Professional Documents
Culture Documents
1 Краткий обзор
Содержание
Краткий обзор.....................................................................................03 Обновление по уязвимостям: рост количества атак после
раскрытия информации об уязвимостях........................................... 47
Основные выводы...............................................................................05
Не позволяйте технологиям DevOps делать ваш
Введение..............................................................................................07
бизнес уязвимым............................................................................... 50
Поведение злоумышленников...........................................................09
Организации недостаточно быстро устраняют
Наборы эксплойтов: активность снизилась, но не исчезла............. 09 известные уязвимости серверов Memcached.................................. 54
Как поведение специалистов службы информационной Хакеры перемещаются в облако, чтобы быстрее
безопасности меняет ориентацию злоумышленников................... 11 добраться до своих главных целей................................................... 56
Краткий обзор
В течение почти целого десятилетия компания Cisco публикует подробные
отчеты о кибербезопасности, предназначенные для поддерживаемых
ею команд по безопасности и предприятий, с целью их осведомления
о киберугрозах и уязвимостях и о действиях, которые они могут предпринять
для повышения безопасности и киберустойчивости. В этих отчетах
мы стремимся предупреждать специалистов службы информационной
безопасности о растущей сложности угроз и тех методах, которые используют
злоумышленники для компрометации пользователей, кражи информации
и провоцирования сбоев в работе.
Тем не менее, в нашем последнем отчете мы обязаны еще больше Темпы и масштабы развития технологий
обратить внимание читателей на опасность угроз. Наши эксперты
Наши ученые-исследователи уже много лет наблюдают, как
в области безопасности все сильнее обеспокоены ускорением
мобильность, облачные вычисления и другие технологические
темпов изменений и изощренностью кибернетических угроз
достижения и тенденции все больше растягивают и разрушают
в глобальном масштабе. Это не значит, что специалисты службы
периметр безопасности, который предприятия должны защищать.
информационной безопасности не улучшают свою способность
Но сегодня становится намного понятнее, как злоумышленники
обнаруживать угрозы и предотвращать атаки и не помогают
используют преимущества этой постоянно расширяющейся
пользователям и организациям избегать или быстрее
поверхности для атак. Широта и глубина последних атак с целью
восстанавливаться после них. Но мы определили две тенденции,
вымогательства демонстрируют, как виртуозно злоумышленники
которые подрывают с трудом достигнутые успехи, препятствуют
используют бреши в безопасности и уязвимости на всех
дальнейшему прогрессу и ведут нас в новую эру киберрисков
устройствах и сетях для максимального воздействия.
и угроз.
Ограниченный мониторинг в динамических ИТ-средах, риски,
представленные «теневыми ИТ-ресурсами», постоянный
Эскалация последствий нарушений безопасности шквал уведомлений о безопасности и сложность среды
обеспечения безопасности ИТ-инфраструктуры — вот лишь
Получение дохода по-прежнему является главной целью некоторые проблемы, с которыми сталкиваются группы
большинства злоумышленников. Однако некоторые из них обеспечения безопасности с ограниченными ресурсами при
теперь обладают способностью — зачастую она теперь управлении современными изощренными и все более мощными
становится намерением — блокировать системы и уничтожать киберугрозами.
данные в ходе своих атак. Как сказано во введении к отчету
Cisco по информационной безопасности за первое полугодие
2017 г. на стр. 7, наши исследователи считают, что такая
вредоносная активность может предвещать появление Вопросы, рассматриваемые в настоящем отчете
нового и разрушительного типа атак — атак типа «прерывание В отчете Cisco по информационной безопасности за первое
обслуживания» (Destruction of service, DeOS). полугодие 2017 г. мы исследуем данную динамику в ходе
обсуждения следующих тем:
В течение прошлого года мы также фиксировали использование
IoT-устройств при атаках DDoS. Недавняя активность IoT-ботнета
дает основания предполагать, что некоторые злоумышленники Тактика злоумышленников
уже готовят почву для широкомасштабной и высокоэффективной Мы изучаем определенные методы, используемые
атаки, которая потенциально может уничтожить весь Интернет. злоумышленниками для компрометации пользователей
и внедрения в системы. Для специалистов службы
информационной безопасности важно понимать изменения
в тактике злоумышленников, чтобы адаптировать свои методы
обеспечения безопасности и информировать пользователей.
3 Краткий обзор
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Темы, затронутые в этом отчете, включают новые разработки Возможности специалистов службы информационной
в области вредоносного ПО, тенденции в способах веб-атак безопасности
и распространения спама, риски потенциально нежелательных
В отчете Cisco по информационной безопасности за первое
приложений (Potentially Unwanted Applications, PUA), таких как
полугодие 2017 г. представлены расширенные результаты
шпионское ПО, компрометация корпоративной электронной почты
последнего сравнительного исследования Cisco решений
(Business Email Compromise, BEC), а также изменение экономики
безопасности. Мы предлагаем углубленный анализ основных
злонамеренных действий и компрометация медицинского
проблем безопасности восьми отраслевых вертикалей:
оборудования. Кроме того, наши исследователи угроз
операторы связи, государственный сектор, розничная торговля,
предлагают анализ способов и скорости развития некоторыми
производство, коммунальные услуги, здравоохранение,
злоумышленниками своих инструментов и методов, а также
транспорт и финансы. Отраслевые эксперты Cisco предлагают
сообщают об усилиях Cisco, направленных на сокращение
рекомендации предприятиям по улучшению своего положения
времени обнаружения угроз (Time to Detection, TTD).
в области безопасности, в том числе по использованию услуг для
восполнения недостатка знаний и кадров, снижения сложности
Уязвимости ИТ-среды и внедрения автоматизации.
В этом отчете мы также предоставляем обзор уязвимостей
В заключительном разделе отчета содержится призыв
и других слабых мест, которые могут оставить организации
к действиям для руководителей службы безопасности
и пользователей беззащитными перед угрозой компрометации
предприятия, которые должны привлечь внимание руководителей
или атаки. Мы обсудим неэффективные методы обеспечения
высшего звена и советов директоров к вопросам, связанным
безопасности, такие как недостаточно быстрое исправление
с рисками и финансированием кибербезопасности, а также
известных уязвимостей, неограниченный привилегированный
предложения о том, как начать обсуждение этих вопросов.
доступ к облачным системам и неуправляемые оконечные
устройства и инфраструктура. Также рассмотрим вопрос:
почему расширение Интернета вещей и конвергенция ИТ и ЭТ
(эксплуатационных технологий) создают еще больший риск для
организаций и их пользователей, а также для потребителей,
и что специалисты службы информационной безопасности
должны делать сейчас, чтобы устранить эти риски, прежде чем
контролировать их станет невозможно.
Благодарность
Мы хотим поблагодарить нашу команду исследователей угроз и других экспертов Cisco по этой теме, а также
наших технологических партнеров, которые внесли свой вклад в создание отчета Cisco по информационной
безопасности за первое полугодие 2017 г. Их исследования и прогнозы важны для Cisco, чтобы предоставить
сообществам специалистов в области безопасности, предприятиям и пользователям информацию о сложности
и широте современного глобального ландшафте киберугроз и познакомить их с передовыми методиками для
улучшения защиты.
Наши технологические партнеры также играют жизненно важную роль в оказании помощи нашей компании
в разработке простой, открытой и автоматизированной системы обеспечения безопасности, которая позволяет
организациям интегрировать решения, необходимые для обеспечения безопасности их сред.
Полный список соавторов отчета Cisco по информационной безопасности за первое полугодие 2017 г., в том
числе технологических партнеров, см. на стр. 85.
4 Краткий обзор
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Основные выводы
•• Компрометация корпоративной электронной почты •• Атаки на цепочки поставок обеспечивают возможность
(BEC) стала вектором угрозы, высокодоходным для распространения вредоносного ПО по многим организациям
злоумышленников. Согласно информации Центра приема с помощью одного взломанного сайта. В атаке, изученной
жалоб на мошенничество в Интернете (Internet Crime RSA, партнером Cisco, была взломана веб-страница загрузки
Complaint Center, IC3), с октября 2013 г. по декабрь 2016 г. поставщика программного обеспечения, что позволило
вследствие компрометации корпоративной электронной заражению распространяться в любой организации, которая
почты было украдено 5,3 млрд долларов США. Для загружала программное обеспечение у этого поставщика.
сравнения, в 2016 году программы-вымогатели принесли •• По сообщению Radware, партнера Cisco, резкое увеличение
своим разработчикам 1 млрд долларов США. частоты, сложности и размера кибератак за прошедший
•• Шпионское ПО, которое маскируется как потенциально год говорит о том, что экономика злонамеренных
нежелательные приложения (PUA), является одной из форм действий вышла на новый уровень. Radware отмечает, что
вредоносного ПО и риском, которые многие организации современное хакерское сообщество получает быстрый
недооценивают или полностью игнорируют. Тем не менее и легкий доступ к целому ряду полезных и недорогих
шпионское ПО может красть информацию о пользователях ресурсов.
и компаниях, снижать эффективность средств обеспечения •• Когда дело доходит до безопасности предприятия, облаку
безопасности и увеличивать количество заражений часто не уделяют достаточного внимания: риск, связанный
вредоносными программами. Заражение шпионским ПО с открытой авторизацией (Open Authorization, OAuth),
распространяется быстро. Исследователи угроз Cisco и слабое управление отдельными привилегированными
изучили три семейства шпионских программ и обнаружили, учетными записями пользователей создают бреши
что они есть в 20% из 300 компаний, представленных в системе безопасности, которые могут легко использовать
в выборке. злоумышленники. По словам исследователей Cisco,
•• Интернет вещей открывает большие возможности для злоумышленники уже перешли в облако и неустанно
сотрудничества и инноваций в бизнес-сфере. Однако работают над взломом корпоративных облачных сред.
по мере его роста увеличиваются и риски безопасности. •• В ландшафте наборов эксплойтов активность резко
Одной из проблем является сложность мониторинга. сократилась, а инновации застопорились, после того как
Большинство специалистов службы информационной Angler и другие ведущие игроки исчезли или изменили свою
безопасности не знают, какие IoT-устройства подключены бизнес-модель. Возможно, эта ситуация является временной,
к их сети. Им необходимо срочно перейти к решению этой учитывая предыдущие тенденции на этом рынке. Замедлять
и других проблем для обеспечения безопасности Интернета новый рост могут и другие факторы, например трудность
вещей. Злоумышленники уже сейчас используют уязвимости с использованием уязвимостей в файлах, созданных
безопасности в IoT-устройства. Эти устройства служат с применением технологии Adobe Flash.
опорными пунктами для злоумышленников и позволяют
им горизонтально перемещаться по сетям и делать это •• Согласно исследованиям Rapid7, партнера Cisco, службы
незаметно и с относительной легкостью. DevOps, которые были внедрены ненадлежащим образом
или умышленно открыты для удобного доступа законными
•• С ноября 2015 г. Cisco отслеживает медианное время пользователями, представляют значительный риск
обнаружения (TTD). С этого момента наметилась общая для организаций. Фактически, многие из них уже были
тенденция к снижению этого времени — примерно подвержены атакам программ-вымогателей.
с 39 часов в начале нашего исследования до 3,5 часов
в период с ноября 2016 г. по май 2017 г. •• Компания ThreatConnect проанализировала расположенные
вместе домены (colocated domains), используемые
•• Cisco отмечает общее увеличение объема спама с середины злоумышленниками из кибершпионской группы Fancy
2016 г., что, по-видимому, совпадает со значительным Bear, анализ показал ценность изучения тактики
снижением активности наборов эксплойтов за тот же IP-инфраструктуры злоумышленников. Изучая эту
период. Злоумышленники, которые в значительной степени инфраструктуру, специалисты службы информационной
полагались на наборы эксплойтов для доставки программ- безопасности получают больший список доменов,
вымогателей, теперь переходят на спам-сообщения IP-адресов и адресов электронной почты для проактивного
электронной почты, в том числе сообщения, которые блокирования.
содержат вредоносные документы с макрокомандой. Такие
сообщения могут не попадать в песочницы, поскольку для •• В конце 2016 г. исследователи угроз Cisco обнаружили
заражения систем и доставки вредоносных нагрузок требуют и сообщили о трех уязвимостях для удаленного выполнения
взаимодействия с пользователем. кода на серверах Memcached. Сканирование Интернета
через несколько месяцев показало, что 79% из почти
110 000 обнаруженных скомпрометированных серверов
Memcached оставались уязвимыми, так как эти три
уязвимости не были закрыты.
5 Основные выводы
Введение
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Введение
Ландшафт угроз постоянно изменяется. Но быстрое развитие угроз
и масштабы атак, которые наблюдают исследователи угроз Cisco
и технологические партнеры в последнее время, вызывают тревогу. Среди
специалистов в области обеспечения безопасности сохраняется уверенность
в том, что участники теневой экономики могут заложить крепкую основу для
кампаний, которые приведут к далеко идущим последствиям и после которых
будет чрезвычайно трудно восстанавливаться.
7 Введение
Поведение
злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
ПОВЕДЕНИЕ ЗЛОУМЫШЛЕННИКОВ
В настоящем разделе представлен обзор тенденций в области эволюции
и инноваций угроз, которые используют злоумышленники для атак через Интернет
и электронную почту. Исследователи и технологические партнеры Cisco
представляют свои исследования, наблюдения и идеи, чтобы помочь руководителям
бизнеса и их группам обеспечения безопасности понять тактику, используемую
злоумышленниками для воздействия на их организации в ближайшие месяцы
и по мере формирования Интернета вещей. Мы также предоставляем рекомендации
по улучшению средств безопасности, которые могут помочь снизить риски для
бизнеса и пользователей.
