Кибербезопасность на перепутье
Компания Cisco опубликовала результаты ежегодного отчета по информационной безопасности, который по формату и структуре существенно отличается от предыдущих вариантов. Впервые исследование проводилось и в России.
Также данное исследование впервые в истории было выпущено одновременно и на английском, и на русском языках. Кроме того, если ранее организаторы глубоко исследовали методы и стратегии злоумышленников, то теперь обратили внимание еще и на глобальные тенденции в области информационной безопасности, поведение специалистов в этой области, их чаяния и проблемы. Как оказалось, пользователи зачастую излишне доверяют установленным программным и аппаратным средствам, что приводит к печальным последствиям.
В Cisco отмечают, что сейчас наблюдается глобальный тренд цифровизации: информационные технологии проникают во все сферы нашей жизни, появляются новые продукты, новые стандарты, компании и т.д. «Мы прошли точку невозврата: ИТ прочно вошли в нашу жизнь и мы не задумываемся о том, что же они несут нам — как хорошего, так и плохого», — отметил бизнес-консультант по информационной безопасности компании Cisco Алексей Лукацкий.
Одна из новых и наиболее ярко проявившихся тенденций рынка такова: компании видят, что не могут сами противостоять угрозам. Представители Cisco также заметили это: бизнес-структурам приходится взаимодействовать, налаживать контакты с различными компаниями и госорганизациями, в том числе — с правоохранительными органами.
При этом доходы киберпреступников растут: так, по словам Алексея Лукацкого, годовой доход от применения лишь одной эффективной программы-шифратора составил $30 млн. Обращение в правоохранительные органы не дают пользователям гарантии возвращения данных, поэтому только в рамках одной кампании по заражению ПК и шифрованию данных на них 9,5 тыс. пользователей в месяц платят за возвращение данных — это примерно 2,9% от общего числа «зараженных». Средняя стоимость выкупа при этом составляет $300.
Еще одна тенденция — атаки все чаще начинают идти со стороны азиатского региона. Лидерами стали Китай и Гонконг — здесь много зараженных узлов, никем не восстанавливаемых, которыми и пользуются злоумышленники.
Вышедшее на заметные позиции новшество прошедшего года — атаки типа SSHPsycho или «Группа 93». Задача их — взламывать сервера, находящиеся под управлением специального протокола SSH для удаленного доступа. Ммногие администраторы оставляют себе возможность удаленного доступа, чтобы не ездить к клиенту в случае возникновения проблем — протокол SSH используется именно для этого. Злоумышленники также воспользовались им и получали через него контроль над удаленными серверами. Чтобы этого добиться, надо было подобрать логин и пароль — запросы на авторизацию шли преимущественно из Китая. Сервера не выдерживали большого количества запросов и выходили из строя. Как подсчитали в Cisco, на пике атаки до 35 % всего мирового SSH-трафика принадлежало этой сети.
В Cisco отмечают, что уязвимая инфраструктура используется злоумышленниками оперативно и широко — такова судьба, например, платформы WordPress. Площадки на ней редко настраиваются на безопасность, уязвимостей много, поэтому туда злоумышленники направляют ролики или скрипты на базе Java. Попав на такую зараженную площадку, пользователь видит рекламу, ему незаметно подгружается вредоносный код, который чаще всего является шифровальщиком. Он шифрует информацию на жестком диске, а затем пользователю предлагается оплатить выкуп. Эта схема была очень популярна в 2015 году. При этом однозначно сказать, что антивирусы защищают от таких атак, нельзя: чаще всего антивирусы используют неактуальные сигнатуры.
Платформа Flash — еще один популярный вектор атак для киберпреступности. Несмотря на то, что компания Adobe постепенно отказывается от этой технологии, некоторые браузеры ее поддерживают по умолчанию — в 98 % случаев Flash все еще используется. Злоумышленники же пользуются тем, что проще и массово применяемо. Сейчас наблюдается спад использования Flash, Java и Silverlight, но общедоступных эксплойтов для Flash все еще больше, чем для других производителей.
Следующая тенденция — рост интереса к мобильным платформам. До 2015 года основной мишенью был Android, а с 2015 года злоумышленники переключились на продукцию Apple. И эта тенденция сохранится, т.к. использование мобильных устройств растет.
Также очень активно применяются бот-сети: для многоцелевых атак, для «скликивания» (когда в браузер устанавливается плагин, который кликает на рекламный баннер и идет накручивание просмотров) и для запуска банковских троянов — они остаются в тройке самых популярных бот-сетей, несмотря на то, что про них много говорят. Причем злоумышленники бот-сети фокусируют, проводят сегментацию, исходя из задач владельцев.
Неприятная тенденция, которая будет нарастать, пока владельцы не задумаются о безопасности — использование DNS-протокола. Многие разрешают его на средствах защиты, на периметрах своих сетей. Злоумышленники DNS-протокол используют для управления вредоносным кодом, для утечки данных и для перенаправления и перехвата и анализа трафика. По данным исследования, более 90% вредоносного ПО на данный момент использует DNS, а 95 % организаций не мониторят DNS- трафик.
