Ключевые тенденции в области информационной безопасности
3 октября 2016
Рубрика: Новости CISCO. Тэги:
Автор: .

cisco_3_10_2016

6 сентября в Москве прошло заседание Клуба ProCisco, посвященное ключевым тенденциям в области информационной безопасности. В ходе мероприятия бизнес-консультант Cisco по вопросам Информационной Безопасности  Алексей Лукацкий прокомментировал основные выводы Отчета по информационной безопасности за первое полугодие 2016 г. (Midyear Cybersecurity Report, MCR) и представил журналистам обновленный портфель решений компании, способствующих более целостной и эффективной защите цифровых бизнес-моделей.

Отчет Cisco по информационной безопасности за первое полугодие 2016 г. прогнозирует появление нового поколения программ-вымогателей

Основная задача организаций — захлопнуть «окно возможностей» перед атакующими; Cisco продемонстрировала очередной отраслевой рекорд по времени обнаружения угрозы — 13 часов

По данным подготовленного компанией Cisco® отчета по информационной безопасности за первое полугодие 2016 г. (Midyear Cybersecurity Report, MCR), организации не готовы к появлению новых разновидностей изощренных программ-вымогателей. Нестабильная инфраструктура, плохая сетевая гигиена, низкая скорость обнаружения — все это обеспечивает злоумышленникам возможность долгое время действовать скрытно. Полученные результаты говорят о том, что основные трудности компании испытывают при попытках ограничить оперативное пространство атакующих, и это ставит под угрозу всю базовую структуру, необходимую для цифровой трансформации. Также в отчете отмечается расширение сферы активности злоумышленников за счет атак на серверы, растущая изощренность атак и участившееся применение шифрования для маскировки злонамеренной деятельности.

cisco_3_10_2016_1

По итогам первого полугодия 2016 года программы-вымогатели стали самым доходным типом злонамеренного ПО в истории. Специалисты Cisco считают, что эта тенденция сохранится, причем появятся еще более разрушительные программы-вымогатели, способные распространяться самостоятельно, заложниками которых могут стать целые сети и компании. Новые модульные разновидности таких программ смогут быстро менять свою тактику для достижения максимальной эффективности. Например, будущие программы-вымогатели смогут избегать обнаружения благодаря способности свести к минимуму использование центрального процессора и отсутствию управляющих команд. Эти новые версии программ-вымогателей будут распространяться быстрее своих предшественников и до начала атаки самореплицироваться в организациях.

cisco_3_10_2016_2

Одной из основных проблем остается плохая обозреваемость сети и оконечных точек. В среднем на выявление новых угроз у организаций уходит до 200 дней. По медианному времени обнаружения угроз Cisco продолжает опережать отрасль: в течение шести месяцев до апреля 2016 г. было зафиксирован новый минимум для ранее неизвестных угроз — около 13 часов. Это меньше, чем за аналогичный период, закончившийся в октябре 2015 г., тогда результат составлял 17,5 часов. Сокращение времени обнаружения угроз чрезвычайно важно с точки зрения ограничения оперативного пространства злоумышленников и минимизации ущерба от вторжений. Приведенные выше цифры получены в результате обработки добровольной телеметрии, собранной решениями Cisco по обеспечению информационной безопасности, развернутыми по всему миру.

cisco_3_10_2016_3

Злоумышленники не стоят на месте, и защищающимся приходится постоянно работать над поддержанием безопасности своих устройств и систем. Дополнительные удобства атакующим создают неподдерживаемые и необновляемые системы, которые позволяют им легко получать доступ, оставаться незамеченными, увеличивать свой доход и наносить максимальный ущерб. Отчет Cisco MCR 2016 свидетельствует о том, что эта проблема носит глобальный характер. За последние несколько месяцев значительный рост атак зафиксирован в наиболее важных отраслях (например, в здравоохранении), при этом целью злоумышленников являются все вертикальные рынки и глобальные регионы. Общественные организации и предприятия, благотворительные и неправительственные организации, компании электронной коммерции — все они в первой половине 2016 г. зафиксировали рост атак. В мировом масштабе вызывают озабоченность геополитические вопросы, включая сложность регламентирования и противоречивость политик кибербезопасности в разных странах. Необходимость контролировать данные и получать доступ к ним может ограничивать международную торговлю и противоречить ее интересам.

cisco_3_10_2016_4

Атакующие действуют без ограничений

Чем дольше атакующие смогут действовать незамеченными, тем большую прибыль они получат. По данным Cisco, в первой половине 2016 г. доходы атакующих значительно возросли вследствие ряда факторов.

