак, шпионского и вредоносного ПО, бот-сетей, угроз для VoIP) — IntruShield, подробнее о котором можно узнать в этом материале.

Отдельный доклад был посвящен проблемам защиты баз данных — крупнейших приложений, в которых хранятся огромные массивы критически важных данных, в том числе и персональных (пользователей, сотрудников, финансовых). При том, что уязвимости БД составляют лишь 6% всех «брешей» в системах, именно на БД приходится 96% всех утечек информации. Любая уязвимость либо изменение конфигурации в БД влечет потерю или повреждение данных, в значительной степени влияющих на бизнес-процессы, а также нарушение разного рода регуляторных требований (HIPAA, SOX, PCI).

Сложности защиты БД обусловлены особенностями их функционирования: одновременным доступом к приложению многих пользователей, невозможностью блокирования без ограничений на возможность доступа, многочисленные уязвимости (наиболее актуальны переполнение буфера и SQL инъекции). McAfee предлагает для защиты БД ряд продуктов. Virtual Patching for Databases обнаруживает и блокирует попытки атак и вторжений в режиме реального времени, не отключая базы данных, защищает их от рисков, связанных с наличием незакрытых производителями уязвимостей, в том числе в старых версиях СУБД. Database Activity Monitoring автоматически обнаруживает имеющиеся в сети базы данных, выполняет локальный мониторинг действий на каждом сервере баз данных, пресекает вредоносную активность в реальном времени (в том числе и при работе в виртуальных и «облачных» средах) и оповещает о ней.

Еще одно весьма востребованное направление защиты — предотвращение утечек данных. Пакет инструментов McAfee позволяет понять, как используется информация внутри корпоративной сети, создать эффективные политики их защиты, гибко управлять мониторингом данных в масштабах всего предприятия. Отдельные средства помогают выявлять и отслеживать конфиденциальные данные в любом приложении и месте, в любом формате, при передаче по любому протоколу и через любой порт, предотвратить их выход за проделы периметра через интернет либо при копировании на съемные носители. Правда, возможности использовать данные DLP для юридического преследования инсайдеров ограничены — потребуются дополнительные следственные действия, проводимые официальными органами.

Украинские хакеры пока не нацелены на стратегические вторжения с масштабными последствиями — они занимаются преимущественно хищением электронных подписей, паролей к почте и сетевым учетным записям, номеров счетов, карт, PIN и CVV кодов, электронных подписей, паролей к банковскому ПО и системам клиент-банк. Статистика такого рода преступлений показывает, что в среднем хищение средств со счетов предприятий обнаруживается через 28 дней, и в то же время даже 3-х часов оказывается достаточно для вывода и обналичивания средств. В большей степени такие правонарушения связаны с деятельностью инсайдеров.

Нередко пострадавшие сами облегчают работу мошенников, отключая антивирусы, используя слабые пароли, пр., а организации уделяют недостаточно внимания обучению персонала основам безопасного поведения в корпоративной сети. Даже обнаружив кражу средств, клиент пытается решить проблему самостоятельно, оставляя включенным ПК и сетевое соединение, что нередко дает возможность программам-шпионам уничтожить и себя, и следы своей деятельности, в том числе логи сетевой активности.

Как показывает практика, при достаточно крупных хищениях необходимо оперативное обращение в правоохранительные органы, службу безопасности банков, а также привлечение ИТ-экспертов, которые отследят правильность выемки компьютерной техники и предпримут необходимые меры для обеспечения сохранности данных, которые в данном случае будут служить доказательной базой. Последнее очень важно — к сожалению, пока нередки неквалифицированные действия сотрудников правоохранительных органов, которые усложняют либо вовсе делают невозможной дальнейшую экспертизу (напомним, в стране всего один отдел МВД целенаправленно занимается киберпреступностью).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365