MUK Expo 2018

MUK Expo ежегодно собирает свыше 1 500 украинских и зарубежных ИТ-профессионалов. Свои решения представляют более 40 компаний-участниц — лидеров рынка информационных технологий, в числе которых Cisco, Dell EMC, IBM, Microsoft.

В рамках выставки состоялась также масштабная конференция, которая открылась выступлением менеджера Cisco направления кибербезопасности в странах Восточной Европы Андреаса Шобера (Andreas Schober), в котором он представил некоторые результаты из «Отчета по кибербезопасности за 2018 г.» Данные для отчета были предоставлены многими компаниями.

Андреас Шобер: «Нужно понимать, что 100%-ю безопасность технические средства не обеспечат. Необходимо, чтобы были разработаны политики безопасности, и сотрудники компании придерживались их»

Но прежде чем перейти непосредственно к Отчету, докладчик остановился на некоторых общих вопросах. Он не преминул отметить, что Cisco является лидером в области кибербезопасности. Компания сосредоточивается сегодня на новых технологиях, на ИИ, и она выяснила, что более 90% предприятий используют аналитику для защиты от киберугроз.

Кроме того, стало очевидным, что за бизнесом кибербезопасности стоят большие деньги, и известно, что и Microsoft, и Google, и другие производители ПО испытывают свои средства защиты от новых угроз и нового вредоносного ПО, которое использует техники сокрытия.

В этой области появилось кое-что новое. Возможно, самым важным, что произошло на сегодняшний день, это распределенные сетевые черви. Также появились и продолжают появляться бот-сети в системах IoT, и они активно используются для DDoS-атак.

Более 50% трафика в прошедшем году было зашифровано. Частично используются довольно недорогие сертификаты, которые легко внедрить, а такие компании, как Google, отмечают опасные сайты и не советуют выкладывать на этих сайтах информацию о платежных карточках. Google также вводит определенные ограничения, чтобы из-за нарушения безопасности не пострадал чей-либо бизнес. Шифрование по протоколу SSL становится все более распространенным, но, с другой стороны, анализировать такой трафик становится труднее.

В тоже время много компаний изучают SSL и дают свои рекомендации относительно его усиления. Но им пользуются и злоумышленники. Было отмечено, что более 70% вредоносных файлов уже шифруются, и этот показатель постоянно растет. Следовательно, если нельзя заглянуть в трафик, который зашифрован посредством SSL, то безопасность много утрачивает.

Еще одно направление — увеличение количества вредоносных присоединений к электронным письмам. По сравнению с сентябрем 2017 г., набор эксплойтов практически исчез с рынка, и поэтому злоумышленники вернулись к вредоносным присоединениям к электронным письмам. В большинстве своем, более 55%, это файлы документов Microsoft Office, но весьма существенно выросло количество присоединений в виде архивов — их в пять раз больше, чем в прошлом году. Песочницы и другие технические методы очень трудно выявляют такие вредоносные программы. Почти в 2,5 раза выросло количество вредоносных присоединений в формате pdf.

Все больше компаний внедряют песочницы, чтобы контролировать электронные письма, но и тут злоумышленники находят методы их обхода. К примеру, вредоносный код запускается после закрытия документа. Еще один очень мощный прием атаки состоит в том, что злоумышленник встраивает в pdf-файл зараженный файл в формате Word. Однако песочницу легко адаптировать.

Еще одно «достижение» — это сетевые программы-вымогатели. Вначале такие программы не были вымогателями — они были направлены на удаление данных. Все эти программы требуют каких-либо действий от пользователя: он должен открыть какой-то файл, запустить какую-то загружаемую программу. Это технология была несовершенной, и понятно, если злоумышленник хочет совершить атаку на много компьютеров, это может не сработать. Поэтому был найден другой способ атаки на компьютеры, активные в сети. Такие атаки можно было бы приостановить, если бы в организациях своевременно устанавливались обновления и сети были бы сегментированы.