Расширение сферы действий. Атакующие расширяют сферу своих действий, переходя от клиентских эксплойтов к серверным, избегая обнаружения и максимизируя ущерб и свои доходы.

  • Уязвимости Adobe Flash остаются одной из главных целей вредоносной рекламы и наборов эксплойтов. В распространенном наборе Nuclear на долю Flash приходится 80% успешных попыток взлома.
  • Cisco отметила также новую тенденцию программ-вымогателей, эксплуатирующих серверные уязвимости, в особенности это касается серверов Jboss (скомпрометировано 10 % всех подключенных к Интернету серверов). Многие из уязвимостей Jboss, используемые для компрометации систем, были выявлены еще пять лет назад, и базовые корректировки и обновления вендоров вполне могли бы предотвратить подобные атаки.

cisco_3_10_2016_5

Новые методы атак. В первой половине 2016 г. атакующие разрабатывали новые методы, использующие недостаток обозреваемости сети.

  • Эксплойты двоичных файлов Windows за прошедшие полгода вышли на первое место среди веб-атак. Этот метод обеспечивает прочное положение в сетевых инфраструктурах и затрудняет обнаружение и устранение атак.
  • В то же время мошеннический социальный инжиниринг в Facebook переместился с первого места (2015 г.) на второе.

Заметание следов. В дополнение к проблемам обозреваемости злоумышленники стали все больше использовать шифрование как метод маскирования различных аспектов своей деятельности.

  • Cisco зафиксировала рост использования криптовалют, протокола безопасности транспортного уровня Transport Layer Security и браузера Tor, что позволяет анонимно общаться в Интернете.
  • В кампаниях вредоносной рекламы за период с декабря 2015 по март 2016 г. отмечен 300-процентный рост использования вредоносного ПО с шифрованием по протоколу HTTPS. Такое ПО позволяет атакующим дольше скрывать свою веб-активность, увеличивая время действия.

Защитники пытаются сократить уязвимости и закрыть бреши

При столкновении с изощренными атаками компаниям, располагающим ограниченными ресурсами и устаревающей инфраструктурой, сложно угнаться за своими противниками. Полученные данные позволяют предположить, что чем важнее технология для бизнес-операций, тем хуже обстоят дела с поддержанием адекватной сетевой гигиены, в том числе с корректировкой ПО. Например:

  • если мы возьмем браузеры, то последнюю или предпоследнюю версию Google Chrome, который поддерживает автоматические обновления, используют 75 — 80 %  пользователей;
  • если перейти к программному обеспечению, то Java обновляется значительно медленнее: на одной трети исследованных систем установлено ПО Java SE 6, которое компания Oracle давно уже вывела из эксплуатации (текущая версия — SE 10);
  • не более 10 % пользователей Microsoft Office 2013 v.15x установили последнюю версию пакета исправлений.

Кроме того, исследование Cisco выявило, что большая часть инфраструктуры потенциальных жертв уже не поддерживается или же эксплуатируется при наличии известных уязвимостей. Это системная проблема и для вендоров, и для оконечных точек. В частности, специалисты Cisco, обследовав 103 121 устройство компании, подключенное к Интернету, обнаружили следующее:

  • на каждом устройстве присутствовало в среднем 28 известных уязвимостей;
  • средний срок активности известных уязвимостей на устройствах составил 5,64 года;
  • более 9 % известных уязвимостей были старше 10 лет.

Для сравнения специалисты Cisco обследовали более 3 млн программных инфраструктур, в основном на базе Apache и OpenSSH. В них было обнаружено в среднем 16 известных уязвимостей со средним сроком существования 5,05 года.

cisco_3_10_2016_6

Проще всего обновить браузер на оконечной точке, сложнее — корпоративные приложения и серверные инфраструктуры, т.к. это может вызвать проблемы с непрерывностью бизнес-процессов. В общем и целом, чем более важную роль играет приложение для бизнес-операций, тем меньше вероятность его частого обновления, что создает бреши в защите и удобные возможности для атак.