9 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Angler действовал по многим векторам. Его авторы были очень Тихая эволюция продолжается?
изобретательны и быстрее, чем все остальные игроки на Почти нет сомнений в том, что мы увидим возрождение рынка
рынке, включали новые уязвимости в свой набор эксплойтов. эксплойтов, учитывая, что в секторе криминального ПО крутятся
Во многих отношениях они подняли планку для других игроков миллиарды долларов. Как только появится новый вектор для
и способствовали конкурентоспособности других программ легкой атаки, который сможет воздействовать на большое
по краже данных и технологий. Теперь, когда Angler исчез, количество пользователей, популярность наборов эксплойтов
уровень инноваций среди наборов эксплойтов упал. снова возрастет и, соответственно, появятся конкуренция
Уход Angler — это лишь одна из вероятных причин такой и инновации.
стагнации. Другой причиной является то, что технологию Flash Поэтому специалисты службы информационной безопасности
все труднее взломать. Уязвимости Flash способствовали росту должны оставаться бдительными. Многие наборы эксплойтов все
и поддерживали рынок наборов эксплойтов в течение многих еще активны и по-прежнему эффективны для компрометации
лет. Но повышенная осведомленность об этих уязвимостях пользователей и доставки вредоносных программ в конечные
и быстрое исправление специалистами службы информационной системы. Эти угрозы могут ударить в любое время в любой
безопасности затрудняет взлом программного обеспечения. среде. Все, что требуется для атаки, — это одна уязвимость
Теперь злоумышленники часто сталкиваются с тем, что для в одной системе. Организации, которые старательно и быстро
взлома системы они должны атаковать несколько уязвимостей. исправляют уязвимости, особенно в веб-браузерах и связанных
Автоматические обновления безопасности в современных с ними плагинах, и эффективно защищают свою деятельность,
операционных системах и веб-браузерах также помогают могут снизить такой риск. Удостоверившись, что пользователи
защитить пользователей от компрометации с помощью используют безопасные браузеры, а также отключив и удалив
набора эксплойтов. Другая тенденция: вероятно, в ответ на ненужные веб-модули, вы также можете значительно снизить
перемены на рынке эксплойтов киберпреступники обращаются уязвимость к набору эксплойтов.
(или возвращаются) к электронной почте, чтобы быстро
и рентабельно распространять программы-вымогатели и другое
вредоносное ПО. Методы ухода от обнаружений становятся
все более изощренными. Например, исследователи угроз Cisco
наблюдали рост спама, содержащего вредоносные документы
с макрокомандами, включая документы Word, файлы Excel и PDF-
файлы, которые могут обойти многие технологии песочницы, так
как требуют взаимодействия с пользователем для заражения
систем и доставки вредоносных нагрузок.4
10 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
219 146
Источник: Qualys.
11 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
12 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Все перечисленные выше программы регулярно появляются Использование безопасных браузеров и отключение или удаление
в наших списках наиболее часто встречающихся вредоносных ненужных плагинов браузера остаются одними из самых надежных
программ. Постоянство в линейке позволяет предполагать, способов для пользователей снизить свою подверженность
что Интернет созрел до такой степени, что злоумышленники общим сетевым угрозам.
знают с определенной уверенностью, какие методы веб-атаки
будут наиболее эффективными для компрометации большого
количества пользователей с относительной легкостью.
Чили
0.5 / 0.8
Аргентина
Коэффициент блокировок 2017 г. 0.5 / 0.7
Коэффициент блокировок 2016 г.
13 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
25%
потенциально может удаленно запускать произвольный код опрошенных организаций были инфицированы
на устройствах, позволяя злоумышленникам полностью вирусом Hola, RelevantKnowledge или
контролировать устройство. DNSChanger/DNS Unlooker
14 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Почему это считается шпионским ПО: среди Почему это считается шпионским ПО: как уже упоминалось
прочего, функциональность Hola включает в себя продажу ранее, RelevantKnowledge может устанавливать программное
полосы пропускания пользователей через службу Luminati, обеспечение без согласия пользователя. Кроме того, оно
установку собственного сертификата для подписывания собирает информацию для создания пользовательских профилей,
кода в пользовательских системах, загрузку любого файла которые продаются анонимно или индивидуально либо как часть
с возможностью обхода антивирусной проверки и удаленный совокупных данных третьим сторонам для целей «исследования».
запуск кода.
15 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
60
40
20
0
Ноя Дек Янв Фев Мар
2016 2017
16 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
2017
может подвергать опасности пользователей и организации.
17 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
100
Общее увеличение объема спама9, которое наблюдали
наши исследователи угроз с августа 2016 г., совпадает со 80
значительным снижением активности наборов эксплойтов,
начавшимся примерно в это же время. Злоумышленники 60
обращались к другим проверенным методам, таким как
электронная почта, чтобы распространять программы-вымогатели 40
и вредоносное ПО и получать доход (см. «Наборы эксплойтов:
активность снизилась, но не исчезла», стр. 9). 20
10 «Necurs диверсифицирует свой портфель», Шон Бэрд (Sean Baird), Эдмунд Брумагин
(Edmund Brumaghin) и Эрл Картер (Earl Carter) при участии Джейсон Шультц (Jaeson
Schultz), блог Talos, 20 марта 2017 г.: blog.talosintelligence.com/2017/03/necurs-
diversifies.html.
11 «Программа-вымогатель Jaff: второй игрок вступил в игру», Ник Биазини (Nick
9 Чтобы ознакомиться с предыдущими материалами на эту тему, загрузите отчет Cisco Biasini), Эдмунд Брумагин (Edmund Brumaghin) и Уоррен Мерсер (Warren Mercer) при
по информационной безопасности за 2017 г., доступный по адресу: участии Колин Грэди (Colin Grady), блог Talos, 12 мая 2017 г.: blog.talosintelligence.
cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html. com/2017/05/jaff-ransomware.html.
18 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
MyWebSearch 0 0
40,023 Янв Месяцы Апр Янв Месяцы Апр
Donoff Fareit
20тыс. 20тыс.
Fareit
32,394 10тыс. 8.5тыс. 10тыс. 8.8тыс.
Donoff 0 0
Янв Месяцы Апр Янв Месяцы Апр
24,469
Macro MyWebSearch
20тыс. 20тыс.
Количество экземпляров
Doc
23,154 9.5тыс.
10тыс. 8.2тыс. 10тыс.
0 0
Valyria Янв Месяцы Апр Янв Месяцы Апр
19,954 Qjwmonkey Valyria
20тыс. 20тыс.
Ag
10тыс. 10тыс. 7.4тыс.
18,610
2.4тыс.
0 0
Limitail Янв Месяцы Апр Янв Месяцы Апр
15,420 Limitail Docdl
20тыс. 20тыс.
19 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Мы также проанализировали статистические данные Рис. 16 Шаблоны наиболее часто встречающихся вредоносных
Figure 16 Patterns of top malicious
по вложениям с полезной нагрузкой, чтобы составить список расширений файлов, 2017 г.
file extensions, 2017
наиболее часто встречающихся вредоносных расширений
.pdf .html
в документах электронной почты (см. рис. 15). Наиболее
12тыс. 12тыс.
востребованы вредоносные .zip-файлы, за которыми следуют
расширения .doc Microsoft Word. 6.1тыс.
6тыс. 6тыс.
Затем мы рассмотрели, как популярность этих различных 3.5тыс.
расширений изменялась во времени (см. рис. 16). 0 0
Янв Месяцы Апр Янв Месяцы Апр
Рис. 15 Наиболее часто обнаруживаемые вредоносные
Figure 15 файлов
расширения Most (по
commonly
кол-ву) detected .jar .gz
malicious file extensions (by count) 12тыс.
10.7тыс.
12тыс.
.zip
6.2тыс.
192,097 6тыс. 6тыс.
.doc
0 0
72,254
Янв Месяцы Апр Янв Месяцы Апр
Количество экземпляров
.7z .ace
.jar 12тыс. 12тыс.
55,193
6тыс. 6тыс.
.gz
1.7тыс.
25,646 346
0 0
Янв Месяцы Апр Янв Месяцы Апр
.xls
.exe .arj
16,155
12тыс. 12тыс.
.rar
6тыс. 6тыс.
12,328
1.9тыс.
1.2тыс.
0 0
.pdf
Янв Месяцы Апр Янв Месяцы Апр
10,478
.doc
20тыс.
18.1тыс.
.html
8485
10тыс.
.7z
0
7425
Янв Месяцы Апр
.arj
Источник: исследования Cisco в области безопасности.
7023
20 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
•• В Adwind, трояне удаленного доступа, часто используются На рис. 17 представлен другой вид шаблонов вредоносной
файлы .jar (расширение архива Java). электронной почты: отношения между выбранными расширениями
файлов и различными семействами вредоносных программ. Наш
•• Nemucod, троянский загрузчик, который, как известно, анализ показывает, что типы файлов, широко применяемые в
распространяет программы-вымогатели, использует .zip бизнес-средах, например .zip и .doc, регулярно используются
в качестве своего расширения. несколькими ведущими семействами вредоносных программ,
•• MyWebSearch, вредоносное рекламное ПО, очень включая Nemucod и Fareit.
избирателен: Он задействует только расширение файла .exe,
Тем не менее мы видим много семейств вредоносных программ,
иногда используя только один тип в месяц.
использующих менее известные и старые типы расширения
•• Fareit, другой троян удаленного доступа, использует файлов, такие как .jar и .arj (последнее является типом сжатого
большое количество типов файлов, но чаще поддерживает файла).
расширения .zip и .gz (последнее является расширением
архивных файлов).
Рис. 17 Распределение расширений файлов (.arj, .doc, .jar, .zip) по семействам вредоносных программ
Figure 17 File extension (.arj, .doc, .jar, .zip) and malware family relationships
.jar
49,350 Adwind 38,198 Nemucod
845 Jrat 9755 Limitail
418 Maljava 66 Msil 7944 Fareit 5081 Donoff
79 Uverat 267 Jacksbot 4347 Msil
.zip 4242 Dldr
727 Kryptik 7984 Macro
3327 Jrat 18,610 Ag
21 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
22 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Борьба с мошенничеством, связанным с компрометацией Что касается инструментов угроз, то для блокировки электронных
корпоративной электронной почты, обычно требует улучшения писем с поддельных адресов можно использовать структуру
бизнес-процессов, а не инструментов защиты от угроз. политики отправителей (SPF). Однако организации не торопятся
Flashpoint рекомендует обучать пользователей. Например, пользоваться этой функцией, поскольку SPF также может
необходимо обучать сотрудников выявлению необычных запросов блокировать подлинные электронные письма (например,
на финансовые трансферты, таких как перевод из-за границы маркетинговые сообщения или информационные бюллетени),
в компанию, которая работает внутри страны. Организации если это не будет тщательно контролироваться ИТ-отделом.
также могут требовать от сотрудников подтверждать банковские
переводы у других сотрудников, например, по телефону, чтобы Суть в том, что организации с интернет-ресурсами — от таких
избежать риска поддельных писем. гигантов, как Facebook и Google, до предприятий с несколькими
десятками сотрудников — являются потенциальными объектами
мошенничества, связанного с компрометацией корпоративной
электронной почты. Для преступников это способ получения
высоких доходов с низкими затратами, поэтому, несомненно, этот
вектор угрозы будет расти и дальше.
23 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Тенденция 4. Широкое распространение бесфайлового Исследователи угроз Cisco наблюдают увеличение использо
или «резидентного» вредоносного ПО вания «промежуточных сервисов» для облегчения доступа
к вредоносным программам и службам управления и контроля,
Мы наблюдаем развитие такого типа вредоносных программ, которые размещаются в сети Tor. Одним из примеров является
заражающих системы по всему миру. Они построены Tor2web, прокси-служба, которая позволяет системам
на PowerShell или WMI для запуска вредоносного ПО только в Интернете получать доступ к размещенным в Tor ресурсам
в памяти без записи каких-либо артефактов в файловую без необходимости установки локального клиентского
систему или реестр, только если злоумышленник не захочет приложения Tor.17
внедрить постоянные механизмы.16 Это затрудняет обнаружение
вредоносного ПО. Это также усложняет компьютерную экспертизу По сути, Tor2web упрощает злоумышленникам использование
и реагирование на инциденты. Tor без необходимости изменять свой вредоносный код или
включать клиент Tor в свою вредоносную нагрузку. Поскольку
Тенденция 5. Злоумышленники все больше полагаются злоумышленник может настроить прокси-сервер Tor2web
на анонимную и децентрализованную инфраструктуру в любом выбранном домене, его сложнее блокировать по мере
развертывания.
для обфускации управления и контроля
16 Дополнительную информацию по теме см. в статье «Незащищенные каналы и 17 Дополнительную информацию по теме см. в статье «Вперед, RAT, вперед! AthenaGo
непродуманные решения: история DNSMessenger», Эдмунд Брумагин (Edmund использовала Tor в Португалии», автор Эдмунд Брумагин (Edmund Brumaghin)
Brumaghin) и Колин Грэди (Colin Grady), блог Talos, 2 марта 2017 г.: blogs.cisco.com/ при участии Анхель Виллегас (Angel Villegas), блог Talos, 8 февраля 2017 г.: blog.
security/talos/covert-channels-and-poor-decisions-the-tale-of-dnsmessenger. talosintelligence.com/2017/02/athena-go.html.