Специалисты по безопасности изучают сейчас вопрос переноса прикладных программ и инфраструктуры в вычислительное облако. Большинство организации, которые упомянуты в Отчете, переносят свои прикладные программы в облако, считая, что там более высокий уровень безопасности. Кроме этого, облако позволяет легче масштабировать программные комплексы. Но в облаке должны выполняться и политики безопасности компаний, а это создает проблемы. Если компания задает правила для брандмауэра для аутентификации в своей сети, то это теперь нужно каким-то образом сделать и в облаке. А это очень сложная задача. Тем не менее организации находят путь для этого, и он реализуется посредством так называемых брокеров безопасности.

Поскольку данные IoT передаются в облако или поступают из облака, то он является его частью. И это очень опасно. Дело в том, что специалисты по безопасности могут даже не знать, сколько таких устройств есть в сети. Они постоянно в сети, постоянно работают, но они либо совсем не имеют встроенных средств безопасности, либо эти средства устарели. Как правило, такие устройства работают под управлением ОС Linux или Unix, которые проще взламываются, чем компьютеры под Windows.

Сегодня можно увидеть огромные мощные бот-сети, в которых задействовано множество устройств IoT. Можно также увидеть, что атаки с использованием бот-сетей возрастают. Становится меньше атак на уровне прикладных программ, поскольку, разумеется, там и защита лучше, и требуются более сложные приемы атак.

Если управление устройством IoT перехвачено, то с помощью DDoS-атаки можно блокировать значительную часть сети какой-либо организации. Злоумышленники сегодня объединяют различные приемы атаки с лавиной символов синхронизации или с командами управления, что усложняет компаниям задачу борьбы с такими DDoS-атаками.

Чтобы спрятать соответствующий трафик в сети, злоумышленники используют для управления легитимные сервисы, такие как Dropbox, Googlebox или Office 365. Поэтому для специалистов по безопасности очень трудно обнаружить этот трафик. Но можно поискать специфический трафик, например, запросы, которые поступают от этих легитимных сервисов.

Интересным моментом является влияние действий пользователей на безопасность. Чтобы понять, насколько это трудный вопрос, Cisco разработала алгоритм машинного самообучения, который контролировал более 150 тыс. пользователей в 34 странах на разных континентах. Все они пользовались облачными сервисами, и было обнаружено более 35 млн. загруженных пользователями файлов, которые потенциально могли быть вредоносными.

Под угрозой находятся также системы АСУ ТП. Они установлены в промышленности и подсоединены к элементам критической инфраструктуры. Поэтому, если злоумышленник сможет перехватить управление системой через вычислительную сеть, то это может грозить катастрофой. Поэтому крайне необходимо ограничить связь систем АСУ ТП с вычислительной сетью, а в идеале — полностью их отсоединить.

Типичным примером использования уязвимости EternalBlue является WannaCry. Информация об этой уязвимости была опубликована в Сети, и Microsoft выпустила заплатку, чтобы блокировать эту уязвимость, но прошло около двух месяцев, пока компании не начали ее устанавливать. Получается, что для того чтобы компании отнеслись серьезно к предупреждениям, необходимо, чтобы случилась катастрофа.

Прокси-серверы, машинное обучение, ИИ — это новые средства, которые ставят новые задачи, и которые требуют их взаимного согласования. Эти средства производят разные компании, и управлять всем этим в комплексе очень трудно. Результатом неполного согласования является то, что 44% сигналов тревоги от систем вообще не исследуются.

Если для реагирования используются средства автоматизации, все несколько упрощается. Если на инцидент отреагировать в течение 5 часов, то он может и не оказать влияния на корпоративную систему. Однако в большинстве случает время реагирования составляет более 20 часов.

Однако нужно понимать, что 100%-ю безопасность технические средства не обеспечат. Необходимо, чтобы были разработаны политики безопасности, и сотрудники компании придерживались их.

Cisco построила архитектуру безопасности на основе продуктов для облака и для локального применения. Несмотря на то что с 2016 по 2017 гг. угроз стало на порядок больше, компании удалось сократить время реагирования от почти 40 часов до 4,5 часов.

