НОВИНИ

Звіт Cisco з інформаційної безпеки за перше півріччя 2016 р прогнозує появу нового покоління програм-вимагачів

2016-08-05
Автор: Телесфера

Report

Основне завдання організацій - зачинити «вікно можливостей» перед атакуючими; Cisco продемонструвала черговий галузевої рекорд за часом виявлення загрози - 13 годин
За даними підготовленого компанією Cisco® звіту з інформаційної безпеки за перше півріччя 2016 року (Midyear Cybersecurity Report, MCR), організації не готові до появи нових різновидів витончених програм-вимагачів. Нестабільна інфраструктура, погана мережева гігієна, низька швидкість виявлення - все це забезпечує зловмисникам можливість довгий час діяти приховано. Отримані результати говорять про те, що основні труднощі компанії відчувають при спробах обмежити оперативний простір атакуючих, і це ставить під загрозу всю базову структуру, необхідну для цифрової трансформації. Також в звіті наголошується розширення сфери активності зловмисників за рахунок атак на сервери, зростаюча витонченість атак і участившееся застосування шифрування для маскування зловмисної діяльності.

За підсумками першого півріччя 2016 роки програми-вимагачі стали найприбутковішим типом зловмисного ПЗ в історії. Фахівці Cisco вважають, що ця тенденція збережеться, причому з'являться ще більш руйнівні програми-вимагачі, здатні поширюватися самостійно, заручниками яких можуть стати цілі мережі і компанії. Нові модульні різновиди таких програм зможуть швидко змінювати свою тактику для досягнення максимальної ефективності. Наприклад, майбутні програми-вимагачі зможуть уникати виявлення завдяки здатності звести до мінімуму використання центрального процесора і відсутності керуючих команд. Ці нові версії програм-вимагачів поширюватимуться швидше своїх попередників і до початку атаки саморепліціроваться в організаціях.

Однією з основних проблем залишається погана обозреваемость мережі і кінцевих точок. В середньому на виявлення нових загроз у організацій йде до 200 днів. За медианному часу виявлення загроз Cisco продовжує випереджати галузь: протягом шести місяців до квітня 2016 року було зафіксовано новий мінімум для раніше невідомих загроз - близько 13 годин. Це менше, ніж за аналогічний період, що закінчився в жовтні 2015 року, тоді результат становив 17,5 годин. Скорочення часу виявлення загроз надзвичайно важливо з точки зору обмеження оперативного простору зловмисників і мінімізації збитку від вторгнень. Наведені вище цифри отримані в результаті обробки добровільної телеметрії, зібраної рішеннями Cisco по забезпеченню інформаційної безпеки, розгорнутими по всьому світу.

Зловмисники не стоять на місці, і защищающимся доводиться постійно працювати над підтриманням безпеки своїх пристроїв і систем. Додаткові зручності атакуючим створюють підтримуються і неоновлювані системи, які дозволяють їм легко отримувати доступ, залишатися непоміченими, збільшувати свій дохід і наносити максимальної шкоди. Звіт Cisco MCR 2016 свідчить про те, що ця проблема має глобальний характер. За останні кілька місяців значне зростання атак зафіксовано в найбільш важливих галузях (наприклад, в охороні здоров'я), при цьому метою зловмисників є всі вертикальні ринки і глобальні регіони. Громадські організації та підприємства, благодійні та неурядові організації, компанії електронної комерції - всі вони в першій половині 2016 р зафіксували зростання атак. У світовому масштабі викликають заклопотаність геополітичні питання, включаючи складність регламентування і суперечливість політик кібербезпеки в різних країнах. Необхідність контролювати дані і отримувати доступ до них може обмежувати міжнародну торгівлю і суперечити її інтересам.

Атакуючі діють без обмежень
Чим довше атакуючі зможуть діяти непоміченими, тим більший прибуток вони отримають. За даними Cisco, в першій половині 2016 року доходи атакуючих значно зросли внаслідок ряду факторів.

