Люди - по-прежнему самое слабое звезно в цепи ИТ-безопасности

Cisco опубликовала свой ежегодный отчет об информационной безопасности. В этом документе подчеркивается влияние социальных медиасистем (в частности, социальных сетей) на сетевую безопасность и говорится о том, что наиболее привлекательные возможности для киберпреступников создают люди, а не технологии. В отчете также названы победители конкурса Cisco Cybercrime Showcase за 2009 год и комментируются тенденции в области облачных вычислений, спама и общей активности киберпреступников на мировой арене, с которыми продолжают сталкиваться специалисты по информационным технологиям.

В 2009 году социальные сети росли взрывообразно. Один только Facebook в течение года утроил активную пользовательскую базу, доведя ее до 350 млн человек. В 2010 году ожидается дальнейшее распространение социальных сетей, тем более, что многие организации поняли преимущества этих сетей и признали их в качестве неотъемлемой части своего бизнеса. При этом социальные сети быстро стали полем деятельности киберпреступников, поскольку пользователи чересчур доверяют членам своих сетевых сообществ и зачастую не предпринимают необходимых мер для борьбы с вредоносными программами и компьютерными вирусами.

Впервые организованный конкурс Cisco Cybercrime Showcase был призван воздать должное профессионалам, находящимся на переднем крае борьбы с киберпреступностью. В посвященном этому разделе отчета Cisco об информационной безопасности перечислены атаки, нанесшие наибольший вред интернет-пользователям в 2009 году:

Самая дерзкая преступная операция - «Зевс». Вирус-троян «Зевс», распространяющий вредоносные программы с помощью фишинг-атак и обманных загрузок (drive-by downloads), крадет не только имена и пароли, но и другие онлайновые банковские идентификационные данные. Доступные средства программирования позволяют преступникам разрабатывать варианты «Зевса», усложняя тем самым их распознавание антивирусными программами. В 2009 году ботнет «Зевс» заразил почти 4 млн компьютеров по всему миру.

“Луч надежды”. Рабочая группа под названием Conficker, в которую вошли специалисты по информационной безопасности и профессионалы отрасли, значительно ослабила воздействие сетевого червя Conficker, который должен был поражать мировые сети с 1 апреля 2009 года.

Самая примечательная криминальная инновация - Koobface. Этот саморегенерирующийся червь впервые появился в сети Facebook в 2008 году, а в 2009 году - в сети Twitter. Koobface заставляет пользователя щелкнуть по ссылке YouTube, запускающей червя в компьютер. Разные варианты этого червя заразили более 3 миллионов компьютеров.

Основные выводы:

Спам. Социальные сети могут действительно представлять интерес для киберпреступников, рыщущих там в поисках новых жертв, но спам по-прежнему остается старым, проверенным способом, с помощью которого пользователей обманом вынуждают загружать вредоносные программы и покупать поддельные лекарства. По оценкам, приводимым в отчете Cisco, в 2010 году мировой объем спама, вполне вероятно, возрастет на 30-40 процентов по сравнению с уровнем 2009 года. При этом база данных Cisco SensorBase показывает, что США и другие экономически развитые страны (в частности, страны Европейского Союза) постепенно закрывают лазейки для спама на своей территории, зато распространение широкополосных технологий все чаще делает источником спама такие развивающиеся страны, как Индия и Вьетнам. В результате в 2009 году США уступила сомнительную пальму первенства в этой области Бразилии. Первая десятка стран-источников спама выглядит так:

Россия по-прежнему входит в этот список, но за истекший год объем спама с ее территории сократился заметнее всего - на 38,2%.

Облачные вычисления (Cloud Computing). Если 10 лет назад хранение конфиденциальных данных за пределами корпоративного межсетевого экрана было совершенно немыслимым, то сегодня, с появлением облачных вычислений и хостинга приложений, это становится обыденным явлением. Многие пользователи настолько доверяют облачным вычислениям, что практически не проверяют, кто именно хранит их конфиденциальные данные и насколько надежно они защищены. Отчет Cisco об информационной безопасности рекомендует организациям, пользующимся внешними услугами, тщательно выяснять у поставщиков подобных услуг все аспекты безопасности данных.

Матрица Cisco для оценки окупаемости киберпреступлений (Cisco Cybercrime Return on Investment, CROI). В отчете Cisco по информационной безопасности за 2009 год впервые приводится матрица Cisco CROI, созданная по методу знаменитой матрицы Бостонской консалтинговой группы "рост/доля". CROI Matrix показывает, какие типы киберпреступлений будут развиваться, а какие сходить на нет в течение 2010 года. Основываясь на данных 2009 года, на 2010 год матрица прогнозирует массовое распространение банковских троянов "Зевс" и других простых в использовании средств, использующих веб-уязвимости. Программы типа Scareware, шпионские программы, подмена ссылок, обманное взимание предоплаты и фармацевтический спам останутся "дойными коровами" киберпреступников. Атаки, потенциал которых пока неясен - такие, как использование социальных сетей и червей типа Koobface, - в течение 2010 года только начнут свое шествие по планете.

