Главная Новости Наши услуги Связь с нами Партнеры Статьи Документы
Охранаобъектов Информационныеуслуги Розыскныеуслуги Юридическиеуслуги OSINT-розведкаАналитика Техническаязащита Дополнительныеуслуги

Ежегодный отчет Cisco по информационной безопасности 2015

http://www.slideshare.net/CiscoRu/cisco-2015-45369749
Ежегодный отчет Cisco по информационной безопасности 2015
1.1 Годовой отчет Cisco по безопасности за 2015 год | Section Name
2. 2Годовой отчет Cisco по безопасности за 2015 год | Краткий обзор Краткий обзор
Какой бы изменичивой ни была современная среда угроз, мы можем с уверенностью говорить о нескольких константах. Четыре темы для обсуждения в годовом отчете Cisco по безопасности за 2015 год 1. Аналитика угроз. 2. Сравнительное исследование возможностей систем безопасности, проведенное Cisco. 3. Геополитические и отраслевые тенденции. 4. Изменение взгляда на информационную безопасность — от пользователей до совета директоров. Современные хакеры неустанно ищут возможности преодолеть механизмы обнаружения и скрыть вредоносные действия. А тем временем службы информационной безопасности должны постоянно улучшать методы защиты организации и ее сотрудников от все более изощренных атак. Между ними находятся обычные пользователи. Оказывается, они не только являются целью, но и могут поневоле стать соучастниками атак. В годовом отчете Cisco по безопасности за 2015 год, в котором собраны результаты исследований и мнения сотрудников Cisco® Security Research и других экспертов компании, рассматривается непрерывная гонка между злоумышленниками и защитниками, на фоне которой пользователи становятся все более слабым звеном в системе безопасности. Информационная безопасность — это обширная и сложная проблема, которая оказывает огромное влияние на пользователей, организации и правительства по всему миру. В годовом отчете Cisco по безопасности за 2015 год выделены четыре темы для обсуждения. На первый взгляд кажется, что эти разделы и рассматриваемые в них вопросы не имеют ничего общего, но при ближайшем анализе становится очевидна их взаимосвязь. 3. 3Годовой отчет Cisco по безопасности за 2015 год | Краткий обзор 1. Аналитика угроз В этом разделе представлен обзор исследования, проведенного компанией Cisco. Из него вы узнаете об эксплойтах, спаме, угрозах, уязвимостях и вредоносной рекламе. Также в отчете изучается роль пользователей в организации атак. В основе анализа тенденций 2014 года, проведенного Cisco Security Research, лежат телеметрические данные со всего мира. Сведения об угрозах, представленные в отчете, отражают результаты работы ведущих экспертов Cisco. 2. Сравнительное исследование возможностей систем безопасности, проведенное Cisco Чтобы изучить восприятие состояния защиты в различных организациях, компания Cisco задала вопросы руководителям и специалистам по информационной безопасности в организациях разных масштабов из девяти стран относительно их ресурсов и процедур. Эти результаты вы можете прочитать только в годовом отчете Cisco по безопасности за 2015 год. 3. Геополитические и отраслевые тенденции В этом разделе специалисты Cisco по безопасности и геополитике характеризуют текущие и новые геополитические тенденции, на которые организациям, особенно международным корпорациям, следует обратить пристальное внимание. В центре внимания — рост киберпреступности в зонах слабого контроля со стороны государства. Также здесь будут рассмотрены общемировые проблемы суверенитета, локализации, шифрования и совместимости данных. 4. Изменение взгляда на информационную безопасность — от пользователей до совета директоров Специалисты Cisco по безопасности полагают, что организациям, которые хотят построить по-настоящему надежную систему безопасности в современных условиях, пора иначе взглянуть на вопросы информационной защиты. Во-первых, нужны более сложные инструменты управления безопасностью, чтобы защититься от угроз до, во время и после атаки. Во-вторых, необходимо поднять проблему информационной безопасности на уровень совета директоров. В-третьих, необходимо взять на вооружение манифест информационной безопасности Cisco — принципы, которые позволят реализовать более динамичный подход к защите, опережая на шаг злоумышленников. Взаимосвязь тем, рассматриваемых в годовом отчете Cisco по безопасности за 2015 год, заключается в следующем. Злоумышленники становятся на удивление изобретательными, они научились использовать бреши в системе безопасности для маскировки вредоносной активности. Ответственность за защиту данных несут как специалисты по информационной безопасности, так и сами пользователи. Хотя многие защитники считают свои методы прекрасно оптимизированными, а инструменты безопасности эффективными, на самом деле их готовность противостоять угрозам наверняка оставляет желать лучшего. События в сфере геополитики — от изменения законов до появления новых угроз — могут напрямую влиять на бизнес и отношение организации к безопасности. Таким образом, организациям любого размера жизненно важно осознать, что безопасность касается непосредственно пользователей, что атак невозможно избежать и что пришло время найти новый подход к вопросам безопасности. 4. 4Годовой отчет Cisco по безопасности за 2015 год | Основные выводы Злоумышленники стали изощреннее использовать недостатки систем безопасности, чтобы скрыть свои вредоносные действия. ►► В 2014 году злоумышленники активно использовали 1 % критических общих уязвимостей и незащищенных мест (CVE). Это означает, что организации должны быстро устранить этот 1 % уязвимостей. Однако даже при использовании ведущих технологий безопасности требуется высокая эффективность процессов для устранения уязвимостей. ►► С момента устранения угрозы эксплойт-кита Blackhole в 2013 году ни одному эксплойту не удалось добиться подобного успеха. Однако следует иметь в виду, что высшая строчка в рейтинге, возможно, уже не так притягательна для авторов эксплойтов, как раньше. ►► Количество эксплойтов, атакующих Java, уменьшилось на 34 % вместе с улучшением защиты Java и появлением новых векторов атак. ►► Вредоносные программы Flash теперь могут взаимодействовать с JavaScript, чтобы скрывать вредоносные действия, а также значительно затруднять их обнаружение и анализ. ►► В период с января по ноябрь 2014 года объем спама увеличился на 250 %. ►► Среди возникающих угроз можно отметить «спам на снегоступах», который отправляет небольшой объем нежелательных сообщений с большого количества IP-адресов, чтобы избежать обнаружения. Пользователи и ИТ-специалисты невольно стали частью проблем безопасности. ►► Интернет-преступники рассчитывают, что пользователи будут устанавливать вредоносные программы или помогать им использовать бреши в системе защиты. ►► Heartbleed — опасная уязвимость OpenSSL. При этом, 56 % всех используемых версий OpenSSL старше 50 месяцев и, следовательно, все еще уязвимы. ►► Безответственное поведение пользователей при использовании Интернета в сочетании с целевыми кампаниями, которые реализуют злоумышленники, подвергают многие отраслевые вертикали повышенному риску воздействия вредоносного ПО, распространяемого через Интернет. В 2014 году, по данным специалистов Cisco Security Research, фармацевтическая и химическая отрасли оказались лидерами с наибольшим риском воздействия вредоносного ПО, распространяемого через Интернет. ►► Создатели вредоносного ПО используют расширения веб-браузера в качестве средства для распространения таких программ и нежелательных приложений. Такой подход к распространению вредоносного ПО оказался успешным для злоумышленников, так как многие пользователи привыкли доверять расширениям или просто считают их безвредными. Сравнительное исследование возможностей систем безопасности, проведенное Cisco, показывает расхождение в оценке готовности к защите. ►► 59 % руководителей по ИТ-безопасности считают, что их процедуры защиты оптимизированы, той же точки зрения придерживаются 46 % менеджеров по операциям обеспечения безопасности. ►► 75 % руководителей по ИТ-безопасности отзываются о своих средствах безопасности как об очень или исключительно эффективных. При этом, четверть из них указывает, что их средства эффективны до некоторой степени. ►► 91 % респондентов из компаний со сложными системами безопасности, безусловно, согласны с тем, что руководители их компаний считают обеспечение безопасности приоритетной задачей. ►► Менее 50 % респондентов использует такие стандартные средства, как исправления и настройки для предотвращения нарушений безопасности. ►► Более крупные организации и компании среднего размера с большей степенью вероятности используют исключительно сложный анализ состояния защищенности в сравнении с организациями других размеров, рассматриваемых в исследовании. Основные выводы Ниже приводятся основные выводы годового отчета Cisco по безопасности за 2015 год. 5. 5Годовой отчет Cisco по безопасности за 2015 год | Содержание Содержание Краткий обзор................................................................... 2 Основные выводы............................................................ 4 Злоумышленники против разработчиков систем безопасности: продолжающаяся гонка........... 6 1. Аналитика угроз........................................................... 7 Веб-эксплойты: создатели эксплойт-китов считают, что высшая строчка в рейтинге не обязательно означает ваше превосходство.......................................................... 7 Угрозы и уязвимости: Java теряет свою привлекательность как вектор атак.................................................. 8 Археология уязвимостей: опасности, связанные с устаревшим программным обеспечением, и причины, по которым исправления нельзя считать единственным решением................................................................ 12 Отчет о рисках для отраслевых вертикалей: выбор цели злоумышленниками и безответственный подход пользователей — опасная комбинация для компаний в отраслях с высоким уровнем риска............................................. 13 Новые способы рассылки спама: спамеры применяют стратегию «спама на снегоступах»............................. 18 Вредоносная реклама через расширения браузера: небольшой ущерб из расчета на пользователя с идеей получения большой прибыли............................................ 21 2. Сравнительное исследование возможностей систем безопасности, проведенное Cisco................. 24 Возможности систем безопасности: насколько компании удовлетворяют требованиям?...................... 24 3. Геополитические и отраслевые тенденции............ 38 Киберпреступность процветает в условиях слабого контроля со стороны государства.................................... 38 Поиск баланса между суверенитетом данных, локализацией и шифрованием ....................................................... 39 Совместимость стандартов безопасности личных данных........... 40 4. Изменение взгляда на информационную безопасность — от пользователей до совета директоров...................................................................... 42 Защищенный доступ: сведения о пользователях, времени и способах использования сети...................................... 42 Информационная безопасность сегодня зависит от заинтересованности совета директоров компании.................. 44 Манифест информационной безопасности Cisco: основные принципы обеспечения безопасности в реальном мире...................................................... 45 О компании Cisco............................................................ 46 Приложение..................................................................... 47 Примечания...................................................................................... 52 6. 6Годовой отчет Cisco по безопасности за 2015 год | Злоумышленники против разработчиков систем безопасности: продолжающаяся гонка Злоумышленники против разра­ ботчиков систем безопасности: продолжающаяся гонка Специалисты по информационной безопасности и интернет-преступники продолжают свою гонку на опережение, пытаясь обхитрить друг друга. С точки зрения безопасности, очевидно, что организации улучшили свои позиции, приняв на вооружение более сложные средства для предотвращения атак и уменьшения их последствий. Они достаточно серьезно воспринимают необходимость мощного анализа состояния защищенности и уверены в том, что их процедуры защиты оптимизированы. Поставщики технологий также более внимательно подходят к обнаружению и устранению уязвимостей в своих продуктах, в результате чего злоумышленники имеют меньше возможностей для запуска эксплойтов. Однако злоумышленники становятся более изощренными не только в своем подходе к запуску атак, но также и в уклонении от обнаружения. ►► Они постоянно изменяют свою тактику и средства, исчезая из сети до того, как будут остановлены, или быстро выбирая другой метод проникновения. ►► Преступники разрабатывают спам-кампании с использованием сотен IP-адресов в попытках обойти зарекомендовавшие себя продукты защиты от спама на основе IP-адресов. ►► Они создают вредоносные программы на базе инструментов, которым доверяют пользователи или которые выглядят безвредными, чтобы закрепить эти программы в компьютерах и спрятать их на самом виду. ►► Злоумышленники отыскивают новые уязвимости, если поставщики устраняют слабые места в других продуктах. ►► Они пытаются добиться скрытого присутствия или растворяются в целевой организации, иногда затрачивая недели или месяцы для создания многочисленных плацдармов в инфраструктуре и пользовательских базах данных. И только при полной готовности они приступают к выполнению своей основной миссии. Согласно данным нового сравнительного исследования возможностей систем безопасности, проведенного Cisco (см. стр. 24), специалисты по безопасности отмечают свой оптимизм и хорошую подготовку для отражения интернет-атак злоумышленников. Тем не менее преступники продолжают красть информацию, зарабатывать деньги на мошенничестве или нарушать работу сетей для достижения политических целей. В