Розширення сфери дій. Атакуючі розширюють сферу своїх дій, переходячи від клієнтських експлойтів до серверних, уникаючи виявлення і максимізуючи збиток і свої доходи.

Уразливості Adobe Flash залишаються однією з головних цілей шкідливої реклами та наборів експлойтів. У поширеному наборі Nuclear на частку Flash припадає 80% успішних спроб злому.
Cisco зазначила також нову тенденцію програм-вимагачів, які експлуатують серверні вразливості, особливо це стосується серверів Jboss (скомпрометовано 10% всіх підключених до Інтернету серверів). Багато з вразливостей Jboss, використовувані для компрометації систем, були виявлені ще п'ять років тому, і базові коригування та оновлення вендорів цілком могли б запобігти подібним атакам.
Нові методи атак. У першій половині 2016 р атакуючі розробляли нові методи, які використовують недолік обозреваемость мережі.

Експлойти довічних файлів Windows за минулі півроку вийшли на перше місце серед веб-атак. Цей метод забезпечує міцне становище в мережевих інфраструктурах і ускладнює виявлення і усунення атак.
У той же час шахрайський соціальний інжиніринг в Facebook перемістився з першого місця (2015) на друге.
Замітання слідів. На додаток до проблем обозреваемость зловмисники стали все більше використовувати шифрування як метод маскування різних аспектів своєї діяльності.

Cisco зафіксувала зростання використання криптовалюта, протоколу безпеки транспортного рівня Transport Layer Security і браузера Tor, що дозволяє анонімно спілкуватися в Інтернеті.
У кампаніях шкідливої реклами за період з грудня 2015 по березень 2016 відзначений 300-відсоткове зростання використання шкідливого ПО з шифруванням по протоколу HTTPS. Таке ПО дозволяє атакуючим довше приховувати свою веб-активність, збільшуючи час дії.
Захисники намагаються скоротити уразливості і залатати дірки
При зіткненні з витонченими атаками компаніям, котрі володіють обмеженими ресурсами і застарілої інфраструктурою, складно погнатися за своїми противниками. Отримані дані дозволяють припустити, що чим важливіше технологія для бізнес-операцій, тим гірше йдуть справи з підтримкою адекватної мережевий гігієни, в тому числі з коригуванням ПЗ. наприклад:

якщо ми візьмемо браузери, то останню або передостанню версію Google Chrome, який підтримує автоматичні оновлення, використовують 75 - 80% користувачів;
якщо перейти до програмного забезпечення, то Java оновлюється значно повільніше: на одній третині досліджених систем встановлено ПО Java SE 6, яке компанія Oracle давно вже вивела з експлуатації (поточна версія - SE 10);
не більше 10% користувачів Microsoft Office 2013 v.15x встановили останню версію пакета виправлень.
Крім того, дослідження Cisco виявило, що велика частина інфраструктури потенційних жертв вже не підтримується або ж експлуатується при наявності відомих вразливостей. Це системна проблема і для вендорів, і для кінцевих точок. Зокрема, фахівці Cisco, обстеживши 103 121 пристрій компанії, підключений до Інтернету, виявили наступне:

на кожному пристрої були присутні в середньому 28 відомих вразливостей;
середній термін активності відомих вразливостей на пристроях склав 5,64 року;
більше 9% відомих вразливостей були старше 10 років.
Для порівняння фахівці Cisco обстежили понад 3 млн програмних інфраструктур, в основному на базі Apache і OpenSSH. У них було виявлено в середньому 16 відомих вразливостей із середнім терміном існування 5,05 року.

Найпростіше оновити браузер на кінцевої точки, складніше - корпоративні програми і серверні інфраструктури, тому що це може викликати проблеми з безперервністю бізнес-процесів. У загальному і цілому, чим більш важливу роль відіграє додаток для бізнес-операцій, тим менше ймовірність його частого оновлення, що створює прогалини в захисті і зручні можливості для атак.

