По данным PricewaterhouseCoopers (PwC), в 2015 году в России средний ущерб от инцидентов информационной безопасности увеличился с $3,6 млн до $5,3 млн, при этом их количество выросло в 2,5 раза. В мире количество инцидентов в 2015 году выросло на 38% по сравнению с 2014 г., а финансовый ущерб от них сократился на 5%. Из-за потери бизнес-критичной информации компании несут не только существенные материальные, но и репутационные издержки. Поэтому игнорировать задачу построения грамотной системы защиты корпоративных ресурсов становится все более рискованно.
Недавно компания Cisco выпустила аналитический отчет по информационной безопасности, в котором содержатся результаты последних исследований и ключевые тенденции развития рынка, а также подробно описываются основные направления и методики осуществления кибератак. Думаю, что выводы аналитиков Cisco, несомненно, пригодятся компаниям, ориентированным на повышение безопасности работы корпоративной сети и эффективную защиту от кибермошенничества.
Главные векторы атак
Главными векторами атак являются электронная почта и вредоносная реклама, хотя некоторые мошенники также используют уязвимости программного обеспечения (так называемая уязвимость нулевого дня), уязвимости (или backdoors) оборудования корпоративных сетей или серверного оборудования. Число PDF и Java атак, наоборот, сокращается. Однако вредоносный код, встроенный в PDF файл, все же применяется в электронной почте, чтобы убедить получателя открыть скомпрометированное вложение. Авторы спам-писем часто используют эту тактику в сочетании с привлекательной темой письма, которая связана с важнейшими новостями, например, изменением в законодательстве. Киберпреступники по-прежнему используют уязвимости Adobe Flash. Недавний анализ Nuclear (набор инструментов, позволяющих злоумышленникам сгенерировать вредоносный код для использования уязвимости в продукте) показал, что на flash приходится 80% успешных попыток проникновения в сеть.
Время пока на стороне киберпреступников
Прежде всего, следует понимать, что обеспечение сетевой безопасности должно быть комплексным, с использованием большого количества ИТ-инструментов, которые постоянно эволюционируют, адаптируются под новые угрозы, чтобы, в конечном итоге, помочь ИТ-службе минимизировать время кибермошенников на совершение атаки.
Одной из главных проблем при обеспечении сетевой безопасности, как отмечается в отчете Cisco, остается неограниченность злоумышленников во времени в рамках совершения атаки. Их действия часто основаны на использовании известных уязвимостей в программном обеспечении (ПО), которым пользуется компания, на которую совершается кибернападение. Долгое время такие атаки остаются незамеченными, иногда даже в течение нескольких месяцев. Таким образом, злоумышленники могут спокойно искать и использовать уязвимости в инфраструктуре, системах и устройствах, обслуживанием которых никто не занимается.
Противостоять атакам без комплексного подхода к обеспечению сетевой безопасности практически невозможно, т.к. в данном случае компания не в полной мере контролирует, что происходит в ее сети. Соответственно, степень уязвимости очень высока. Комплексный подход, в первую очередь, означает достижение сетевой прозрачности, которая позволяет ИТ-службе с помощью специализированных ИТ-решений (например, межсетевых экранов, антивирусов, антиспам систем, «песочниц» и пр.) в любой момент времени понимать — каким образом злоумышленник попал в сеть, какие системы его обнаружили (или не обнаружили).
Новый тренд — программы-вымогатели
В последнее время корпоративный сектор все чаще подвергается атакам со стороны программ-вымогателей, который на данный момент являются доминирующим видом вредоносного ПО. Несмотря на то, что такие программы — далеко не новая угроза, их вид постоянно изменяется. Более того, в большинстве программ-вымогателей используется сложное шифрование.
Программы-вымогатели эволюционируют. Эксперты рынка предупреждают, что зловред следующего поколения будет еще более устойчивым к обнаружению и устранению, а эффективность методов его проникновения в сеть вырастет. Еще одной особенностью программ-вымогателей, как следует из отчета Cisco, станет их самораспространение, а это значит: использование уязвимости в широко распространенном программном продукте, копирование на все имеющиеся носители (зловред создает собственные копии на всех локальных и удаленных устройствах хранения данных, включая сетевые и USB-накопители), инфицирование файлов (вредоносное ПО способно заражать файлы, внедряя собственный код в начало или конец инфицируемого файла), использование существующего вредоносного ПО.
Имея дело с программами-вымогателями, не стоит слишком рассчитывать на защищенные соединения. Киберпреступники могут их легко взломать. Распространение шифрований играет положительную роль, т.к. криптографические средства позволяют защитить важную информацию от несанкционированного доступа. Однако нужно понимать, что шифрование порождает новый риск — система безопасности усложняется. Это может привести к появлению новых уязвимостей. Если шифрование применяется некорректно, то защиту оно не обеспечивает.
В программах-вымогателях используется модульная архитектура, которая встречается во всех известных пакетах с открытым исходным кодом, предназначенных для проверки защищенных систем. Это позволяет наделить зловреда «нужным» набором функций, что увеличивает эффективность его проникновения в сеть и позволяет быстро менять тактику, если он был обнаружен.
Вывод — проактивная защита корпоративной сети
Эксперты настоятельно советуют начать готовиться к потенциальным атакам, создавая резервные копии критически важных данных. При этом копии следует размещать в хранилище, которое не может быть скомпрометировано. Восстановить данные не так просто, поэтому важно заранее определить наиболее узкие места в инфраструктуре.
Межсетевые экраны нового поколения (NGFW) — надежная защита
Для обеспечения безопасности корпоративных ресурсов внедряются системы безопасности на основе межсетевых экранов нового поколения (NGFW). Решения данного класса позволяют обеспечить отказоустойчивость и безопасность бизнес-процессов компании, идентифицировать пользователей и приложения для реализации политики информационной безопасности, включая создание групповых политик доступа, а также блокировать нежелательный трафик независимо от используемых портов. Сетевые экраны нового поколения способны вовремя обнаружить и предотвратить разовые или регулярные DDoS-атаки, а также обеспечить защиту от 0-day атак (атак нулевого уровня).
Памятка для службы информационной безопасности по усилению защиты бизнеса:
- Необходимо разработать и испытать план реагирования на инциденты, который позволит в кратчайшие сроки восстановить работу бизнес-процессов в случае успешной атаки программ-вымогателей.
- Учитывать, что шифрованное соединение не дает 100% гарантий безопасности.
- Поддерживать в актуальном состоянии версии программного обеспечения (ПО).
- Увеличивать осведомленность сотрудников об угрозах, исходящих от вредоносного ПО (особенно — проникающего в систему через браузеры).
- Научиться анализировать данные о вновь появляющихся угрозах и принимать соответствующие меры по их устранению.