Главная   Аналитика   Безопасность    Наука и технологии   Проекты    Soft   Hard   О том, о сём    Контакты

Cisco выпустила очередной ежегодный отчет по кибербезопасности

11.03.2018

Михаил Кадер, инженер GSSO

В одиннадцатый раз аналитики компании Cisco собрали и обобщили данные о положении дел в сфере кибербезопасности. Была проанализирована информация за последние 12-18 месяцев, полученная от компаний-партнеров Anomali, Lumeta, Qualys, Radware, SAINT и TrapX. Отчет также содержит результаты ежегодного исследования решений безопасности Security Capabilities Benchmark Study (SCBS), подготовленного на основе анкетирования 3600 главных директоров по информационной безопасности и менеджеров по обеспечению информационной безопасности из 26 стран, которые отвечали на вопросы о состоянии кибербезопасности в своих организациях.

Вполне ожидаемый вывод: так как вредоносное программное обеспечение становится всё более совершенным, организации для защиты начинают использовать для защиты такие передовые технологии, как машинное самообучение и искусственный интеллект. Так, 39% организаций делают ставку на автоматизацию, 34% - на машинное самообучение, 32% - на искусственный интеллект.

Основные выводы отчета Cisco 2018 Annual Cybersecurity Report, ACR представил Михаил Кадер, инженер GSSO. Он отметил беспрецедентный уровень ущерба и изощренности киберпреступлений в прошедшем году, более совершенную маскировку проникновений, использование уязвимости новых технологий. Атакующие для того, чтобы скрывать активность команд и потока управления стали активней использовать шифрование. За прошедшие 12 месяцев специалисты Cisco по информационной безопасности зафиксировали более чем трехкратный рост шифрованного сетевого трафика от инспектируемых образцов вредоносного ПО. Организации для защиты также используют шифрование. Однако положение дел таково: в ноябре 2016 года общий объем шифрованного трафика составлял 38%, 19% из которого был вредоносным; в октябре 2017 года совокупный объем трафика составлял 50%, но вредоносный трафик уже достиг 70% внутри него – то есть, рост составил 268%. Киберпреступники научились обходить «песочницы» - это для них важно, так как эта функция довольно действенна в обеспечении информационной безопасности. Практика показывает, что почти 100% вредоносного кода «песочница» определяет за 72 часа. Но этого не происходит, если код зашифрован.

Еще одна тенденция последнего года – злоумышленники стали использовать для своего ПО хостинг на популярных ресурсах – Google, Amazon и др. Новая опасность, характерная для 2017 года – взлом и заражение систем установки антивирусного программного обеспечения, а также внедрение вредоносного кода в инструменты разработки.

Известно, что в прошедшем году были зафиксированы мощные атаки программ-вымогателей. Происходило их быстрое клонирование, что влекло скоростные самораспространяющиеся атаки. При этом «вымогатели» уже не столько вымогали, сколько имели целью нанести ущерб атакуемым организациям.

По данным респондентов, более половины всех атак нанесли финансовый ущерб в размере свыше 500 млн. долларов, включая, в том числе, потерю доходов, отток заказчиков, упущенную выгода и прямые издержки.

Набирают скорость и усложняются атаки на цепочки поставок. Такие атаки способны масштабно поражать компьютеры. При этом их действие может продолжаться месяцы и даже годы. В 2017 году две подобные атаки заражали вирусами организации через доверенное ПО.

Михаил Кадер отметил, что организации чаще стали использовать облака, в том числе размещая там средства ИБ. На сегодняшний день 53% компаний управляют большей частью своей инфраструктуры в облаке. Что касается информационной безопасности, компании полагают, что использование облака снимает проблему нехватки специализированных кадров, простота использования, постоянное функционирование сервисов, легкая масштабируемость. Однако специалисты компаний, занятых в сфере ИБ, не устают утверждать, что облако – это дополнительные риски, и закрывать глаза на это не стоит.

Нельзя не упомянуть технологию интернета вещей. В этой сфере наблюдается рост числа массированных атак. Возрастает их сложность, частота и длительность. В 2017 году 2/5 предприятий испытали атаки типа reflection/amplification. Отразить эти атаки смогли 2/3 предприятий. Примечательно, что мошенники не обходят своим вниманием домашние сети – используют простые бытовые устройства для внедрения ПО, например, блокирующие сервисы обслуживающих организаций.

И еще о домашних сетях. Разработчики некоторых компаний временами работают в удаленном режиме – дома. Поэтому не лишне позаботиться о защите таких сегментов разработки, ведь доля открытых атакам серверов DevOps создает огромные риски.

Еще один момент – проблема оркестрации. Для своей защиты организации используют комплексные сочетания продуктов от различных производителей. Такое усложнение при расширяющемся разнообразии уязвимостей отрицательно сказывается на способность организаций к отражению атаки и ведет в том числе к увеличению рисков финансовых потерь. В 2017 году 25% специалистов по ИБ (в 2016 году – 18%) сообщили, что используют продукты от 11-20 вендоров. 15% специалистов по информационной безопасности констатировали, что в 2016 году 32% уязвимостей затронули более половины систем.

Михаил Кадер рассказал, что Продемонстрированное Cisco медианное время обнаружения (time to detection, TTD) за период с ноября 2016 по октябрь 2017 г. составило около 4,6 часов. В ноябре 2015 г. этот показатель составил 39 часов, а по данным Отчета Cisco по кибербезопасности за 2017 г., медианное время обнаружения за период с ноября 2015 по октябрь 2016 г. составило 14 часов. Очевидно, что чем меньше время обнаружения, тем быстрее отражается атака.

Несколько цифр о России. В нашей стране специалисты по ИБ сообщили, что 51% нарушений защиты затронуб от 11 до 50% их систем. Только 8% нарушений защиты затронули более половины систем. 85% специалистов отметили, что средства поведенческого анализа хорошо справляются со своей задачей. 18% респондентов РФ сообщили об использовании внешних частных облаков, из них 47% объяснили использование облака лучшей защитой данных, 56% - простотой использования, 47% - масштабируемостью. В России число компаний, использующих продукцию более 11 вендоров составляет 11%, 1-5 вендоров – 64%, 6-10 вендоров – 25%. В крупных российских корпорациях на средства ИБ приходится около 5% ИТ-бюджета.

В заключение Михаил Кадер дал ряд рекомендаций для подразделений информационной безопасности. Он отметил, важнейшую роль руководства в определении культуры ИБ корпораций. Семь основных действий для укрепления ИБ таковы: обучение и тренинг по ролям для достижения максимальной эффективности; применение корпоративных политик и практик для обновления приложений, систем и устройств; определение ответственного за безопасность IoT-устройств и добавление этих устройств в список сканирования при проверке безопасности. Далее: регулярный пересмотр процедур реагирования на инциденты безопасности и практические занятия по ним; регулярное резервное копирование данных и проверка процедур восстановления; пересмотре процедур сторонних организаций для тестирования эффективности технологий ИБ для снижения рисков атаки на цепочку поставок. И последнее – проведение проверки безопасности микросервисов, облачных сервисов и систем администрирования приложений.

Елена Шашенкова

Тема:Безопасность

© 2014. ИТ-Текст. Все права защищены.