Обычно считается, что у злоумышленников есть преимущество, Другая ключевая тенденция, обсуждаемая в блоге Talos, — это
так как время на их стороне, тогда как специалисты службы то, что злоумышленники отходят от эксплойтов и все больше
информационной безопасности находятся в невыгодном фокусируют внимание на угрозах, распространяемых через
положении: у них времени нет. Время на то, чтобы электронную почту. С тех пор как некогда доминирующий
минимизировать ущерб, причиненный злоумышленниками, эксплойт Angler исчез в 2016 году, исследователи угроз
у специалистов службы информационной безопасности наблюдают, появится ли какой-либо другой игрок, который
очень ограничено. Исследование уязвимостей позволяет станет лидером, или возникнут другие значительные тенденции
специалистам службы информационной безопасности узнать (см. «Наборы эксплойтов: активность снизилась, но не исчезла»,
о проблемах и уязвимостях, прежде чем злоумышленники смогут стр. 9). Вместе с этим исследователи наблюдают снижение угроз,
их использовать. Исследователи могут помочь устранить этот связанных с программным обеспечением Flash или Java. По мере
пробел путем выявления уязвимостей «нулевого дня» и работы того как разработчики браузеров блокируют соответствующие
с поставщиками программного обеспечения по разработке плагины, злоумышленники с меньшей вероятностью используют
и распространению исправлений. их в качестве векторов атаки.
24 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Ниже приведены последние публикации в блоге Talos Вперед, RAT, вперед! AthenaGo использовала Tor в Порту
об исследованиях конкретных угроз и о том, как злоумышленники галии. В этой публикации исследователи Talos идентифици
вынуждены внедрять инновации, чтобы опережать специалистов руют AthenaGo — вредоносную кампанию, распространяемую
службы информационной безопасности: через вредоносные документы Word и нацеленные на
жертв в Португалии. Особенность кампании, как объясняют
Третий игрок вступил в игру: встречайте WannaCry. исследователи, заключалась в том, что в AthenaGo использо
Эта публикация представляет собой презентацию широко вался троян удаленного доступа (RAT) с возможностью
распространенного варианта программы-вымогателя WannaCry, загрузки и запуска дополнительных бинарных файлов на
а также предложения по защите сетей от этой угрозы. зараженных системах. Вредоносная программа была написана
с использованием языка программирования Go, что встречается
MBRFilter: не прикасаться! В этой публикации исследователи
весьма редко. Кроме того, связь с центрами управления
Talos выпустили MBRFilter — дисковый фильтр, который
и контроля, используемая вредоносным ПО, зависит от прокси-
предотвращает запись вредоносного ПО в сектор 0 на всех
серверов Tor2web, которые разработчики вредоносных программ
дисковых устройствах, подключенных к системе. Это тактика,
используют для предотвращения обнаружения.
в которой используются такие же варианты вымогательства, как
в Petya: вредоносная программа пытается перезаписать основную Незащищенные каналы и непродуманные решения: история
загрузочную запись (MBR) зараженной системы и заменить DNSMessenger. Исследователи Talos предлагают свой анализ
загрузчик на вредоносный. образца вредоносного ПО с использованием запросов и ответов
на DNS-TXT-записи для создания двунаправленного канала
Sundown EK: лучше остерегаться. В этой публикации
управления и контроля — необычной и уклончивой тактики,
рассказывается об эксплойте Sundown. Связанная с ним кампания
используемой злоумышленниками для того, чтобы оставаться
осуществлялась всего с нескольких IP-адресов, но исследователи
незамеченными во время работы в целевых средах.
Talos обнаружили более 80 000 вредоносных поддоменов,
связанных с более чем 500 доменами, использующими различные Necurs диверсифицирует свой портфель. В этой публикации
учетные записи для регистрации. Это означает, что эксплойт исследователи обсуждают новую деятельность гигантского
может обойти традиционные решения черных списков. ботнета Necurs, который диверсифицировал массовую рассылку
своего спама для мошенничества с мелкими ценными бумагами
Locky испытывает трудности без Necurs. Исследователи
(по схеме pump-and-dump).
Talos указывают на снижение активности варианта программы-
вымогателя Locky в результате временного отключения «Обзор угроз: распространители вредоносного ПО Mighty
ботнета Necurs. Исследователи внимательно изучают ботнет Morphin. После того как ботнет Necurs вернулся после
Necurs: когда он запущен и работает, у него есть потенциал временного отсутствия, исследователи зафиксировали новый
для распространения ошеломляющего количества спама, взрыв активности Locky: крупномасштабную спам-кампанию.
доставляющего Locky, а также вредоносное банковское ПО Dridex.
25 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
30
Cisco определяет «время обнаружения» как
25 промежуток времени между компрометацией
и обнаружением угрозы. Мы определяем такой
Часы
20 18.2
промежуток времени, используя телеметрические
15 данные, которые поступают от продуктов
обеспечения безопасности Cisco, разворачиваемых
10 8.1 по всему миру. Используя наш глобальный
6.7
8.5 мониторинг и модель непрерывного анализа,
5 6.9
мы можем проводить измерения с момента, когда
0 2.6 вредоносный код запускается на оконечном
Ноя Янв Май Июль Сен Ноя Янв Мар Май
устройстве, до момента, когда он определен как
Мар
2016 2017 угроза, для всего вредоносного кода, который не был
Месяцы классифицирован при его появлении.
Источник: исследования Cisco в области безопасности.
26 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Изменения в ландшафте угроз, особенно в течение последних Многие семейства вредоносных программ все еще
шести месяцев, показывают, что киберпреступники испытывают обнаруживаются долго, даже если они известны сообществу
все большее давление при разработке своих угроз, чтобы специалистов служб информационной безопасности. Это связано
избежать обнаружения, и вынуждены разрабатывать новые с тем, что злоумышленники используют различные методы
методы. обфускации для того, чтобы их вредоносное ПО было активным
и прибыльным. В следующем разделе мы рассмотрим, как четыре
На рис. 20 показано медианное время обнаружения 20 наиболее конкретных семейства вредоносных программ — Fareit (троян
часто обнаруживаемых семейств вредоносных программ, удаленного доступа или RAT), Kryptik (RAT), Nemucod (троянский
которые исследователи наблюдали с ноября 2016 г. по апрель загрузчик) и Ramnit (банковский троян) — используют конкретные
2017 г. Многие семейства обнаруживаются в продуктах Cisco стратегии для опережения действий специалистов служб
в среднем за 3,5 часа и представляют собой быстро и широко информационной безопасности.
распространяемые угрозы. Старые и известные угрозы обычно
обнаруживаются за меньшее среднее время. Их методы эффективны. Как показано на рис. 20, время
обнаружения всех этих семейств было больше среднего значения
в 3,5 часа, а для Kryptik даже намного больше. Даже Nemucod,
который обнаруживают наиболее часто среди рассматриваемых
основных семейств, обнаруживается дольше из-за своего
Рис. 20 Медианное время обнаружения 20 ведущих семейств быстрого развития.
вредоносных программ
Figure 20 TTD medians of top 20 malware families
35%
Nemucod
30%
25%
20% Insight
Donoff
Locky
Процент обнаружений
Mydoom
15%
Adnel
Dridex
Docdl Ramnit
10% Kryptik
Bayrob Mabezat
Nymaim
Msil
5% Adwind Browsefox
27 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
28 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Figure 22 Number of unique vectors seen Тенденция времени обнаружения Kryptik, показанная на рис. 23,
Рис. 22 Количество уникальных векторов, наблюдаемых
иллюстрирует, что это вредоносное ПО трудно обнаружить,
per month
в событиях in email почты
электронной events
(в месяц)
хотя отметим, что в последние месяцы продукты Cisco быстрее
43 выявляют данную угрозу. К концу апреля 2017 г. наше медианное
40 время обнаружения трояна удаленного доступа Kryptik было
примерно в два раза больше нашего общего медианного времени
обнаружения в 3,5 часа (подробнее о том, как мы вычисляем TTD,
35
33
Количество уникальных векторов
см. стр. 26). Однако эта цифра все-таки значительно ниже TTD
30
в 21,5 часа — показателя, который был зафиксирован для Kryptik
в ноябре 2016 г.
25
Рис. 23 Время
Figure 23 TTDобнаружения
and hash и возраст
agesхэшей для семейства
for the
вредоносного ПО Kryptik по месяцам
20 Kryptik malware family per month
25
20,1
20
15
Часы
15
10 15,3
10 5 6,8
0
Ноя Дек Янв Фев Мар Апр Май
5
Распределение в процентном
100%
0
Ноя Дек Янв Фев Мар Апр Май 75%
выражении
2016 2017
50%
Kryptik Nemucod Fareit
25%
29 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Часы
программ-вымогателей и других угроз, таких как backdoor- 15
10 6,9
трояны, которые облегчают кражу учетных данных или 3,7
5
мошенничество с кликами по рекламному объявлению 0
Ноя Дек Янв Фев Мар Апр Май
(кликфрод). Некоторые варианты также служат механизмами для
Распределение в процентном
доставки нагрузки вредоносного ПО Nemucod.
100%
выражении
Nemucod последовательно использует 15 или более комбинаций
50%
расширений и типов файлов. Например, 70% наблюдаемых нами
веб-событий Nemucod включали JavaScript; соотношение событий
25%
составляло 16% на расширение .php и 9% на расширение .zip.
Кроме того, события Nemucod, связанные с блокировками
0%
электронной почты, в основном имели расширения .zip, .wsf Ноя Дек Янв Фев Мар Апр Май
(файл сценария Windows) или .js. 2016 2017
Месяцы
На рис. 24 видно, что Nemucod использует в первую очередь
хэши возрастом менее одного дня, чтобы опережать действия 0 дней 1–2 дн. 3-10 дн.
специалистов служб информационной безопасности.
11–30 дн. 31-90 дн. 90 и более дней
В последние месяцы вредоносное ПО стало все чаще
использовать более старые хэши. Это может свидетельствовать Источник: исследования Cisco в области безопасности.
о том, что сообщество специалистов служб информационной
безопасности применяет более эффективные меры при
обнаружении новых экземпляров Nemucod, поэтому авторы
Загрузить графики за 2017 г.: cisco.com/go/mcr2017graphics
вредоносных программ могут вернуться к более старым хэшам,
которые доказали свою эффективность. Несмотря на это, как
видно из рис. 24, время обнаружения Nemucod увеличилось
в марте и апреле, что только подчеркивает ожесточенную
борьбу между злоумышленниками и специалистами служб
информационной безопасности. Независимо от того, связано
ли это с тем, как злоумышленники циклически меняют хэши,
с методами их доставки или другими методами обфускации,
авторы Nemucod, по-видимому, разработали механизмы доставки,
куда более сложные для обнаружения.
30 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Часы
открытый исходный код от известного трояна Zeus. Сегодня 15
10
Ramnit является одним из самых устойчивых среди известных 5
банковских троянов. 5,89 5,81
0
Ноя Дек Янв Фев Мар Апр Май
В нашем последнем исследовании TTE мы обнаружили, что почти
Распределение в процентном
каждое веб-событие (99%), включающее вредоносное ПО Ramnit, 100%
выражении
Наши исследования также показывают, что успех Ramnit 50%
заключался в обходе средств защиты в течение нескольких
месяцев в основном за счет хэшей возрастом 90 дней или старше 25%
(рис. 25).
0%
Однако на рис. 25 также показано, что к апрелю операторы Ноя Дек Янв Фев Мар Апр Май
Ramnit использовали в основном новые хэши, причем более 2016 2017
половины возрастом менее одного дня. Вероятно, это связано Месяцы
с успехами специалистов служб информационной безопасности
0 дней 1–2 дн. 3-10 дн.
при обнаружении экземпляров Ramnit, которые использовали
старые хэши. Фактически наше медианное время обнаружения 11–30 дн. 31–90 дн. 90 и более дней
Ramnit снизилось с чуть более 21 часа в марте до примерно пяти
часов к началу мая.
31 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Анализ TTD: Fareit Рис. 26 Время обнаружения и возраст хэшей для семейства
Figure 26 TTD and hash ages for the
вредоносного ПО Fareit по месяцам
Fareit — еще одно известное и распространенное семейство Fareit malware family per month
вредоносных программ. Троян удаленного доступа Fareit крадет 25
учетные данные и распространяет разные типы вредоносных 20 18,3
Часы
программ. Согласно нашим исследованиям, почти все (95%) 15
10
варианты вредоносных программ Fareit, участвующих в веб- 5 7,9
атаках, использовали расширение файла .dll. 84% имели 0 4,8
программу msdos или MIME-тип msdownload. Расширения файлов Ноя Дек Янв Фев Мар Апр Май
Распределение в процентном
Fareit в электронной почте в основном связаны с документами
100%
Word или с ACE (архив сжатия), исполняемыми или .zip-файлами.
75%
Ferret, как и вредоносное ПО Kryptik, часто меняет хэши, чтобы
выражении
избежать обнаружения (рис. 26). Медианное время обнаружения
50%
Fareit значительно увеличилось в феврале и марте. За это время
вредоносное ПО стало использовать немного больше новых,
25%
а также добавило несколько значительно более старых хэшей
(90 дней или старше).
0%
Ноя Дек Янв Фев Мар Апр Май
2016 2017
Месяцы
32 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
3%
2%
1%
0%
0 10 20 30 40 50 60 70 80 90 100
Продолжительность существования доменов из различных DGA (дни)
Источник: Anomali.
33 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Вероятная причина этой тенденции заключается в том, что и возможные домены верхнего уровня, которые он может
злоумышленникам приходится разрабатывать угрозы быстрее, использовать. (Примечание. Почти все алгоритмы используют
чтобы избежать блокировки и оставаться необнаруженными разные подходы к случайному выбору букв в домене второго
дольше в тех организациях, которые они уже скомпрометировали уровня.)
(подробнее об этой теме см. в разделе «Тенденции циклов смены
способа развертывания: Nemucod, Ramnit, Kryptik и Fareit» Эти ограничения вместе с необходимостью создания новых
на стр. 28). Авторы вредоносных программ должны работать доменов DGA постоянно приводят к тому, что усилия семейств
достаточно быстро, чтобы избежать попадания в черные списки, вредоносных программ по созданию и регистрации доменов
но не так быстро, чтобы специалисты служб информационной DGA часто пересекаются. В результате домены могут вступать
безопасности получали преимущество, блокируя все новые в конфликт друг с другом в очень плотных комбинациях,
домены. например, домены .com из 8–10 символов. В таких насыщенных
пространствах домен DGA может попасть в черный список из-за
В большинстве случаев в алгоритмах, лежащих в основе использования конкурентом аналогичного домена DGA, который
вредоносного ПО, генерирующего домены DGA, изменяются был идентифицирован специалистами службы информационной
только два элемента при создании доменов: длина имени домена безопасности.
34 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Как объясняется в анализе ThreatConnect, были выполнены Рис. 28 Методология совместного размещения
следующие шаги. Figure 28 Colocation methodology
•• Bellingcat предоставила заголовки электронной Необходимый
почты из сообщений целевого фишинга, которые, входной
1 Определить даты
создания и лиц,
как предполагается, исходят от российских хакеров, домен или
05-17-2017 зарегистрировавших
спонсируемых государством. Затем ThreatConnect субдомен
входной домен.
использовала информацию о предыдущих операциях Fancy
Bear, чтобы понять, что Fancy Bear, скорее всего, была Допустимость
совместного
автором атак на Bellingcat.
размещения
•• ThreatConnect использовала регистрационную информацию доменов (n) 2 Определить IP-адреса,
на которых размещен
WHOIS, чтобы определить время регистрации домена
192.168.22 домен сразу после даты
из сообщений целевого фишинга и адрес электронной почты, создания, а также срок
который зарегистрировал домен, что позволило определить этого размещения.
временные рамки для исследования.
•• С помощью пассивного DNS были идентифицированы
Определить IP-адреса,
IP-адреса, которые размещали домен после его первоначаль 3 на которых размещены
ной регистрации. Это позволило определить IP-адреса, (n) доменов или
которые могут быть связаны со злоумышленниками. 192.168.22
меньше на протяжении
•• Используя пассивный DNS еще раз, исследователи того же срока, что
и входной домен.
определили, какие IP-адреса размещали меньше заданного
произвольного количества доменов, чтобы исключить
Определить, какие
IP-адреса, которые могут размещать несколько доменов для
нескольких клиентов. 4 из этих IP-адресов
не являются
•• Используя WHOIS и пассивный DNS, группа ThreatConnect коллекторами или
определила подмножество этих IP-адресов, которые, являются
35 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
36 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Период компрометации продолжался всего около двух Для предприятий, стремящихся блокировать угрозы для цепочки
недель. Но поскольку поставщик не уведомлял пользователей поставок, обнаружение угроз — сложная задача. Обеспечение
о скомпрометированном программном обеспечении в течение безопасности оконечных устройств, вероятно, является лучшей
нескольких месяцев, вредоносное ПО, возможно, оставалось защитой, поскольку таким образом группы обеспечения
активным до обнаружения или до начала попыток восстановления безопасности могут быть предупреждены о том, что какая-то
со стороны поставщика. часть программного обеспечения взаимодействует с другой.
Мониторинг в реальном времени также может помочь обнаружить
подозрительную активность.
Figure
Рис. 30 Kingslayer
30 Цепочка compromise
компрометации Kingslayer infection chain
1. 2A. 3. 4. 5A. 6. 7. 8.
1. Скомпрометирован- 2A. Системный Подключение к узлу Злонамеренное Загрузка вредоносного Приложение Получение Управление системой
ные продукты администратор приложения перенаправление MSI и/или... с Backdoor вспомогательной внутри организации
поставщика внедрены щелкает по ссылке .htaccess установлено полезной нагрузки с помощью
в сеть на веб-сайт 5B. «K2» вспомогательной
поставщика или... (Автоматическая) полезной нагрузки
загрузка обновления «K2»
2B. с Backdoor
(Автоматическое)
аналитическое
приложение
обновляется
автоматически
Подписанное
приложение,
анализирующее
журнал событий,
с загруженным
трояном
Вспомогательная
полезная
нагрузка «K2»
Источник: RSA.
Несмотря на то, что аналитики RSA не знают, сколько организаций Исследователи RSA не могут с уверенностью назвать конечную
установили скомпрометированное приложение, прежде чем RSA цель авторов Kingslayer, но размер и техническое совершенство
сообщила поставщику о проблеме с вредоносными программами, заказчиков поставщика делают их очень привлекательными
клиенты поставщика перечислены на его веб-сайте и подписаны целями. Возможно, злоумышленники запрашивали информацию
на услугу поставщика по протоколированию событий на для входа в систему у организаций финансовой сферы или
информационном портале. Список клиентов и, следовательно, могли быть причастными к сбоям в работе предприятий
потенциально скомпрометированных организаций, включал государственного сектора.
по крайней мере, следующие организации:
Стратегия атаки на цепочки поставок заслуживает внимания
•• 4 крупных поставщика телекоммуникационных услуг; специалистов служб информационной безопасности
•• более 10 военных организаций; по нескольким причинам. Злоумышленникам необходимо
предоставить только один скомпрометированный вектор, но они
•• более 24 компаний из списка крупнейших мировых компаний
могут заразить многие цели. Кроме того, эти атаки незаметны
Fortune 500;
по своей природе, предоставляя злоумышленникам драгоценное
•• 5 крупных оборонных подрядчиков; время для работы до их обнаружения. Помимо этого, если
•• более 24 банков и других финансовых учреждений; скомпрометированное программное обеспечение используется
в первую очередь системными, сетевыми администраторами
•• более 45 высших учебных заведений.
или администраторами безопасности, то у злоумышленников
увеличивается шанс того, что они нашли идеальную
промежуточную среду для систематического нападения
на крупные предприятия.
37 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Количество инфраструктур
учебных учреждений,
затронутых этими
семействами вредоносного ПО
CustomTCP PGV_PVID
Источник: RSA.
38 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Эти атаки стали началом эпохи DDoS-атак мощностью 1 Тбит/с. 1. Mirai подключается к компьютерам-жертвам с помощью
Они перевернули традиционные парадигмы защиты от DDoS атаки методом подбора пароля (грубой силы) на серверы
и доказали, что угроза DDoS-ботнетов Интернета вещей реальна Telnet, используя более 60 заводских учетных данных
и организации должны быть готовы к атакам. по умолчанию для программного обеспечения BusyBox.
Radware, партнер Cisco, недавно изучил деятельность трех 2. Каждое зараженное устройство блокирует себя
крупных ботнетов Интернета вещей — Mirai, BrickerBot и Hajime — от дополнительных ботов.
и дает следующий анализ. 3. Mirai отправляет IP-адрес жертвы и учетные данные
в централизованную службу ScanListen.26
4. Новая жертва затем помогает привлекать новые боты,
создавая самовоспроизводящуюся модель.
Источник: Radware
Среди 10 векторов атак очень сложными являются такие, как
потоки GRE, атаки TCP STOMP и Water Torture. DDoS-атаки Mirai
заставляют обратить внимание на проблемы, с которыми
22 «Рекордная DDoS-атака на KrebsOnSecurity», Брайан Кребс (Brian Krebs), блог сталкиваются организации, когда речь идет о мониторинге
KrebsOnSecurity, 21 сентября 2016 г.: легитимности трафика GRE или рекурсивных DNS-запросах.
krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/.
23 «150 000 IoT-устройств подверглись массовым DDoS-атакам на OVH», Эдуард Ковач
(Eduard Kovacs), SecurityWeek, 27 сентября 2016 г.: 25 «Опубликован исходный код для IoT-ботнета Mirai», Брайан Кребс (Brian Krebs), блог
securityweek.com/150000-iot-devices-abused-massive-ddos-attacks-ovh. KrebsOnSecurity, 1 октября 2016 г.:
24 «DDoS-атака на Dyn произведена с 100 000 зараженных устройств», Майкл Кан krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/.
(Michael Kan), DG News Service, для ComputerWorld, 26 октября 2016 г.: 26 «Ботнет Mirai BusyBox: предупреждение, которое мы все ожидали?» Паскаль
computerworld.com/article/3135434/security/ddos-attack-on-dyn-came-from- Джиненс (Pascal Geenens), Radware, 11 октября 2016 г.:
100000-infected-devices.html. blog.radware.com/security/2016/10/busybox-botnet-mirai/.
39 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
BrickerBot
Атаки типа «постоянный отказ в обслуживании» (Permanent Denial Рис. 34 Сообщение от автора Hajime
of Service, PDoS) — это быстро перемещающиеся бот-атаки,
предназначенные для прекращения работы оборудования. Эта
форма кибератаки становится все более популярной.27
Источник: Radware
27 Дополнительную информацию по теме см. в статье «PDoS-атака BrickerBot: 28 Дополнительную информацию на эту тему см. в публикации «Hajime — сложный,
возвращение с удвоенной силой» («BrickerBot PDoS Attack: Back With A Vengeance»), гибкий механизм, с продуманным и инновационным дизайном», Паскаль Джиненс,
Radware, 21 апреля 2017 г.: security.radware.com/ddos-threats-attacks/brickerbot- Radware, 26 апреля 2017 г.: blog.radwar.com/security/2017/04/hajime-futureproof-
pdos-back-with-vengeance/. botnet/.
40 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
29 В глобальном опросе, проведенном сторонней исследовательской фирмой Radware, 31 «Греческие банки столкнулись с DDoS-шантажем», Мэтью Дж. Шварц (Mathew J.
участвовало около 600 респондентов. Schwartz), BankInfoSecurity.com, 2 декабря 2015 г.:
30 Там же. bankinfosecurity.com/greek-banks-face-ddos-shakedown-a-8714.
41 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Источник: Radware
42 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
разработаны и созданы без учета соображений безопасности. Многие киберпреступники хотят скомпрометировать медицинские
Они часто работают со старыми и непроверенными системами устройства, которые, по мнению исследователей TrapX,
и редко контролируются персоналом ИТ-отдела больницы. Даже стали отправной точкой для горизонтального продвижения
когда группы обеспечения безопасности знают об уязвимостях, злоумышленников по больничным сетям. Злоумышленники
они не могут действовать, потому что только поставщик имеет также рассчитывают на большую вероятность получения
доступ к этим продуктам. В других случаях группы обеспечения весомой прибыли от кампаний по вымогательству, направленных
безопасности должны приостанавливать исправления, потому что на медицинские устройства, от которых зависит человеческая
бизнес просто не может позволить себе перевести критическое жизнь. Более безнравственные злоумышленники могут также
оборудование в автономный режим даже на короткий период или потенциально взять под контроль эти устройства, в том числе
подвергнуть риску эффективность работы устройства. Иногда имплантируемые, и нанести вред пациентам.
также любые изменения этих устройств должны утверждаться
поставщиком и другими сторонами, включая государственные Недавно исследователи TrapX изучили злоумышленное
органы, что может занимать годы. Стоимость поддержки использование онкологической системы с известными
медицинских устройств также может быть очень высокой. уязвимостями Windows XP. Злоумышленники заразили три
машины (одна из которых использовалась для управления
мощным лазером) и превратили одну в мастера ботнетов, который
распространяет вредоносное ПО — вариант Conficker — через
больничную сеть (см. рис. 37).
Figure
Рис. 37 Oncology
37 Злонамеренное system exploit
использование онкологической системы
Аппаратура Backdoor
контроля
дыхания
Прерывание
Интернет
Система Backdoor
Прерывание рентгеноскопии
Источник: TrapX.
Еще один инцидент MEDJACK, который недавно исследовал TrapX, (Эти системы используются для централизации и архивирования
скомпрометировал систему МРТ. И здесь была использована записей пациентов и другой важной информации.) Компьютерная
уязвимость в Windows XP. Злоумышленники нашли в системе экспертиза атаки показала, что взломщики имели возможность
данные о пациентах, но вскоре поняли, что есть возможность работать в сети больницы более 10 месяцев.
двигаться горизонтально, чтобы получить контроль над системами
сбора и архивирования изображений (PACS) больницы.
43 Поведение злоумышленников
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Figure
Рис. 38 MRI system
38 Злонамеренное exploit системы МРТ
использование
Злоумышленник
Удаленный клиент
Прерывание Стандарт
DICOM
Межсетевой экран
Источник: TrapX
44 Поведение злоумышленников
Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Уязвимости
В этом разделе мы также предоставляем обзор уязвимостей и других слабых
мест, которые могут оставить организации и пользователей беззащитными
перед угрозой компрометации или атаки. Мы обсудим неэффективные
методы обеспечения безопасности, такие как недостаточно быстрое
исправление известных уязвимостей, неограниченный привилегированный
доступ к облачным системам и неуправляемые оконечные устройства
и инфраструктура. Также рассматривается: как тенденции в геополитическом
ландшафте создают сложности и возможности для поставщиков технологий
и для бизнеса.
46 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Они также должны обеспечить актуальность и регулярное Мы уже видим, как быстро работают злоумышленники, чтобы
обновление ИТ-инфраструктуры, а также чтобы этим закрепиться в появляющемся Интернете вещей, который
мероприятиям отводился соответствующий бюджет (подробнее полон уязвимостей — известных и неизвестных. Правительства
на эту тему см. раздел «Руководители отделов безопасности: имеют явную возможность помочь разработчикам технологий
пришло время принять участие в управлении компанией» и создать более безопасный мир Интернета вещей, но им
на стр. 83). необходимо начать менять свои подходы и обеспечивать большую
прозрачность.
Должна быть легитимная дискуссия о том, как и когда
правительства распространяют информацию об уязвимости Тем временем разработчики технологий должны настаивать на
в мировом масштабе. Но, как мы видели с WannaCry, Shadow создании механизмов сообщения об уязвимостях, которые имеют
Brokers, WikiLeaks Vault 7 и Year Zero, правительства, которые правительственные стимулы к сбору эксплойтов, а также будут
накапливают сведения об уязвимостях, создают потенциальную поощрять своевременную отчетность и обмен информацией.
возможность утечки. Это, в свою очередь, создает
огромные возможности как для национальных игроков, так Что касается пользователей, у них также есть важная роль:
и киберпреступников. они должны проявлять инициативу в том, чтобы поддерживать
исправление и обновление программного обеспечения, и ставить
новые версии продуктов, которые больше не поддерживаются.
11/04/17 Microsoft Office CVE-2017-0199 (эксплуатация Dridex) 06/02/17 Уязвимости OpenSSL CVE-2017-3733
08/04/17 Группа Shadow Brokers. Раскрытие эксплойтовEquation Group» 26/01/17 Уязвимости OpenSSL
06/04/17 Operation Cloud Hopper проводили глобальные кампании 18/01/17 Уязвимости ЦП Oracle, Oracle OIT (Talos)
29/03/17 Microsoft Internet Information Services (IIS) WebDav, CVE-201 7-7269 03/01/17 Ввод произвольных команд в PHPMailer, CVE-2016-10033,
CVE-2016-10045
07/03/17 Публикация WikiLeaks Vault 7 04/11/16 Проблемы с внедрением мобильной версии OAuth 2.0
47 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
При рассмотрении уязвимостей, раскрытых WikiLeaks, окно компрометации для уязвимостей на стороне сервера
озабоченность специалистов вызвал тот факт, что они не знали увеличивается. И хотя число уязвимостей на стороне клиента
об эксплойтах, разработанных государственными учреждениями, также растет, они могут быть исправлены с помощью
и, следовательно, о соответствующих уязвимостях. Специалистов автоматических обновлений, что позволяет быстро закрыть окно
служб информационной безопасности может совершенно компрометации.
обоснованно волновать вопрос о том, какие еще нераскрытые Figure 40 Client-server vulnerabilities
уязвимости существуют. Рис. 40 Уязвимости уровня «клиент — сервер»
Количество уязвимостей
приложений. Кроме того, была быстро использована уязвимость 3K
Apache Struts2.38 Увеличение
2.5K на 35 %
в год
Рост числа уязвимостей уровня «клиент — сервер» 2K
Как обсуждалось в отчете Cisco по информационной
1.5K
безопасности за первое полугодие 2016 г., число уязвимостей
на стороне сервера возрастает: Злоумышленники поняли, что, Увеличение
1K на 46 %
используя уязвимости в серверном программном обеспечении, в год
они могут получить больший доступ к корпоративным сетям.39 0.5K
В первые несколько месяцев 2017 г. число уязвимостей на
стороне сервера увеличилось на 36% по сравнению с 2016 г.; 0
число уязвимостей на стороне клиента увеличилось на 35%
по сравнению с 2016 г. (см. рис. 40). Серверные Клиентские Сетевые
уязвимости уязвимости уязвимости
Одной из причин увеличения числа уязвимостей на стороне
сервера является то, что уязвимости сторонних разработчиков 2015 2016 2017
требуют ручного исправления. Если ручное исправление
не выполняется своевременно, Источник: исследования Cisco в области безопасности.
37 «Обзор Cisco по CVE-2017-0199», блог Cisco Talos, 14 апреля 2017 г.: blog.
talosintelligence.com/2017/04/cve-2017-0199.html.
38 «Тип содержимого: вредоносное ПО — атака на уязвимость нулевого дня в Apache
Struts2», Ник Биазини (Nick Biasini), блог Cisco Talos, 8 марта 2017 г.:
blog.talosintelligence.com/2017/03/apache-0-day-exploited.html.
39 «Злоумышленники видят ценность кампаний на стороне сервера», Отчет Cisco по
информационной безопасности за первое полугодие 2016 г.:
cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.
48 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Figure
Рис. 41 Top
41 Главные threat угроз,
категории categories, November-May
ноябрь 2016 г. — май 2017 г. 2017
CWE-119: ошибки буфера CWE-79: межсайтовый CWE-264: контроль CWE-200: CWE-20: контроль ввода
скриптинг (XSS) разрешений, привилегий утечка/раскрытие
и доступа информации
CWE-399: ошибки CWE-352: подделка CWE-89: внедрение CWE-22: обход каталога CWE-287: проблемы
управления межсайтовых SQL-кода аутентификации
ресурсами запросов (CSRF)
37 34 24 11 0
CWE-94: внедрение кода CWE-310: криптографические CWE-78: внедрение CWE-59: переход по ссылке CWE-16: конфигурация
проблемы команд операционной
системы
49 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
распределение
ненадлежащим образом или намеренно оставлены открытыми для
Процентное
облегчения доступа легальным пользователям.
50
Компания Rapid7, партнер Cisco и поставщик решений защиты
данных и анализа безопасности, классифицирует атаки на
MongoDB, CouchDB и Elasticsearch как «атаки вымогателей 25
на DevOps-сервисы». Под этим компания понимает и такие
технологии, как Docker, MySQL, MariaDB и другие популярные
Количество экземпляров,
Начиная с января 2017 г. Rapid7 регулярно анализирует наличие
подобных технологий в Интернете и заносит в каталог как 10K
открытые экземпляры, так и экземпляры, зашифрованные
с целью выкупа. Судя по именам таблиц, доступных в Интернете,
некоторые из подобных DevOps-сервисов могут содержать
5K
персональные данные.
50 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Рис. 43 Распределение
Figure состояний
43 Elasticsearch Elasticsearch
status distribution Figure
Рис. 44 MongoDB
44 Распределение statusMongoDB
состояний distribution
100 100
75 75
распределение
распределение
Процентное
Процентное
Ситуация
50 (как это ни странно)
50
улучшается
25 25
0% 0%
20K 60K
Количество экземпляров,
Количество экземпляров,
10K 30K
0 0
Янв Фев Мар Апр Янв Фев Мар Апр
MongoDB
Несмотря на атаку вымогателей на тысячи серверов MongoDB Кроме того, Rapid7 обнаружила, что многие
в январе, физические и юридические лица, использующие скомпрометированные программами-вымогателями серверы
эти серверы, по-прежнему не усилили меры безопасности. MongoDB находились на завершающем этапе своего срока
Почти 100% серверов, проанализированных Rapid7, можно эксплуатации. Однако значительная их часть имела более свежие
классифицировать как максимально открытые. Хорошая новость, и все еще поддерживаемые версии, которые никогда или по
что крайне незначительная часть этих серверов содержит крайней мере в последнее время не обновлялись (см. рис. 45
конфиденциальную информацию. на следующей странице).
51 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Не поддерживаемые
2014 5585 (85.2%) 2.6 972 (14.8%)
4 (80%) 2.5 1 (20%)
6554 (92.4%) 2.4 541 (7.6%)
2.3 1 (100%)
2012 606 (88.1%) 2.2 82 (11.9%)
8 (80%) 2.1 2 (20%)
1101 (91.8%) 2.0 99 (8.2%)
148 (91.4%) 1.8 14 (8.6%)
2010 78 (94%) 1.6 5 (6%)
1 (100%) 1.5
Источник: Rapid7:
На рис. 46 показано количество доступных таблиц на серверах Однако некоторые серверы имеют 20 и более таблиц,
MongoDB, обнаруженных Rapid7 в ходе своего исследования. что свидетельствует о том, что они являются настоящими
Большинство серверов имеет менее десяти таблиц и, скорее производственными системами. Один сервер, доступный через
всего, были созданы для экспериментирования. Интернет, имел свыше 2200 таблиц.
Figure 46 MongoDB database size distribution by number of exposed tables, January–April 2017
Рис. 46 Распределение размеров баз данных MongoDB по количеству доступных таблиц, январь — апрель 2017 г.
1000
Количество систем
500
Реальные
Неизвестные
производственные
системы
системы
0
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 17 18 19 20 21 22 24 26 28 29 30 34 39 45 47 49 57 58 59
72 148 2253
Количество доступных таблиц
Источник: Rapid7.
52 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Docker
Rapid7 также изучила Docker, программную платформу, Многие открытые экземпляры Docker — это, вероятно,
чьи операторы с самого начала уделяли большое внимание законсервированные или забытые тестовые системы. Однако
безопасности. Однако, несмотря на эти усилия, по данным 245 из 1000 открытых экземпляров имеют минимум 4 ГБ
анализа Rapid7, более 1000 экземпляров Docker являются выделенной памяти и, скорее всего, являются используемыми
максимально открытыми. Большинство экземпляров Docker было производственными системами (см. рис. 48 на следующей
обнаружено в США или Китае (см. рис. 47). странице).
Источник: Rapid7:
53 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Рис. 48 Распределение совокупного объема памяти, Рис. 49 Распределение совокупного количества запущенных
Figure 48 Distribution of total memory allocated
используемого Docker, январь — апрель 2017 г. Figure 49 наDistribution
контейнеров of running
экземпляр, январь — апрель containers
2017 г.
for docker use, January–April 2017 per docker instance, January–April 2017
Скорее всего, тестовые/забытые/непроизводственные системы Скорее всего, тестовые/забытые/непроизводственные системы
50 30
245 экземпляров используют 4 или больше Гб 199 экземпляров имеют более трех активных
выделенной памяти и, вероятно, являются реальными контейнеров и, вероятно, являются реальными
производственными системами производственными системами
Количество экземпляров
40
Количество экземпляров
20
30
10
20
0
10 20 40 60 80 100 120 140 160 180 200
3 Количество контейнеров
Источник: Rapid7:
0
50 100 150 200 250 Организации, использующие доступные через Интернет
4
Совокупный объем памяти (ГБ) экземпляры этих и других технологий DevOps, должны
предпринять необходимые меры, чтобы избежать риска. Группы
Источник: Rapid7:
обеспечения безопасности должны сделать следующее:
Кроме того, Rapid7 обнаружила, что 199 максимально •• Разработать строгие стандарты безопасного развертывания
открытых экземпляров Docker имеют минимум три активных технологий DevOps.
запущенных контейнера. У некоторых насчитывается до 160 •• Хорошо знать общедоступную инфраструктуру, которой
(рис. 49). Организации, использующие эти незащищенные владеет их компания.
производственные системы, несут огромный риск.
•• Регулярно обновлять технологии DevOps.
Злоумышленник может подключиться через Интернет к любой из
этих систем и взять ее под свой контроль. •• Выполнять сканирование на наличие уязвимостей.
54 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
В результате мы обнаружили три уязвимости, позволяющие Наблюдаемая в теневой экономике тенденция к атакам на базы
удаленное выполнение кода.42 Одна из уязвимостей находилась данных и прочую инфраструктуру, доступную через Интернет,
в механизме аутентификации сервера, что означает требует еще более быстрого устранения известных уязвимостей.
возможность вмешательства злоумышленника в работу И даже при наличии аутентификации сервисы все еще создают
серверов, поддерживающих аутентификацию. Исследователи риск, поэтому их необходимо изолировать от безопасной
Cisco сообщили об уязвимостях разработчику, который быстро среды (дополнительные сведения об этом риске см. в разделе
выпустил исправление. «Не позволяйте технологиям DevOps делать ваш бизнес
уязвимым», стр. 50).
Через несколько месяцев после сообщения об этих уязвимостях Figure 51 Memcached servers by country,
мы выполнили сканирование по всему Интернету, чтобы February–March
Рис. 2016 по странам, февраль — март 2017 г.
51 Серверы Memcached
проверить активность внедрения исправления. Хотя разработчик
Страна Уязвимые серверы Всего серверов
быстро выпустил исправление, которое было добавлено
в дистрибутивы Linux, мы обнаружили, что 79% от порядка
110 000 серверов Memcached все еще содержат уязвимости,
о которых мы сообщили (см. рис. 50). США 29,660 36,937
Кроме того, аутентификация была включена лишь на 22% Китай 16,917 18,878
79 %
всех
серверов
уязвимы
Только
22 % Из них
серверов
запрашивают
аутентификацию
99 %
все еще уязвимы
55 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
В январе 2017 г. наши исследователи обнаружили хакеров, Как видно на рис. 52, по данным нашего исследования,
охотящихся за действующими скомпрометированными количество подключаемых облачных приложений на одну
корпоративными учетными данными. Используя атаки методом организацию серьезно выросло по сравнению с 2014 г. В среде
грубой силы, хакеры создали библиотеку учетных данных (имен среднестатистического предприятия на сегодняшний день
и паролей) корпоративных пользователей, возможно, используя насчитывается свыше 1000 различных приложений и более
для этого известные списки взломанных учетных записей 20 000 различных установок этих приложений.
