Годовой отчет Cisco
по безопасности
за 2014 год
2 Годовой отчет Cisco по безопасности за 2014 год
Обзор
Проблема доверия
Злоупотребление доверием — это стандартный способ...
3 Годовой отчет Cisco по безопасности за 2014 год
Основные выводы
Ниже представлены три основных вывода, к которым пришли ...
4 Годовой отчет Cisco по безопасности за 2014 год
Материалы отчета
В годовом отчете Cisco по безопасности за 2014 г.
предс...
5 Годовой отчет Cisco по безопасности за 2014 год
Отраслевые факторы
В этом разделе специалисты подразделения Cisco Securi...
6 Годовой отчет Cisco по безопасности за 2014 год
Оценка компанией Cisco ландшафта угроз
Cisco играет критически важную ро...
7 Годовой отчет Cisco по безопасности за 2014 год
Содержание
Доверие.........................................................
8 Годовой отчет Cisco по безопасности за 2014 год
Доверие
Всем организациям необходимо уделять больше внимания
поиску опти...
9 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
Новые способы вед...
10 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
и пользователи м...
11 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
Подрыв доверия
У...
12 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
На сегодняшний д...
13 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
1 | Увеличенная ...
14 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
Анатомия совреме...
15 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
3 | Сложность уг...
16 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
Переход к мобиль...
17 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
способствуют сни...
18 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
Ни технологии, н...
19 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие
продуктов, надеж...
20 Годовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средства
мониторинга угроз
Компании Cisco и Sourcefire...
21 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
22 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
23 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
24 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
25 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
26 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
27 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
28 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
29 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
30 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
31 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
32 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
33 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Интеллектуальные
средств...
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
Upcoming SlideShare
Loading in …5
×

Годовой отчет Cisco по безопасности за 2014 год

5,688 views

Published on

В этом отчете компания Cisco представляет данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Кроме того, в отчете анализируются кампании, ориентированные на конкретные организации, группы и сферы деятельности. В нем также исследуется тот факт, что злоумышленники, пытающиеся похитить конфиденциальную информацию, становятся все более изощренными. В конце отчета приводятся рекомендации изучать модели безопасности во всей их полноте и получать всю доступную информацию на протяжении всего периода атаки — до атаки, во время и после нее.

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,688
On SlideShare
0
From Embeds
0
Number of Embeds
23
Actions
Shares
0
Downloads
95
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide

Годовой отчет Cisco по безопасности за 2014 год

  1. 1. Годовой отчет Cisco по безопасности за 2014 год
  2. 2. 2 Годовой отчет Cisco по безопасности за 2014 год Обзор Проблема доверия Злоупотребление доверием — это стандартный способ поведения организаторов интернет-атак и других злоумышленников. Они используют доверие к системам, приложениям, людям и организациям, с которыми пользователи регулярно взаимодействуют. Эта стратегия работает. Существует множество доказательств того, что злоумышленники изобретают новые методы внедрения своего вредоносного ПО в сети, оставаясь необнаруженными в течение длительного времени. Они похищают данные или вызывают сбои критически важных систем. С помощью разнообразных методов — от кражи паролей и учетных данных по принципу социальной инженерии до малозаметных, замаскированных проникновений в систему в течение нескольких минут — преступники продолжают злоупотреблять общественным доверием для достижения пагубных последствий. Однако проблема доверия выходит за рамки эксплуатации уязвимостей или обмана пользователей методами социальной инженерии: действия злоумышленников подрывают доверие к государственным и частным организациям. Современные сети сталкиваются с двумя формами подрыва доверия. С одной стороны, заказчики все меньше уверены в неуязвимости продуктов. С другой стороны, растет уверенность в способности злоумышленников обходить механизмы проверки доверия. Это ставит под вопрос эффективность архитектур обеспечения качества, проверки подлинности и аутентификации для сетей и приложений. В этом отчете компания Cisco представляет данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Кроме того, в отчете анализируются кампании, ориентированные на конкретные организации, группы и сферы деятельности. В нем также исследуется тот факт, что злоумышленники, пытающиеся похитить конфиденциальную информацию, становятся все более изощренными. В конце отчета приводятся рекомендации изучать модели безопасности во всей их полноте и получать всю доступную информацию на протяжении всего периода атаки — до атаки, во время и после нее. Злоумышленники продолжают совершенствовать способы использования доверия общественности для достижения своих преступных целей.
  3. 3. 3 Годовой отчет Cisco по безопасности за 2014 год Основные выводы Ниже представлены три основных вывода, к которым пришли составители годового отчета Cisco по безопасности за 2014 г. Целью атак на инфраструктуру являются значимые ресурсы Интернета. • Злоумышленники получают доступ к серверам хостинга, серверам имен и центрам обработки данных. Это подразумевает создание «суперботов», занимающихся поиском информационно насыщенных ресурсов с безупречной репутацией. • Основной угрозой являются ошибки буферизации — на них приходится 21 % категорий угроз из списка стандартных уязвимостей (Common Weakness Enumeration, CWE). • Все чаще от вредоносного ПО страдают производители электроники, представители сельского хозяйства и предприятия горнодобычи — для них частота атак почти в 6 раз превышает средние по отраслям. Злоумышленники используют доверенные приложения для проникновения через бреши в безопасности периметра. • Объемы спама продолжают сокращаться, хотя доля злоумышленного спама остается неизменной. • 91 % всех зараженных веб-страниц содержат Java; 76 % компаний, пользующихся услугами Cisco Web Security, работают с Java 6 — устаревшей и неподдерживаемой версией. • В атаках типа watering hole для доставки вредоносного ПО используются конкретные отраслевые веб-сайты. В ходе расследований, проведенных международными компаниями, были обнаружены многочисленные примеры компрометации со стороны внутренних ресурсов. Подозрительный трафик исходит из таких корпоративных сетей и пытается подключиться к сомнительным сайтам (100 % компаний обращаются к узлам с вредоносным ПО). • Изучение индикаторов компрометации показывает, что проникновения в сеть могут оставаться необнаруженными в течение длительного времени. • Количество оповещений об угрозах увеличивается на 14 % в годовом исчислении; растет и число новых (необновленных) оповещений. • Девяносто девять процентов всего мобильного вредоносного ПО в 2013 году было направлено против устройств Android. Показатели встречаемости разного рода вредоносного ПО, передаваемого через Интернет, также наиболее высоки среди пользователей Android (71 %).
  4. 4. 4 Годовой отчет Cisco по безопасности за 2014 год Материалы отчета В годовом отчете Cisco по безопасности за 2014 г. представлены аналитические сведения о безопасности в четырех ключевых областях. Доверие Всем организациям необходимо уделять больше внимания поиску оптимального соотношения между доверием, прозрачностью и конфиденциальностью, потому что на кону стоит немало. В этой области рассматриваются три фактора, из-за которых попытки специалистов по безопасности помочь своим организациям достичь такого баланса наталкиваются на еще большие сложности: • увеличенная поверхность атаки; • распространение и усложнение модели атаки; • сложность угроз и решений. Интеллектуальные средства мониторинга угроз Компании Cisco и Sourcefire, используя широчайший набор доступных телеметрических средств обнаружения, проанализировали и собрали воедино сведения о безопасности за прошедший год: • целью атак на инфраструктуру являются значимые ресурсы Интернета; • злоумышленники используют доверенные приложения для проникновения через бреши в безопасности периметра; • изучение индикаторов компрометации показывает, что проникновения в сеть могут оставаться необнаруженными в течение длительного времени.
  5. 5. 5 Годовой отчет Cisco по безопасности за 2014 год Отраслевые факторы В этом разделе специалисты подразделения Cisco Security Intelligence Operations (SIO) обсуждают отраслевые тенденции, которые выходят за рамки телеметрии Cisco, но тем не менее влияют на практические меры обеспечения безопасности: от перебора паролей, крупномасштабных DDoS-атак и программ-вымогателей до растущей значимости облака, нехватки умелых специалистов по безопасности и прочее. Рекомендации В организациях увеличивается поверхность атаки, модели атак становятся все более изощренными и сложными, растет сложность сетей. Многие стремятся к формированию единой концепции безопасности, в основе которой лежала бы эффективная стратегия, подразумевающая использование новых технологий, упрощающая их архитектуру и эксплуатацию и расширяющая возможности специалистов по обеспечению безопасности. В этом разделе рассказывается о том, как основанная на защите от угроз модель безопасности позволяет специалистам бороться с атаками на всем пути распространения угроз, по всем векторам атак, последовательно реагируя на них в любое время — перед атакой, во время атаки и после нее.
  6. 6. 6 Годовой отчет Cisco по безопасности за 2014 год Оценка компанией Cisco ландшафта угроз Cisco играет критически важную роль в оценке угроз, учитывая распространенность решений компании и разнообразие аналитических механизмов обеспечения безопасности. • 16 млрд веб-запросов ежедневно анализируется с использованием службы Cisco Cloud Web Security. • 93 млрд сообщений эл. почты изучается каждый день с использованием размещенного решения Cisco для работы с электронной почтой. • 200 000 IP-адресов оценивается ежедневно. • 400 000 примеров вредоносного ПО оценивается ежедневно. • 33 млн файлов на конечных устройствах ежедневно оценивается с помощью FireAMP • 28 млн сетевых подключений ежедневно оценивается с помощью FireAMP. В результате этой деятельности специалисты Cisco обнаруживают следующие угрозы: • 4,5 млрд сообщений эл. почты блокируется ежедневно. • 80 млн веб-запросов блокируется ежедневно. • 6 450 угроз в файлах на конечных устройствах обнаруживается ежедневно в FireAMP. • 3 186 сетевых угроз на конечных устройствах обнаруживается ежедневно в FireAMP. • 50 000 сетевых вторжений обнаруживается ежедневно.
  7. 7. 7 Годовой отчет Cisco по безопасности за 2014 год Содержание Доверие.................................................................................................................. 8 Новые способы ведения бизнеса, новые пробелы в системе безопасности...................................... 9 Подрыв доверия............................................................................................................. 11 Основные сложности в области безопасности на 2014 год......................................................... 12 Прозрачные системы, которым можно доверять......................................................................16 Интеллектуальные средства мониторинга угроз............................ 20 Увеличение числа оповещений об угрозах.............................................................................21 Уменьшение объемов спама, сохранение угроз, связанных со злоумышленным спамом......................24 Веб-эксплойты: Java возглавляет список.............................................................................. 28 BYOD и мобильность: повышение зрелости устройств выгодно киберпреступности.......................... 32 Целенаправленные атаки: проблема изгнания настойчивых и вездесущих «посетителей»................... 36 Вредоносное ПО: тенденции, отмеченные в 2013 году.............................................................. 38 Основные цели: отраслевые вертикали................................................................................. 41 Трещины в хрупкой экосистеме......................................................................................... 43 Вредоносный трафик, распространенный признак целенаправленных атак, обнаружен во всех корпоративных сетях...................................................................................................... 48 Отраслевые факторы................................................................................... 52 Перебор паролей — одна из распространенных тактик компрометации веб-сайтов........................... 53 DDoS-атаки: новое — это хорошо забытое старое................................................................... 55 DarkSeoul.................................................................................................................... 57 Нехватка высококлассных специалистов по безопасности и отсутствие необходимых решений............ 60 Облако — это новый периметр............................................................................................61 Рекомендации................................................................................................... 63 Цели на 2014 год: проверка благонадежности и повышение прозрачности..................................... 64 Приложение....................................................................................................... 67 Организациям по безопасности нужны специалисты по работе с данными..................................... 68 Сведения о подразделении Cisco SIO.................................................. 77 Cisco SIO.....................................................................................................................78 Об этом документе В этом документе содержатся доступные для поиска и распространения материалы. С помощью следующего значка можно открыть функцию поиска в Adobe Acrobat. Рекомендованное ПО Adobe Acrobat 7.0 и более поздних версий С помощью этих значков вы сможете поделиться материалом.[ ]
  8. 8. 8 Годовой отчет Cisco по безопасности за 2014 год Доверие Всем организациям необходимо уделять больше внимания поиску оптимального соотношения между доверием, прозрачностью и конфиденциальностью, потому что на кону стоит немало.
