По данным подготовленного компанией Cisco отчета по информационной безопасности за первое полугодие 2016 г., сейчас организации не готовы к появлению новых разновидностей программ-вымогателей. Нестабильная инфраструктура, плохая сетевая гигиена, низкая скорость обнаружения — все это обеспечивает злоумышленникам возможность долгое время действовать скрытно.
Полученные результаты говорят о том, что основные трудности компании испытывают при попытках ограничить оперативное пространство атакующих, и это ставит под угрозу всю базовую структуру, необходимую для цифровой трансформации. Также в отчете отмечается расширение сферы активности злоумышленников за счет атак на серверы, растущая изощренность атак и участившееся применение шифрования для маскировки злонамеренной деятельности.
По итогам первого полугодия 2016 года программы-вымогатели стали самым доходным типом злонамеренного ПО в истории. Специалисты Cisco считают, что эта тенденция сохранится, причем появятся еще более разрушительные программы-вымогатели, способные распространяться самостоятельно, заложниками которых могут стать целые сети и компании. Новые модульные разновидности таких программ смогут быстро менять свою тактику для достижения максимальной эффективности. Например, будущие программы-вымогатели смогут избегать обнаружения благодаря способности свести к минимуму использование центрального процессора и отсутствию управляющих команд. Эти новые версии программ-вымогателей будут распространяться быстрее своих предшественников и до начала атаки самореплицироваться в организациях.
Одной из основных проблем остается плохая обозреваемость сети и оконечных точек. В среднем на выявление новых угроз у организаций уходит до 200 дней. По медианному времени обнаружения угроз Cisco продолжает опережать отрасль: в течение шести месяцев до апреля 2016 г. было зафиксирован новый минимум для ранее неизвестных угроз — около 13 часов. Это меньше, чем за аналогичный период, закончившийся в октябре 2015 г., тогда результат составлял 17,5 часов. Сокращение времени обнаружения угроз чрезвычайно важно с точки зрения ограничения оперативного пространства злоумышленников и минимизации ущерба от вторжений. Приведенные выше цифры получены в результате обработки добровольной телеметрии, собранной решениями Cisco по обеспечению информационной безопасности, развернутыми по всему миру.
Злоумышленники не стоят на месте, и защищающимся приходится постоянно работать над поддержанием безопасности своих устройств и систем. Дополнительные удобства атакующим создают неподдерживаемые и необновляемые системы, которые позволяют им легко получать доступ, оставаться незамеченными, увеличивать свой доход и наносить максимальный ущерб. Отчет Cisco MCR 2016 свидетельствует о том, что эта проблема носит глобальный характер. За последние несколько месяцев значительный рост атак зафиксирован в наиболее важных отраслях (например, в здравоохранении), при этом целью злоумышленников являются все вертикальные рынки и глобальные регионы. Общественные организации и предприятия, благотворительные и неправительственные организации, компании электронной коммерции — все они в первой половине 2016 г. зафиксировали рост атак. В мировом масштабе вызывают озабоченность геополитические вопросы, включая сложность регламентирования и противоречивость политик кибербезопасности в разных странах. Необходимость контролировать данные и получать доступ к ним может ограничивать международную торговлю и противоречить ее интересам.
Атакующие действуют без ограничений
Чем дольше атакующие смогут действовать незамеченными, тем большую прибыль они получат. По данным Cisco, в первой половине 2016 г. доходы атакующих значительно возросли вследствие ряда факторов.
Расширение сферы действий. Атакующие расширяют сферу своих действий, переходя от клиентских эксплойтов к серверным, избегая обнаружения и максимизируя ущерб и свои доходы.
Новые методы атак. В первой половине 2016 г. атакующие разрабатывали новые методы, использующие недостаток обозреваемости сети.
Заметание следов. В дополнение к проблемам обозреваемости злоумышленники стали все больше использовать шифрование как метод маскирования различных аспектов своей деятельности.
Защитники пытаются сократить уязвимости и закрыть бреши
При столкновении с изощренными атаками компаниям, располагающим ограниченными ресурсами и устаревающей инфраструктурой, сложно угнаться за своими противниками. Полученные данные позволяют предположить, что чем важнее технология для бизнес-операций, тем хуже обстоят дела с поддержанием адекватной сетевой гигиены, в том числе с корректировкой ПО.
Кроме того, исследование Cisco выявило, что большая часть инфраструктуры потенциальных жертв уже не поддерживается или же эксплуатируется при наличии известных уязвимостей. Это системная проблема и для вендоров, и для оконечных точек.
Для сравнения специалисты Cisco обследовали более 3 млн программных инфраструктур, в основном на базе Apache и OpenSSH. В них было обнаружено в среднем 16 известных уязвимостей со средним сроком существования 5,05 года.
Проще всего обновить браузер на оконечной точке, сложнее — корпоративные приложения и серверные инфраструктуры, т.к. это может вызвать проблемы с непрерывностью бизнес-процессов. В общем и целом, чем более важную роль играет приложение для бизнес-операций, тем меньше вероятность его частого обновления, что создает бреши в защите и удобные возможности для атак.
Простые советы Cisco по защите бизнес-среды
«Для организаций, переходящих в результате цифровой трансформации к новым бизнес-моделям, вопросы безопасности становятся основополагающими. Атакующие уходят незамеченными и действуют все дольше. Чтобы устранить «лазейки», необходимо улучшить обозреваемость сетей и более ответственно подходить к таким вопросам, как обновление ПО и списание устаревающей инфраструктуры, не обладающей передовыми средствами защиты», ‒ отмечает Марти Рош (Marty Roesch), вице-президент Cisco и главный архитектор бизнес-группы по разработке систем безопасности.
Источник: украинское представительство Cisco