More Related Content Similar to Информационная безопасность и фактор времени (20) More from Aleksey Lukatskiy (20) Информационная безопасность и фактор времени2. 2© 2015 Cisco and/or its affiliates. All rights reserved.
Время не на нашей стороне
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
3. 3© 2015 Cisco and/or its affiliates. All rights reserved.
Скорость означает новый уровень сложности.
Злоумышленники и время
4. 4© 2015 Cisco and/or its affiliates. All rights reserved.
Изменение в поведении атак
Скорость Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов
5. 5© 2015 Cisco and/or its affiliates. All rights reserved.
Домены-однодневки и постоянное
изменение
Постоянные обновления увеличили уровень проникновения Angler до 40%
В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная
система
Уязвимости Flash
Смена цели
Вымогатели
Angler
Непрерывное забрасывание
«крючков в воду» увеличивает
шанс на компрометацию
Шифрованиетела ВПО
Социальный
инжиниринг
Смена IP Сайты-
однодневки
Ежедневные
доработки
TTD
Меры
защиты
Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email
6. 6© 2015 Cisco and/or its affiliates. All rights reserved.
76110
12/2014 1/2015 2/2015 3/2015 4/2015 5/2015
New URL
Scheme
CompromisedUsers
Old URL
Scheme
27425
24040
18960 20863
47688
76110
7369
13163
9010
11958
14730
12008
Постоянная модификация вредоносного
кода
Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем
самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных
пользователей:
Новая схема URL vs. старая схема URL
Новая схема URL
драматически
опережает старую.
Изменение домена –
раз в 3 месяца (уже
500 доменов)
Непрерывное
изменение имен Add-
On для браузера (уже
4000 имен)
7. 7© 2015 Cisco and/or its affiliates. All rights reserved.
Черные списки плохо помогают в борьбе с
сайтами-однодневками
71% вредоносных сайтов
существует всего 1 день и
меньше
8. 8© 2015 Cisco and/or its affiliates. All rights reserved.
Dridex: краткосрочность и мутация
Использование «старых» методов, краткосрочность и постоянная мутация
приводят к сложностям в блокировании макровирусов
Кампания
стартовала
Обнаружена с помощью
Outbreak Filters
Антивирусный движок
обнаруживает Dridex
Но злоумышленники все
равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex,
действующих не более нескольких часов
9. 9© 2015 Cisco and/or its affiliates. All rights reserved.
Время обнаружения угрозы в индустрии
Текущее значение TTD в индустрии - 200 дней, что недопустимо
46200 VS
ЧАСОВДНЕЙ
Индустрия Cisco
Значение TTD вычисляется с помощью механизма ретроспективной
безопасности, встроенной в решения Cisco и позволяющей отправлять
отпечатки каждого файла в облачный сервис Cisco
10. 10© 2015 Cisco and/or its affiliates. All rights reserved.
Чаще обновляйте свои средства защиты
Угрозы
обновляются
ежечасно
Обновляйте
ежечасно и
средства защиты
11. 11© 2015 Cisco and/or its affiliates. All rights reserved.
Человеческая лень и самомнение увеличивают шансы злоумышленников
Время и вы
12. 12© 2015 Cisco and/or its affiliates. All rights reserved.
Дефицит обнаружения
2015 Data Breach Investigations Report by Verizon
• В 60% нападающие
проникали в сети
организаций за минуты
13. 13© 2015 Cisco and/or its affiliates. All rights reserved.
Время обнаружения вторжения
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – один из
самых долгих
инцидентов в 2014-м
году
Ponemon
206
HP
416
Symantec
305
14. 14© 2015 Cisco and/or its affiliates. All rights reserved.
Пользователи и администраторы тоже «спят»
50% пользователей
открывают e-mail и кликают
по фишинговым ссылкам в
первый час
Для 99,9% использованных
уязвимостей бюллетень CVE
был опубликован больше чем
за год до атаки
2015 Data Breach Investigations Report by Verizon
15. 15© 2015 Cisco and/or its affiliates. All rights reserved.
Время на устранение уязвимостей
Финансы
176
Здравоохранение
97
Облачные
провайдеры
50
Образование
176
2015 State of Vulnerability Risk Management by NopSec
16. 16© 2015 Cisco and/or its affiliates. All rights reserved.
Уязвимости на уровне сети устраняются
очень медленно
Внешняя сеть
182
Внутренняя сеть
101
Web-
приложения
20
2015 State of Vulnerability Risk Management by NopSec
17. 17© 2015 Cisco and/or its affiliates. All rights reserved.
Уязвимости в Web остаются открытыми
годами
Ритейл
947 ИТ
654
Проф.
услуги
1027
Финансы
739
Госорганы
1033
Здоровье
572
Производ
556
Пищевая
502
Транспо
рт
299
2015 Website Security Statistics Report by Whitehat Security
18. 18© 2015 Cisco and/or its affiliates. All rights reserved.
Службы ИБ/ИТ работают медленнее
нападающих
100-120 дней на
устранение
уязвимостей
Вероятность эксплуатации
уязвимостей в первые
40-60 дней достигает 90%
The Remediation Gap: Why Companies Are Losing the Battle Against Non-Targeted
Attacks by Kenna
19. 19© 2015 Cisco and/or its affiliates. All rights reserved.
• Службы ИТ/ИБ работают
медленнее нападающих
• Устраняться могут уязвимости,
неинтересующие
злоумышленников
• Своевременное обновление
приложений остается одной из
ключевых задач предприятий
А у вас есть стратегия обновлений?
Например,
Heartbleed
56%
открытых SSL-версий
старше 50 месяцев
20. 20© 2015 Cisco and/or its affiliates. All rights reserved.
Обновляйтесь сами
Не почивайте на
лаврах – постоянно
совершенствуйтесь
Не кладите все
яйца в одну
корзину
21. 21© 2015 Cisco and/or its affiliates. All rights reserved.
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
22. 22© 2015 Cisco and/or its affiliates. All rights reserved.
Выводы
Не закрывать глаза
на проблему
Увеличить
частоту
обновления
Мониторить и
реагировать, а не
только защищать
Повышать
собственные
знания
Не зависеть от
одного средства
23. 23© 2015 Cisco and/or its affiliates. All rights reserved.
Дополнительная информация
24. 24© 2015 Cisco and/or its affiliates. All rights reserved.
Дополнительная информация
25. 25© 2015 Cisco and/or its affiliates. All rights reserved.
Дополнительная информация