  9. 9. 9 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие Новые способы ведения бизнеса, новые пробелы в системе безопасности Слабые звенья в цепочке поставки технологий — лишь один из аспектов современного комплексного ландшафта киберугроз и рисков. Среди других можно отметить появление инфраструктуры с произвольным составом компонентов, в которой каждое устройство, независимо от своего местоположения, может свободно переходить из одного экземпляра сети в другой1 . Кроме того, появляется все больше устройств с поддержкой Интернета (смартфонов, планшетов и других), пользователи которых подключаются к приложениям, выполняющимся где угодно, включая общедоступное облако (ПО как услуга), частное или гибридное облако2 . Даже базовые службы интернет-инфраструктуры становятся целью хакеров, которые желают воспользоваться репутацией, пропускной способностью, непрерывной работоспособностью и доступностью серверов веб-хостинга, серверов имен и центров обработки данных для реализации своих кампаний, масштабы которых непрерывно растут. (См. раздел «Трещины в хрупкой экосистеме», с. 43.) Несмотря на то что современные тенденции, такие как облачные вычисления и мобильность, уменьшают прозрачность и увеличивают сложность задач по обеспечению безопасности, организации вынуждены принимать их, поскольку они являются важной составляющей их конкурентного преимущества и коммерческого успеха. Однако, по мере того как специалисты по безопасности пытаются привести традиционные решения в соответствие с новыми, быстро развивающимися подходами к ведению бизнеса, пробелы в системе безопасности растут и расширяются. С другой стороны, злоумышленники все быстрее и активнее используют эти пробелы, которые просто невозможно устранить с помощью неинтегрированных, точечных решений. Они добиваются своего, поскольку обладают ресурсами, чтобы действовать более гибко и быстро. Сеть киберпреступности расширяется, усиливается, а ее деятельность все больше напоминает деятельность законной, разветвленной деловой сети. Современная иерархия киберпреступности напоминает пирамиду (см. рис. 1). Внизу этой пирамиды расположились не обладающие техническими ресурсами авантюристы Целью хакеров становится базовая интернет- инфраструктура. [ ]
  10. 10. 10 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие и пользователи модели «криминальное ПО как услуга», которые желают нажиться, сделать какое-либо заявление или достичь обеих целей. В середине находятся реселлеры и специалисты по обслуживанию инфраструктуры — «посредники». Наверху — создатели технических инноваций, крупные игроки, представляющие наибольший интерес для правоохранительной системы, найти которых, однако, очень сложно. Приступая к своим мошенническим проектам, современные киберпреступники, как правило, преследуют четкие коммерческие цели. Они знают, какую информацию они ищут и каких результатов хотят достичь, и хорошо понимают, что нужно сделать для достижения своих целей. Злоумышленники не жалеют времени, изучая свои цели для нападения (зачастую используя для этого общедоступную информацию в социальных сетях) и стратегически планируя достижение своих целей. Многие деятели так называемой «теневой экономики» также засылают исследовательское вредоносное ПО для сбора информации о среде (в том числе и о том, какая технология безопасности в ней развернута), чтобы более точно нацелить свои атаки. Подобное зондирование до начала атаки позволяет некоторым создателям вредоносного ПО убедиться в эффективности последнего. После внедрения в сеть создаваемое ими современное вредоносное ПО может взаимодействовать с управляющими серверами за пределами корпоративной сети и распространяться «по флангам» инфраструктуры для реализации своей миссии, будь то кража жизненно важных данных или нарушение работы критически важных систем. РИС. 1. Иерархия киберпреступности Создатели техн. инноваций Реселлеры/ спец. по обслуживанию инфраструктуры Авантюристы без технических ресурсов и пользователи модели «Криминальное ПО как услуга» [ ]
  11. 11. 11 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие Подрыв доверия Угрозы, основанные на злоупотреблении доверием пользователей к системам, приложениям, а также людям и компаниям, которых они знают, занимают важное место в кибермире. Если разобрать практически любую схему, в основе ее лежит злоупотребление доверием в той или иной форме: вредоносное ПО попадает к пользователям в ходе вполне законного просмотра известных и популярных веб-сайтов. Электронные спам-сообщения, отправленные, на первый взгляд, хорошо известными компаниями, но содержащие ссылки на вредоносные сайты. Сторонние мобильные приложения, содержащие вредоносное ПО, которые загружаются с популярных интернет- ресурсов. Инсайдеры, использующие привилегии доступа к информации для хищения интеллектуальной собственности у своих работодателей. Все пользователи должны, похоже, исходить из того, что в кибермире никому и ничему нельзя доверять. Специалисты по безопасности, в свою очередь, могут сделать своим организациям огромное одолжение, не доверяя никакому сетевому трафику3 и с подозрением относясь к мерам безопасности поставщиков или логистических цепочек, поставляющих технологии на предприятие. Тем не менее организации государственного и частного секторов, пользователи и даже целые государства хотят быть уверены в том, что базовым технологиям, которые они каждый день используют в своей работе, можно доверять. Эта потребность в уверенности в безопасности способствовала разработке общих критериев оценки безопасности информационных технологий. В них определяется язык и концепции, чтобы государственные учреждения и другие группы могли устанавливать требования, которым должны соответствовать заслуживающие доверия технологические продукты. На сегодняшний день 26 стран, включая США, подписали многостороннее соглашение «О признании соответствия общим критериям» (Common Criteria Recognition Arrangement), согласно которому государства признают признавать безопасность продуктов, проверенные другими странами-участницами. Однако в 2013 году с доверием в принципе не все было гладко. Катализатором этого стал Эдвард Сноуден (Edward Snowden). Бывший подрядчик правительства США раскрыл засекреченную информацию британской газете The Guardian. Эту информацию он получил, выполняя заказ Агентства национальной безопасности США (NSA)4 . Все пользователи должны исходить из того, что в кибермире доверять никому и ничему нельзя.
  12. 12. 12 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие На сегодняшний день Сноуден передал СМИ сведения о программе наблюдения с использованием электронных средств и сбора данных PRISM5 , а также об отдельной программе NSA-GCHQ6 ,известной под названием MUSCULAR, в рамках которой, предположительно, взламывался трафик зарубежных ЦОД и крупных интернет- компаний, передаваемый по оптоволоконным сетям7 . Эти и другие откровения Сноудена о проводимой государством слежке разрушили доверие на многих уровнях: между государствами, между правительствами и частным сектором, между гражданами и их правительством, а также между частными лицами и организациями в государственном и частном секторе. Кроме того, возникла обеспокоенность наличием неумышленных уязвимостей и умышленных «лазеек» в технологических продуктах, а также связанными с этим рисками. Общественность интересует, достаточно ли усилий прикладывают поставщики, чтобы устранять эти недочеты и защищать конечных пользователей. Основные сложности в области безопасности на 2014 год По мере того как доверие разрушается, а определить, каким системам и отношениям можно доверять, а каким — нет, организации сталкиваются с несколькими ключевыми проблемами, лишающими их возможности обеспечить нужный уровень безопасности. 1 |  Увеличенная поверхность атаки 2 |  Распространение и усложнение модели атаки 3 |  Сложность угроз и решений Сочетание этих проблем создает и увеличивает пробелы в системе безопасности, из- за которых злоумышленникам удается совершать вторжения в ИТ-систему компании быстрее, чем та может устранить недочеты в системе безопасности. Далее эти угрозы и риски рассматриваются более подробно. [ ]
  13. 13. 13 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие 1 | Увеличенная поверхность атаки Современная поверхность атаки предоставляет злоумышленникам бесчисленные возможности подорвать крупную и хрупкую экосистему безопасности. Поверхность атаки расширяется в геометрической прогрессии и даже сегодня продолжает увеличиваться: множество конечных точек, множество возможностей для вторжения и множество данных, которые предприятия не контролируют. Одной из самых ценных валют в современном мире являются данные, поэтому именно они являются целью большинства кампаний злоумышленников. Если данные обладают какой-либо ценностью на «черном рынке», будь то интеллектуальная собственность крупной корпорации или данные о состоянии здоровья отдельного пациента, они нужны злоумышленникам, а значит, находятся под угрозой. Если ценность целевого объекта выше, чем риск при компрометации, он станет добычей хакеров. Под угрозой находятся даже небольшие организации. Большинство организаций, как крупных, так и мелких, уже скомпрометированы и даже не знают об этом: в 100 % проанализированных Cisco коммерческих сетей трафик направляется на веб-сайты, на которых размещено вредоносное ПО. РИС. 2. Анатомия современной угрозы Интернет и облачные приложения Сеть общего пользования Кампус Периметр Корпоративный Центр обработки данных Точка попадания инфекции находится за пределами предприятия. Современная киберугроза обходит защиту периметра. Угроза распространяется и пытается получить доступ к ценным данным.