Индекс доли зараженных ресурсов. Чтобы определить общее число зараженных вычислительных ресурсов на мировом рынке, Cisco разработала индекс под названием Global Adversary Resource Market Share (ARMS) Race Index, т.е. индекс рыночной доли зараженных ресурсов. Со временем этот показатель даст более точную картину активности сетевых преступников и успешности их действий, направленных на проникновение в корпоративные и индивидуальные компьютерные системы. В 2009 году индекс был установлен на уровне 7,2. Это значит, что от 5 до 10 процентов персональных компьютеров взломаны и находятся под управлением преступников.

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

R-Vision представила продукт класса Deception

Компания R-Vision, российский разработчик систем кибербезопасности, анонсировала выпуск нового продукта – R-Vision Threat Deception Platform. Новинка относится к технологиям класса Deception, которые позволяют обнаруживать злоумышленников, проникших в инфраструктуру предприятия, и предотвращать атаки на ранних этапах.

Под технологиями Deception (в переводе с английского, «введение в заблуждение») понимают технологии создания цифровых имитаций объектов ИТ-инфраструктуры с целью выявления злоумышленников, проникших в корпоративную сеть. С помощью набора ловушек и приманок такие системы детектируют присутствие хакера, замедляют его продвижение внутри сети, запутывая среди ложных объектов, и дают возможность ИБ-специалистам остановить развитие атаки на ранней стадии. Одно из важных преимуществ технологий Deception – практически нулевой процент ложных срабатываний. Поскольку ловушки и приманки предназначены только для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, любое взаимодействие с ними с высокой вероятностью свидетельствует об инциденте.

Согласно отчету Gartner Hype Cycle for Security Operations, 2020, платформы Deception могут стать высокоэффективным дополнением к классическим инструментам детектирования угроз, который к тому же требует минимальных усилий на этапе первоначальной настройки. По мнению аналитиков Gartner, эта технология на сегодня еще слабо используется ИБ-специалистами, однако в перспективе от 5 до 10 лет станет мейнстримом.

«Традиционные превентивные техники в современных условиях становятся все менее эффективными, что подтверждают многочисленные новости о крупных инцидентах и статистика исследований. Рано или поздно злоумышленники находят способ проникнуть в периметр, стараясь избегать грубых методов и оставаться незамеченными для классических средств мониторинга, – рассказывает Александр Бондаренко, генеральный директор R-Vision. – Основным преимуществом решений класса Deception является то, что они дают в руки служб информационной безопасности серьезный козырь – теперь злоумышленнику достаточно всего одной ошибки в выборе цели для атаки, чтобы он попал на радар служб мониторинга. Кроме того, системы класса Deception производят гораздо меньше ложных срабатываний, с высокой вероятностью указывая на присутствие злоумышленника в инфраструктуре».

Платформа R-Vision Threat Deception Platform позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра. Ловушки могут воспроизводить приложения, устройства, сетевое оборудование, сервера, рабочие станции, сервисы, службы и имитировать сетевое взаимодействие. Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки - информация, представляющая потенциальную ценность. Это могут быть файлы конфигураций, история браузера, черновики, ключи ssh, файлы с паролями и другими данными, которые генерируются автоматически, соблюдая характерные для организации параметры.

При регистрации взаимодействия с приманками и ловушками, R-Vision TDP собирает и обрабатывает эти события и направляет оповещение ИБ-специалисту. События безопасности могут также передаваться во внешние системы, такие как IRP/SOAR и SIEM для реагирования.

R-Vision TDP поддерживает тесную интеграцию с другими продуктами линейки R-Vision. Использование продукта в связке с R-Vision IRP позволит быстро оценить масштаб атаки, выявить другие скомпрометированные системы организации на основе данных по инциденту от платформы Deception и автоматизировать реагирование. Атрибуты и индикаторы компрометации, собранные R-Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу управления данными киберразведки R-Vision TIP. Платформа R-Vision TIP, в свою очередь, позволит дообогатить эти данные, выявить взаимосвязи с другими доступными сведениями, настроить автоматический мониторинг в событиях SIEM и блокировку средствами защиты. Таким образом, использование R-Vision TDP в комплексе с другими продуктами R-Vision дает ощутимый синергетический эффект.

Официальный релиз продукта запланирован на первый квартал 2021 года, но старт пилотных проектов планируется уже на ближайшее время.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru