В компании Cisco есть подразделение Talos, которое занимается широким спектром исследований в области угроз информационной безопасности (последнее исследование WannaCry — тоже их рук дело). В основе Talos лежит множество данных, собираемых по всему миру и анализируемых в круглосуточном режиме:

  • 90 миллиардов DNS-запросов ежедневно
  • 18,5 миллиардов файлов ежедневно, из которых 1,5 миллиона вредоносных (к слову сказать, Лаборатория Касперского 2 миллиона вредосноных программ детектирует еженедельно)
  • 16 миллиардов Web-запросов (URL) ежедневно
  • 600 миллиардов сообщений электронной почты ежедневно.

Последние отчеты Cisco с анализом угроз ИБ

Всего же за год в поле зрения Cisco Talos попадает около 7 триллионов угроз, что в 6 раз превышает число поисковых запросов в Google за тот же период времени. Такой объем информации распределяется по пяти подразделениям Cisco Talos, которые занимаются:

  • анализом угроз (threat intelligence) и созданием индикаторов компрометации в различных форматах (сигнатуры атак, черные списки вредоносных доменов, категории и уровни репутации URL, хеши вредоносных файлов и т.п.)
  • исследованиями в области обнаружения этих угроз
  • разработкой “движков”, решающих различные задачи в области обнаружения угроз (это подразделение, в частности, занимается разработкой и поддержкой Snort)
  • поиском и исследованиями уязвимостей
  • публикацией результатов своих исследований.

Cisco Talos в цифрах

Вот о деятельности последнего департамента Cisco Talos мы сегодня и поговорим. На протяжении последних 10 лет Cisco публикует свой ежегодный отчет, в котором высвечиваются ключевые тенденции по ту сторону баррикад за прошедший год. Не стал исключением и ушедший 2016-й — в феврале мы представили миру свой Cisco Annual Cybersecurity Report (Cisco ACR 2017), который, спустя некоторое время, был переведен и на русский язык. Не стану подробно пересказывать все 110 страниц этого отчета, остановлюсь на некоторых интересных тенденциях и выводах, которые можно из них сделать.

По понятным причинам любая кибератака требует предварительной разведки. На этом этапе хакеры ищут уязвимую интернет-инфраструктуру или слабые места в сети, за счет которых можно получить доступ к компьютерам пользователей и в конечном итоге проникнуть в сеть той или иной организации. Третье место в нашем рейтинге занимает мошенничество в Facebook, включая сфальсифицированные предложения, опросы и медиаконтент. Высокие позиции Facebook- мошенничества в годовом и полугодовом рейтингах наиболее распространенных видов вредоносного ПО свидетельствуют о важнейшей роли социального инжиниринга в реализации значительной доли кибератак. В мире насчитывается 1,8 млрд активных учетных записей Facebook, что вполне закономерно превращает эту социальную сеть в плодородную почву для деятельности киберпреступников и других хакеров, стремящихся обмануть пользователей.

Чтобы далеко не ходить приведу пример атаки лично на меня. Появилась у меня как-то в Facebook девушка по имени Илзе Холл. В профиле написано, что работает сотрудницей службы технической поддержки Cisco TAC в Амстердаме. Вполне нормальная ситуация для Cisco — у нас много девушек-инженеров. Но что-то меня в странице Илзе смутило и я решил проверить ее через другие соцсети. В LinkedIn (еще до запрета этой соцсети на территории России) она тоже нашлась. И тоже сотрудница Cisco. Но только в этот раз она работала в нашем парижском офисе в отделе кадров. А вот это даже в нашей либеральной компании ситуация невозможная.

Примеры страниц в соцсетях у Илзе Холл
Примерно в то же время стал популярен сервис FindFace, позволяющий по фотографии найти страницу человека в соцсети “ВКонтакте”. Загрузил я туда фотографию Илзе и получил множество совпадений. Илзе из Амстердама и Парижа одновременно оказалась Кариной из Минска, Галиной из Уссурийска, а еще Людмилой, Светланой и Яной (сейчас она, кстати, в Фейсбуке зовется Амелиной Татьяной).