  14. 14. 14 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие Анатомия современной угрозы, представленная на рис. 2, наглядно показывает, что конечной целью многих кампаний в области киберпреступности является получение доступа к центру обработки данных и внедрение в ценные данные. В этом примере вредоносное действие осуществляется на устройстве за пределами корпоративной сети. В результате возникает инфекция, которая затем попадает в сеть кампуса. Эта сеть служит своеобразной стартовой площадкой для попадания в корпоративную сеть, после чего угроза попадает в настоящую сокровищницу — центр обработки данных. Ввиду расширения площади поверхности атаки и охоты хакеров за исключительно ценными данными эксперты по безопасности Cisco рекомендуют предприятиям в 2014 году найти ответы на два важных вопроса: «Где хранятся критически важные для нас данные?» и «Как создать безопасную среду для защиты этих данных, особенно когда новые бизнес-модели, такие как облачные вычисления и мобильность, практически лишают нас контроля над происходящим?». 2 | Распространение и усложнение модели атаки Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, вызывающие ограниченные убытки, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе организаций. Компании стали объектами целенаправленных атак. Такие атаки очень сложно обнаружить, их результаты остаются в сетях в течение продолжительного времени и накапливают сетевые ресурсы для проведения атак в любой другой точке. Для того чтобы охватить весь диапазон атак, организации должны уделять внимание всем векторам атак и применять решения, которые функционируют в любом месте возможного проявления угрозы: в сети, на конечных точках, мобильных устройствах и в виртуальных средах. «Где расположены критически важные данные нашей организации?» и «Как создать безопасную среду для защиты этих данных, особенно когда новые бизнес- модели, такие как облачные вычисления и мобильность, практически лишают нас контроля над происходящим?» Специалисты Cisco по информационной безопасности Конечной целью многих кампаний в области киберпреступности является получение доступа к центру обработки данных и внедрение в ценные данные.
  15. 15. 15 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие 3 | Сложность угроз и решений Прошло время, когда блокировщики спама и антивирусное ПО помогали защитить легко определяемый сетевой периметр от большинства угроз. Современные сети выходят за традиционные границы, в них постоянно появляются и развиваются новые векторы атак: мобильные устройства, веб-приложения и программы для мобильных устройств, гипервизоры, социальные сети, браузеры, домашние компьютеры и даже автомобили. Точечные решения не могут создать эффективный барьер на пути злоумышленников, работающих с тысячами разных технологий и стратегий. В результате задачи специалистов по безопасности в области мониторинга информационной безопасности и управления ею становятся еще сложнее. Число уязвимостей организации растет, поскольку предприятия используют разрозненные точечные решения и многочисленные платформы управления. В результате мы имеем набор разрозненных и не предназначенных для взаимодействия технологий на контрольных точках. В результате повышается риск компрометации данных о клиентах, интеллектуальной собственности и другой конфиденциальной информации; это угрожает и репутации компании. Нужна непрерывная защита, обеспечивающая оптимальное решение задач, которые ставят перед нами среды со сложными угрозами. Атаки происходят не в какой-то определенный момент; это длительный процесс. Точно так же должна действовать и система безопасности организации. Учитывая беспрецедентную сложность угроз и соответствующих решений, организациям необходимо переосмыслить свою стратегию безопасности. Вместо того чтобы полагаться на точечные решения, можно уменьшить сложность поставленной задачи, непрерывно интегрируя механизмы безопасности в работу сети. Это позволит сети: • непрерывно осуществлять мониторинг и анализ файлов и выявлять вредоносную активность на самых ранних этапах; • помочь организациям определить масштабы мероприятий, расширив поверхность возможного размещения сетевых устройств; • ускорить обнаружение проблем благодаря повышенной прозрачности трафика; • обеспечить уникальную контекстную осведомленность организации, получить которую с использованием исключительно точечных устройств безопасности невозможно. Точечные решения не могут создать эффективный барьер на пути злоумышленников, работающих с тысячами разных технологий и стратегий.
  16. 16. 16 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие Переход к мобильности и облачным сервисам увеличивает нагрузку по обеспечению безопасности на конечные точки и мобильные устройства — некоторые из них могут вообще не подключаться к корпоративной сети. Дело в том, что мобильные устройства, используемые для доступа к корпоративным ресурсам, представляют риск безопасности. Их легко подключить к сторонним облачным сервисам и компьютерам, аспекты безопасности которых не всегда известны и не контролируются организацией. Кроме того, стремительно растет объем вредоносного мобильного ПО, что также способствует увеличению рисков. Ввиду отсутствия даже элементарной прозрачности, большинство специалистов по ИТ-безопасности не обладают возможностью идентифицировать возможные угрозы с этих устройств. Усовершенствованные стратегии, например непрерывная защита от угроз, сыграют важную роль в борьбе с современным вредоносным ПО. Для этого будет использоваться аналитика «больших данных», собирающая данные и события в расширенной сети и обеспечивая повышенный контроль даже после перемещения файла в сеть или между конечными точками. Этим она отличается от одномоментной защиты конечных устройств, сканирующей файлы в начальный момент времени с целью определить расположение вредоносного ПО. Современное вредоносное ПО может обойти такое сканирование, быстро закрепиться на конечных точках и начать распространение по сети. Прозрачные системы, которым можно доверять Ввиду увеличения площади поверхности атаки, растущей сложности и масштабности модели атаки, а также сложности угроз и решений мы вынуждены доверять потребляемой информации и системам, поставляющим эту информацию, независимо от способа доступа к сетевым службам. Создание действительно безопасной сетевой среды превращается в еще более сложную задачу ввиду того, что правительства и частные организации инвестируют средства в мобильность, средства для совместной работы, облачные вычисления и другие формы виртуализации. Эти возможности повышают эластичность, эффективность системы, Мобильные устройства, используемые для доступа к корпоративным ресурсам, представляют риск безопасности.
  17. 17. 17 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие способствуют снижению затрат, однако могут стать источниками дополнительных рисков. Безопасность производственных процессов, в результате которых создаются ИТ-продукты, также под угрозой. Наличие подделок и продуктов со злоумышленно измененным кодом становится все более актуальной проблемой. Как следствие этого, руководители правительств и корпораций сегодня все чаще относят кибербезопасность и связанные с ней вопросы доверия к числу основных проблем. Специалисты в области практического обеспечения безопасности должны задать себе вопрос: «Что бы мы сделали иначе, если бы знали, что компрометация неизбежна?». Злоумышленники ищут и используют любые слабые с точки зрения безопасности места в цепочке поставки технологий. Используя уязвимости и намеренно созданные «лазейки» в технологических продуктах, злоумышленники рано или поздно получат в руки все карты. Подобные лазейки уже давно являются одной из проблем безопасности, требующих внимания организаций, поскольку они существуют исключительно для того, чтобы злоумышленники могли достигать своих тайных или преступных целей. Создание систем, которым можно доверять, означает реализацию всех без исключения механизмов безопасности от начала до окончания жизненного цикла продукта. В жизненном цикле безопасной разработки Cisco Secure Development Lifecycle (CSDL)8 устанавливается воспроизводимая и измеряемая методика, которая позволяет встраивать средства обеспечения безопасности продуктов еще на этапе создания концепции, минимизировать уязвимости на этапе разработки и повышать гибкость программных продуктов перед лицом атаки. Заслуживающие доверия системы становятся основой для такого подхода к безопасности, который подразумевает непрерывное совершенствование механизмов, а также предвосхищение и устранение новых угроз. Такие инфраструктуры не только защищают критически важную информацию, но и помогают достичь еще более важной цели предотвратить перерывы в работе критически важных служб. Надежные программные продукты, которые поддерживаются доверенными поставщиками, позволяют свести к минимуму затраты и ущерб для репутации из-за неправомерного использования информации, перебоев в обслуживании и искажения сведений. Не следует считать, что если система заслуживает доверия, она обеспечивает иммунитет от внешних атак. ИТ-клиенты и пользователи играют важную роль в поддержании эффективности доверенных систем и защите этих систем от попыток взлома. В частности, они должны своевременно устанавливать обновления и исправления безопасности, бдительно относиться к аномальному поведению системы и принимать эффективные меры противодействия в случае атаки. Злоумышленники ищут и используют любые слабые с точки зрения безопасности места в цепочке поставки технологий.
  18. 18. 18 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие Ни технологии, ни злоумышленники не стоят на месте. Обеспечение надежности системы должно охватывать полный жизненный цикл сети — от первоначального проектирования до производства, системной интеграции, повседневной работы, обслуживания и обновлений и, наконец, вывода решения из эксплуатации. Потребность в надежных системах выходит за рамки собственной сети организации; она относится и к тем сетям, к которым компания подключается. Специалисты по изучению и эксплуатации систем безопасности Cisco Security Research and Operations в последние годы наблюдают растущую интенсивность использования «отправных точек». Техника отправных точек в киберпреступности подразумевает, что на определенном этапе цепочки атак используется «лазейка», уязвимость либо просто злоупотребление доверием, а затем взломанная система становится стартовой площадкой для более изощренной кампании против гораздо более масштабных целей, например сети крупной энергетической кампании или центра обработки данных финансового учреждения. Некоторые хакеры в качестве такой отправной точки используют доверие между организациями: проникают в сеть одного из деловых партнеров, чтобы совершить киберпреступление против другого, ничего не подозревающего, доверенного партнера по бизнесу или государственным делам. В современном ландшафте угроз следует быть бдительным. Технологии безопасности должны адаптироваться ко всем переходным состояниям, являющимся частью корпоративной ИТ-среды. Необходимо объективно оценивать надежность системы, используя измеримые показатели, независимые данные с возможностью использования системы проверки достоверности и соответствующие процедуры. Надежнее всего использовать динамическую защиту, которая строится с учетом уникальной ИТ-среды организации и содержит средства управления безопасностью, которые непрерывно развиваются и, следовательно, сохраняют свою релевантность9 . Только в такой среде могут существовать системы, которым можно доверять, и прозрачность — одно из непременных условий их создания. «Надежная система должна основываться на прочном фундаменте: оптимальных практиках разработки программных Основные проблемы современных руководителей по ИТ- безопасности на 2014 год По мере изучения современного ландшафта угроз руководители по ИТ-безопасности испытывают растущее давление: они вынуждены обеспечить безопасность терабайтов данных, соблюдать жесткие нормативные требования и оценивать риски взаимодействия со сторонними поставщиками. Все эти задачи приходится решать в условиях сокращения бюджета и ИТ-кадров. Сегодня перед руководителями по ИТ-безопасности как никогда много задач, кроме того, они вынуждены контролировать сложные и изощренные угрозы безопасности. Ведущие стратеги в области безопасности, оказывающие услуги Cisco Security Services и помогающие руководителям по ИТ-безопасности выбрать оптимальный подход к обеспечению безопасности, составили список наиболее актуальных угроз и задач на 2014 год. Управление соответствием нормативным требованиям Наиболее распространенной проблемой руководителей по ИТ- безопасности является необходимость обеспечить безопасность данных, размещенных во всех точках сети, которая становится все более неоднородной, и расходовать бесценные ресурсы на обеспечение соответствия. Соответствие нормативным требованиям автоматически не означает безопасность: это всего лишь минимум, начальный уровень, установленный с учетом потребностей конкретной, регулируемой среды. С другой стороны, безопасность — это целый комплекс мероприятий, охватывающий разные виды бизнес-операций. Продолжение на следующей странице