в сети. Они пытались проникнуть в несколько корпоративных
облачных систем, используя для этого серверы с 20 крайне
Figure 52 Number
Рис. 52 Количество of unique
уникальных connected
подключаемых облачных
подозрительными IP-адресами. cloud apps per organization
приложений на одну организацию
1050
В период с декабря 2016 г. по середину февраля 2017 г.
Среднее количество уникальных приложений
56 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
75%
«суперадминистратора» для 75% администраторских учетных привилегий можно удалить из учетных записей
записей без каких-либо последствий или с минимальным ущербом администраторов без последствий или
Figure 53b Inflation privileged user accounts
с минимальными последствиями для бизнеса.
для бизнеса.
Источник: исследования Cisco в области безопасности.
88%
административных
задач выполняются
двумя привилегиро-
ванными пользова-
телями.
57 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
и оставаться незамеченными (рис. 55). Пользователи должны Принятие коллективной ответственности за облачную
ежедневно входить в систему для выполнения административных безопасность
операций, по завершении которых следует выходить из системы.
Поскольку компании стремятся все активнее использовать
облако, они должны понимать свою роль в обеспечении
Рис. 54 Активность привилегированных пользователей
облачной безопасности. Поставщики облачных услуг
(ежемесячная активность по входу в систему с IP-адресов)
отвечают за физическую, юридическую, эксплуатационную
и инфраструктурную защиту предлагаемой ими технологии.
Компании отвечают за безопасное использование базовых
облачных услуг. Использование того же передового опыта,
который они применяют для обеспечения безопасности
Figure 55 60%
своей локальной privileged
среды, users
может помочь never log out
предотвратить
of active sessions
несанкционированный доступ к облачным системам.
Figure 54 Privileged user activity
Рис. 55 60% привилегированных пользователей никогда
(monthly login activity from IP addresses) не выходят из активных сеансов
Сетевой
доступ
82%
1 или 2 IP-адреса
58 Уязвимости
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
59 Уязвимости
Сложности
и возможности
обеспечения
безопасности
для специалистов
в области
информационной
безопасности
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Сложности и возможности
обеспечения безопасности
для специалистов в области
информационной безопасности
В данном разделе мы рассмотрим некоторые результаты последнего
сравнительного исследования Cisco решений безопасности для отдельных
отраслей. Мы также приведем данные, позволяющие предположить, что
организации могут повысить безопасность, сократив количество поставщиков
решений обеспечения безопасности, а также обсудим, как размер компании
может сказаться на ее безопасности. Наконец, мы рассмотрим, могут ли
руководители отделов безопасности вовлечь руководство организации
в обсуждение кибербезопасности и играть одну из главных ролей в этом
обсуждении.
В прошлом эти технологии и обслуживающие их группы Поскольку подключенные системы проникают в мир ЭТ, ИТ
работали раздельно. ЭТ-персонал управлял оборудованием и ЭТ больше не могут быть отделены друг от друга. Они должны
и предприятием, а ИТ-персонал управлял корпоративными обмениваться данными для анализа, чтобы помочь повысить
бизнес-приложениями. Сегодня многие ЭТ-датчики и системы безопасность и качество продукции. Также они могут совместно
доступны с бизнес-стороны. Например, современные работать для управления угрозами кибербезопасности. Однако
автоматизированные системы управления производственными для этого они должны создать новую комплексную систему
процессами (АСУПП) запрашивают потоки телеметрических защиты, поскольку неподключенные и изолированные системы
данных от датчиков для более эффективной оптимизации не обеспечивают комплексного представления ИТ и ЭТ.
и прогнозирования операций.
Figure 56 Perceived
Рис. 56 Риск, risk of threats
который представляют собой угрозы, для разных
Веб-безопасность 37 39 44 45
by size of organization
по размеру организаций
Защищенная беспроводная связь 32 35 40 42
Нормативные ограничения 30 25 24 20
Сложные целенаправленные угрозы 34 33 34 30
Программы-вымогатели 29 25 25 21
Источник: Сравнительное исследование Cisco
решений безопасности в 2017 г.
Также среди крупных организаций выше вероятность наличия По мнению экспертов Cisco, знания в области безопасности
документированных официальных стратегий (66% по сравнению часто являются недостающим элементом при попытке построения
с 59% среди малого и среднего бизнеса) и требования защиты. Опыт специалистов, давно работающих в области
к поставщикам иметь сертификат ISO 27018 (36% по сравнению обеспечения безопасности, обеспечит анализ, который не всегда
с 30%). могут предложить даже лучшие автоматизированные решения.
Малый и средний бизнес, стремящийся повысить свою Усталость от постоянного нахождения в состоянии боеготовности
защищенность, может уделить внимание совершенствованию и необходимость оперативно реагировать на непрерывно
политик и процедур обеспечения безопасности, а также появляющиеся сигналы тревоги (т. н. перегруженность сигналами
более широкому внедрению инструментов защиты от угроз тревоги) является неизменной проблемой собственных
для снижения риска неблагоприятных последствий атаки. групп обеспечения безопасности. Как обсуждалось в целом
Использование внешних услуг обеспечения безопасности может ряде статей, посвященных отдельным отраслям в рамках
обеспечить необходимый опыт для внедрения эффективной сравнительного исследования решений безопасности в 2017 г.,
официальной стратегии обеспечения безопасности, многие сотрудники по обеспечению безопасности ежедневно
одновременно обогатив собственный персонал компании опытом сталкиваются с гораздо большим количеством сигналов
в области мониторинга и реагирования на инциденты. тревоги, чем они могут проверить, так что серьезные угрозы
могут остаться неустраненными. При наличии большого
Для внедрения защитной инфраструктуры, соответствующей количества некритичных сигналов тревоги их обработку можно
потребностям и бюджету компании, команда по обеспечению автоматизировать. Многие организации не используют эту
безопасности должна сотрудничать с поставщиками для возможность, возможно, просто из-за дефицита ресурсов или
интеграции решений, упрощающей среду безопасности отсутствия необходимых навыков. Автоматизируя обработку
до контролируемого, но при этом эффективного уровня. максимально возможного количества некритичных сигналов
Аналогичным образом растущие организации могут при тревоги, организации могут сконцентрироваться на инцидентах,
построении своей защиты следовать таким стандартам, как которые с большей вероятностью способны негативно повлиять
«Концепция кибербезопасности» NIST. Более целостный подход на всю среду организации.
к безопасности обеспечит компании любого размера более
эффективную защиту от постоянно усложняющихся угроз. Причин такой перегруженности несколько. Изолированные
системы могут генерировать дублирующиеся сигналы тревоги,
Использование услуг для восполнения а сотрудники могут не иметь необходимых знаний, чтобы
недостатка знаний и кадров различить некритичные и критичные сигналы тревоги или ложные
срабатывания. Могут отсутствовать инструменты, например для
В отделах безопасности не прекращаются споры, какой подход аудита, способные определить источник потенциальных угроз.
к защите является более предпочтительным: лучшие в своем Сотрудники сторонних служб могут взглянуть на ситуацию по-
классе решения или интегрированная архитектура. Однако новому и дать подробную консультацию по угрозам, требующим
группы обеспечения безопасности сталкиваются с другой ответа.
проблемой, влияющей на все решения в области безопасности:
недостаток опыта у собственного персонала, обеспечивающего Недостаточное знание продуктов также может помешать команде
безопасность. Угрозы постоянно эволюционируют, а технологии обеспечения безопасности извлечь максимум из приобретаемых
становятся все более разнообразными, так что организации технологий. Продукты часто внедряются специалистами
должны все активнее использовать услуги обеспечения по продуктам, а не безопасности. Группы обеспечения
безопасности для восполнения недостатка собственного безопасности могут не понимать, как интегрировать продукты
персонала. для обеспечения целостного взгляда на угрозы. Чтобы реально
оценить эффективность защиты, желательно иметь единую
Качество защиты зависит от способности найти и удержать панель. Опытные группы управления безопасностью также могут
квалифицированных сотрудников. Сравнительное исследование помочь профессионалам в области безопасности с управлением
решений безопасности показало, что во многих отраслях нехватка облачными услугами и с оценкой того, насколько защищены
подготовленного персонала является главным препятствием их данные. Поставщики облачных услуг могут не использовать
к внедрению современных процессов и технологий защиты. защиту, например, двухфакторную аутентификацию. Эксперты
Безусловно, нехватка персонала является глобальной проблемой. могут помочь организациям изучить соглашения об уровнях
И опять же, внешние услуги могут решить эту проблему. обслуживания и договоры и определить, какие меры защиты
используют поставщики облачных услуг.
Figure
Рис. 58 Percent
58 Процент ofмалого
компаний SMBsи среднего
and enterprises outsourcing
бизнеса и крупных services
корпораций, by country
использующих внешние услуги, по странам
Когда речь идет о безопасности, какие (если применимо) США Бразилия Германия Италия Великобритания Австралия Китай
из следующих типов услуг отдаются на аутсорсинг
третьим сторонам полностью или частично?
Консалтинг 49 47 40 44 41 47 45 44 43 51 63 52 50 57
Аудит 51 48 48 56 45 49 40 44 49 48 39 30 28 44
Реагирование на инциденты 43 46 43 32 45 41 61 42 45 40 65 41 32 42
Мониторинг 54 44 44 38 38 41 50 39 46 41 47 36 33 35
Восстановление 34 34 26 21 45 42 32 23 30 34 38 28 46 47
Аналитика угроз 43 40 33 37 38 40 44 36 29 42 54 34 28 42
Ни одна из вышеперечисленных услуг не отдается
на аутсорсинг
14 15 7 13 6 15 2 10 11 20 5 14 20 12
Индия Япония Мексика Россия Франция Канада
Консалтинг 56 62 60 59 58 63 46 50 52 51 48 50
Аудит 43 50 35 25 57 64 37 43 44 56 44 50
Реагирование на инциденты 53 55 69 55 39 41 37 35 54 42 49 45
Мониторинг 42 51 54 41 44 46 34 44 51 57 49 50
Восстановление 44 43 40 28 12 24 31 50 34 35 36 45
Аналитика угроз 50 60 41 31 36 38 39 39 43 45 45 42
Ни одна из вышеперечисленных услуг не отдается
на аутсорсинг
6 5 1 6 5 5 6 7 2 5 10 11
IoT открывает большие возможности для сотрудничества По большому счету, успешная массированная атака на эти
и инноваций в бизнес-сфере. Однако по мере его роста устройства способна существенно подорвать деятельность
растет и риск безопасности, создаваемый им для организаций коммерческих компаний, госучреждений, да и всего Интернета
и пользователей. в целом. DDoS-атаки с использованием IoT-устройств уже стали
реальностью, и появление IoT-ботнетов (см. стр. 39) позволяет
Одной из проблем является сложность мониторинга. Большинство предположить, что злоумышленники уже готовят почву для
специалистов службы информационной безопасности не знают, разрушительных атак беспрецедентных масштабов.
какие IoT-устройства подключены к их сети. Безопасность, как
правило, не стоит на первом месте при создании IoT-устройств Чтобы справиться с проблемами безопасности, порождаемыми
(а это все устройства, начиная с камер и заканчивая термо быстро растущим и все менее поддающимся контролю
статами и интеллектуальными измерительными приборами). и управлению IoT, специалисты служб информационной
Многие из этих устройств сильно отстают по уровню обеспечения безопасности должны будут делать следующее:
безопасности от настольных систем и имеют уязвимости, на
устранение которых могут уходить месяцы, а то и годы. Кроме •• Продолжать использовать старые сигнатуры.
того, для них характерно: •• Защищать IoT-устройства с помощью системы
предотвращения вторжений.
•• Отчетность об уязвимостях и рисках и обновления
практически или полностью отсутствует. •• Внимательно отслеживать сетевой трафик (это особенно
важно в IIoT-средах, в которых легко прогнозировать
•• Запуск производится на специализированной архитектуре. профиль сетевого трафика).
•• Наличие необновленных или устаревших приложений, •• Отслеживать, как IoT-устройства соединены с сетью
имеющих уязвимости, например, Windows XP. и взаимодействуют с другими устройствами (например,
•• Исправления применяются редко. если IoT-устройство сканирует другое устройство,
с высокой долей вероятности это указывает на действия
Кроме того, в случае атаки на систему доступ к IoT-устройствам злоумышленника).
для их непосредственных владельцев затруднен или вовсе
•• Своевременно применять исправления.
невозможен, что затрудняет или делает невозможным ответные
действия. Словом, эти устройства могут стать легкой добычей •• Работать с поставщиками, которые обеспечивают
злоумышленников (примеры подобной ситуации см. в разделе безопасность продукта (соблюдая требования PSB — Product
«Злоумышленники шифруют медицинские устройства: это Security Baseline) и публикуют бюллетени по безопасности
реально» на стр. 42). (Security Advisories).
Две трети операторов связи используют 70% используют шесть и более продуктов,
шесть и более поставщиков, а 38% а половина использует более десяти.
используют более десяти.
6+ 6+
10+ 10+
Поставщики Продукты
Операторы Операторы
70%
связи связи
66%
38%
50%
При отсутствии достаточного количества экспертов в области Использование внешних услуг повышает эффективность,
безопасности организации госсектора также могут не справиться однако не увеличивает опыт собственного персонала
с угрозами. Использование услуг сторонних организаций является ключевой
Около 40% организаций госсектора сообщили, что из тысяч стратегией для организаций госсектора, стремящихся привлечь
сигналов тревоги, которые они получают ежедневно, изучить дополнительные ресурсы. Свыше 40% заявили, что полностью
удается лишь 65%. Из числа этих изученных угроз 32% или частично передали сторонним организациям такие функции,
приходится на долю реальных угроз, но лишь 47% этих реальных как мониторинг и аудиты. Примерно половина организаций,
угроз удается в итоге устранить. использующих аутсорсинг, в качестве основных причин подобного
решения называют объективный анализ, экономическую
Количество угроз, остающихся неизученными, свидетельствует
эффективность и своевременность реагирования на инциденты
о потребности в инструментах, которые обмениваются
(см. рис. 62).