Теперь Илзе называет себя Татьяной

Примерно через полгода ко мне постучалась Алена Голубева, чат с которой напоминал известный диалог Хоттабыча из одноименного российского фильма, в котором главный герой пытался познакомиться с ботом по имени “Киса”. На фразе Алены Голубевой “с тобой так интересно” я расхохотался и забанил ее, предварительно “пробив” через FindFace. Оказалось, что Алена из Москвы также имела “сестер-близнецов” — Василину из Могилева и Татьяну из Краснодара. Правда, если использование одинаковой одежды у близнецов я еще могу понять, то использование идентичных фотографий не поддается логическому объяснению :)

А это Алена Голубева, которой со мной так интересно

Если бы я неосторожно вступил в эти “дружеские” отношения, то могу предположить, что через какое-то время мне пришла бы ссылка на “прикольный” ролик, а то и вовсе на ролик со мной в главной роли с припиской “и как не стыдно ТАКОЕ вытворять :)”. Любопытство могло пересилить подозрительность (а какие подозрения против “друзей”) и я бы кликнул по присланной ссылке. Ключевая задача нападающих — заставить “друга” по соцсети что-то сделать. Последствия предсказуемы — заражение компьютера и установление над ним контроля со всеми вытекающими отсюда последствиями.

Любопытство используется для заражения компьютера
Борьба с этой угрозой требует комплексного подхода — от обучения и регулярного повышения осведомленности пользователей до применения средств контроля доступа в Интернет (например, Cisco Web Security Appliance или Cisco OpenDNS Umbrella), МСЭ следующего поколения (например, Cisco Firepower NGFW), средств защиты оконечных устройств (например, Cisco AMP for Endpoints).

Наши исследования показали еще один явный сдвиг: изменился набор методов, применяемых на этапе разведки при реализации веб-атак. Программное обеспечение Adobe Flash в течение многих лет оставалось привлекательным вектором веб-атак, при помощи которого хакеры многократно взламывали и компрометировали системы. Однако объем Flash-контента, присутствующего в Интернете, по-прежнему сокращается, при этом повышается уровень осведомленности об уязвимостях Flash, и в нынешних условиях масштабные взломы едва ли возможны. Да и сама компания Adobe постепенно отказывается от разработки и поддержки этой платформы и призывает разработчиков к переходу на новые стандарты, например на HTML5. Во-многом именно поэтому в 2016 году три ведущих эксплойт-кита, а именно Angler, Nuclear и Neutrino (а они использовали Flash как основной вектор атаки), внезапно исчезли со сцены, уступив место более мелким игрокам и новичкам.

При этом растет количество угроз, непосредственно ориентированных на уязвимые браузеры и подключаемые модули (plugin). Этот сдвиг отражает новую тенденцию: киберпреступники все чаще применяют вредоносную рекламу, поскольку в современных условиях довольно сложно скомпрометировать большое количество пользователей при помощи традиционных векторов веб-атак. Специалисты Cisco по анализу угроз сообщают о масштабном распространении вредоносного рекламного ПО, включая подстановщики рекламы, разнообразные утилиты и загрузчики, а также программы, меняющие параметры браузера. Мы выявили заражение рекламным ПО в 75 % компаний, обследованных недавно в рамках нашего проекта по изучению проблемы рекламного ПО.

75% компаний страдает от заражений рекламным ПО

Наборы эксплойтов распространяются среди жертв двумя основными путями: через взломанные сайты и вредоносную рекламу. Хакеры размещают ссылку на страницу запуска набора эксплойтов во вредоносном рекламном объявлении, на взломанном веб-сайте или используют промежуточную ссылку (брокер). Подобные ссылки, связывающие взломанные веб-сайты и серверы наборов эксплойтов, называются шлюзами. Брокер служит посредником между исходной ссылкой для переадресации и фактическим набором эксплойтов, который доставляет вредоносный код на устройства пользователей. Эта тактика становится все популярнее, поскольку хакеры стремятся действовать быстрее, чтобы сохранить пространство для своих действий и избежать обнаружения. Благодаря брокерам хакеры быстро перемещаются между различными вредоносными серверами, не меняя исходных параметров переадресации. Так как преступникам не нужно постоянно модифицировать веб-сайты или вредоносные рекламные объявления для запуска цепочки заражения, операторы наборов эксплойтов имеют больше времени для вторжения.

