Отчет Cisco по информационной безопасности за первое полугодие 2017 г. указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки.
С появлением Интернета вещей (Internet of Things, IoT) все больше операций в ключевых отраслях переводится в режим online, что расширяет горизонт атак, увеличивает их масштабы и усугубляет последствия.
Недавние атаки WannaCry и Nyetya продемонстрировали скорость распространения и широту охвата вредоносного ПО, которое выглядит как программы-вымогатели, но на самом деле способно вызвать куда более существенные разрушения. Это предвещает появление угроз, которые Cisco назвала атаками типа «прерывание обслуживания» и которые могут наносить значительно больший, по сравнению с традиционными атаками, ущерб, не оставляя при этом бизнесу возможности восстановления.
Интернет вещей продолжает предоставлять злоумышленникам новые шансы, его уязвимости будут играть главную роль в запуске новых кампаний с нарастающим ущербом. Недавняя активность IoT-ботнета дает основания предполагать, что некие злоумышленники уже готовят почву для широкомасштабной атаки с катастрофическими последствиями, которая может уничтожить и сам Интернет.
Но есть и хорошие новости: с ноября 2015 г. Cisco уменьшила медианное время обнаружения с 39 до почти 3,5 часов (для периода с ноября 2016 г. по май 2017 г.). Такое сокращение времени обнаружения играет существенную роль в ограничении сферы действия атаки и ускорении восстановления для ограничения отрицательных последствий для бизнеса.
«Информационная безопасность становится ключевым фактором, определяющим стабильное функционирование бизнеса и успех цифровых преобразований. Недавние атаки, такие как WannaCry и Nyetya, демонстрируют, что злоумышленники становятся все более изобретательными. А сложность и разрозненность ИБ-решений позволяют преступникам находить новые бреши в системах защиты. Чтобы противостоять современным угрозам, необходим целостный архитектурный подход, обеспечивающий защиту до, во время и после атаки. Эффективная ИБ-стратегия начинается с ликвидации самых очевидных брешей в защите и с понимания, что безопасность – приоритет любого бизнеса», – говорит Джонатан Спарроу, вице-президент Cisco по работе в России/СНГ.
Текущий момент: чего стоит опасаться
Наблюдая в первой половине 2017 г. за эволюцией вредоносного ПО, специалисты Cisco по безопасности выявили новые методы, к которым злоумышленники прибегают для доставки и маскировки вредоносного ПО. В частности, по наблюдениям Cisco, злоумышленники все чаще подталкивают намеченную жертву к совершению тех или иных действий для активации атаки (нажатие на ссылку, открытие файла), а также все больше используют безфайловое вредоносное ПО, которое полностью располагается в памяти, что затрудняет его поиски и анализ, т.к. оно удаляется при перезагрузке устройства. Киберпреступники также пользуются анонимными и децентрализованными инфраструктурами, такими как Tor, чтобы замаскировать инфраструктуру управления своими продуктами и затруднить ее блокировку.
Cisco отмечает как уменьшение активности эксплойтов-китов, так и возрождение традиционных атак.
- Значительно увеличиваются объемы спама, так как для рассылки вредоносного ПО и получения прибыли злоумышленники используют такие проверенные методы, как электронная почта. По прогнозам специалистов Cisco, объемы спама с вредоносными вложениями продолжат рост, тогда как в области эксплойт-китов наблюдаются разнонаправленные тенденции.
- Тем временем шпионское и рекламное ПО, от которого специалисты по безопасности зачастую отмахиваются, считая, что оно больше досаждает, чем вредит, продолжает удерживать позиции и создавать риски для предприятий. При этом Cisco, обследовав в течение 4 месяцев 300 компаний, обнаружила у 20% из них наличие трех распространенных типов шпионского ПО. В корпоративной среде такое ПО способно похищать пользовательскую и бизнес-информацию, ослаблять защиту устройств и увеличивать риски заражения вредоносным ПО.