информацией об угрозах и выполняют анализ. Такие инструменты
позволяют понять угрозы, так что персонал может определить, Услуги оценки возможности проникновения и другие аудиторские
какие из них требуют незамедлительной реакции. Кроме того, услуги должны выполняться сторонней организацией, однако
автоматизация может помочь разрешить некоторые угрозы, использование исключительно услуг внешней организации имеет
снижая загруженность команд по обеспечению безопасности. и свой минус: собственный персонал организации не накапливает
опыт с течением времени. Подобный опыт критически важен
Чтобы действительно изучить большое количество ежедневных
для защиты сетей от изощренных атак. Автоматические
сигналов тревоги, по мнению экспертов Cisco, организации
решения могут обеспечивать экономическую эффективность
госсектора требуются десятки сотрудников для обеспечения
и своевременную реакцию, однако необходимо соблюсти баланс
безопасности, однако такое количество встречается редко.
между сторонними и собственными экспертами, чтобы получить
35% организаций госсектора сообщили, что безопасностью у них
жизненно важный опыт.
занимается менее 30 специальных сотрудников. Кроме того,
27% сообщили, что недостаток квалифицированного персонала, Figure 63 Outsourcing
Рис. 63 Аутсорсинг addsстоль
предоставляет much-needed services
необходимые услуги
по их мнению, является основным препятствием на пути
внедрения современных процессов и технологий обеспечения
безопасности. Это еще одна причина, почему инструменты
автоматизации могут быть жизненно необходимыми для создания
системы защиты, способной обрабатывать ежедневные объемы
получаемых сигналов тревоги.
Когда область розничной торговли подвергается компрометации Опасаясь потери прибыли и ущерба бренду, профессионалы
системы безопасности, это быстро получает широкую огласку. в области обеспечения безопасности, работающие в розничной
Поскольку в результате атак на розничных торговцев часто торговле, называют в качестве главных рисков безопасности
страдают финансовые данные или личная информация клиентов, для своей организации целевые атаки (38%) и кражу данных
инциденты привлекают внимание СМИ и требуют проведения инсайдерами (32%) (рис. 64). Они правильно опасаются: часто
разъяснительной работы с потребителями. Атаки и утечки данных атаки начинаются внутри самой организации. Это означает, что
в сфере розничной торговли оказывают гораздо более негативное недостаточно создать систему безопасности, основанную на
влияние на репутацию бренда, чем в других отраслях, например, выявлении признаков проникновения извне (IOC). Организация
в здравоохранении или коммунального хозяйства. У потребителей также требуются инструменты для изучения признаков атак.
есть широкий выбор, и, если они считают, что продавец не Для выявления изощренной целевой атаки, например
заботится о безопасности, они легко могут найти ему замену. APT-атак или фишинговых атак, розничным продавцам
Получающие широкую огласку атаки на крупных розничных необходимо разделять стандартные и нестандартные профили
продавцов, например, когда вредоносное ПО используется для трафика, которые могут варьироваться в зависимости от дня,
кражи данных о кредитных картах клиентов, не могут не волновать недели
Figureили
64наличия сезонаattacks
Targeted активных покупок.
and insider exfiltration
профессионалов в области обеспечения безопасности, которые are biggest concerns
Рис. 64 Целевые атаки и кража данных инсайдерами вызывают
не хотят, чтобы их организация оказалась в подобной ситуации.
самое большое беспокойство
Однако не факт, что достаточное количество розничных
продавцов прониклось всей серьезностью ситуации. Руководство
компаний розничной торговли может считать, что информация
38%
Целевые
достаточно защищена, если просто защитить данные о кредитных атаки
картах межсетевыми экранами. Однако в случае передачи этих
данных банкам и другим партнерам в незашифрованном виде
защита, обеспечиваемая в сетях продавцах, ничего не стоит.
Автоматизация также может помочь решить проблему Компрометация может стать критическим фактором,
распределенных сред, уникальную проблему сферы розничной заставляющим организации розничной торговле менять
торговли. Например, сокращение количества сигналов тревоги, свою систему безопасности. Хотя лишь 29% заявили,
на которые персонал должен реагировать и устранять. что компрометация заставила их «значительно» усилить
Физические объекты (а следовательно, и данные) имеют большой безопасность, около 90% сообщили, что после компрометации
географический разброс, так что директору по безопасности они внесли «небольшие» улучшения в систему безопасности.
приходится лишь надеяться, что филиалы придерживаются
Figure 65 Percentage of organizations that dealt
Рис. 65 Процент организаций, столкнувшихся с различными
передовых методов обеспечения безопасности, внедренных
в головном офисе. Без постоянного взаимодействия с удаленными
with various consequences of data breaches
последствиями утечки данных
филиалами они могут использовать решения обеспечения
безопасности, которые устарели или стали небезопасны много
лет назад.
Около
60%
производственных предприятий
сообщили, что безопасностью
у них занимается
менее 30
специальных сотрудников
Хотя может показаться, что изучается лишь часть реальных угроз, Атаки также могут негативно сказываться на доходах и лояльности
энергетическая отрасль и коммунальные хозяйства являются клиентов коммунальных хозяйств. 29% профессионалов в области
лидерами по количеству устраненных сигналов тревоги среди обеспечения безопасности заявили, что их коммунальные службы
всех изученных отраслей. Кроме того, сигнал тревоги не всегда потеряли прибыль из-за атак в прошлом году, а 21% сообщили о
является угрозой. Профессионалы в области обеспечения потере клиентов. Поскольку многие потребители не могут сменить
безопасности могут направлять ресурсы на устранение только поставщика коммунальных услуг, так как в их регионе есть только
тех угроз, которые способны создать серьезные проблемы для один поставщик, потеря клиентов (а следовательно, и потеря
безопасности сети. выручки) не столь существенна, как в других отраслях с более
высокой конкуренцией.
Жесткий бюджет может делать привлекательным аутсорсинг
Из-за жесткого регулирования энергопредприятия и коммуналь Figure 69 Percentage
Рис. 69 Процент of security
профессионалов в области professionals
обеспечения
ные хозяйства не могут увеличивать бюджет на безопасность. who say breaches drove improvements
безопасности, заявивших, что компрометации стимулируют
Увеличение подобных расходов может потребовать длительных процесс улучшений
и сложных согласований. Это может объяснить популярность
привлечения сторонних организаций, о чем свидетельствует 0% 0% 9%
опрос. Свыше 60% профессионалов в области обеспечения Совсем Незначительно В определенной степени
безопасности коммунальных хозяйств заявили, что привлекают нет
сторонние организации для оказания консультационных услуг хотя
бы отчасти. Кроме того, около половины заявили, что привлекают
сторонние организации для оказания услуг мониторинга
и анализа угроз. Примерно половина организаций, использующих
аутсорсинг, в качестве основных причин подобного решения
называют объективный анализ и экономическую эффективность.
45% 46%
В немалой В значительной
степени степени
Учитывая необходимость работать в условиях строгого контроля
со стороны регулирующих органов, коммунальные хозяйства, как
правило, имеют официальные правила и стандартизированные
процедуры обеспечения безопасности. Почти две трети Источник: Сравнительное исследование Cisco решений
профессионалов в области обеспечения безопасности безопасности в 2017 г.
коммунальных хозяйств заявили о наличии документированных Загрузить графики за 2017 г.: cisco.com/go/mcr2017graphics
официальных стратегий обеспечения безопасности, а также
о соблюдении стандартизированной политики в области
информационной безопасности, например ISO 27001 или Популярностью пользуются моделирование атак и учения
NIST 800-53. Профессионалы в области обеспечения безопасности
коммунальных хозяйств сообщили, что регулярно проводят
Компрометации, получившие огласку, стимулируют улучшения учения и моделирование, чтобы выявить слабые места в своей
Если коммунальное хозяйство сталкивается с компрометацией, инфраструктуре безопасности. 92% заявили, что раз в полгода
это событие получает широкую огласку. Общественность или год проводят учения для проверки планов реагирования на
воспринимает коммунальные хозяйства как часть критически инциденты. 84% организаций вовлекают в подобные учения своих
важной инфраструктуры, а в компрометации системы партнеров в области обеспечения безопасности.
безопасности видит угрозу предоставляемым услугам.
61% оммунальных хозяйств заявили, что становились объектом Кроме того, 78% минимум раз в квартал выполняют
общественного внимания из-за утечки данных. моделирование атак на свои организации Профессионалы
в области обеспечения безопасности чуть менее чем половины
Хорошие новости заключаются в том, что подобные организаций (45%) заявили, что моделирование атак помогает
компрометации могут инициировать изменения системы стимулировать серьезные усовершенствования. Например,
безопасности: 91% профессионалов в области обеспечения изменения политик, процедур и технологий обеспечения
безопасности заявили, что компрометация заставила их хотя безопасности. Большое количество организаций, выполняющих
бы немного усилить безопасность (см. рис. 69). Это может быть моделирование атак, могут похвастаться, что их профессионалы
примером «нет худа без добра»: атака может показать, как в области обеспечения безопасности используют более
злоумышленники могут проникнуть в сеть, так что профессионалы автоматизированные инструменты, позволяющие им проводить
в области обеспечения безопасности понимают, какие именно моделирование с меньшими затратами времени и трудовых
точки необходимо контролировать. ресурсов.
37%
учреждений боится атаки, способной остановить критически
важное оборудование, что поставит под угрозу жизни пациентов.
Оно также опасается, что меры обеспечения безопасности,
призванные отслеживать трафик и выявлять угрозы в режиме
медучреждений
реального времени, могут замедлить передачу данных заявили, что
в критически важных системах, затрудняя работу врачей по наибольший риск для
диагностике и лечению пациентов. Помимо интенсивной терапии Healthcare них представляют
и реанимации, еще одной важно целью для своих систем целевые атаки
обеспечения безопасности медицинские учреждения считают
защиту конфиденциальных данных пациентов. Например,
в США эта сфера регулируется «Законом о преемственности
страхования и отчетности в области здравоохранения» (HIPAA).
По мере увеличения количества подключений и устройств Источник: Сравнительное исследование Cisco решений
в медицинских учреждениях руководители служб безопасности безопасности в 2017 г.
становятся все более обеспокоены безопасностью К сожалению, как и в случае с многими другими отраслями,
конвергированных сетей. В прошлом сложные медицинские количество угроз превышает возможности персонала по их
приборы (например, система сбора и архивирования изображений изучению. Более 40% медучреждений заявили, что ежедневно
(PACS), инфузионные помпы и приборы контроля состояния получают тысячи сигналов тревоги, изучается из которых только
пациента), как правило, поставлялись с сетями данных, 50% (см. рис. 71 на следующей странице). Из числа изученных
управляемыми поставщиками, так что устройства были физически персоналом сигналов тревоги 31% приходится на долю реальных
изолированы от других сетей. Сегодня при наличии достаточной угроз, но только 48% этих реальных угроз удается устранить.
пропускной способности медицинские учреждения находят
полезным направлять все данные через одну систему, используя По мнению экспертов Cisco, на самом деле изучается гораздо
логическое сегментирование для разделения различных типов меньше сигналов тревоги, чем думают руководители служб
сетевого трафика, например, от медицинских приборов, безопасности медучреждений. Или же они считают, что угрозы
административных и гостевых беспроводных сетей. Однако, если устранены, если они просто блокируются от проникновения
сегментирование выполнено неправильно, возрастают риски в сеть. Также неудивительно, что эти организации могут
получения злоумышленниками доступа к критически важным реагировать на такое небольшое количество сигналов тревоги,
данным или устройствам. поскольку изучение большого количества сигналов тревоги
максимально загружает сотрудников в области обеспечения
безопасности и ИТ-сотрудников, а также влияет на другие
деловые функции.
Рис. 71 Появляются тысячи сигналов тревоги, однако Такое множество поставщиков и продуктов, используемых
Figure 71 Thousands of alerts are encountered,
устраняются менее половины профессионалами в области обеспечения безопасности
but fewer than half are remediated медучреждений, может происходить из-за запутанности или
отсутствия прозрачности имеющихся инструментов. Как показали
результаты сравнительного исследования решений безопасности,
директора по информационной безопасности (CISO) и менеджеры
Медучреждения по информационной безопасности часто по-разному смотрят
ежедневно на имеющиеся инструменты обеспечения безопасности. Лица,
получают занимающие более высокое положение и не занимающиеся
тысячи повседневным управлением безопасностью, могут недостаточно
глубоко знать все инструменты, имеющиеся в их сети.
сигналов
тревоги Медучреждения с трудом могут реагировать на повседневные
угрозы и при этом управлять сложным набором решений из-
за нехватки подготовленного персонала. Около половины
специалистов в области обеспечения безопасности сообщили,
что в их организации имеется менее 30 сотрудников, специализи
рующихся на обеспечении безопасности. 21% заявил, что
59%
Около половины опрошенных заявили, что привлекли сторонние
организации для выполнения части или всех задач по
обеспечению безопасности. В качестве причин использования
аутсорсинга называются экономическая эффективность (52%)
профессионалов в области и объективный анализ (44%).
