Компания Cisco 6 марта 2018 г. в Москве представила данные своего ежегодного отчета по кибербезопасности. Во вступительном слове глава пресс-службы Cisco в России и странах СНГ Юлия Шведова отметила, что американская компания опросила в общей сложности более 3600 ИТ-директоров, в том числе примерно 200 представителей российских компаний. Чтобы сделать свой отчет максимально широким, Cisco активно привлекала данные других известных аналитических компаний, специализирующихся в области ИБ.
Представляя главного спикера мероприятия Михаила Кадера, Юлия Шведова особо подчеркнула, что он является единственным в России инженером компании Cisco, обладающим статусом Distinguished («Заслуженный»).
Михаил Кадер начал свой доклад с констатации очевидных фактов: с каждым годом злоумышленники становятся все более изощренными, они совершенствуют способы маскировки атак и используют уязвимости новейших цифровых технологий.
Инженер Cisco отметил, что за последние годы как в мире, так и в России существенно выросли инвестиции компаний в информационную безопасность. Ставка делается на автоматизацию, машинное самообучение, искусственный интеллект. Для защиты от злоумышленников большинство организаций используют инструменты поведенческого анализа.
Злоумышленники тоже не стоят на месте: в последнее время они активно занимаются совершенствованием новых методов обхода так называемых песочниц (систем эмуляции «родной» среды для вредоносного кода – как локальных, так и облачных). Оказывается, в течение первых трех минут «песочницы» в состоянии идентифицировать около 80% вредоносного ПО. А вот для 100%-ной идентификации кода им необходимо примерно трое суток. Понятно, что никто не ожидает получения файла 72 часа, таким образом, вредоносный код имеет неплохие шансы пробить защиту «песочницы». Следовательно, некоторые угрозы могут быть выявлены только постфактум.
В частности, для обхода «песочниц» злоумышленники все чаще используют инструменты шифрования. К октябрю 2017 г. в Интернете было уже около 50% зашифрованного трафика. В 2016 г. этот показатель достигал лишь 38%. Если доля зашифрованного вредоносного кода составляла тогда 19%, то к октябрю 2017 г. она достигла 70% (рост – 268%).
Михаил Кадер заострил внимание на том обстоятельстве, что злоумышленники начали размещать свои серверы (центры) управления вредоносным программным кодом на наиболее популярных сегодня сервисных ресурсах – Google, Dropbox, Amazon и т. д. Сейчас запросы от вредоносного кода не ведут к каким-то явно нелегальным доменам, как раньше, а направляются прямиком в популярные облака. Именно поэтому появляются новые системы аналитики, которые смотрят, как работают и используются те или иные виртуальные машины и виртуальные серверы на ресурсах крупных операторов услуг. Только так сегодня можно идентифицировать потенциально вредоносное использование популярных облачных провайдеров. Понятно, что с точки зрения репутации Google, Dropbox и Amazon весьма невыгодна сложившаяся ситуация.
Особую озабоченность вызывают программы-вымогатели, типа WannaCry и Nyetya, проводящие скоростные самораспространяющиеся сетевые атаки. При наличии в офисе или на предприятии активных машин без установленных обновлений эти вирусы снова могут нанести удар. Михаил Кадер указал на быстрое появление всевозможных вариантов программ-вымогателей (в частности, у WannaCry уже практически 20 вариантов). И здесь критическим фактором становится скорость реакции: некоторые продукты способны практически сразу остановить вредоносный код WannaCry и Nyetya, в то время как другим для этого необходимо несколько часов. Например, такому продукту, как Microsoft Security Essentials, для этого понадобилось 4 часа – за это время WannaCry мог нанести большой ущерб компании.
Если говорить о специфике Nyetya, то сегодня программы-вымогатели зачастую заняты не классическим вымогательством – их задача гораздо проще: нанести как можно более масштабный ущерб атакуемому предприятию. Еще один урок заключается в том, что самым эффективным методом распространения этого вредоносного кода стал взлом системы установки апдейтов.
Инженер Cisco также обратил внимание на все возрастающее использование компаниями облачных технологий, причем в качестве облачных услуг все чаще выбираются именно сервисы информационной безопасности, поскольку этот выбор обеспечивает им повышенную ИБ (57%), масштабируемость (48%), простоту использования (46%) и отсутствие потребности в собственном персонале (41%).
К тому же, многие компании выбирают облака для развертывания в облачной среде собственных решений в области безопасности. Данная тенденция отчетливо проявилась и в России (в частности, Positive Technologies размещает свои сервисы в облаке Microsoft Azure). Это легко объяснимо, ведь облачная среда представляет собой постоянно контролируемую и обслуживаемую оператором систему с отличными механизмами мониторинга и обеспечения ИБ.
Еще одна сфера, вызывающая озабоченность специалистов ИБ, – Интернет вещей. Понятно, что все сегодня хотят повысить эффективность систем управления производством, а без технологий Интернета вещей это сделать невозможно. Сегодня наблюдается устойчивая тенденция сращивания (взаимодействия) ИТ-сетей и сетей управления производством, что обеспечивает злоумышленникам неплохие возможности внедрения: если хакер пробился в ИТ-сеть, то он легко получает доступ и в сеть управления производственным процессом предприятия.
Люди хотят максимально быстро выпускать максимально удобный продукт на рынок, зачастую забывая при этом о необходимости создания четкой системы безопасности.