Простые советы Cisco по защите бизнес-среды

Специалисты Cisco Talos пришли к выводу, что организации, которые следуют нескольким простым, но важным процедурам, значительно повышают безопасность своих операций:

  • Соблюдение сетевой гигиены: мониторинг сети, своевременная установка корректировок и обновлений ПО, сегментация сети, реализация защиты на границе, включая веб-защиту и защиту электронной почты, применение новейших межсетевых экранов и систем предотвращения вторжений;
  • Интеграция защиты на основе архитектурного подхода в противоположность использованию нишевых продуктов;
  • Измерение времени обнаружения; меры, направленные на сокращение периода обнаружения и устранения угроз, внесение измерительных процессов в политику безопасности организации;
  • Повсеместная защита пользователей, где бы они ни работали, а не  только защита систем корпоративной сети;
  • Резервное копирование критичных данных, регулярная проверка эффективности и защищенности резервных копий.

«Для организаций, переходящих в результате цифровой трансформации к новым бизнес-моделям, вопросы безопасности становятся основополагающими. Атакующие уходят незамеченными и действуют все дольше. Чтобы устранить «лазейки», необходимо улучшить обозреваемость сетей и более ответственно подходить к таким вопросам, как обновление ПО и списание устаревающей инфраструктуры, не обладающей передовыми средствами защиты», ‒ отмечает Марти Рош (Marty Roesch), вице-президент Cisco и главный архитектор бизнес-группы по разработке систем безопасности.

cisco_3_10_2016_7

Краткая информация об отчете Midyear Cybersecurity Report 2016

В отчете анализируются новейшие сведения об угрозах, полученные при помощи системы коллективной аналитики информационной безопасности Cisco Collective Security Intelligence. В документе приводятся результаты анализа полученных данных и выявленные отраслевые тенденции в сфере кибербезопасности за первое полугодие, а также практические рекомендации по совершенствованию защиты. При составлении отчета использовались данные, ежедневно поступающие от 40 млрд точек телеметрии. На основе аналитических данных специалисты Cisco в реальном времени обеспечивают защиту продуктов и сервисов, которыми пользуются заказчики компании во всем мире.

Новые сервисы и интегрированные облачные решения Cisco закрыли «брешь эффективности» в обеспечении информационной безопасности 

Архитектурный подход Cisco упрощает обеспечение информационной безопасности для заказчиков

Cisco представила ряд новых сервисов и облачных ИБ-решений, в основе которых лежит ориентированная на угрозы архитектура безопасности Cisco. Портфолио Cisco, помогающее компаниям более эффективно защищать бизнес в эпоху цифровизации, включает лучшие в своем классе решения, уникальная архитектура которых предусматривает интеграцию и автоматизацию, обеспечивая простоту использования. На сети, в оконечных точках и в облаке архитектурный подход Cisco позволяет выявить больше угроз, помогая заказчикам сократить время обнаружения в среднем до 17 часов (стандартный отраслевой показатель составляет 100 дней).

cisco_3_10_2016_8

В результате цифровых преобразований растет число подключенных пользователей, устройств и приложений, поэтому компаниям приходится противостоять все более широкому спектру угроз. Располагая большим оперативным пространством и солидными возможностями извлечения доходов, активные злоумышленники беспрестанно атакуют бизнес, организации и пользователей. В попытке противостоять злоумышленникам компании внедряют разрозненные решения (иногда их число доходит до 70), однако таким «зоопарком» трудно управлять, что зачастую делает предприятие еще более уязвимым.

cisco_3_10_2016_9

С одной стороны, общепринятый подход с использованием нишевых продуктов информационной безопасности потенциально расширяет возможности защиты, но в то же время такая стратегия может сформировать неуправляемо сложную конфигурацию, что приведет к появлению брешей на отдельных направлениях. Архитектура информационной безопасности Cisco, реализованная в портфолио продуктов компании, предлагает заказчикам альтернативный подход, устраняющий уязвимости и повышающий защищенность.