конце концов, обеспечение безопасности — это игра с числами. Даже если организации удается блокировать 99,99 % из миллиарда спам-сообщений, некоторые из них все же проникнут в систему. Способов обеспечить 100-процентную эффективность не существует. Когда такие сообщения или эксплойты добираются до пользователей, именно сами пользователи становятся слабым звеном сети. Так как организации накопили опыт применения решений, блокирующих проникновение в сеть, вредоносное ПО и спам, злоумышленники могут задействовать пользователей, отправляя им фальшивые запросы на сброс пароля. Поскольку пользователи становятся все более слабым звеном в цепочке безопасности, организациям приходится внимательнее выбирать технологии и политики безопасности. Не открывают ли организации новые лазейки для киберпреступников, в то время как разработчики пытаются сделать приложения и программное обеспечение более простыми в использовании? Жертвуют ли организации интересами пользователей, которым, по их мнению, нельзя доверять или которых невозможно обучить, применяя строгие меры безопасности, препятствующие нормальной работе пользователей? Пытаются ли организации рассказать пользователям о необходимости элементов управления безопасностью и ясно объяснить им их роль в обеспечении динамической защиты организации, которая поддерживает бизнес? Принципы манифеста информационной безопасности Cisco, изложенные на странице 45, дают положительный ответ на последний вопрос. Технологические решения редко задействуют пользователей для управления безопасностью в качестве активных участников. Вместо этого такие решения вынуждают пользователей обходить средства обеспечения безопасности, которые мешают им работать, что уменьшает безопасность организаций. Сегодня вопрос, можно ли взломать сеть, утратил свою актуальность. Каждая сеть будет рано или поздно взломана. А что же в таком случае делать организациям? Если персонал безопасности знает, что сеть будет взломана, не будет ли он по-другому подходить к вопросам безопасности? В годовом отчете Cisco по безопасности за 2015 год содержатся данные последних исследований специалистов группы Cisco Security Research. Группа анализирует достижения в области информационной безопасности, помогающие организациям и пользователям защититься от атак, а также рассматривает методы и стратегии, применяемые злоумышленниками для преодоления этой защиты. В отчете также содержатся основные выводы по результатам Сравнительного исследования возможностей систем безопасности, проведенного Cisco, в котором рассматривается анализ состояния защищенности организаций и их мнение о готовности к защите от атак. Кроме этого, в отчете обсуждаются следующие темы: геополитические тенденции, глобальные процессы, связанные с локализацией данных, польза более сложных элементов управления безопасным доступом, сегментация на основе ролевого доступа, а также важность переноса рассмотрения вопросов информационной безопасности на уровень совета директоров компаний. против 7. 7Годовой отчет Cisco по безопасности за 2015 год | 1. Аналитика угроз В деловом мире компании стремятся стать признанными лидерами. Но по данным специалистов Cisco Security Research, для авторов эксплойт-китов, действующих в так называемой теневой экономике, удержание четвертой или пятой позиции среди ведущих эксплойтов может стать еще более явным признаком успеха. Как отмечается в отчете Cisco по безопасности за первую половину 2014 года, с конца 2013 года не наблюдается явный лидер среди эксплойт-китов1 . Это произошло после того, как власти обезопасили широко используемый, хорошо поддерживаемый и высокоэффек­тивный эксплойт-кит Blackhole после ареста его предполагаемого создателя и распространителя, известного как Paunch. Специалисты Cisco Security Research полагают, что основная причина отсутствия доминирующего эксплойт-кита в настоящее время состоит в том, что просто не появился другой, который бы стал бесспорным технологическим лидером среди конкурентов. Еще одна выявленная тенденция: с момента ареста хакера Paunch и обезвреживания Blackhole похоже, что больше пользователей эксплойт-китов стали инвестировать в технически сложные эксплойты с точки зрения их способности избегать обнаружения. Согласно данным экспертов Cisco по вопросам информационной безопасности, в течение 2014 года наиболее часто наблюдалось использование следующих эксплойт-китов: Angler, Sweet Orange и Goon. В 2014 году чаще других обнаруживалось использование эксплойт-кита Angler. По неизвестным причинам эта тенденция особенно ярко проявила себя в августе. Специалисты Cisco Security Research объясняют популярность Angler решением его автора(-ов) отказаться