Cisco опубликовала отчет по информационной безопасности

Cisco опубликовала отчет по ИБ, который содержит анализ информации о киберугрозах и тенденций ИБ. Отчет также показывает жизненную необходимость своевременного обнаружения угроз для успешного противодействия кибератакам, осуществляемым профессиональными, высоко мотивированными злоумышленниками.

Например, эксплойт-набор Angler представляет собой распространенный тип киберугроз, которые будут по-прежнему создавать проблемы по мере того, как с развитием цифровой экономики и Всеобъемлющего Интернета будут расти как новые векторы атаки, так и возможности монетизации киберпреступлений злоумышленниками.

Из отчета следует, что сокращение времени на обнаружение вредоносного ПО приобретает все большую важность. Это обусловлено, прежде всего, новыми уязвимостями технологии Adobe Flash, эволюционированием программ-вымогателей и распространением мутирующего вредоносного ПО Dridex. Вследствие цифровизации бизнеса и развития Всеобъемлющего Интернета вредоносное ПО и киберугрозы становятся все более распространенными и всепроникающими. Достаточно сказать, что среднее в индустрии ИБ время обнаружения угрозы теперь составляет 100-200 дней. Для сравнения: среднее время обнаружения угрозы системой Cisco AMP (Advanced Malware Protection) составляет 46 часов.

Результаты проведенных Cisco исследований показывают важность внедрения интегрированных решений вместо отдельных продуктов, работы с доверенными производителями и сотрудничества с поставщиками услуг в области информационной безопасности. Кроме того, некоторые эксперты в области геополитики утверждают, что для поддержания глобального экономического развития необходима соответствующая глобальная структура управления безопасностью киберпространства.

«Хакеров ничто не сдерживает, и у них полностью развязаны руки, — говорит Джейсон Брвеник (Jason Brvenik), ведущий инженер подразделения Cisco по разработке решений ИБ. — На их стороне преимущества в маневренности, инновационности и инициативности. Это можно видеть на многочисленных примерах действий различных организаций национального масштаба, вредоносного ПО, эксплойт-наборов и программ-вымогателей. Методы, полагающиеся лишь на профилактические меры, уже доказали свою неэффективность. Индустрия безопасности уже и так отстает от злоумышленников, чтобы можно было и дальше  позволить себе тратить сотни дней на обнаружение угроз. Перед организациями стоит извечная проблема: как быть в случае компрометации системы безопасности, — и актуальность этой проблемы говорит о том, что организациям необходимо вкладывать ресурсы в интегрированные технологии, способные действовать совместно и сокращать время обнаружения и восстановления до считанных часов. А когда это будет достигнуто, надо требовать, чтобы поставщики уменьшили это время до нескольких минут».

Вот ключевые разделы упомянутого отчета Cisco:

  • Эксплойт-набор Angler: злоумышленики стараются держаться в тени. Аngler — один из наиболее технически изощренных и при этом широко распространенных эксплойт-наборов. Прежде всего, это связано с тем, что он объединяет новаторские методики, сочетающие использование уязвимостей Flash, Java, Internet Explorer и Silverlight.  Кроме того, благодаря применению технологии теневых доменов (кстати, львиная доля всей активности теневых доменов связана именно с Angler), этот набор выводит методики уклонения от обнаружения на новый уровень.
  • Flash возвращается. Эксплойт-программы, использующие уязвимости Adobe Flash (такие эксплойты интегрированы, например, в наборы Angler и Nuclear), вновь набирают популярность. Это связано как с недостаточной автоматизацией процессов управления обновлениями ПО, так и с тем, что многие пользователи не уделяют внимания своевременному обновлению своих программ.
  • Согласно базе данных Common Vulnerabilities and Exposure (CVE), в первой половине 2015 года было зафиксировано на 66% больше случаев использования уязвимостей Adobe Flash Player, чем за  весь 2014 год. если эта тенденция сохранится, то в 2015 году технология Flash установит абсолютный рекорд по числу использованных уязвимостей, зафиксированных в CVE. 
  • Эволюция программ-вымогателей. Программы-вымогатели остаются чрезвычайно прибыльной сферой деятельности киберпреступников. Именно этим объясняется постоянное развитие и появление новых вариантов таких программ. Деятельность программ-вымогателей отлажена до полной автоматизации и осуществляется через так называемый «темный Интернет». Чтобы скрыть платежные операции от правоохранительных органов, выкуп производится в так называемой криптовалюте, например, в биткойнах.
  • Девиз Dridex — постоянные изменения. Создатели часто мутирующих вирусных кампаний Dridex демонстрируют выдающееся понимание того, какие меры нужно принять, чтобы избежать обнаружения. В качестве методов уклонения применяется постоянный запуск новых кампаний и частое изменение отправителей, адресатов, вложений, почтовых агентов, содержимого электронных писем. Из-за этого традиционные антивирусные системы вынуждены заново проводить обнаружение каждого нового варианта этого вируса.

Что делать

Технологическая гонка между злоумышленниками и производителями решений для информационной безопасности набирает обороты, и такое положение дел лишь увеличивает риски для организаций и частных лиц. Производители должны проявлять повышенную бдительность при разработке интегрированных решений для безопасности, призванных помочь организациям реализовать упреждающие меры защиты и правильным образом объединить в единую систему людей, процессы и технологии.

Комплексная защита от угроз. Использование отдельных, зачастую разнородных решений для информационной безопасности влечет за собой определенные проблемы для организаций. В связи с этим большую актуальность приобретает архитектура комплексной защиты от угроз, включающая в себя реализацию концепции повсеместной безопасности и обеспечивающая эффективность в любой контрольной точке периметра защиты.

Дополнительные меры защиты. Пока индустрия инфобезопасности сталкивается с проблемами, связанными с растущей фрагментацией, динамическим ландшафтом киберугроз и нехваткой специалистов, бизнес должен вкладывать ресурсы в эффективные, жизнеспособные и надежные решения и услуги в сфере информационной безопасности.

Глобальная структура управления безопасностью киберпространства. Имеющиеся средства глобального управления киберпространством не в состоянии контролировать проблемы усложняющегося ландшафта киберугроз и геополитические вызовы. Основная проблема обусловлена тем, что государственные органы собирают данные о гражданах и организациях и распределяют эти данные между различными подведомственными сферами. Но международные отношения носят ограниченный характер, и это становится существенным препятствием к созданию единой сферы контроля за глобальным киберпространством. Совместная структура управления безопасностью киберпространства, включающая в себя интересы множества заинтересованных сторон, — вот что необходимо для развития бизнес-инноваций и роста мировой экономики.

Заслуживающие доверия поставщики. Чтобы снискать доверие заказчиков, поставщик должен быть предельно открыт в том, что касается встраиваемых в продукцию технологий безопасности. Заказчики должны требовать этого на всех стадиях разработки продукта, начиная с цепочек поставок. Они должны настаивать на том, чтобы поставщики строго придерживались своих договорных обязательств и постоянно совершенствовали технологии безопасности.

«Организации не могут просто признать неизбежность факта компрометации, даже несмотря на высокую вероятность такого события в современных условиях, — считает Джон Н. Стюарт (John N. Stewart), старший вице-президент и главный директор компании Cisco по информационной безопасности. — Технологическая индустрия должна форсировать развитие событий, предоставляя надежные и гибкие продукты и услуги. В то же время индустрия информационной безопасности должна предоставить значительно усовершенствованные и вместе с тем оправданно упрощенные возможности обнаружения и предотвращения атак, а также восстановления, если атака все-таки произойдет. Именно в этом аспекте компания Cisco является бесспорным лидером. Бизнес-стратегии и стратегии безопасности часто называют основными проблемами для заказчиков. Потому-то заказчики и заинтересованы в тесном партнерстве с Cisco. Доверие неразрывно связано с безопасностью, при этом очень важную роль играет открытость. Таким образом, ведущие в отрасли технологии — лишь половина успеха. Наша компания привержена идее обеспечивать как технологии безопасности, определяющие развитие индустрии, так и готовые решения, заслуживающие полного доверия заказчиков».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новая версия Solar webProxy получила функциональность Reverse Proxy

Компания «Ростелеком-Солар» выпустила новую версию шлюза веб-безопасности Solar webProxy 3.6. Обновление обрело функциональность обратного прокси-сервера (Reverse Proxy), позволяющую проверять исходящий трафик компании и блокировать файлы с конфиденциальной информацией при попытке их выгрузки в интернет. Кроме того, система была дополнена новым категоризатором веб-ресурсов разработки «Ростелеком-Солар».

Новая функциональность Reverse Proxy призвана наряду с возможностями DLP-систем обеспечить дополнительную защиту компаний от утечек конфиденциальных документов и файлов в сеть интернет. Solar webProxy 3.6 осуществляет проверку исходящего трафика по ключевым словам и атрибутам файлов. При этом политика контентной фильтрации для прямого и обратного режима является общей и не требует дополнительных настроек.

«Довольно распространенным сценарием является ситуация, когда пользователь, находясь в периметре компании, составляет и сохраняет в корпоративной почте черновик письма с конфиденциальной информацией. А затем из дома подключается к почте через веб-браузер, скачивает этот черновик на домашний компьютер и использует по своему усмотрению. Подобный сценарий не контролируется стандартными возможностями DLP-систем. Чтобы решить эту задачу, мы реализовали в новой версии Solar webProxy 3.6 механизм, позволяющий контролировать скачиваемые удаленно данные и при необходимости передавать эту информацию в DLP-систему на анализ», – отметил инженер-аналитик Solar webProxy Петр Куценко.

 

С целью обретения независимости от внешних источников данных разработчики создали для новой версии собственный категоризатор веб-ресурсов «Ростелеком-Солар». Благодаря этому, заказчики шлюза веб-безопасности смогут пользоваться оперативно пополняемыми и обновляемыми базами категоризации интернет-сайтов.

Кроме того, в направлении улучшения пользовательского опыта работы с системой был сделан ряд доработок в интерфейсе Solar webProxy. В частности, во всех журналах запросов в разделе статистики появилась возможность фильтрации по режиму работы прокси-сервера – прямому или обратному. Весь трафик, проходящий в обратном режиме, получил соответствующую маркировку, которая отображается как в журналах запросов в разделе статистики, так и на рабочем столе системы. Кроме того, журнал запросов по узлам фильтрации пополнился новым фильтром, который позволяет строить отчеты по IP-адресу сервера назначений.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru