Cisco: с безопасностью все сложно

Компания Cisco опубликовала очередной ежегодный отчет по информационной безопасности по итогам 2014 года, зафиксировав ряд интересных тенденций в области защиты данных.

Там, вместо старого доброго фишинга все больше практикуется взлом доверенных ресурсов: от относительно простой подмены DNS-записей до изменения кода самого сайта. При такой атаке пользователь заходит по привычной ссылке и видит привычный сайт, однако на самом деле это либо подменный ресурс, либо измененный таким образом, чтобы можно было украсть персональные данные.

Атаки стали более долгосрочными в реализации, их подготовка ведется в течение нескольких месяцев. Собираются специальные стенды для тестирования механизмов обхода защиты. И когда механизмы отточены, сам взлом в итоге происходит за несколько минут, а не дней, как это было еще совсем недавно.
60% данных крадется за несколько часов, 85% атак не обнаруживаются неделями, 54% взломов остаются нераскрытыми месяцами (и до 6 лет — в одном из кейсов за это время было похищено аж 7 ТБ конфиденциальных данных).

Еще одна заметная тенденция — это Crime-as-a-Service: превращение киберпреступности в индустрию. Сервисы для взлома продаются и сдаются в аренду. Например, распространена сдача в аренду бот-сетей, с помощью которых можно рассылать спам или знаниматься организацией DDoS-атак. Арендовать можно и специальные прокси-сервера, функция которых — сделать максимально сложным обнаружение источника атаки. Также спросом пользуется услуга аренды серверов, на которых установлено 50-60 разнообразных антивирусов. На сервер запускается вредоносный код, и проверяется, какими антивирусами он может быть обнаружен. Конечным результатом является вредоносный код, который не будет обнаружен никем.

Индустрия обросла полноценными службами поддержки, предлагается абонентское обслуживание и даже выезд специалистов к заказчику.

Одиночным компаниям, занимающимся разработкой средств обеспечения информационной безопасности, становится сложно в одиночку бороться с такими мощными противниками, поэтому они, в свою очередь, объединяются в альянсы: отрасль консолидируется.

Между тем одной из наиболее серьезных угроз является человеческий фактор. Так, по данным Cisco, офисный работник проводит в среднем 2-3 часа каждый день на сторонних сетевых ресурсах, не нужных ему для выполнения своих обязанностей. Такие сторонние ресурсы могут использовать уязвимости браузеров для атаки на компьютер. Кроме того, по-прежнему очень эффективен спам: за 2014 год, по данным Cisco, объемы спама в электронной переписке выросли на 250%.

При этом спамеры достигли новых уровней и серьезно занимаются лингвистикой, отправляя до 95 разных вариантов текста одного сообщения для обхода фильтров, а также версткой: письма выглядят заслуживающими доверия.

В результате появляется атака типа Snowshoe: доступ к почте крадется через фишинг, происходит рассылка с использованием большого количества IP-адресов (небольшая порция с каждого, что делает атаку трудной для обнаружения) с доверенных ящиков и т.д. — подобные схемы очень распространены в России, где жертвами, как правило, становятся пользователи Apple: сначала крадется почта, являющаяся Apple ID, затем в ней включаются фильтры для того, чтобы незаметно переложить письма от Apple в отдельную папку, далее делается смена пароля с подтверждением по почте, и потом через сервис «Найти iPhone» устройство блокируется с требованием перевести 1-2 тысячи рублей за разблокировку под страхом удаления всех данных с устройства (при этом заблокированным устройством нельзя пользоваться).

Пользователи, кстати, сами не особенно заботятся о своей безопасности: так, среди работающих в Internet Explorer только у 10% установлена последняя версия браузера. Для сравнения, максимальная доля таких (64%) среди тех, кто предпочитает Google Chrome. Также очень актуальна проблема установки ПО из ненадежных источников, где оно с большой вероятностью может быть заражено. Не лучше и сами IT-специалисты: менее 50% экспертов используют эффективные методы борьбы. Например, тесты на проникновения делают только 39%. Патчи используют только 38%.

«Злоумышленники все лучше и лучше используют уязвимости в системах защиты, ― говорит ведущий инженер подразделения Cisco по разработке решений ИБ Джейсон Брвеник (Jason Brvenik). ― Мы обнаружили, что для 56% установленных версий OpenSSL все еще актуальна уязвимость Heartbleed, а в крупномасштабных атаках используется лишь один процент всех высококритичных на конкретный момент времени уязвимостей. Несмотря на это, более половины опрошенных представителей служб безопасности не применяет стандартные средства защиты ― например, обновление ПО и его безопасную настройку. Даже используя лучшие технологии ИБ, нужно безупречно выстраивать рабочие процессы, чтобы защитить организации и пользователей от изощренных атак и вредоносных кампаний».

Cisco отмечает снижение на 34% количества угроз, использующих уязвимости Java. «Дыры» PDF и Flash демонстрируют стабильный уровень, а вот Microsoft Silverlight вырос впечатляющими темпами: на 228%.
Также становится очень популярным Malvertising — под этим термином скрываются зараженные Flash-баннеры, а также «пропихивание» всеми возможными способами разнообразных панелей к браузерам, резидентных «ускорителей интернетов» и прочего malware — шпионского и рекламного ПО.

В целом результаты проведенного компанией Cisco исследования показывают, что в постановке задач информационной безопасности и управлении ее приоритетами пришло время проявить себя руководству компаний. «Манифест информационной безопасности» от Cisco, представляющий собой формализованный набор основных принципов построения модели корпоративной безопасности, имеет целью помочь руководству, службам ИБ и пользователям понять и нейтрализовать современные киберугрозы. Он может помочь организациям действовать в вопросах информационной безопасности динамичнее, гибче и прогрессивнее злоумышленников.

Принципы же таковы:
1. ИБ должна поддерживать бизнес.
2. Механизмы ИБ должны быть удобны и способны работать в условиях существующей архитектуры.
3. ИБ должна быть незаметной, но информативной.
4. ИБ должна давать возможность вести наблюдение и предпринимать необходимые меры.
5. ИБ должна рассматриваться как комплекс человеческих факторов.

Источник: TELECOMdaily