Перейти к содержанию
Сергей Ильин

Результаты опроса: защита от APT

Recommended Posts

Сергей Ильин

Весьма интересные результаты опроса посетителей выставки InfoSecurity Russia 2014 от Cezurity:

**********

Исследование проводилось на выставке Infosecurity Russia’ 2014, которая прошла в Москве с 24 по 26 сентября.

Целенаправленные атаки (APT) отличает, главным образом, одна особенность. Злоумышленников интересует конкретная информационная система компании или государственной организации. С помощью атаки они решают задачи, связанные с кибершпионажем или получением той или иной выгоды от компрометации информационной системы и данных. При этом атакуемый объект всегда защищен и злоумышленникам необходимо уметь обходить защиту. Для этого они задействуют самые разные методы сбора данных и внедрения в информационную систему. В том числе социальную инженерию, эксплуатацию известных и неизвестных (0day) уязвимостей, вредоносные программы и инструменты сокрытия их присутствия в системах.

В исследовании, которое проводилось методом анкетирования, участвовало более 200 IT-специалистов из числа посетителей выставки Infosecurity’ 2014. 19% участников исследования представляли государственные организации, 81% — коммерческие компании из разных секторов экономики. Это финансовые структуры (9%), энергетика (7%), телекоммуникации (6%), консалтинг (3%) и другие. Отдельно стоит отметить высокую долю тех, кто работает в сфере информационной безопасности, — производстве, дистрибуции и интеграции ИБ-средств. Таких респондентов оказалось 26%.

Большинство участников исследования работает в компаниях, которые можно отнести к сегменту SMB (Small Medium Business). Так, 71% опрошенных работают в организациях, информационная система которых включает от 100 до 1000 рабочих мест, 10% — от 10 до 100, а остальные 19% представляли компании, где больше 1000 рабочих мест.

Главным выводом исследования можно считать то, что большинство опрошенных уже знакомы с феноменом целенаправленных атак (APT). На вопрос о том, может ли их организация стать жертвой APT, утвердительно ответили 68% опрошенных. 32% опрошенных считают, что их компания целью APT не станет.

Степень обеспокоенности проблемой APT возрастает в зависимости от размеров организации: чем больше компьютерный парк, тем меньше сомнений в том, что рано или поздно компания будет атакована.

Очень высока оказалась доля респондентов, которые видят разницу между целенаправленными и “массовыми” атаками. Так, 94% опрошенных убеждены, что целенаправленные атаки (APT) отличаются от “массовых” атак, для защиты от которых создавались традиционные средства ИБ, например, антивирусы и межсетевые экраны (firewall). Вероятно, высокая осведомленность об особенностях APT-атак по сравнению с “массовыми” объясняется PR-активностью ведущих разработчиков ИБ-средств и тем, что среди участников исследования велика доля сотрудников ИБ-компаний.

Исследование показало, что компании уже сегодня располагают инструментами для обнаружения атак и реагирования на них. Но большинство из опрошенных сомневаются в эффективности используемых средств.

Респондентам задавался вопрос о том, располагают ли их организации средствами обнаружить атаку, отреагировать на нее и остановить. Большинство опрошенных ответили, что такой инструментарий у них есть. Так, 78% считают, что могут обнаружить атаку, 79% — отреагировать на нее и 65% — остановить.

Лишь 7% респондентов выразили уверенность в том, что используемые средства способны обнаружить атаку (ответ “точно способны”). При этом уверенность в готовности отреагировать на атаку и остановить злоумышленников оказалась существенно выше — ее выразили 46% и 53% пользователей соответственно.

Таким образом, респонденты уверены в средствах реагирования, но сомневаются в эффективности инструментов для обнаружения атак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×