  19. 19. 19 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие продуктов, надежной цепочке поставок и архитектурном подходе, регулирующем разработку, внедрение сети и действующие в ней политики, — отмечает Джон Н. Стюарт (John N. Stewart), старший вице-президент и директор по информационной безопасности в Cisco. — Однако самым важным фактором по-прежнему остается прозрачность поставщиков». Для повышения прозрачности приходится жертвовать конфиденциальностью, однако эффективное взаимодействие заинтересованных сторон позволит достичь равновесия, а оно, в свою очередь, откроет новые возможности, чтобы унифицировать средства анализа угроз и методы обеспечения безопасности. Всем организациям необходимо уделять больше внимания поиску оптимального соотношения между доверием, прозрачностью и конфиденциальностью, потому что на кону стоит немало. В долгосрочной перспективе удастся обеспечить более высокий уровень кибербезопасности для всех пользователей и полностью реализовать экономический потенциал развивающейся модели «Всеобъемлющий Интернет»10 . Однако достижение этих целей зависит от того, насколько эффективны политики конфиденциальности и системы сетевой защиты, которые интеллектуально распределяют нагрузку по обеспечению безопасности между конечными точками и сетью. В краткосрочной перспективе любой современный бизнес должен использовать наиболее эффективные методы и наиболее надежную информацию, чтобы защитить свои наиболее ценные активы и не порождать проблем, связанных с кибербезопасностью. Современные организации должны проанализировать, какое влияние принимаемые ими меры могут оказать на растущую экосистему кибербезопасности, которая становится все более сложной и взаимосвязанной. Неспособность проанализировать общую картину может нанести урон репутации организации — ни один ведущий поставщик систем безопасности не позволит своим пользователям входить на ее сайт. Восстановить свою репутацию в этом случае очень сложно, а иногда практически невозможно. Чтобы более подробно ознакомиться с практическими принципами надежных систем Cisco Trustworthy Systems, посетите веб-сайт www.cisco.com/go/trustworthy. Доверие облаку Руководители по ИТ-безопасности должны принимать решения о безопасном управлении информацией, имея ограниченные бюджетные средства и время. Так, облако сегодня — это экономичный и маневренный способ управления непрерывно растущими хранилищами данных, но тем не менее у руководителей по ИТ-безопасности возникают в связи с этим новые проблемы. Исполнительному руководству и совету директоров облако представляется панацеей, позволяющей избежать покупки дорогостоящего аппаратного обеспечения. Они желают использовать преимущества выгрузки данных в облако и рассчитывают на то, что руководителям по ИТ- безопасности удастся быстро и безопасно это осуществить. Доверие поставщикам Как и в случае с облаком, организации обращаются к поставщикам, чтобы те предоставили им специализированные решения. Модель затрат, составленная на случай взаимодействия со сторонними организациями, вполне имеет право на жизнь. Однако эти поставщики — «лакомые кусочки» для преступников, которые знают, что сторонние механизмы защиты могут оказаться неэффективными. Восстановление после инцидентов безопасности Любая организация должна исходить из того, что стала объектом хакерской атаки, или хотя бы согласиться с тем, что вопрос не в том, будет ли она подвержена атаке, а когда это произойдет. Многие руководители по ИТ-безопасности до сих пор помнят атаки Operation Night Dragon (нарушение криптографического алгоритма RSA) и Shamoon, нацеленные против крупной нефтегазовой компании в 2012 году. (См. исследование Cisco о преобладании злоумышленной деятельности в корпоративной сети на странице 48). Начало на предыдущей странице [ ]
  20. 20. 20 Годовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз Компании Cisco и Sourcefire, используя широчайший ассортимент доступных телеметрических средств обнаружения, проанализировали и собрали воедино сведения о безопасности за прошедший год.
  21. 21. 21 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз Увеличение числа оповещений об угрозах Количество уязвимостей и угроз, перечисленных в отчете Cisco IntelliShield®, стабильно увеличивалось в 2013 году: в октябре 2013 года совокупные показатели оповещений за год увеличились на 14 % в годовом исчислении по сравнению с 2012 годом (см. рис. 3). Число оповещений в октябре 2013 года достигло максимума с мая 2000 года, когда система IntelliShield начала их фиксировать. Обращает на себя внимание и существенное увеличение числа новых оповещений, зафиксированных IntelliShield, по сравнению с обновленными оповещениями (см. рис. 4). Поставщики технологий и исследователи находят все больше новых уязвимостей (см. рис. 5), что является результатом повышенного внимания к безопасности на протяжении всего жизненного цикла разработки и следствием повышения безопасности их собственных продуктов. Увеличение числа новых уязвимостей также может быть признаком того, что поставщики тщательно изучают код своих приложений и устраняют уязвимости еще до выпуска продуктов, когда указанными уязвимостями смогут воспользоваться злоумышленники. РИС. 3. Совокупные показатели оповещений за 2010—2013 гг. 0 Янв ДекНояОктСенАвгИюлИюнМайАпрМарФев 1 000 2 000 3 000 4 000 5 000 6 000 7 000 Месяц 2013 2012 2011 2010
  22. 22. 22 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз РИС. 4. Новые и обновленные оповещения, 2013 г. Янв НояОктСенАвгИюлИюнМайАпрМарФев Оповещение о новой угрозе Обновленное оповещение Месяц 224303 386212 333281 387256 221324 366291 293391 215286 278437 320517 0 400 200 800 600 1 000 211347 Повышенное внимание к безопасной разработке программного обеспечения позволит завоевать доверие к решениям поставщиков. Жизненный цикл безопасной разработки не только способствует снижению рисков появления уязвимостей и позволяет поставщикам обнаруживать возможные дефекты еще на ранних стадиях разработки, но и говорит покупателям о том, что они могут положиться на эти решения.
