Доклад подчеркивает растущие угрозы безопасности, включая заблокированные спам-сообщения и общее количество веб-запросов, а также описывает эволюцию вредоносного ПО и его адаптацию к устаревшим системам. Основное внимание уделяется необходимости интегрированной защиты и быстрому реагированию на новые угрозы, а также вызовам, связанным с фрагментацией средств защиты. Документ завершается призывом к организациям пересмотреть свои стратегии безопасности для более эффективной защиты от киберугроз.

1. Алексей Лукацкий, бизнес-консультант по ИБ
Тенденции в области угроз
безопасности

2. • Заблокированных угроз: 19,692,200,000 угроз в день
• Заблокировано спама: 2,557,767 сообщений/сек
• Web-запросов в день: 16.9 миллиардов
Что видит Cisco?

3. Изменение в поведении атак
Скорость Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов

4. Скорость означает новый уровень сложности.
Разработчики вредоносного
кода стали более
инновационными и быстрыми к
адаптациям

5. Ловкость нарушителей – их сила
Постоянные обновления увеличили уровень проникновения Angler до 40%
В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная
система
Уязвимости Flash
Смена цели
Angler
Непрерывное забрасывание
«крючков в воду» увеличивает
шанс на компрометацию
Социальный
инжиниринг
Сайты-
однодневки
TTD
Меры
защиты
Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email

6. Знаете ли вы, кто это?

7. Патчи: окно воздействия
Люди не очень оперативно обновляются до последних версий Flash и тем
самым создают возможности для Angler и других угроз, использующих
непропатченные уязвимости

8. Web-атаки стабильны (исключая Flash)
Java PDF FlashSilverlight
Декабрь 2014 – Май 2015

9. Rombertik
Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и
пытаются воздействовать на него, он может уничтожить зараженную систему.
Уничтожение если
обнаружено
• Уничтожение MBR
• После перезагрузки
компьютер перестает
работать
Получение
доступа
• Спам
• Фишинг
• Социальный
инжиниринг
Уход от
обнаружения
• Записать случайные
данные в память 960
миллионов раз
• Засорение памяти в
песочнице
Украсть данные
пользователя
• Доставка данных
пользователя обратно
злоумышленникам
• Кража любых данных, а
не только банковских
Анти-анализ Стойкость Вредоносное поведение

10. Обход «песочниц»
Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где
вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они
стали применяться все чаще.

11. Основные категории уязвимостей
повторяются из года в год
CWE-119
Ошибки
буфера
471
CWE-20
Проверка ввода
244
CWE-399
Ошибки
управления
ресурсами
238
CWE-200
Раскрытие/уте
чки
информации
138
CWE-264
Права,
привилегии &
контроль
доступа
155
Если все знают про эти проблемы, то почему они повторяются? Возможно
разработчики недооценивают SDLC? Или они спешат выпустить продукт в ущерб ИБ?

12. Постоянная модификация вредоносного
кода
Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем
самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных
пользователей:
Новая схема URL vs. старая схема URL
Новая схема URL
драматически
опережает старую.
Изменение домена –
раз в 3 месяца (уже
500 доменов)
Непрерывное
изменение имен Add-
On для браузера (уже
4000 имен)

13. Формирование индустрии
киберпреступности
От $450 миллиардов
к
$1 триллионуНомер SSN
$1
Мобильное
вредоносное ПО
$150
$Информация о
банковском счете
>$1000 зависит от
типа счета и суммы
на нем
Учетная запись
Facebook
$1 за учетную
запись с
15 друзьями
Данные
платежных карт
$0.25-$60
Разработка
вредоносного ПО
$2500
(коммерческое ПО)
DDoS
DDoS как сервис
~$7/час
Спам
$50/500K
emails
Медицинские
записи
>$50
Эксплойты
$1000-
$300K
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13

14. “Версия”: число раз, когда Cisco обновляла оповещения, когда производители пытались выявить и устранить эти уязвимости в своих продуктах
9версий
Open SSL
(FREAK)
1
версия
QEMU Virtual
Floppy Disk
Controller
(VENOM)
22версии
Open SSL
(Heartbleed)
25версий
GNU Bash
(Shellshock)
15версий
GNU C glibc
(Ghost)
Процесс управления патчами минимизирует ночные кошмары от
отслеживания, координации и внедрения обновлений
Патчи для open source: управление
поставками ПО становится критичной
задачей
32версии
SSL 3.0 Fallback
(POODLE)

15. Эволюция вымогателей:
Цель – данные, а не системы
TOR
Вымогатели теперь
полностью автоматизированы
и работают через анонимные
сети
$300-$500
Злоумышленники
провели
собственное
исследование
идеальной точки
цены. Сумма
выкупа не
чрезмерна
Личные файлы
Финансовые
данные
Email
Фото
Фокусировка
вымогателей –
редкие языки
(например,
исландский) или
группы
пользователей
(например,
онлайн-геймеры)

16. Dridex: воскрешение старых методов
Использование «старых» методов, краткосрочность и постоянная мутация
приводят к сложностям в блокировании макровирусов
Кампания
стартовала
Обнаружена с помощью
Outbreak Filters
Антивирусный движок
обнаруживает Dridex
Но злоумышленники все
равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex,
действующих не более нескольких часов

17. Риск поймать вредоносный код зависит от
индустрии
Никто не застрахован от нападения
Это только вопрос
времени, когда
злоумышленники
увидят потенциал в
отраслях, находящихся
«справа»

18. Карта отражает не объем активности в этих странах. Страны с высоким рейтингом имеют множество Web-
серверов и узлов с неисправленными уязвимостями в своих сетях.
Россия 0,936
Япония 1,134
Китай 4,126
Гонгконг 6,255
Франция 4,197
Германия 1,277
Польша 1,421
Канада 0,863
США 0,760
Бразилия 1,135
Вредоносный код в международном
масштабеЗлоумышленники не признают границ Malware Traffic
Expected Traffic

19. Спам в международном масштабе
В России объемы спама только выросли. В два раза!