от требования загружать исполняемый файл Windows для доставки вредоносной программы. Исследователи Cisco считают, что способность эксплойт-кита Angler использовать уязвимости Flash, Java, Microsoft Internet Explorer (IE) и даже Silverlight требует к себе внимания. После запуска эксплойта содержимое вредоносного ПО записывается не на диск, а прямо в память с помощью такого процесса, как, например, iexplore.exe. Доставляемое Angler содержимое выглядит как BLOB-объект зашифрованных данных, что затрудняет его идентификацию и блокирование. Эксплойт-кит Sweet Orange также отличается исключительной динамичностью. Его компоненты, порты и URL-адреса содержимого постоянно меняются, что позволяет Sweet Orange сохранять свою эффективность, избегая обнаружения. По мнению специалистов Cisco Security Research, эта особенность дает основание считать, что при сравнении с другими эксплойтами Sweet Orange с наибольшей степенью вероятности добьется успеха. Эксплойт- кит Sweet Orange внедряет ряд вредоносных программ в системы конечных пользователей, к которым не применены исправления, а также содержит эксплойты для уязвимостей в Adobe Flash Player, IE и Java. Злоумышленники, использующие Sweet Orange, часто рассчитывают на вредоносную рекламу, которая перенаправляет пользователей на веб-сайты, в том числе легитимные, с размещенными эксплойт-китами. Как правило, в ходе этого процесса пользователи перенаправляются не менее двух раз. Скомпрометированные веб-сайты с устаревшими версиями таких систем управления контентом, как WordPress и Joomla, часто становятся удобным местоположением для размещения эксплойт-кита Sweet Orange2 . Что касается эксплойт-кита Goon, то, по мнению Cisco Security Research, вероятной причиной его скромной, но устойчивой популярности в 2014 году можно считать его надежность. Этот эксплойт также отличается наибольшей организованностью по сравнению с другими эксплойт-китами. Впервые открытый в 2013 году специалистами по информационной безопасности, эксплойт Goon, известный также как эксплойт-кит Goon/Infinity, представляет собой среду распространения вредоносного ПО, которая создает эксплойты для уязвимостей браузеров, имеющих отношение к компонентам Flash, Java или Silverlight на платформах Windows и Mac3 . Подробнее об Angler, а также об использовании вредоносной рекламы в качестве основного способа доставки эксплойт-китов пользователям см. в публикации блога Cisco Security Angling for Silverlight Exploits (Ловим эксплойты Silverlight). 1. Аналитика угроз В этом отчете группа Cisco Security Research собрала и проанализировала информацию о безопасности на основе телеметрических данных со всего мира. Эксперты по безопасности Cisco регулярно изучают и анализируют вредоносный трафик и другие обнаруженные угрозы, что позволяет собрать сведения о возможном поведении преступников в будущем и помочь в выявлении угроз. Веб-эксплойты: создатели эксплойт-китов считают, что высшая строчка в рейтинге не обязательно означает ваше превосходство 8. 8Годовой отчет Cisco по безопасности за 2015 год | 1. Аналитика угроз Хотя общее количество обнаруженных эксплойт-китов упало на 87 % в месяцы после устранения Blackhole, летом 2014 года число эксплойтов, обнаруженных специалистами Cisco Security Research, увеличилось (см. рис. 1). В последние две недели августа они отметили значительное увеличение количества обнаружений, связанных с эксплойт-китом Angler. Однако к ноябрю общее количество обнаружений известных эксплойт- китов снова уменьшилось, причем Angler и Goon/Infinity по-прежнему проявляли себя чаще других. Общее среднее снижение количества эксплойт-китов, обнаруженных в период с мая по ноябрь 2014 года, составило 88 %. Угрозы и уязвимости: Java теряет свою привлекательность как вектор атак В последние годы Java занимала незавидное ведущее место в списках наиболее распространенных и опасных уязвимостей. Однако согласно данным группы Cisco Security Research, похоже, что Java теряет популярность среди злоумышленников, которые стремятся найти максимально быстрый и простой, а также наименее обнаруживаемый способ для запуска эксплойтов. Среди 25 оповещений о критических уязвимостях, имеющих отношение к поставщикам и продуктам, в период с 1 января по 30 ноября 2014 года только одно оповещение было связано с Java (см. «Общую систему оценки уязвимостей [CVSS]» в таблице 1 на стр. 10). В 2013 году группа Cisco Security Research зарегистрировала 54 новых критических уязвимостей Java. В 2014 году количество обнаруженных уязвимостей Java упало до 19. Однако это не должно уменьшить популярность и эффективность атак на эти более старые уязвимости, которые остаются и сегодня. Данные из Национальной базы данных уязвимостей (NVD) также подтверждают аналогичное уменьшение. Согласно информации NVD в 2013 году было обнаружено 309 уязвимостей Java, а в 2014 году — 253 новые уязвимости Java. (Cisco Security Research отслеживает значительные уязвимости, которые получают высокую оценку по шкале CVSS. Этим объясняется меньшее количество, тогда как NVD помещает в отчет все обнаруженные уязвимости.) На рис. 2 указаны ведущие эксплойты уязвимостей по поставщикам и продуктам за 2014 год. Январь 2014 г. Ноябрь 2014 г.