  23. 23. 23 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз РИС. 5. Стандартные категории угроз, выявленные системой Cisco IntelliShield ПРИМЕЧАНИЕ. Эти категории угроз из списка стандартных уязвимостей (CWE) Национальной базы данных уязвимостей (https://nvd.nist.gov/cwe.cfm) связаны с используемыми злоумышленниками методами атаки сетей. 1 1 5 2 3 4 6 7 8 2 34 5 6 7 8 9 CWE-119: ошибки буферизации Прочие оповещения Intellishield (активность, проблемы, CRR, AMB) CWE-399: ошибки управления ресурсами CWE-20: проверка входных данных 9 CWE: ошибка проектирования CWE-310: проблемы шифрования CWE-287: проблемы аутентификации CWE-352: подделка межсайтовых запросов (CSRF) CWE-22: пересечение путей CWE-78: внедрение команд ОС CWE-89: внедрение SQL CWE-362: условия конкуренции CWE-255: управление учетными данными CWE-59: переход по ссылкам CWE-16: конфигурация CWE: недостаток информации CWE: другое CWE-189: числовые ошибки CWE-264: разрешения, привилегии и контроль доступа CWE-200: утечка/разглашение информации CWE-79: межсайтовый скриптинг (XSS) CWE-94: внедрение кода
  24. 24. 24 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз Уменьшение объемов спама, сохранение угроз, связанных со злоумышленным спамом В целом в 2013 году объем спама в мире уменьшился. Тем не менее, несмотря на уменьшение общего объема спама, доля злоумышленного спама не изменилась. Спамеры прибегают к быстрым действиям как к средству обмануть доверие пользователей электронной почты, рассылая огромное количество спам-сообщений, когда события в новостях или текущие тенденции снижают сопротивляемость пользователей к спаму. После взрывов в ходе проведения бостонского марафона 15 апреля 2013 года были запущены две крупномасштабные спам-кампании: одна — 16 апреля, а другая — 17 апреля. Целью этих кампаний было привлечение пользователей электронной почты, жаждущих получить новости о последствиях этого происшествия. Исследователи Cisco заметили, что уже в первые часы после инцидента были зарегистрированы сотни доменных имен, связанных со взрывом11 . В обоих случаях строка «тема» содержала новостные заголовки якобы о происшествии, а сообщения содержали ссылки якобы на видеозаписи о происшествии или новости из достоверных новостных источников. По ссылкам читатели переходили на веб-страницы, на которых присутствовали ссылки на реальные новостные статьи или видеозаписи — а также вредоносные плавающие фреймы, созданные для заражения компьютеров пользователей. В пиковый период кампании, 17 апреля 2013 года, спам, связанный с трагедией в Бостоне, составил 40 % всех спам-сообщений в мире. На рис. 6 показана одна из спам-кампаний, проведенная ботнетом и замаскированная под рассылку сообщений CNN12 . На рис. 7 показан исходный HTML-код спам-сообщения о взрывах во время бостонского марафона. Заключительный плавающий фрейм (путающий пользователя) ведет на вредоносный веб-сайт13 . Поскольку спам, замаскированный под рассылку экстренных новостей, начинает рассылаться так быстро после происшествия, пользователи электронной почты склонны верить, что эти сообщения — не спам. Спамеры злоупотребляют желанием людей получить больше информации о важном событии. Если спамеры дают интернет-пользователям то, что им нужно, то им гораздо проще заставить их совершить нужное действие, например открыть ссылку на зараженную страницу. Кроме того, в этом случае им проще сделать так, чтобы получатели не заподозрили, что с сообщением что-то не так. Спамеры злоупотребляют желанием людей получить больше информации о важном событии.
  25. 25. 25 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз РИС. 6. Спам о бостонском марафоне РИС. 7. Исходный HTML-код спам-сообщений о взрывах в ходе бостонского марафона iframe width=640 height=360 src=https://www.youtube.com/embed/H4Mx5qbgeNo iframe iframe width=640 height=360 src=https://www.youtube.com/embed/JVU7rQ6wUcE iframe iframe width=640 height=360 src=https://bostonmarathonbombing.html iframe
  26. 26. 26 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз Спам в числах Согласно данным, собранным специалистами подразделений Cisco Threat Research Analysis and Communications (TRAC) и SIO (рис. 8), совокупный объем спама уменьшается, хотя тенденции по странам различаются (рис. 9). РИС. 8. Совокупный объем спама, 2013 г. Источник: Cisco TRAC/SIO 0 Янв ОктСенАвгИюлИюнМайАпрМарФев 20 40 60 80 100 120 140 160 Месяц Млрдвдень РИС. 9. Тенденции изменения объема спама, 2013 г. Источник: Cisco TRAC/SIO 0 Янв ОктСенАвгИюлИюнМайАпрМарФев 5 10 15 20 25 Месяц Объемвпроцентах США Республика Корея Китай Италия Испания
  27. 27. 27 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз РИС. 10. Основные темы спам-сообщений в мире 1. Уведомления о банковском депозите или оплате Уведомления о депозитах, переводах, платежах, возвращенных чеках, оповещение о мошенничестве. 2. Приобретение продукции в Интернете Подтверждение заказа продукции, запрос заказа на покупку, предложение цены, пробное использование. 3. Прикрепленное фото Вредоносные прикрепленные фото. 4. Уведомления об отгрузке Счета, доставка или получение товара, отслеживание. 5. Знакомства Сайты знакомств. 6. Налогообложение Налоговая документация, возвраты, отчеты, сведения о задолженности, заполнение и отправка налоговых деклараций через Интернет. 7. Facebook Статус счета, обновления, уведомления, программное обеспечение безопасности. 8. Подарочная карта или сертификат Оповещения из разных магазинов (наиболее популярный — Apple). 9. PayPal Обновление учетной записи, подтверждение, уведомление об оплате, спор по оплате.
  28. 28. 28 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз Веб-эксплойты: Java возглавляет список Согласно данным Cisco, из всех веб-угроз, подрывающих безопасность, интернет-преступники чаще всего используют уязвимости в языке программирования Java. Количество злоумышленных действий с кодом Java намного выше, чем с документами Flash или Adobe PDF, которые также являются популярными векторами криминальной активности (см. рис. 11). Данные компании Sourcefire, которая теперь является подразделением Cisco, также показывают, что злоумышленные действия с кодом Java составляют подавляющее большинство (91 %) индикаторов компрометации, отслеживанием которых занимается решение Sourcefire FireAMP, предназначенное для расширенного анализа вредоносного ПО и защиты от него (см. рис. 12). FireAMP обнаруживает компрометации на конечных устройствах, а затем фиксирует тип программного обеспечения, которое вызвало каждый из них. РИС. 11. Вредоносные атаки, реализованные с использованием PDF, Flash и Java, 2013 г. Источник: отчеты Cisco Cloud Web Security НояОктСенАвгИюлИюнМайАпрМарФев Flash PDF Месяц Java Янв 0 2 % 4 % 6 % 10 % 8 % 14 % 12 % 16 %
  29. 29. 29 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз Что касается таких угроз, как эксплойты в Java, наиболее важным вопросом для специалистов по практическому обеспечению безопасности является следующий: как вредоносное ПО попадает в сетевую среду и на чем сконцентрировать свои усилия, чтобы свести к минимуму вероятность заражения. Отдельные действия могут и не выглядеть как злоумышленные, однако изучение цепочки событий позволит пролить свет на всю совокупность событий. Объединение событий в цепочки — это способность выполнить ретроспективный анализ данных и восстановить путь, пройденный злоумышленниками, чтобы обойти защиту периметра и проникнуть в сеть. Сами по себе индикаторы взлома могут показать, что переход на определенный веб- сайт безопасен. Кроме того, запуск Java также может быть безопасным, как и открытие исполняемого файла. Риск для организации возникает, если пользователь посещает веб-сайт, зараженный плавающими фреймами, которые затем запускают Java-код. Этот код загружает исполняемый файл, и уже этот файл выполняет вредоносные действия. РИС. 12. Индикаторы компрометации по типам Источник: Sourcefire (решение FireAMP) 3 % Microsoft Excel 1 % Microsoft PowerPoint 3 % Adobe Reader 2 % Microsoft Word 91 % Перехват Java