Еще один тренд — проникновение угроз через браузеры. Более чем 85% опрошенных компаний страдают каждый месяц от таких заражений. Эта болезнь известна давно, но также пока не вылечена.
При этом Facebook остается самой интересной мишень для злоумышленников — именно через эту сеть заражаются многие устройства. Чаще всего — в разрезе по отраслям -киберпреступники атакуют госсектор, так как уровень защиты там ниже, IT-компании (это деньги, ноу-хау и т.д.), здравоохранение (информацию можно продать) и сектор профуслуг-аутсорсинга (юристы, консалтинг и т.д.). Всю эту информацию можно продать на черном рынке, она очень востребована и дорога.
Также исследование показало, как компании оценивают свой уровень защищенности. «Здесь тенденция, скорее, отрицательная. Мы видим, что уверенность компаний в наличии у себя последний технологий защиты снижается. Ранее 65 % были уверены, что у них установлены такие средства, сейчас доля меньше», — объясняет Алексей Лукацкий.
Компании не уверены в том, что могут бороться с атаками, устранить последствия и т.д. Так, половина компаний считает, что не способна подтвердить факт заражения — т.е. не знают, атаковали их или нет. Лишь 45 % уверены, что могут локализовать и нейтрализовать атаки, 56 % пересматривают политики ИБ на регулярной основе, т.е. почти половина пользуется устаревшими политиками.
При этом до сих пор многие уверены в надежности оборудования, купленного 10-15 лет назад. Т.е. если оборудование работает, про него начинают забывать. Анализ оборудования Cisco показал, что 92 % оборудования, доступного через Интернет, содержало уязвимости, 31% уже был снят с поддержки, а у 5% закончился жизненный цикл. Это, по мнению Алексея Лукацкого, последствия конфликта между «айтишниками» и «безопасниками».
Кроме того, оказалось, что те, кто наиболее часто забывает обновлять инфраструктуру, на публике наиболее постоянно говорит про безопасность. Исследование показало, что пятая часть финансовых организаций не обновляла инфраструктуру, не повышала защищенность. На втором месте — интернет-провайдеры: они прогрессивны, но следуют поговорке «работает — не трогай». Здравоохранение и телекоммуникации — на третьем месте. Многие забыли, что сетевое оборудование тоже надо обновлять, отсюда вытекает очень много проблем.
ксперты обратили внимание и на то, что увеличивается объем шифрованного трафика в Сети: порядка 50 % всего интернет-трафика в мире является зашифрованным. То есть пользователи все больше думают о защите собственных данных, персональной информации. Основными драйверами этого тренда являются облачные сервисы и службы передачи файлов, а также инициативы регуляторов. Примечательно, что вредоносный код тоже начинает все активнее использовать шифрование для скрытия своей деятельности — значит, бороться с ним сложнее.
Также замечено, что идет рост шифрования и внутри корпоративных сетей. Раньше они считались ограниченной зоной, где посторонних быть не может, а сейчас понятие периметра исчезает. Однако доверие не совместимо с понятием безопасности. С одной стороны, шифрование данных повышает безопасность, но с другой — снижает возможности для контроля и анализа данных.
Сдерживающие факторы усиления информационной безопасности — это прежде всего финансовые ограничения. Второе — это проблемы совместимости: многие приобретают решение, основываясь на рекламе. По факту же оказывается, что интегрировать его либо очень сложно и требует дополнительных денег, либо вообще невозможно. Средств защиты много, выбрать тяжело — это становится ночным кошмаром для IT-специалиста.
Третья проблема — рост необходимости сертификации под требования организации или регулятора. В разных странах эти сертификации разные. Это создает сложности, так как нужны деньги, которые приходится изымать из реальной защиты для бумажной работы. И всем этим ограничениям подвержены компании не зависимо от уровня их зрелости.
Однако рост информированности влияет на защиту: все больше организаций принимают меры, чтобы стать более подготовленными к тому, что произойдет. Также влияет ввод формализованных политик и популярность аутсорсинга.
Больше всего предприятия боятся вредоносного кода (68%), фишинга (54%) и сложных атак (43%). Это все влияет на восприятие защищенности: 65% респондентов не уверены в ней.
В заключение отметим: опрос показал, что в России многие пессимистично оценивают уровень безопасности в своей компании. Эксперты уверены, что постепенно ситуация будет улучшаться: пока динамику по России отслеживать сложно, так как страна участвует в исследовании первый раз.
Автор: Алена Журавская
Источник: mskit.ru
Читайте также:
ПодписатьсяКак управлять рисками утечки критичных данных
Привычно полагаясь на безупречность защиты периметра, люди упускают из виду одно очень важное обстоятельство: в современном бизнесе больше нет единого периметра безопасности. Точнее, их становится много — вокруг каждого компьютера и мобильного устройства.