Наборы эксплойтов: уникальные атаки по месяцам Источник: Cisco Security Research 88 % — падение общего среднего количества эксплойт-китов, обнаруженных в 2014 году Прочитайте публикацию в блоге Cisco Security Fiesta Exploit Pack Is No Party for Drive-By Victims (Эксплойт- пакет Fiestа не доставляет радости случайно пострадавшим жертвам) и узнайте, как компании могут защититься от эксплойт-кита Fiesta. Этот набор доставляет вредоносное ПО через такие объекты, как Silverlight, и использует динамические DNS-домены (DDNS) в качестве целевых страниц эксплойта. Подробнее об эксплойт-ките Nuclear и его возможностях получать доступ в систему пользователя для определения уязвимостей и доставки подходящих типов вредоносного ПО см. в публикации блога Cisco Security Evolution of the Nuclear Exploit Kit (Эволюция эксплойт- кита Nuclear). Рис. 1. Тенденции применения эксплойт-китов: количество уникальных атак, обнаруженных в период с января по ноябрь 2014 г. Adobe Flash Player, Reader 5 Microsoft 8 Symantec 1 Oracle Java 1 PHP 1 OpenSSL 1 Mozilla 1 Linux Kernel 1 WordPress 2 Apache Struts Framework 2 HP 3 Источник: Cisco Security Research Рис. 2. Ведущие поставщики и эксплойты уязвимостей их продуктов Поделиться отчетом 9. 9Годовой отчет Cisco по безопасности за 2015 год | 1. Аналитика угроз Эксплойты с использованием уязвимостей на стороне клиента в Adobe Flash Player и Microsoft IE отобрали ведущее место у Java вместе с эксплойтами, нацеленными на серверы (например, эксплойты, использующие уязвимости в Apache Struts Framework, среде с открытым исходным кодом). Растущее количество эксплойтов Apache Struts Framework можно считать примером тенденции, когда преступники компрометируют онлайн- инфраструктуру для увеличения охвата и возможностей во время атак. Благодаря своей популярности Apache Struts Framework представляет собой логическую начальную точку для эксплойтов. На рис. 3 показаны наиболее популярные категории продуктов, которые были атакованы эксплойтами в 2014 году. По данным группы Cisco Security Research, в 2014 году наиболее часто подвергались атакам эксплойтов приложения и инфраструктура. Системы управления контентом (CMS) также представляют собой предпочтительные цели. Злоумышленники рассчитывают на веб-сайты со старыми версиями CMS для упрощения доставки эксплойтов. Совокупное количество оповещений уменьшилось Общее количество оповещений за год, в число которых входят новые и обновленные уязвимости продуктов, обнаруженные в 2014 году и собранные Cisco Security Research, уменьшилось (рис. 4). По состоянию на ноябрь 2014 года общее количество оповещений снизилось на 1,8 % по сравнению с 2013 годом. Процент может показаться небольшим, однако впервые за последние несколько лет отмечается снижение количества оповещений по сравнению с предыдущим годом. Наиболее вероятной причиной уменьшения считается растущее внимание к тестированию программного обеспечения и разработке со стороны поставщиков. Улучшенные жизненные циклы разработки, по всей вероятности, оказывают влияние на уменьшение количества уязвимостей, которые могут быть легко использованы преступниками. Рис. 4. Совокупные показатели оповещений Январь Декабрь 2013 г. 2014 г.2012 г. Источник: Cisco Security Research Оповещения 6756 537 Exploits Инфраструктура (41,9 %) ICS-SCADA (11,6 %) CMS (11,6 %) Приложение (32,6 %) TLS (2,3 %) Источник: Cisco Security Research Рис. 3. Ведущие категории продуктов, подвергшихся атакам эксплойтов Поделиться отчетом 10. 10Годовой отчет Cisco по безопасности за 2015 год | 1. Аналитика угроз Количество новых оповещений в 2013 и 2014 годах показывает продолжающееся увеличение новых уязвимостей в отчетах в сравнении с предыдущими годами. Это означает, что поставщики, разработчики и исследователи проблем информационной безопасности находят, устраняют и заносят в отчеты больше новых уязвимостей в своих продуктах. Как видно на рис. 5, общее количество новых оповещений и общее количество за год в 2014 году равно уровню 2013 года или даже немного меньше его. В таблице 1 показаны некоторых из наиболее часто используемых уязвимостей в соответствии с «Общей системой оценки уязвимостей (CVSS)». Национальная база уязвимостей (NVD), созданная Национальным институтом США по стандартам и технологиям (NIST), обеспечивает среду для распространения информации о характеристиках и воздействии уязвимостей в области ИТ, а также поддерживает CVSS. Показатель «срочности» в таблице CVSS указывает на активное использование этих уязвимостей, что соответствует показателю «временные» — индикатору активных эксплойтов. Помимо этого, предприятия путем сканирования списка продуктов, используемых злоумышленниками, могут определять, какие именно из этих продуктов используются злоумышленниками и, следовательно, подлежат мониторингу и исправлению. На рис. 6 указаны поставщики и продукты с наивысшими оценками CVSS. Cisco, используя оценки CVSS, указывает на существование кода эксплойта, подтверждающего концепцию. Однако при этом неизвестно, что код стал общедоступным. Оповещения (всего) Новые оповещения Обновленные оповещения Источник: Cisco Security Research 2012 г. 2013 г. 2014 г.2011 г. (6200)(6200) (7400) (5300) Таблица 1. Наиболее часто используемые уязвимости IntelliShield ID Заголовок Срочность Доверие Степень важности Источник: Cisco Security Research Базовое значение Общая система оценки уязвимостей (CVSS) Временное значение 33695   Уязвимость OpenSSL TLS/DTLS Heartbeat, утечка информации 5,0 5,0 35880 Уязвимость GNU Bash, обработка содержимого переменной окружения выполнение произвольного кода 10,0 7,4 36121 Уязвимость Drupal Core, внедрение SQL 7,5 6,2 32718 Уязвимость Adobe Flash Player, удаленное выполнение кода 9,3 7,7 33961 Уязвимость Microsoft Internet Explorer, выполнение кода удаленного объекта памяти 9,3 7,7 28462 Уязвимость Oracle Java SE, выполнение произвольного кода 9,3 7,7 35879 Уязвимость GNU Bash, обработка определений переменной окружения выполнение произвольного кода 10,0 7,4 30128 Уязвимость продуктов нескольких производителей, Struts 2 Action: внедрение команды обработки параметра 10,0 8,3 Новые оповещения в сравнении с обновленными оповещениями Рис. 5. Сравнение новых и обновленных оповещений Источник: Cisco Security Research Cisco (18) Оценки CVSS HP (13) Apache (2) Oracle Java (4) Microsoft (13) EMC (2) Adobe (9) Примечание: в таблице 1 указаны уязвимости, показавшие первоначальные признаки активности эксплойтов в период наблюдения. Большинство таких уязвимостей еще не вышли «на поток», то есть не были включены в число эксплойтов, предназначенных для продажи. Рис. 6. Поставщики и продукты с наивысшими оценками CVSS Поделиться отчетом 11. 11Годовой отчет Cisco по безопасности за 2015 год | 1. Аналитика угроз Специалисты Cisco Security Research предполагают, что уменьшение количества эксплойтов Java может частично быть связано с отсутствием новых эксплойтов «нулевого дня», которые были бы раскрыты и доступны для использования злоумышленни­ ками в 2014 году. Современные версии Java исправляются автоматически, а старые, более уязвимые версии Java Runtime Environment по умолчанию блокируются поставщиками браузеров. Apple даже предпринимает дополнительные меры для блокирования старых и уязвимых версий Java, а также для их исправления с помощью автоматических обновлений. Помимо этого, начиная с января 2013 года, Группа быстрого реагирования на компьютерные инциденты (US-CERT) рекомендует пользователям компьютеров обезопасить, заблокировать или удалить Java. Последняя версия Java (Java 8) имеет более развитые элементы управления, чем предыдущие выпуски. Эту версию также труднее использовать, так как теперь она требует действий пользователя, например для подписи кода и для включения Java. Интернет- преступники нашли более доступные цели и обратили свое внимание на не имеющие отношения к Java векторы атак, которые обеспечивают более высокую рентабельность инвестиций. Например, многие пользователи не обновляют регулярно Adobe Flash и средства чтения PDF-файлов или браузеры, что дает преступникам более широкие возможности для использования как старых, так и новых уязвимостей. Согласно данным отчета Cisco по безопасности за первую половину 2014 года, количество эксплойт-китов, с учетом эксплойтов Microsoft Silverlight, возрастает4 . На рис. 7 показано, что лидирующее положение Java как вектора атак устойчиво снижается в рамках тенденции, которая наблюдается вот уже более года. Использование Flash для запуска эксплойтов было в некоторой степени хаотично с максимальным всплеском в январе 2014 года. Использование PDF оставалось на постоянном уровне, так как многие злоумышленники, по всей вероятности, уделяли основное внимание запуску узких целевых кампаний с помощью сообщений электронной почты с вложенными PDF-файлами. Количество атак на Silverlight, все еще незначительное в сравнении с более традиционными векторами, продолжает возрастать, особенно начиная с августа. Дек. 2012 г. Янв. 2014 г. Сен. 2014 г. Зарегистрированный объем Silverlight 228 % PDF 7 % Flash 3 %Java 34 % Silverlight PDF Flash Java Источник: Cisco Security Research Рис. 7. Сравнение тенденций изменения объема по векторам атак Flash и JavaScript: лучше вместе? В 2014 году группа Cisco Security Research наблюдала рост использования вредоносных программ Flash, которые взаимодействовали с JavaScript. Эксплойт совместно используется двумя различными файлами — одним Flash и одним JavaScript. Совместное использование эксплойтов в двух различных файлах и форматах затрудняет устройствам обеспечения безопасности их обнаружение и блокирование, а также анализ с помощью средств реконструирования. Такой подход позволяет злоумышленникам совершать более эффективные и результативные атаки. Например, если первый этап атаки выполняется полностью в JavaScript, то второй этап, передача содержимого, не начнется до успешного завершения JavaScript. Таким образом, только пользователи, которые могут запустить вредоносный файл, получают содержимое. Анализ: вероятные факторы, подтверждающие потерю интереса к эксплойтам Java среди злоумышленников Поделиться отчетом 12. 12Годовой отчет Cisco по безопасности за 2015 год | 1. Аналитика угроз Как уже пояснялось при обсуждении уязвимостей (см. стр. 8), злоумышленники выбирают простейший доступный путь при определении, каким образом и где их эксплойты смогут добиться успеха. Они выбирают продукты, предлагающие больше возможностей с точки зрения поверхности атак. Такие возможности обыкновенно создаются при использовании неисправленного или старого программного обеспечения. Например, исправление устройств по-прежнему представляет собой серьезную проблему, так как многие системы все еще уязвимы для атак SSL Poodle5 . Изучив тенденции, специалисты Cisco Security Research пришли к мнению, что распространение старых версий исполняемого программного обеспечения продолжит приводить к серьезным проблемам с информационной безопасностью. Группа Cisco Security Research использовала модули проверки для анализа устройств, подключенных к Интернету и использующих OpenSSL. Группа обнаружила, что в 56 % проверенных устройств использовались версии OpenSSL старше 50 месяцев. Это означает, что, несмотря на широкую информацию об эксплойте Heartbleed6 , обнаруженные в 2014 году бреши в системе безопасности при обработке протокола Transport Layer Security (TLS) и срочную потребность выполнить обновление до последней версии программного обеспечения OpenSSL для устранения таких уязвимостей, организациям не удается обеспечить использование новейших версий. На рис. 8 показан возраст версий OpenSSL. Источник: Cisco Security Research 56 % 56 % проиндексированных устройств используют версии OpenSSL более чем 50-месячной давности Рис. 8. Возраст версии OpenSSL Археология уязвимостей: опасности, связанные с устаревшим программным обеспечением, и причины, по которым исправления нельзя считать единственным решением Поделиться отчетом 13. 13Годовой отчет Cisco по безопасности за 2015 год | 1. Аналитика угроз Более широкое применение автоматических обновлений может быть одним из решений проблем, связанных с устаревшим программным обеспечением. Группа Cisco Security Research проанализировала данные устройств, которые были подключены к Интернету и в которых использовался браузер Chrome или IE. Полученные данные показали, что 64 % запросов Chrome поступало от последней версии этого браузера. Что касается пользователей IE, то только 10 % запросов поступало от новейшей версии. Специалисты Cisco Security Research считают, что система автоматических обновлений Chrome более успешно справляется с обеспечением максимально возможного количества пользователей самой последней версией программного обеспечения. (Кроме того, возможно, что пользователи Chrome имеют более глубокие технические знания, чем пользователи IE, и более склонны обновлять свои браузеры и устанавливать обновления.) С учетом сокращения количества уязвимостей Java и их использования исследование ясно показывает, что программное обеспечение с автоматической установкой обновлений имеет преимущества при создании более защищенной среды безопасности. Чтобы исключить неизбежный риск в результате ручных процессов обновления, вероятно, организациям стоит смириться со случайными сбоями и несовместимостью, связанными с автоматическими обновлениями. Отчет о рисках для отраслевых вертикалей: выбор ц

10 сентября, 2015 год




Главная Новости Наши услуги Связь с нами Партнеры Статьи Документы