Резюмируя, докладчик отметил, что сегодня наблюдается множество новых угроз и мощных атак из бот-сетей и устройств IoT, и временами кажется, что нет никаких шансов их предотвратить. Тем не менее, если запомнить несколько основополагающих положений, такие шансы растут. Нужно обучать персонал продуманно работать с электронной почтой, дополнить корпоративные политики практикой их применения. Необходимо вовремя устанавливать заплатки и обновления, строго придерживаться процедур предоставления доступа к корпоративным ресурсам, отрабатывать на практике регламенты реагирования на инциденты безопасности, делать почаще резервное копирования данных и отрабатывать процедуры их восстановления, привлекать сторонних тестировщиков для выявления слабых мест в защите. Необходимо также проводить сканирование микросервисов, облачных сервисов и других сервисов, которые хоть как-то связаны с вопросами безопасности.

Поиск угроз, или охота за хакерами, был темой выступления системного инженера по решениям безопасности Cisco Павла Родионова. По сути, доклад был посвящен новому продукту компании Cisco Threat Response (CTR). Это некоторое объединяющее решение, которое получает информацию об угрозах от большого количества разрозненных источников, таких как конечные точки, облачные системы, сетевые устройства, системы безопасности электронной почты и т.п., и позволяет детально проанализировать, что происходило в сети, откуда была получена та или иная угроза, и на основании полученных данных включить соответствующее правило блокировки на всех сетевых устройствах. CTR является одним из основных элементов интегрированной архитектуры безопасности. Продукт содержит определенный набор ключевых компонентов в виде модулей. К примеру, это модуль Advanced Malware Protection (АМР) for Endpoint, который, используя интеллектуальные превентивные движки, базированные в облаке, автоматически идентифицирует и останавливает развитые угрозы, прежде чем они достигнут конечных точек. Набор модулей постоянно пополняется. Это модуль Umbrella, первый в индустрии, по утверждению Cisco, облачный шлюз интернет-безопасности, который является первой линией защиты против угроз из Интернета. Поскольку Umbrella разворачивается в облаке, то это позволяет обеспечить защиту пользователей буквально за минуты. Это модуль ThreatGrid, песочница, с которой осуществляется взаимодействие и куда можно передавать информацию и забирать информацию для последующей проверки, модуль третьей стороны AMP Virustotal, множество функций которого используются для обогащения данных об угрозах, и ряд других.

Павел Родионов: «Threat Response можно использовать для проведения расследований происходящего в данный момент в сети, что позволяет делать выводы и предпринимать соответствующие действия на основе наблюдений»

Threat Response можно использовать для проведения расследований происходящего в данный момент в сети, что позволяет делать выводы и предпринимать соответствующие действия на основе наблюдений, например, блокировать домены и централизованно блокировать файлы как на любой рабочей станции, так и на всех сопутствующих устройствах.

Гость из компании PentaSecurity, Южная Корея, Джон Парк (John Park) рассказал о критической важности защиты веб-приложений. Ввиду актуальности этой темы детальный доклад Джона Парка будет опубликован отдельно.

Уже является хрестоматийной истиной, что для противодействия кибератакам необходимо строить комплексную систему защиты. О построении такой системы в свете проблематики защиты конечных точек рассказал технический директор Check Point в Украине, Грузии и СНГ Александр Чубарук. Она становится труднее ввиду со сложностью кибератак и средств, которые используются злоумышленниками для взлома систем защиты.

Александр Чубарук: «Сегодня тенденция в ИБ смещается от защиты сетей к защите конечных точек»

Говоря о комплексной системе, нужно рассматривать все плоскости атаки, которые злоумышленник использует для взлома. Обычно речь идет о сети, мобильных устройствах, определенных облачных сервисах и особое внимание уделяется конечным точкам — серверам и рабочим станциям.