обеспечения безопасности
заявили, что облачную Следование стандартизированным практикам обеспечения
инфраструктуру информационной безопасности, например ISO 27001 или
и мобильные устройства NIST 800-53, может помочь транспортным организациям
тяжелее всего защищать придерживаться установленных стандартов безопасности.
от атак 54% профессионалов в области обеспечения безопасности
транспортных компаний следуют стандартизированным
Источник: Сравнительное исследование Cisco решений
политикам обеспечения информационной безопасности, а две
безопасности в 2017 г.
трети заявили, что следуют официальным документированным
Загрузить графики за 2017 г.: cisco.com/go/mcr2017graphics стратегиям обеспечения безопасности (см. рис. 73).
Также есть признаки, что транспортные организации признают Моделирование атак обеспечивает улучшения
ценность создания комплексной системы безопасности, Влияние на решения по вопросам безопасности может оказывать
а не простой покупки точечных решений. 75% транспортных тот факт, что транспорт, как и другие сильно регулируемые
организаций имеют операционный центр информационной отрасли, может восприниматься как критически важная
безопасности (SOC), а 14% заявили о планах создания такого инфраструктура. Например, около 80% профессионалов
центра. Кроме того, порядка 90% профессионалов в области в области обеспечения безопасности транспортных предприятий
обеспечения безопасности заявили, что их организации минимум раз в квартал выполняют моделирование атак на свои
участвуют в работе органа стандартизации безопасности или организации. Кроме того, почти половина опрошенных заявили,
отраслевой организации, например PT-ISAC или ST-ISAC. что результаты моделирования атак стимулируют существенные
усовершенствования в политиках, процедурах и технологиях
Рис. 73 Процент профессионалов в области обеспечения обеспечения безопасности.
Figure 73 Percentage
безопасности of transportation
транспортных организаций, следующихsecurity
professionals who
стандартизированным follow standardized practices
практикам Подобные изменения также могут быть результатом утечки
данных. 48% профессионалов в области обеспечения
безопасности транспортных предприятий заявили, что
становились объектом общественного внимания из-за утечки
данных. Хотя лишь 34% заявили, что компрометация заставила их
«значительно» усилить безопасность, 83% сообщили, что после
компрометации они внесли хотя бы «небольшие» улучшения
в систему безопасности.
50% 40%
Цифровой бизнес Финансово-технологический
оказывает сильное сектор, DevOps и бимодальная
влияние на безопасность ИТ-инфраструктура сильно
влияют на безопасность
Заключение
Заключение
В течение почти целого десятилетия компания Cisco публикует Вот почему сегодня как никогда важно, чтобы организации
годовые и полугодовые отчеты по информационной безопасности. сделали кибербезопасность своим приоритетом. Они должны
Эти отчеты призваны ознакомить группы обеспечения вкладывать средства в автоматизированные инструменты,
безопасности и предприятия, которые они поддерживают, способные помочь группам обеспечения безопасности
с киберугрозами и уязвимостями, а также с действиями, обрабатывать все сигналы тревоги, полностью контролировать
которые они могут предпринять для повышения безопасности и управлять своими динамическими сетями, а также быстро
и киберустойчивости. выявлять реальные угрозы и реагировать на них. Также они
должны выделять достаточное количество времени и ресурсов,
Разнообразие содержания настоящего отчета, представленного гарантирующее, что они всегда точно знают, что происходит в их
нашими исследователями угроз и технологическими партнерами, ИТ-среде, и что все элементы сети развернуты должным образом,
отражает сложность и многообразие современных угроз. Большая защищены и не устарели.
часть результатов исследования показывает, что специалисты
в области обеспечения безопасности не только успешно А сообщество специалистов в области обеспечения безопасности
противостоят злоумышленниками, но и все лучше понимают, как должно научиться мыслить шире и обсудить возможность
и где именно действует их противник. создания открытой экосистемы, позволяющей клиентам
внедрять решения безопасности, лучше всего подходящие для
Тем не менее, специалисты в области обеспечения безопасности их организации и обеспечивающие максимальную отдачу от
должны не сдавать своих позиций по мере расширения IoT. Как вложенных средств. В рамках этой экосистемы все решения
обсуждалось во введении к данному отчету, существуют признаки безопасности могут взаимодействовать друг с другом и вместе
подготовки новых типов атак, более грозных и разрушительных, защищать пользователей и компании. Требуется объединение
чем раньше. Злоумышленники разрабатывают эффективные, усилий всех специалистов в области обеспечения безопасности
хорошо спланированные атаки, призванные нарушить для противостояния потенциальным угрозам разрушения мира IoT,
деятельность любой организации, как небольшой, так и крупной. способного практически уничтожить организации, работающие
Злоумышленники знают, что ни у одной компании нет плана в этой среде.
экстренных мероприятий, описывающего, как восстановить все
ИТ- или ЭТ-операции с нуля, и намерены воспользоваться этой
уязвимостью.
83 Заключение
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
55 Данные взяты из опроса руководителей публичных компаний, проведенного 56 Исследование тенденций в ИТ-сфере Общества информационного менеджмента,
Национальной ассоциацией корпоративных руководителей (NACD) в 2016–2017 гг., с Каппельман Л.А. (Kappelman, L. A.) и др. (2017). Исследование можно загрузить
разрешения NACD. с веб-сайта SIM по адресу simnet.org/members/group_content_view.
Опрос можно загрузить с веб-сайта NACD по адресу nacdonline.org/Resources/ asp?group=140286&id=442564.
publicsurvey.cfm?ItemNumber=36843. 57 Там же.
84 Заключение
О компании Cisco
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
О компании Cisco
Компания Cisco создает интеллектуальные системы Эти данные обрабатываются в развитой инфраструктуре, которая
кибербезопасности для реального мира. Предлагаемый позволяет аналитикам и самообучающимся системам отслеживать
ею комплекс решений является одним из наиболее полных угрозы в различных сетях, центрах обработки данных, оконечных
в отрасли и защищает от широкого спектра угроз. Подход и мобильных устройствах, виртуальных системах, веб-сайтах,
Cisco к информационной безопасности, ориентированный на электронной почте и облачных системах с целью определения
нейтрализацию угроз и восстановление работоспособности, основных причин и масштабов распространения угроз. Итоговые
упрощает систему безопасности, делает ее более цельной, данные анализа немедленно распространяются по всему
предоставляет возможности детального мониторинга, миру среди клиентов Cisco и используются для защиты наших
согласованного управления и усовершенствованной защиты продуктов и сервисов в режиме реального времени.
от угроз до, во время и после атаки.
86 О компании Cisco
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
87 О компании Cisco
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Набор решений для анализа угроз Anomali позволяет Lumeta позволяет группам обеспечения безопасности
организациям обнаруживать и исследовать активные угрозы и управления сетью выявлять киберугрозы и предотвращать
кибербезопасности и реагировать на них. Признанная платформа вторжения. Lumeta предлагает беспрецедентную возможность
анализа угроз ThreatStream собирает и оптимизирует миллионы находить известные, неизвестные, теневые и подставные
индикаторов угроз, составляя «черный список». Anomali элементы сетевой инфраструктуры, а также выполнять
интегрируется с внутренней инфраструктурой для выявления мониторинг сети и оконечных устройств в режиме реального
новых атак, анализа за прошлый год для обнаружения уже времени и анализировать сегментацию элементов для
совершенных атак, а также позволяет специалистам в области динамических сетей, оконечных устройств, виртуальных машин
обеспечения безопасности быстро разобраться в угрозах и облачной инфраструктуры. Дополнительные сведения
и держивать их. Anomali также предлагает бесплатный инструмент см. на веб-сайте lumeta.com.
STAXX для сбора и обмена результатами анализа угроз,
а также предоставляет бесплатную, готовую к использованию
ленту аналитики Anomali Limo. Для получения дополнительной
информации посетите веб-сайт anomali.com, а также следите
за нами в Twitter: @anomali. Qualys, Inc. (NASDAQ: QLYS) является пионером и ведущим
поставщиком облачных решений обеспечения безопасности
и соответствия нормативным требованиям, обслуживая свыше
9300 клиентов более чем в 100 странах, большая часть
которых входит в списки Forbes Global 100 и Fortune 100.
Flashpoint предлагает анализ бизнес-рисков (Business Risk Облачная платформа Qualys и интегрированный набор решений
Intelligence, BRI), позволяющий целым отделам и отдельным помогает организациям упростить обеспечение безопасности
сотрудникам в организации принимать более обоснованные и снизить затраты на соответствие нормативным требованиям,
решения и снижать риски. Уникальные данные о теневом предоставляя необходимый анализ критически важной
Интернете, а также опыт и технологии обеспечивают клиентов инфраструктуры безопасности и автоматизируя все операции
информацией, позволяющей оценивать риски и защищать свою аудита, обеспечения соответствия и защиты для ИТ-систем
деятельность. Для получения дополнительной информации и веб-приложений. Созданная в 1999 году компания Qualys
посетите веб-сайт flashpoint-intel.com. установила стратегические партнерские отношения с ведущими
поставщиками административных услуг и консалтинговыми
организациями по всему миру. Для получения дополнительной
информации посетите веб-сайт qualys.com.
88 О компании Cisco
Отчет Cisco по информационной безопасности за первое полугодие 2017 г.
Radware (NASDAQ: RDWR) является глобальным лидером на рынке ThreatConnect® обеспечивает организации мощной защитой от
приложений и решений кибербезопасности для виртуальных, киберугроз и дает уверенность при принятии стратегических
облачных и программно-определяемых центров обработки коммерческих решений. Используя в качестве основы
данных. Ее портфель удостоившихся наград решений защищает единственную в отрасли аналитическую расширяемую
более 10 000 компаний по всему миру. Дополнительные ресурсы платформу безопасности, ThreatConnect предлагает набор
и информацию можо посмотреть в онлайн-центре безопасности решений, призванных удовлетворить потребности специалистов
Radware, предлагающем всесторонний анализ инструментов в агрегировании результатов анализа угроз, анализе и автома
DDoS-атак, тенденций и угроз: security.radware.com. тизировании при любом уровне зрелости. Свыше 1600 компа
ний и учреждений по всему миру используют платформу
ThreatConnect для интеграции своих технологий, команд
и процедур обеспечения безопасности, получая практически
применимые результаты анализа, которые позволяют сократить
Rapid7 (NASDAQ: RPD) заслужила доверие ИТ-специалистов время от выявления до реагирования на инцидент и повысить
и профессионалов в области информационной безопасности по защиту активов. Для получения дополнительной информации
всему миру, позволяя им управлять рисками, упрощать посетите веб-сайт threatconnect.com.
ИТ-инфраструктуру и стимулировать инновации. Аналитка Rapid7
превращает огромные объемы данных о системе безопасности
и ИТ-инфраструктуре в ответы, позволяющие создавать
и обеспечивать безопасность сложных ИТ-сетей и приложений.
Исследования, технологии и услуги Rapid7 облегчают управление TrapX Security предлагает автоматизированную защитную сеть для
уязвимостями, тестирование на возможность проникновения, автоматической маскировки и защиты, позволяющую пресекать
защиту приложений, обнаружение и реагирование на инциденты, угрозы в режиме реального времени, одновременно предоставляя
а также управление журналами для свыше 6300 организаций имеющую практическую ценность аналитику для блокировки
в более чем 120 странах мира, включая 39% компаний, злоумышленников. TrapX DeceptionGrid™ позволяет компаниям
входящих в список Fortune 1000. Для получения дополнительной обнаруживать, перехватывать и анализировать вредоносное
информации посетите веб-сайт rapid7.com. ПО нулевого дня, используемое лучшими в мире группами,
осуществляющими АРТ-атаки. Компании используют TrapX для
усиления своей ИТ-экосистемы и снижения рисков приносящих
убытки и подрывающих репутацию компрометаций, утечек
Помогающие бизнесу решения безопасности RSA позволяют данных и нарушения нормативных требований. Средства защиты
клиентам быстро выявлять инциденты, эффективно на TrapX встраиваются в самое сердце сети и критически важной
них реагировать и защищать самую ценную информацию. инфраструктуры, не требуя наличия агентов или настройки.
С помощью удостоенных наград решений для быстрого Новейшие методы обнаружения вредоносного ПО, анализа угроз
обнаружения и реагирования, защиты учетных данных и доступа, и криминалистической экспертизы в рамках единой платформы
защиты клиентов от мошенничества и управления бизнес- помогают снижать сложность и уровень затрат. Для получения
рисками клиенты RSA могут процветать в этом мире, полном дополнительной информации посетите веб-сайт trapx.com.
неопределенности и рисков. Для получения дополнительной
информации посетите веб-сайт rsa.com.
89 О компании Cisco
Загрузка графиков Исправления и обновления
Все графики в данном отчете можно загрузить по адресу: Обновления и исправления информации, приведенной
cisco.com/go/mcr2017graphics. в данном проекте, см. по адресу cisco.com/go/errata.
Компания Cisco имеет более 200 офисов по всему миру. Адреса, номера телефонов и факсов приведены на веб-сайте Cisco по адресу www.cisco.com/go/offices.
Cisco и логотип Cisco являются товарными знаками или зарегистрированными товарными знаками компании Cisco и/или ее дочерних компаний в США и других странах. Список товарных
знаков Cisco см. по адресу: www.cisco.com/go/trademarks. Товарные знаки других организаций, упомянутые в настоящем документе, являются собственностью соответствующих
владельцев. Использование слова «партнер» не означает наличия партнерских отношений компании Cisco с какой-либо другой компанией. (1110R)
Adobe, Acrobat и Flash являются зарегистрированными товарными знаками или товарными знаками корпорации Adobe Systems в США и (или) других странах.