Излюбленный плацдарм атак злоумышленников – системы разработчиков. Чтобы снизить риски заражения DevOps программами-вымогателями, необходимы: разработка продуманных стандартов безопасного развертывания; активное отслеживание публичной инфраструктуры предприятия; поддержание технологий DevOps в актуальном состоянии, своевременное их обновление; периодическое сканирование на уязвимости. Возрастающая доля открытых атакам серверов DevOps создает предприятию огромные риски.
К сожалению, у большинства компаний DevOps пока остается слабо контролируемым сегментом корпоративной сети, подверженным взлому.
Примерно 69% опрошенных Cisco организаций считают, что OT-атаки в 2018 г. стали той самой реальностью, с которой необходимо срочно что-то делать. 20% опрошенных (по мнению Михаила Кадера, они плохо мониторят свою ИТ-инфраструктуру и просто не осознают реальности угрозы) считают, что атаки на их предприятия рано или поздно начнутся. А 10% опрошенных полагают, что атаки злоумышленников до них вообще никогда не дойдут.
Вызывает озабоченность и уязвимость систем управления технологическими процессами (ICS). Злоумышленники активно исследуют узловые точки для устройства предполагаемых атак: наличие подключения к Интернету; известные и редко устраняемые уязвимости; USB и DVD как точки входа. Зачастую людей подводят недостаток знаний в этой области и слишком узкая специализация.
Михаил Кадер также отметил нарастание проблемы оркестрации с увеличением количества вендоров. Так, если в компании используются продукты ИБ от одного до пяти вендоров, то лишь 8% ИТ-специалистов указывают на сложности. Если же у какой-либо крупной компании количество вендоров продуктов ИБ составляет от 20 до 50, то 55% ИТ-специалистов отмечают проблемы по управлению системой.
Если проанализировать данные отдельно по индустриям, то больше всего сложностей возникает у представителей сферы медицины (42%), энергетики (27%), фармакологии (25%) и финансовых услуг (24%). Гораздо лучше чувствуют себя ИТ-специалисты в области транспорта (12%), телекома (14%) и производства (14%).
Любопытная статистика была представлена по тревожным сообщениям. Как выясняется, 8% ИТ-директоров вообще не озабочены проблемой сбора тревожных сообщений безопасности со своей ИТ-системы. Обычно такой подход заканчивается катастрофически. Из оставшихся 92% опрошенных 44% имеют системы сбора тревожных сообщений, но не занимаются анализом поступающих сообщений, т. е. системы работают у них вхолостую. У 56% респондентов сообщения расследуются – из этого объема примерно 34% сообщений оказываются показателями реальных угроз системе безопасности. Из них обрабатываются и принимаются меры только в 51% случаев, остальные остаются без последствий! Как видим, статистика весьма тревожная.
Решение проблемы сегодня видится в развитии и внедрении технологий искусственного интеллекта и машинного самообучения, поскольку многие угрозы в сфере ИБ могут быть идентифицированы только за счет МС и ИИ. При этом 92% специалистов по ИБ считают, что средства поведенческого анализа эффективны для выявления злоумышленников.
Михаил Кадер провел интересное сопоставление общемировых и внутрироссийских показателей. В частности, он отметил, что в 2017 г. 25% специалистов по ИБ в мире сообщили, что используют продукты 11−20 вендоров, в то время как в России число компаний, использующих продукцию более 11 вендоров, значительно ниже (всего 11%), одно−пяти вендоров – 64%, шести−десяти вендоров – 25%.
Специалисты по ИБ в мире сообщили, что 32% нарушений защиты затронули более половины подведомственных им систем. По сведениям, предоставленным российскими специалистами по ИБ, 51% нарушений защиты затронули от 11 до 50% их систем, 8% − свыше половины систем.
Об использовании внешних частных облаков сообщили 27% специалистов по ИБ в мире, а в России этот показатель не превысил 18%.
57% специалистов по ИБ в мире объяснили, что используют облако для лучшей защиты данных. В России причиной обращения «в облако» стали эффективная защита данных (47%), простота использования (56%), масштабируемость (47%).
Облачные технологии играют решающую роль, помогая поддерживать низкое медианное значение несмотря на существенный рост количества образцов угроз. Как отметил Михаил Кадер, всего за один прошедший год (2016-й) количество наблюдаемых образцов угроз выросло в десятки раз! Однако применение специалистами сферы ИБ консолидированного подхода и разнообразных методик защиты позволило резко снизить время обнаружения угрозы: в 2015 г. медианное время обнаружения составляло 37 часов, в 2016 г. – 14 часов, в 2017 г. – 4,6 часа (в отдельные периоды этот показатель падал до 3,5 часа).
В заключение своего доклада Михаил Кадер еще раз отметил, что злоумышленники постоянно совершенствуют свои тактические приемы, используя для скрытия активности и обхода традиционных технологий безопасности шифрование и легальные интернет-сервисы.
Ответственность за решение проблем в сложившейся ситуации ложится на плечи руководства предприятий, поскольку культуру ИБ определяют топ-менеджеры и совет директоров компании.
Cisco дает своим клиентам следующие семь основных рекомендаций:
- обучение и тренинг по ролям с целью достижения максимальной эффективностиж
- применение корпоративных политик и практик для обновления приложений, систем и устройств;
- определение ответственного за безопасность IoT-устройств и добавление этих устройств в список сканирования при проверке безопасности;
- регулярный пересмотр процедур реагирования на инциденты безопасности и практические занятия по ним;
- регулярное резервное копирование данных и проверка процедур восстановления;
- пересмотр процедур сторонних организаций для тестирования эффективности технологий ИБ с целью снижения рисков атаки на цепочку поставок;
- проведение проверки безопасности микросервисов, облачных сервисов и систем администрирования приложений.
Дмитрий Шульгин