Предприятия тратят на ИБ меньше, чем могут потерять из-за кибератак

Предприятия тратят на ИБ меньше, чем могут потерять из-за кибератак

Большинство российских промышленных компаний тратят на информационную безопасность менее 50 млн рублей в год. При этом, 27 % организаций оценили в аналогичную сумму потери за один день простоя инфраструктуры вследствие кибератаки.

Все эти данные подробно отражены в исследовании «Сколько стоит безопасность», проведенном Positive Technologies. Также в нем говорится, например, что треть (33 %) промышленных организаций оценили возможный ущерб от отказа в работе корпоративной инфраструктуры в течение одного дня в сумму от 0,5 до 2 млн руб., 13 % — от 2 до 10 млн руб. и 17% — от 10 до 50 млн руб. Большинство промышленных компаний (83 %) заявили о готовности восстановить инфраструктуру, не потратив и 0,5 млн рублей, однако такая оценка кажется экспертам Positive Technologies заниженной.

Величина ущерба в случае возникновения инцидента ИБ во многом зависит от готовности компании к реагированию на инцидент и корректности действий сотрудников. Однако в сфере промышленности данное направление находится на не самом высоком уровне. В 23 % опрошенных организации из этой сферы отсутствует практика выявления и расследования инцидентов ИБ. В том случае, когда они все же расследуются, 64 % компаний занимаются этой работой самостоятельно без привлечения профессионалов. При этом внутренние отделы SOC есть только в 20 % промышленных организаций.

Специализированные инструменты обеспечения безопасности также используются достаточно редко — межсетевые экраны уровня приложений (WAF) применяют менее четверти (23 %) всех опрошенных  промышленных компаний, SIEM-системы — еще меньше (17 %).

Регулярные тесты на проникновение (2 раза в год) проводят лишь 13 % промышленных компаний, в 44 % — они никогда не проводились. В 33 % компаний инвентаризация и контроль за появлением небезопасных ресурсов в периметре сети не проводится никогда. В 40 % организаций никогда не проводился анализ защищенности корпоративных беспроводных сетей. В 23 % промышленных компаний отсутствует контроль установки обновлений софта.

В 17 % компаний отсутствует практика мониторинга публикации информации об уязвимостях нулевого дня и поиска их в ИТ-ресурсах компании. В 40 % промышленных организаций данные о новых уязвимостях принимаются во внимание, но их исправление откладывается на неопределенный срок — при том, что хакеры готовы к атаке в течение трех дней после объявления об уязвимости.

Только 23 % промышленных компаний проводят регулярное обучение сотрудников основам информационной безопасности с последующей проверкой эффективности такого обучения, а 40 % компаний не организуют его в принципе.

«Промышленным компаниям, в первую очередь, важна работоспособность используемых систем и непрерывность технологического процесса, а информационная безопасность является делом второстепенным, поэтому и бюджет, выделяемый на обеспечение ИБ, в большинстве случаев не столь значителен, как в государственных или финансовых компаниях, — отмечает Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. — В сфере промышленности любые изменения в инфраструктуре АСУ ТП могут оказать серьезное влияние на технологический процесс, поэтому все дополнительные средства защиты применяются с осторожностью. Кроме того, не всегда существует возможность быстро внести изменения в конфигурацию оборудования и прикладного ПО или установить обновления. И хотя организации знают о проблемах, связанных с ИБ, в настоящее время не все готовы их решать эффективно ввиду нюансов, связанных с используемыми технологиями и внутренними бизнес-процессами, а также в связи с неготовностью руководства вкладывать в безопасность значительные суммы».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

"Красная таблетка" выявила ключ, которым Intel шифрует апдейты микрокода

Команде исследователей удалось получить ключ, позволяющий расшифровать содержимое обновлений микрокода, которые компания Intel раздает на свои процессоры. Новый способ взлома авторы именуют Chip Red Pill — «красная таблетка для чипов» (поклонники кинофильма «Матрица» должны оценить это название). Находка позволяет модифицировать патч, однако его подмена не переживет перезапуск компьютера: Intel подписывает свои апдейты отдельным ключом, который анализ не выявил.

Вооружившись ключом шифрования, можно посредством разбора патча узнать о характере закрываемой уязвимости и способе ее эксплуатации. Результаты исследования также позволяют обнаружить другие, пока не известные проблемы CPU от Intel.

Способ получения ключа, который обнаружили эксперты, возможен лишь при наличии физического доступа к компьютеру. Этот метод взлома предполагает использование уязвимости в подсистеме IME (Intel Management Engine, позиционируется как средство, упрощающее работу сисадминов). Разработчики Intel уже закрыли эту брешь, но обновление прошивки всегда можно откатить. Эксплойт позволил исследователям получить доступ к встроенному в чип отладчику Red Unlock и в сервисном режиме извлечь содержимое ПЗУ микрокода (MSROM, microcode sequencer ROM).

Метод Chip Red Pill работает на машинах, использующих микропроцессоры с архитектурой Goldmont (семейства Celeron, Pentium, Atom). Все изменения, которые хакер может привнести в микрокод, будут действовать, пока устройство включено. При его перезапуске апдейт микрокода вновь проверяется на аутентичность, и чужеродная модификация будет отброшена.

Как оказалось, для защиты содержимого обновлений Intel использует потоковый шифр RC4, который многие считают уязвимым и устаревшим. Однако в компании больше уповают на другие, более надежные способы защиты.

«Описанная проблема не связана с риском нарушения безопасности на стороне пользователя, — заявили представители Intel в своем комментарии для Ars Technica. — К тому же мы не рассматриваем обфускацию данных, доступных через Red Unlock, как серьезную меру защиты информации. В дополнение к апдейту SA-00086 OEM-провайдеры, следуя рекомендациям Intel, привнесли некоторые изменения в unlock-функции, которыми воспользовались исследователи. А приватный ключ, используемый для подтверждения подлинности микрокода, не хранится на чипе, поэтому автор атаки не сможет загрузить незаверенный патч в удаленную систему».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru