Полугодовой отчет Cisco по информационной безопасности 2015

19 августа, 2015
Алексей Лукацкий, бизнес-консультант по ИБ
Cisco 2015
Полугодовой отчет по ИБ

2© 2015 Cisco and/or its affiliates. All rights reserved.
•  Заблокированных угроз: 19,692,200,000 угроз в день
•  Заблокировано спама: 2,557,767 сообщений/сек
•  Web-запросов в день: 16.9 миллиардов
Что видит Cisco?

Изменение в поведении атак
Скорость Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов

Скорость означает новый уровень сложности.
Разработчики вредоносного
кода стали более
инновационными и быстрыми к
адаптациям

Ловкость нарушителей – их сила
Постоянные обновления увеличили уровень проникновения Angler до 40%
В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная
система
Уязвимости Flash
Смена цели
Вымогатели
Angler
Непрерывное забрасывание
«крючков в воду» увеличивает
шанс на компрометацию
Шифрованиетела ВПО
Социальный
инжиниринг
Смена IP Сайты-
однодневки
Ежедневные
доработки
TTD
Меры
защиты
Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email

Знаете ли вы, кто это?

Патчи: окно воздействия
Люди не очень оперативно обновляются до последних версий Flash и тем
самым создают возможности для Angler и других угроз, использующих
непропатченные уязвимости
Angler Exploit
Vulnerability
User Activity
Update Published
Version
15.0.0.246
16.0.0.235
16.0.0.257
16.0.0.287
16.0.0.296
16.0.0.305
17.0.0.134
17.0.0.169
17.0.0.188
CVE-2015-0310
CVE-2015-0313
CVE-2015-0336
CVE-2015-0359
CVE-2015-0390
1 FEB 1 MAR 1 APR 1 MAY 1 JUN

Web-атаки стабильны (исключая Flash)
Java PDF FlashSilverlight
Декабрь 2014 – Май 2015

Rombertik
Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и
пытаются воздействовать на него, он может уничтожить зараженную систему.
Уничтожение если
обнаружено
•  Уничтожение MBR
•  После перезагрузки
компьютер перестает
работать
Получение
доступа
•  Спам
•  Фишинг
•  Социальный
инжиниринг
Уход от
обнаружения
•  Записать случайные
данные в память 960
миллионов раз
•  Засорение памяти в
песочнице
Украсть данные
пользователя
•  Доставка данных
пользователя обратно
злоумышленникам
•  Кража любых данных, а
не только банковских
Анти-анализ Стойкость Вредоносное поведение

Обход «песочниц»
Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где
вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они
стали применяться все чаще.

Основные категории уязвимостей
повторяются из года в год
CWE-119
Ошибки
буфера
471
CWE-20
Проверка ввода
244
CWE-399
Ошибки
управления
ресурсами
238
CWE-200
Раскрытие/
утечки
информации
138
CWE-264
Права,
привилегии &
контроль
доступа
155
Если все знают про эти проблемы, то почему они повторяются? Возможно
разработчики недооценивают SDLC? Или они спешат выпустить продукт в ущерб ИБ?

76110
12/2014 1/2015 2/2015 3/2015 4/2015 5/2015
New URL
Scheme
CompromisedUsers
Old URL
Scheme
27425
24040
18960 20863
47688
76110
7369
13163
9010
11958
14730
12008
Постоянная модификация вредоносного
кода
Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем
самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных
пользователей:
Новая схема URL vs. старая схема URL
Новая схема URL
драматически
опережает старую.
Изменение домена –
раз в 3 месяца (уже
500 доменов)
Непрерывное
изменение имен Add-
On для браузера (уже
4000 имен)

Формирование индустрии
киберпреступности
От $450 миллиардов
к
$1 триллионуНомер SSN
$1
Мобильное
вредоносное ПО
$150
$Информация о
банковском счете
>$1000 зависит от
типа счета и суммы
на нем
Учетная запись
Facebook
$1 за учетную
запись с
15 друзьями
Данные
платежных карт
$0.25-$60
Разработка
вредоносного ПО
$2500
(коммерческое ПО)
DDoS
DDoS как сервис
~$7/час
Спам
$50/500K
emails
Медицинские
записи
>$50
Эксплойты
$1000-
$300K
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13

“Версия”: число раз, когда Cisco обновляла оповещения, когда производители пытались выявить и устранить эти уязвимости в своих продуктах
9версий
Open SSL
(FREAK)
1
версия
QEMU Virtual
Floppy Disk
Controller
(VENOM)
22версии
Open SSL
(Heartbleed)
25версий
GNU Bash
(Shellshock)
15версий
GNU C glibc
(Ghost)
Процесс управления патчами минимизирует ночные кошмары от
отслеживания, координации и внедрения обновлений
Патчи для open source: управление
поставками ПО становится критичной
задачей
32версии
SSL 3.0 Fallback
(POODLE)

Эволюция вымогателей:
Цель – данные, а не системы
TOR
Вымогатели теперь
полностью автоматизированы
и работают через анонимные
сети
$300-$500
Злоумышленники
провели
собственное
исследование
идеальной точки
цены. Сумма выкупа
не чрезмерна
Личные файлы
Финансовые
данные
Email
Фото
Фокусировка
вымогателей –
редкие языки
(например,
исландский) или
группы
пользователей
(например,
онлайн-геймеры)

Dridex: воскрешение старых методов
Использование «старых» методов, краткосрочность и постоянная мутация
приводят к сложностям в блокировании макровирусов
Кампания
стартовала
Обнаружена с помощью
Outbreak Filters
Антивирусный движок
обнаруживает Dridex
Но злоумышленники все
равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex,
действующих не более нескольких часов

0
1
2
3
4
ElectronicsIndustrial
ProfessionalServices
Clubs
&
O
rganizations
Transportation
&
Shipping
M
anufacturing
Energy,O
il,and
Gas
Utilities
IT
&
Telecom
m
unications
Retail&
W
holesale
Travel&
LeisureInsurance
Banking
&
Finance
Food
&
Beverage
Charities
&
NGO
Pharm
aceutical&
Chem
icalEducationAutom
otive
Governm
ent
Engineering
&
Construction
Entertainm
ent
RealEstate
&
Land
M
gm
t
Agriculture
&
M
ining
Legal
Healthcare
Риск поймать вредоносный код зависит от
индустрии
Никто не застрахован от нападения
Это только вопрос
времени, когда
злоумышленники
увидят потенциал в
отраслях, находящихся
«справа»

Карта отражает не объем активности в этих странах. Страны с высоким рейтингом имеют множество Web-
серверов и узлов с неисправленными уязвимостями в своих сетях.
Россия 0,936
Япония 1,134
Китай 4,126
Гонгконг 6,255
Франция 4,197
Германия 1,277
Польша 1,421
Канада 0,863
США 0,760
Бразилия 1,135
Вредоносный код в международном
масштабеЗлоумышленники не признают границ Malware Traffic
Expected Traffic

Спам в международном масштабе
В России объемы спама только выросли. В два раза!

Время обнаружения
Текущее значение TTD в индустрии - 200 дней, что недопустимо
46200 VS
ЧАСОВДНЕЙ
Индустрия Cisco
Значение TTD вычисляется с помощью механизма ретроспективной
безопасности, встроенной в решения Cisco и позволяющей отправлять
отпечатки каждого файла в облачный сервис Cisco

Время обнаружения меняется в ту или
иную сторону
Значение TTD вычисляется с помощью механизма ретроспективной
безопасности, встроенной в решения Cisco и позволяющей отправлять
отпечатки каждого файла в облачный сервис Cisco

Анализ и наблюдения
Глобализация

Глобальное управления не готово к кибер-
вызовам и геополитическим интересам
Три примера усилий, которые, делая шаги в правильном направлении, могут создать трудности на
практике:
Разработка эффективной нормативной базы требует идти в ногу с
злоумышленниками. Однако на практике так происходит не всегда (например,
поправки в Васенаарские соглашения)
Высота птичьего полета Разделяемый доступ Ужесточение контроля

Дилемма
Построить Купить Остаться позади

Зоопарк средств защиты создает сложное
окружение для организаций
Большие, хорошо
зарекомендовавшие себя
игроки
Только стандартизация и улучшение обмена информации в отрасли ИБ позволит
лучше интегрировать решения от нишевых игроков и давно существующих
компаний.
Организации,
оказавшиеся
между
Нишевые игроки

Изменение
бизнес-моделей
Сложность и
фрагментация
Динамика
ландшафта угроз
Производителей
средств защиты
на RSA
Возросла
потребность в
кадрах ИБ
373 12x
Среднее число вендоров
у корпоративного
заказчика
50
Сложность ЛюдиФрагментация
Инвестиции в средства защиты растут. Но
средства защиты не взаимодействуют

Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность Ручные и статические
механизмы
Медленный отклик, ручное
управление, низкая
результативность
Наличие обходных каналов
Мобильные устройства,
Wi-Fi, флешки, ActiveSync,
CD/DVD и т.п.
75%
CISO считают свои
средства защиты
«очень» или
«всесторонне»
эффективными
Традиционный индивидуалистичный
подход не поспевает за угрозами

Заказчики должны требовать доверенные
продукты от своих поставщиков
Производители должны отвечать за уровень защищенности своих продуктов
Защищенная разработка Защищенное железо Защищенное внедрение Защищенная поставка

Внешние услуги закрывают разрыв
С ростом скорости появления и вариативности угроз и нехватки
квалифицированных кадров, многие организации будут больше
полагаться на внешних поставщиков услуг для управления
рисками информационной безопасности
ПерсоналОценка
Автоматизация
/ Аналитика
Гибкие бизнес-
модели Гибкость
Политика приватности

Точечные решения не могут идти в ногу с угрозами
Необходимость в
интегрированной защите от
угроз

Злоумышленники атакуют точечные решения с
возрастающей скоростью
NGIPS
Malware
Sandbox
IAM
Antivirus
IDS
Firewall
VPN
Email
NGFW
Данные
Бездумная трата
денег на новинки
вместо того,
чтобы сесть и
подумать о
целостной
системе защиты

Данные
Злоумышленники атакуют точечные решения с
возрастающей скоростью
NGIPS
Malware
Sandbox
IAM
Antivirus
IDS
Firewall
VPN
Email
NGFW
Время обнаружения:
200 дней
Ransomware
Now targeting data
Domain
Shadowing
On the rise
Dridex
850 unique mutations
identified first half 2015
SPAM
Rombertik
Evolves to evade
and destroy
Angler
Constantly upgrading
and innovating
Malvertising
Mutating to avoid detection

Только интегрированная защита может идти в ногу с
угрозами
Данные
Systemic Response
Control
Visibility Context
Intelligence
Время обнаружения:
46 часов

Точечные и
статичные
решения
Фрагментация
Сложность
Требуют лишнего
управления

Локализовать
Вылечить
Устранить причины
Непрерыв-
ное
решение
Узнать
Применить политику
Усилить защиту
Идентифицировать
Блокировать
Отразить

Всепроникающий
Непрерывный
Всегда
Полное
решение

CLUS:
AMP
Data Center
Закрыта сделка
по Sourcefire
Security
for ACI
AMP Everywhere
OpenAppID
Managed Threat
Defense
2014 MSR & Talos
2014 ASR
Global Security
Sales Organization
Покупка
Neohapsis
AMP Everywhere
Incident Response
Service
Cisco ASA with
FirePOWER Services
средних предприятий,
удаленных офисов и
индустриального
применения
Покупка
ThreatGRID
Cisco ASA with
FirePOWER Services
Security & Trust
Organization
ISE 1.3 / AC 4.0 / CTD 2.0
Интеграция с EN
Инвестиции Cisco в ИБ в 2013-2015

Сервисы
User
Endpoint
Филиалы
Service
Provider
Edge
Data
Center
Кампус
Операционные
технологии
Экосистема
Cisco Hosted
Identity Services
Cloud Web
Security +
Intelligent WAN
AnyConnect
featuring AMP
for Endpoints
FirePOWER
Threat Defense
for ISR
Threat-Centric
Security for Service
Providers
ACI + FirePOWER
Services Integration
Интеграция ACI
с TrustSec
Развитие
экосистемы
pxGrid
Индустриальная
Cisco ASA with
FirePOWER
Services
User
Cisco Hosted
Identity Services
ПК
Интеграция
AnyConnect с
AMP for
Endpoints
Периметр
FirePOWER
Threat Defense
for ISR
ЦОДы
Интеграция ACI +
FirePOWER
Service
Операторы
связи
FirePOWER 9300
User
Cisco Hosted
Identity Services
Пользователи
Cisco Hosted
Identity Services
Недавний анонс
на CLUS

•  Злоумышленники быстро совершенствуют свои
возможности с целью избегания обнаружения
•  Точечные решения создают слабые места в системе
защиты
•  Интегрированная защита, построенная на доверенных
продуктах и услугах, - лучшая защита
Выводы

2015 Midyear Security Report
cisco.com/go/msr2015

Полугодовой отчет Cisco по информационной безопасности 2015

More Related Content

What's hot

Similar to Полугодовой отчет Cisco по информационной безопасности 2015

More from Cisco Russia

Полугодовой отчет Cisco по информационной безопасности 2015