Cisco: кібербезпека і тренди захисту

 

Про сучасні кіберзагрози і стратегії Cisco з протиборства зловмисникам ми розмовляли з Володимиром Ілібманом, експертом Cisco з інформаційної безпеки, на щорічному форумі «Архітектура цифрових мереж», який відбувся в середині квітня в Києві.

 

 

В основу бесіди ліг щорічний звіт компанії з інформаційної безпеки. У звіті Cisco за 2017 рік представлено результати досліджень, висновки і думки фахівців групи аналітиків Cisco Security Research. Відзначено постійно присутню «пружинну» динаміку: хакери намагаються збільшити час, доступний для реалізації атаки, тоді як сторона, що обороняється, прагне закрити вікно можливостей, через яке хакери намагаються проникнути в систему. У звіті аналізуються дані, зібрані фахівцями Cisco з аналізу загроз, а також дані інших експертів.

 

Нижче представлені основні висновки документа, а також відповіді Володимира Ілібмана на питання, що стосуються української специфіки кіберзагроз.

 

• У 2016 році три провідних експлойт-кита, а саме Angler, Nuclear і Neutrino, раптово зникли зі сцени, поступившись місцем більш дрібним гравцям і новачкам.

 

• Результати порівняльного дослідження можливостей забезпечення інформаційної безпеки, проведеного Cisco в 2017 році, свідчать про те, що більшість компаній працюють більш ніж із п’ятьма постачальниками засобів забезпечення безпеки і застосовують більше п’яти різних продуктів. 55 % фахівців з безпеки працюють як мінімум із шістьма постачальниками, 45 % – з одним-п’ятьма постачальниками, 65 % застосовують шість і більше продуктів.

 

 

Згідно з результатами того ж дослідження, найбільш істотними обмеженнями для впровадження більш ефективних продуктів і рішень, що забезпечують безпеку, є бюджети (35 % опитаних), сумісність між продуктами (28 %), сертифікація (25 %) і кадри (25 %).

 

• Результати порівняльного дослідження можливостей забезпечення інформаційної безпеки, проведеного Cisco в 2017 році, свідчать про те, що протягом робочого дня через різні обмеження фахівці з безпеки здатні обробляти лише 56 % вхідних повідомлень про погрози. Серед опрацьованих сповіщень про загрози обґрунтованим визнається кожне друге (28 %); реальні заходи з нейтралізації загрози приймаються лише щодо половини обґрунтованих повідомлень (46 %). Крім того, 44 % менеджерів із забезпечення безпеки щодня переглядають більше 5000 повідомлень про загрози безпеці.

 

• За даними 2016 року, в 27 % випадків хмарні додатки від сторонніх постачальників, впроваджені в корпоративне середовище співробітниками, представляють високий ризик безпеки. З’єднання по протоколу OAuth зачіпають корпоративну інфраструктуру та дозволяють вільно обмінюватися даними з корпоративним хмарою і SaaS-платформами, для чого достатньо отримати від користувача дозвіл на доступ.

 

• Дослідження Cisco, що охопило 130 компаній в різних галузях, показало, що інфраструктура 75 % з них заражена рекламним ПЗ. Хакери можуть використовувати таке зараження для подальшої організації атаки з використанням інших видів шкідливого ПЗ.

 

• Автори кампаній, побудованих на шкідливій рекламі, все частіше користуються посиланнями-брокерами (так званими шлюзами). Посилання-брокери дозволяють прискорити поширення, зберегти робочий простір і уникнути виявлення. Завдяки таким проміжним посиланнях хакери швидко переміщуються між різними шкідливими серверами, не змінюючи вихідних параметрів переадресації.

 

• Близько двох третин трафіку електронної пошти (65 %) припадає на спам. Результати досліджень свідчать про збільшення загальносвітового обсягу спаму за рахунок великих і прибуткових ботнетів, що розсилають такі листи. Згідно з даними, зібраними фахівцями Cisco з аналізу загроз, шкідливі листи склали від 8 до 10 % загальносвітового обсягу спаму в 2016 році. Крім того, відсоток спаму зі шкідливими вкладеннями збільшується, при цьому хакери, мабуть, експериментують з різноманітними форматами файлів у пошуках найбільш ефективного засобу для реалізації атак.

 

• Результати порівняльного дослідження можливостей забезпечення інформаційної безпеки говорять про те, що в організаціях, які не піддавалися зломів, нерідко впевнені в безпеці власних мереж. Швидше за все, в більшості випадків така впевненість є безпідставною: 49 % фахівців з безпеки повідомили, що їх організація стала об’єктом пильної уваги громадськості внаслідок порушення безпеки.

 

 

• Порівняльне дослідження можливостей забезпечення інформаційної безпеки, проведене Cisco в 2017 році, показало, що приблизно в кожному четвертому випадку організація, що піддалася атаці, втрачає бізнес-можливості. Четверо з десяти опитаних повідомляють, що подібні втрати мали велике значення. Кожна п’ята організація втратила замовників внаслідок кібератаки. Близько 30 % підприємств втратили прибуток.

 

• Згідно з результатами порівняльного дослідження можливостей систем безпеки, найчастіше атаки зачіпають експлуатаційну і фінансову складові (36 і 30 % відповідно) та негативно позначаються на репутації бренду і показниках утримання клієнтів (26 % в обох випадках).

 

• Збої мереж, що виникають в результаті порушень безпеки, часто мають відчутні довгострокові наслідки. Згідно з результатами порівняльного дослідження, в 45 % випадків збої тривали протягом 1–8 год., в 15 % випадків – 9–16 год., в 11 % випадків – 17–24 год. У 41 % випадків ці збої торкнулися від 11 до 30 % систем.

 

• Уразливості в проміжному програмному забезпеченні (яке грає роль сполучної ланки між платформами або додатками) залучають все більше і більше уваги. Проміжне ПЗ перетворюється в поширений вектор атак. Загроза охоплює всі галузі, оскільки таке ПЗ застосовується в багатьох організаціях. В ході одного з проектів Cisco фахівці з аналізу загроз з’ясували, що велика частина аналізованих вразливостей так чи інакше пов’язана з ПЗ проміжного рівня.

 

• Графік виходу оновлень програмного забезпечення може впливати на модель поведінки користувачів стосовно встановлення виправлень і оновлень. За даними компанії, за наявності передбачуваного графіка виходу оновлень користувачі оновлюють ПЗ у більш короткі терміни, що скорочує період, протягом якого хакери зможуть скористатися вразливостями.

 

• Порівняльне дослідження можливостей забезпечення інформаційної безпеки, проведене Cisco в 2017 році, показало, що в більшості компаній частка коштів безпеки, що поставляються сторонніми виробниками, складає 20 % і більше, при цьому в організаціях, де ця частка максимальна, спостерігається найбільша схильність до її подальшого збільшення.

 

Одне з основних завдань, яке стоїть перед фахівцями, а також розробниками засобів з кіберзахисту, на думку Володимира Ілібмана, таке: «Сторона, що захищається, повинна скорочувати терміни виявлення, щоб зв’язати руки атакуючій стороні. Наприклад, з травня по жовтень 2016 року розробники Cisco знизили показник TTD (Time To Detect) c 14 до 6,05 год.».