Прості поради Cisco по захисту бізнес-середовища
Фахівці Cisco Talos прийшли до висновку, що організації, які слідують декільком простим, але важливим процедурам, значно підвищують безпеку своїх операцій:

Дотримання мережевий гігієни: моніторинг мережі, своєчасна установка коригувань і оновлень ПО, сегментація мережі, реалізація захисту на кордоні, включаючи веб-захист і захист електронної пошти, застосування новітніх міжмережевих екранів і систем запобігання вторгнень;
Інтеграція захисту на основі архітектурного підходу на противагу використанню нішевих продуктів;
Вимірювання часу виявлення; заходи, спрямовані на скорочення періоду виявлення і усунення загроз, внесення вимірювальних процесів в політику безпеки організації;
Повсюдна захист користувачів, де б вони не працювали, а не тільки захист систем корпоративної мережі;
Резервне копіювання критичних даних, регулярна перевірка ефективності і захищеності резервних копій.
«Для організацій, які переходять в результаті цифровий трансформації до нових бізнес-моделей, питання безпеки стають основними. Атакуючі йдуть непоміченими і діють всі довше. Щоб усунути «лазівки», необхідно поліпшити обозреваемость мереж і більш відповідально підходити до таких питань, як оновлення ПЗ і списання застарілої інфраструктури, що не володіє передовими засобами захисту »,? зазначає Марті Рош (Marty Roesch), віце-президент Cisco і головний архітектор бізнес-групи по розробці систем безпеки.

Коротка інформація про звіт Midyear Cybersecurity Report 2016
У звіті аналізуються новітні відомості про загрози, отримані за допомогою системи колективної аналітики інформаційної безпеки Cisco Collective Security Intelligence. У документі наводяться результати аналізу отриманих даних і виявлення галузеві тенденції в сфері кібербезпеки за перше півріччя, а також практичні рекомендації щодо вдосконалення захисту. При складанні звіту використовувалися дані, щодня надходять від 40 млрд точок телеметрії. На основі аналітичних даних фахівці Cisco в реальному часі забезпечують захист продуктів і сервісів, якими користуються замовники компанії в усьому світі.

 


 Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco Security Cloud, розроблена як найбільш відкрита платформа в галузі

Cisco Security Cloud, розроблена як найбільш відкрита платформа в галузі

Під час конференції RSA, RSAC 2022, Cisco оприлюднила своє бачення глобальної уніфікованої платформи для наскрізної безпеки в мультихмарних середовищах. Cisco Security Cloud створено як відкриту платформу безпеки без публічного блокування, що забезпечує стійкість безпеки та захищає цілісність усієї ІТ-екосистеми.

Cisco SD-WAN з AWS Cloud WAN для глобальної хмарної мережі на вимогу

Cisco SD-WAN з AWS Cloud WAN для глобальної хмарної мережі на вимогу

SD-WAN тепер є основною частиною переходу до хмари для організацій, які впроваджують інфраструктуру як послугу для забезпечення доступності додатків на вимогу. Але цей перехід має тривати постійно. Ручне підключення від філії до хмари або регіон за регіоном більше не є ефективним або масштабованим.

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи

Сьогодні всі підприємства змушені адаптуватися до масштабних цифрових трансформацій, що відбулися за останні два роки і докорінно змінили їх технологічні стратегії та характер діяльності, включаючи гібридні хмарні середовища для об'єднання приватних та публічних хмар, штучний інтелект та машинне навчання для прискорення впровадження IoT-рішень, гібридну модель роботи для захищеного підключення всіх працівників та всіх цифрових активів. Успішна організація гібридної роботи не обмежується лише ефективною підтримкою віддалених працівників. Необхідно мати можливість адаптуватися до змін у міру їх виникнення, і це насамперед стосується корпоративних мереж.