Почему сегодня тенденция в ИБ смещается от защиты сетей к защите конечных точек? Это, как уже упоминалось выше, связано с усложнением используемых киберпреступниками технологий. Это продиктовано изменением парадигмы работы. Сегодня большинство пользователей в той или иной степени мобильны. Если ноутбук находится в пределах организации, то, поставив на границе сети NGFW, развернув песочницу, контролируя трафик HTTPS, анонимайзеры, файлообменные сервисы, настроив политику защиты периметра и приняв ряд других мер, можно обеспечить необходимый уровень безопасности. Однако если пользователь подключается к ресурсам через Интернет минуя VPN, то уровень защиты определяется средствами, которые установлены на ноутбуке. Важность защиты конечных точек подтверждается и способом распространения WannaCry и NotPetya.

Определенные типы вредоносного ПО могут быть обнаружены только на конечной точке. Примером могут служить архивы электронной почты. В таких случаях защита всей организации определяется степенью защиты конечных точек. Это нужно принимать во внимание при построении комплексной системы защиты.

В последнее время получили широкое распространение фишинговые атаки. Защиту от них обеспечивает решение SandBlast, которое определяет и блокирует ранее неизвестный вредоносный код.

Затем выступающий перешел к атакам посредством вредоносного ПО, которое позволяет взломать конечные точки с помощью разных методов, в частности, к угрозам нулевого дня. Здесь стратегия защиты заключается в анализе поведения процессов в системе. Однако это требует значительных вычислительных ресурсов. Еще один метод защиты — использовании песочницы. Check Point считает, что нужно использовать все имеющиеся методы, и сигнатурный анализ, и анализ поведения, и песочницу.

Каким же образом можно объединить все технологии защиты в одном продукте, и каким образом можно защититься от атак нулевого дня? Для этого у компании есть know how, а именно, сигнатура нулевого дня. Как это работает?

Сегодня по всему миру развернуто очень много песочниц Check Point. Они все объединены в единую сеть и обмениваются данными об обнаруженных угрозах, в том числе и с агентами, которые установлены на рабочих станциях. Таким образом, сигнатуры, которых еще нет у производителей антивирусов, блокируются Check Point с помощью антивируса нулевого дня. Это дополняет существующие методы защиты.

Таким образом, компания, по словам выступающего, предоставляет наиболее полный набор методов, образующий комплексную систему защиты рабочих мест.

Одним из распространенных объектов атаки является электронная почта. О том, как защитить корпоративную почту с помощью решений Fortinet, рассказал менеджер по работе с ключевыми партнерами Александр Чемерис.

Александр Чемерис: «Согласно исследованиям аналитических компаний, таких как IDC, Verizon, 49% вредоносного ПО попадает корпоративные сети через электронную почту»

Согласно исследованиям аналитических компаний, таких как IDC, Verizon, 49% вредоносного ПО попадает корпоративные сети через электронную почту. Что предлагает компания Fortinet для защиты от данного вида угроз? Ее решения объединены в рамках общей концепции Security Fabric. Ее существенно особенностью является возможность автоматизировать многие процессы защиты.

Защита электронной почты осуществляется с помощью модуля FortiMail. Это комплекс, который включает традиционный антивирус, антиспам, современное решение для обнаружения атак нулевого дня и целенаправленных атак. Все это сведено в единый продукт, и он используется совместно с другими решениями Fortinet.

FortiMail может быть предоставлен как в форме аппаратного устройства, так и как ВМ. Поддерживаются все основные гипервизоры. Ест также решение для облачных сред.

Приходящая почта сначала поступает на FortiMail, и в соответствие с политиками все вложения будут направлены на дополнительную проверку в песочницу, которая может быть локальной или располагаться в облаке. При необходимости устройство может использоваться в качестве почтового сервера.

Линейка FortiMail включает шесть аппаратных моделей и шесть виртуальных. Выбор подходящей модели зависит от количества обрабатываемых в час писем.

В демонстрационном зале были развернуты стенды ведущих мировых ИТ-компаний, в числе которых были Dell EMC, Microsoft, Oracle, HP Inc., NetApp, VMware, Fortinet. Отдельной сессией проходила конференция Oracle Tech Talk.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365