- Эволюция программ-вымогателей, в частности, рост популярности подобных программ, предлагаемых как услуга (Ransomware-as-a-Service), облегчает преступникам проведение таких атак даже при отсутствии соответствующей квалификации. Последнее время программы-вымогатели не сходят с первых страниц новостей: как сообщается, в 2016 г. они «заработали» более 1 млрд долларов. Но это может отвлекать организации от других, менее известных, но куда более опасных атак. Компрометация бизнес-почты с помощью социального инжиниринга (атака, при которой в сообщении электронной почты предлагается под фальшивым предлогом перевести деньги злоумышленнику) начинает приносить немалые деньги: по данным Центра борьбы с интернет-преступностью (Internet Crime Complaint Center), с октября 2013 по декабрь 2016 только таким образом мошенники выманили 5,3 млрд долларов.
Разные отрасли — общие проблемы
Пока преступники продолжают наращивать интенсивность и изощренность своих атак, бизнес в разных отраслях испытывает проблемы даже с реализацией базовых требований безопасности. В результате происходящего в Интернете вещей сращивания информационных и операционных технологий организации начинают испытывать проблемы, связанные с полнотой обзора и усложнением структуры. В рамках сравнительного исследования решений безопасности (Security Capabilities Benchmark Study) Cisco опросила около 3000 экспертов из 13 стран, выявив, что в разных отраслях отделы информационной безопасности вынуждены отражать все больше и больше атак, что приводит к преобладанию ответных действий в защите.
- На уведомления в области информационной безопасности обращают внимание не более 2/3 организаций, в некоторых отраслях, таких как здравоохранение и транспорт, их число приближается к 50%.
- Даже там, где к предупреждениям относятся наиболее серьезно (например, финансы и здравоохранение), организации отражают менее половины атак, зная, что они представляют реальную угрозу.
- Нарушение безопасности нередко приводит к интенсификации усилий по защите. В большинстве отраслей взломы привели как минимум к умеренным улучшениям систем информационной безопасности в 90% организаций, при этом некоторые отрасли, например, транспорт, реагировали не так активно, набрав чуть более 80%.
Основные результаты по отраслям
- Госсектор. Из всех расследованных угроз 32% были признаны реальными, но из них только 47% были в результате устранены.
- Розничная торговля. 32% респондентов заявили о потере доходов в прошлом году вследствие атак, при этом около 25% сообщили о потере заказчиков и потенциальной выгоды.
- Сфера производства. 40% специалистов по безопасности в сфере производства заявили об отсутствии формальной стратегии обеспечения информационной безопасности, а также о несоблюдении рекомендаций, изложенных в нормативных документах и отраслевых рекомендациях, таких как ISO 27001 и NIST 800-53.
- Энергетика. По словам специалистов по информационной безопасности, основные риски для их организаций представляли целевые атаки (42%) и постоянно присутствующие угрозы повышенной сложности (advanced persistent threats, APT) (40%).
- Здравоохранение. 37% медучреждений считают наиболее опасными целевые атаки.
Рекомендации Cisco для организаций
Чтобы противостоять киберпреступникам, организациям необходимо уделять большое внимание вопросам защиты. Подразделение Cisco Security советует:
- поддерживать актуальность инфраструктуры и приложений, не давая атакующим возможность использовать известные уязвимости;
- предотвращать излишнее усложнение инфраструктуры за счет интегрированных средств защиты; ограничивать капиталовложения в изолированные решения;
- привлекать руководство на ранних этапах для полного понимания рисков, результатов и бюджетных ограничений;
- устанавливать четкие метрики; использовать эти метрики для оценки и совершенствования подходов к обеспечению безопасности;
- пересмотреть стратегию подготовки кадров, отдавая преимущество специализированным курсам обучения перед универсальными;
- соблюдать баланс защиты и активного отпора, не действовать по принципу «установил и забыл».