Объединяя беспрецедентную обозреваемость сети с разнообразием интегрированных продуктов, Cisco упрощает распределенным и мобильным предприятиям задачу эффективного обеспечения безопасности там, где это необходимо — в филиале, в главном офисе, у конечного пользователя, где бы он ни находился. Cisco встраивает средства обеспечения информационной безопасности в проходимые пользователем точки подключения, поэтому сеть, точки доступа и оконечные точки находятся в безопасности уже до того, как пользователь зарегистрируется в сети.

cisco_3_10_2016_10

Cisco разработала следующие решения и сервисы, которые упростят заказчикам обеспечение эффективной информационной безопасности:

  • Cisco Umbrella Roaming. Централизованное облачное решение, устраняющее «слепые пятна» вне сети и защищающее сотрудников в роуминге, где бы они ни находились. Модуль Umbrella Roaming встроен в VPN-решение Cisco AnyConnect®, и теперь организации могут добавить еще один уровень внесетевой защиты, блокирующий подключение к вредоносным сайтам, без необходимости устанавливать дополнительные агенты;
  • Cisco Umbrella Branch. Облачное решение, позволяющее предприятию контролировать гостевое использование сети Wi-Fi с помощью простой контент-фильтрации. Umbrella Branch помогает без труда обновить маршрутизаторы с интегрированными сервисами (Integrated Services Routers, ISR) для простого, быстрого и всеобъемлющего обеспечения информационной безопасности в филиалах;
  • Cisco Defense Orchestrator. Облачное решение с консольным интерфейсом для простого и эффективного управления крупными инфраструктурами и политиками информационной безопасности в распределенных конфигурациях с тысячами устройств. Решение поддерживает такие продукты Cisco, как межсетевые экраны ASA и ASAv, межсетевые экраны следующего поколения Cisco Firepower™, а также ASA с сервисами FirePOWER™, включая Firepower Threat Defense и OpenDNS.
  • Cisco Meraki® MX с технологиями Advanced Malware Protection (AMP) и Threat Grid. Полностью облачно управляемое унифицированное решение управления угрозами (unified threat management, UTM) обеспечивает защиту филиалов от вредоносного ПО путем поверки файлов по облачной базе данных для выявления вредоносного контента и блокирования файлов до их загрузки пользователями;
  • Cisco Stealthwatch Learning Network License. Этот компонент позволяет маршрутизаторам Cisco ISR играть роль устройства обнаружения и исполнителя политик безопасности для филиалов. Решение выявляет и отслеживает аномалии сетевого трафика, анализируя подозрительную сетевую активность, и идентифицирует вредоносный трафик.

Кроме того, создана новая служба Cisco Security Services for Digital Transformation, призванная содействовать организациям в создании мощного фундамента информационной безопасности, необходимого для успеха бизнеса. Новая служба помогает исследовать базовые факторы информационной безопасности, определяющие готовность организаций к переходу на цифровые технологии. Опытные консультанты порекомендуют стратегии обеспечения информационной безопасности и предложат специализированные решения с учетом отраслевых трендов и главных потребностей бизнеса для достижения маневренности, реализации инноваций и развития.

Представленные решения помогут дистрибьюторам предлагать заказчикам простые, открытые, автоматизированные решения, разрабатываемые на базе самого эффективного в отрасли портфолио информационной безопасности. Представляя усовершенствованную облачную защиту и решения, упрощающие общее управление информационной безопасностью, Cisco открывает перед партнерами новые возможности по управлению сервисами безопасности заказчиков и источники регулярных доходов.

«Цифровой бизнес оказал самое значительное влияние на информационную безопасность за всю историю высоких технологий. Как следствие, компании пытаются решать вопросы безопасности крупных распределенных конфигураций и противостоять активным злоумышленникам, агрессивно нацеленным на этот расширяющийся с каждым днем горизонт атак. Наши заказчики осознают, что им необходим более интегрированный подход к информационной безопасности, и Cisco предоставляет им ориентированную на угрозы архитектуру, которая в цифровом мире действует значительно эффективнее», — отмечает Дэвид Гёкелер (David Goeckeler), старший вице-президент и генеральный менеджер подразделения по разработке систем безопасности (Cisco Security Business Group).

Orphus system
В Telegram
В Одноклассники
ВКонтакте