20. Время обнаружения
Текущее значение TTD в индустрии - 200 дней, что недопустимо
46200 VS
ЧАСОВДНЕЙ
Индустрия Cisco
Значение TTD вычисляется с помощью механизма ретроспективной
безопасности, встроенной в решения Cisco и позволяющей отправлять
отпечатки каждого файла в облачный сервис Cisco

21. Анализ и наблюдения
Глобализация

22. Глобальное управления не готово к кибер-
вызовам и геополитическим интересам
Три примера усилий, которые, делая шаги в правильном направлении, могут создать трудности на
практике:
Разработка эффективной нормативной базы требует идти в ногу с
злоумышленниками. Однако на практике так происходит не всегда (например,
поправки в Васенаарские соглашения)
Высота птичьего полета Разделяемый доступ Ужесточение контроля

23. Дилемма
Построить Купить Остаться позади

24. Зоопарк средств защиты создает сложное
окружение для организаций
Большие, хорошо
зарекомендовавшие себя
игроки
Только стандартизация и улучшение обмена информации в отрасли ИБ позволит
лучше интегрировать решения от нишевых игроков и давно существующих
компаний.
Организации,
оказавшиеся
между
Нишевые игроки

25. Изменение
бизнес-моделей
Сложность и
фрагментация
Динамика
ландшафта угроз
Производителей
средств защиты
на RSA
Возросла
потребность в
кадрах ИБ
373 12x
Среднее число вендоров
у корпоративного
заказчика
50
Сложность ЛюдиФрагментация
Инвестиции в средства защиты растут. Но
средства защиты не взаимодействуют

26. Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность Ручные и статические
механизмы
Медленный отклик,
ручное управление,
низкая
результативность Наличие обходных каналов
Мобильные устройства,
Wi-Fi, флешки, ActiveSync,
CD/DVD и т.п.
75% CISO считают свои
средства защиты
«очень» или
«всесторонне»
эффективными
Традиционный индивидуалистичный
подход не поспевает за угрозами

27. Заказчики должны требовать доверенные
продукты от своих поставщиков
Производители должны отвечать за уровень защищенности своих продуктов
Защищенная разработка Защищенное железо Защищенное внедрение Защищенная поставка

28. Внешние услуги закрывают разрыв
С ростом скорости появления и вариативности угроз и нехватки
квалифицированных кадров, многие организации будут больше
полагаться на внешних поставщиков услуг для управления
рисками информационной безопасности
ПерсоналОценка
Автоматизация
/ Аналитика
Гибкие бизнес-
модели Гибкость
Политика приватности

29. Точечные решения не могут идти в ногу с угрозами
Необходимость в
интегрированной защите от
угроз

30. Злоумышленники атакуют точечные решения с
возрастающей скоростью
NGIPS
Malware
Sandbox
IAM
Antivirus
IDS
Firewall
VPN
Email
NGFW
Данные
Бездумная трата
денег на новинки
вместо того,
чтобы сесть и
подумать о
целостной
системе защиты

31. Данные
Злоумышленники атакуют точечные решения с
возрастающей скоростью
NGIPS
Malware
Sandbox
IAM
Antivirus
IDS
Firewall
VPN
Email
NGFW
Время обнаружения:
200 дней

32. Только интегрированная защита может идти в ногу с
угрозами
Данные
Systemic Response
Время обнаружения:
46 часов

33. Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34

34. Высокая мотивация
киберкриминала
Изменение
бизнес-моделей
Динамичность
ландшафта угроз
Думать как злоумышленник
© 2015 Cisco and/or its affiliates. All rights reserved. 35

35. Точечные
и
статичные
решения
© 2015 Cisco and/or its affiliates. All rights reserved. 36
Фрагментация
Сложность
Требуют лишнего
управления

36. Локализовать
Вылечить
Устранить причины
Непрерыв-
ное
решение
© 2015 Cisco and/or its affiliates. All rights reserved. 37
Узнать
Применить политику
Усилить защиту
Идентифицировать
Блокировать
Отразить

37. Всепроникающий
Непрерывный
Всегда
Полное
решение

38. • Злоумышленники быстро совершенствуют свои
возможности с целью избегания обнаружения
• Точечные решения создают слабые места в системе
защиты
• Интегрированная защита, построенная на доверенных
продуктах и услугах, - лучшая защита
Выводы

39. 2015 Midyear Security Report
cisco.com/go/msr2015
Отчет на русском языке может быть найден по адресу:
http://www.slideshare.net/CiscoRu/cisco-2015-51302121