  30. 30. 30 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз Повсеместное использование Java делает эту технологию излюбленным инструментом преступников. Именно из-за этого компрометация Java-кода стала наиболее распространенным типом вредоносной активности (среди выстроенных в виде цепочки событий) в 2013 году. Как сказано на веб-странице «Что такое Java?», эта технология используется на 97% корпоративных настольных ПК. В США этот показатель достигает 89 % среди настольных компьютеров в целом14 . Java — это настолько обширная поверхность атаки, что преступники просто не могут позволить себе ее проигнорировать. Обычно они создают решения, которые используют несколько эксплойтов по порядку — например, сначала они пытаются проникнуть в сеть или похитить данные, используя самые простые или самые известные уязвимости, и лишь в случае неудачи переходят к другим методам. В большинстве случаев они в первую очередь выбирают Java, поскольку рентабельность таких «инвестиций» для преступников наиболее высока. Решение проблемы Java Несмотря на то что использование уязвимостей Java очень распространено, а устранить их очень сложно, существуют методы снижения их негативного воздействия. • Если это допустимо, можно отключить Java в браузерах по всей сети, чтобы не допустить запуска этих эксплойтов. • Телеметрические средства, такие как Cisco NetFlow, интегрированные в многочисленные решения для обеспечения безопасности, могут осуществлять мониторинг трафика Java. В результате специалисты по безопасности получат более полное представление об источниках угроз. • Многие пробелы в системе безопасности можно устранить путем комплексного управления исправлениями. • Средства мониторинга и анализа конечных точек, которые продолжают отслеживать и анализировать файлы после попадания в сеть, могут ретроспективно обнаруживать и пресекать угрозы, попадающие в сеть как безопасные, однако впоследствии демонстрирующие вредоносное поведение. • Приоритетный список устройств с риском компрометации можно создать, используя индикаторы компрометации для корреляции интеллектуальных средств мониторинга вредоносного ПО (включая вполне безобидные на первый взгляд события) и мгновенной идентификации заражения без использования существующих антивирусных сигнатур. Обновление до последней версии Java также поможет устранить некоторые уязвимости. Согласно исследованиям, проведенным специалистами Cisco TRAC и SIO, 90 % клиентов Cisco используют наиболее актуальную версию программы — Java 7 Runtime Environment. С точки зрения безопасности это очень хорошо, поскольку эта версия обеспечивает максимальную защиту от уязвимостей.
  31. 31. 31 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз Однако исследование, проведенное специалистами Cisco TRAC и SIO, также показывает, что 76 % предприятий, использующих решения Cisco, помимо Java 7 используют и Java 6 Runtime Environment. Java 6 — это предыдущая версия, срок эксплуатации и поддержки которой истек. Предприятия часто используют обе версии Java Runtime Environment, потому что в разных приложениях для исполнения Java- кода могут использоваться разные версии программы. Однако учитывая, что более 75 % предприятий, исследованных Cisco, используют решение с истекшим сроком эксплуатации, уязвимости которого вряд ли когда-либо удастся устранить, у преступников масса возможностей использовать эти слабости. В апреле 2013 года число вредоносных действий в сети с использованием Java- кода достигло максимума — 14 % от всех киберпреступлений в сети. Минимума этот показатель достиг в мае и июне 2013 года — примерно 6 и 5 % всех киберпреступлений в сети соответственно (см. рис. 13). (Ранее в этом году компания Oracle объявила, что больше не будет размещать обновления Java SE 6 на своем общедоступном сайте загрузки, хотя существующие обновления Java SE 6 будут доступны в архиве Java в сети Oracle Technology Network.) Если специалисты по безопасности, у которых не так много времени для борьбы с веб- преступлениями, решат направить максимум своего внимания на Java, они поступят совершенно верно. РИС. 13. Java Web Malware Encounters, 2013 г. Источник: Cisco TRAC/SIO НояОктСенАвгИюлИюнМайАпрМарФев Месяц Янв 7,50% 6,75% 9,00% 14,00% 6,00% 5,00% 12,25% 7,50% 6,25% 9,50% 6,50% 0 2 % 4 % 6 % 10 % 8 % 12 % 14 %
  32. 32. 32 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз BYOD и мобильность: повышение зрелости устройств выгодно киберпреступности. Перед киберпреступниками и выбранными ими целями стоит одна и та же задача: и злоумышленники, и специалисты по безопасности пытаются выяснить, как лучше всего использовать концепцию BYOD («Принеси на работу свое устройство») и мобильность для извлечения коммерческих преимуществ. Два фактора оказываются на руку преступникам. Во-первых, это повышение зрелости мобильных платформ. Эксперты по безопасности Cisco отмечают, что чем больше смартфоны, планшеты и другие устройства используются как традиционные настольные компьютеры и ноутбуки, тем проще разрабатывать для них вредоносное ПО. Вторым таким фактором является растущая популярность мобильных приложений. Когда пользователи загружают мобильные приложения, они, по сути, размещают на конечной точке упрощенный клиент и загружают код. Еще одна проблема: многие пользователи регулярно загружают мобильные приложения, не задумываясь о безопасности. С другой стороны, современные специалисты по обеспечению безопасности вынуждены решать так называемую проблему «произвольного состава»: как обеспечить безопасность любого пользователя, работающего с любым устройством, расположенного где угодно и осуществляющего доступ к любому приложению или ресурсу15 . Тенденция BYOD только осложняет ситуацию. Управлять всеми этими типами оборудования довольно сложно, особенно если ИТ-бюджет ограничен. В среде поддержки личных устройств руководитель отдела информационной безопасности должен убедиться в том, что помещения для работы с информацией контролируются эффективно. Мобильность открывает новые возможности компрометации пользователей и данных. Исследователи Cisco анализировали действия злоумышленников, которые используют каналы беспроводной связи, чтобы перехватывать передаваемые по ним данные. Мобильность является причиной целого ряда проблем информационной безопасности в организации, включая потерю Многие пользователи регулярно загружают мобильные приложения, не задумываясь о безопасности.
  33. 33. 33 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Интеллектуальные средства мониторинга угроз интеллектуальной собственности и других конфиденциальных данных в случае утраты, кражи или недостаточной защиты устройства сотрудника. Реализация формальной программы управления мобильными устройствами позволит убедиться в защищенности устройства еще до подключения к сети. По мнению экспертов Cisco, это один из способов повышения безопасности предприятия. По меньшей мере аутентификация пользователей должна осуществляться по PIN-коду, а специалисты по безопасности организации пользователя должны иметь возможностр

×