Для борьбы с данной проблемой подойдут не только средства защиты оконечных устройств, но и более простые и недорогие рекомендации — отключение неиспользуемых и регулярное обновление используемых плагинов. С помощью различных дополнительных инструментов можно контролировать наличие уязвимых или необновленных плагинов, например, с помощью Qualys Browser Check. Указанные выше простейшие меры существенно усилят защиту от распространенных веб-угроз и лишат хакеров рабочего пространства для реализации следующего этапа в цепочке атаки — этапа создания кибероружия.

Результат работы Qualys Browser Check на моем компьютере

Еще одной важной тенденцией, которую мы отметили в рамках нашего отчета — рост числа угроз со стороны облачных приложений третьих фирм. При их внедрении периметр безопасности организации расширяется и охватывает чужуй, непринадлежащую компании инфраструктуру. При этом граница довольно быстро размывается, поскольку сотрудники внедряют в рабочую среду множество разнообразных облачных приложений. Такие приложения помогают увеличить производительность и оставаться на связи в течение рабочего дня. Однако эти же приложения формируют теневую ИТ-прослойку, представляющую угрозу для безопасности организации. Теневая прослойка непосредственно соприкасается с корпоративной инфраструктурой и позволяет свободно обмениваться данными с корпоративным облаком и SaaS- платформами, для чего достаточно получить от пользователя разрешение на доступ по протоколу OAuth. Специалисты компании CloudLock, поставляющей услуги по обеспечению безопасности облачной среды (в настоящее время входит в состав Cisco), отслеживают рост количества сторонних облачных приложений в группе из 900 организаций из различных отраслей.

На начало 2016 года было обнаружено около 129 000 уникальных приложений. К концу октября эта цифра возросла до 222 000. А всего с 2014 года количество приложений увеличилось приблизительно в 11 раз. В CloudLock разработали систему классификации CARI (Cloud Application Risk Index), которая помогает специалистам по безопасности оценить уровень угрозы, исходящей от того или иного облачного приложения, применяемого в корпоративной среде. По итогам классификации 27 % этих приложений были отнесены к категории высокой опасности.

Распределение приложений разного уровня риска по отраслям

Для контроля доступа к облачным средам необходимо не только применять межсетевые экраны следующего поколения (например, Cisco Firepower NGFW) и средства контроля доступа к Интернету (например, Cisco Web Security Appliance или Cisco OpenDNS Umbrella), но и специализированные решения класса Cloud Access Security Broker (CASB), которые могут подключаться к внешним SaaS-платформам и контролировать доступ к ним даже из-за пределов корпоративной сети, из дома, с личных мобильных устройств. В том же случае, когда речь идет об использовании облачных IaaS- и PaaS-платформ, то для их контроля можно применять соответствующие виртуализированные решения по ИБ (например, Cisco vNGIPS, Cisco StealthWatch Cloud License и другие).

Для выявления подозрительного поведения пользователей и объектов (включая сторонние облачные приложения) в рамках корпоративных SaaS-платформ специалисты по безопасности должны проанализировать миллиарды естественных, легитимных операций, осуществляемых в информационной среде организации, чтобы определить нормальные модели поведения. Эти модели используются в качестве фона для поиска аномалий в поведении. Обнаружив подозрительную активность, необходимо взаимно сопоставить соответствующие операции, чтобы определить, откуда именно может исходить реальная угроза, требующая дальнейшего анализа. По данным Cisco, подозрительным является всего 1 из 5000 (0,02 %) действий, выполняемых пользователями в облачных приложениях. И задача специалистов по безопасности, разумеется, состоит в том, чтобы обнаружить это единственное действие. Необходимо пробиться сквозь информационный шум бесчисленных оповещений о потенциальных проблемах безопасности и сосредоточить усилия на борьбе с реальными угрозами. Эту задачу можно решить только одним способом — за счет автоматизации. Именно для решения этой задачи несколько лет назад мы купили европейскую компанию Cognitive Security, решение которой, Cognitive Threat Analytics (CTA), и используется для автоматизации поиска подозрительной активности в веб-логах.

Определение моделей поведения пользователей с помощью автоматизации

Старый добрый спам продолжает оставаться одной из проблем для любого пользователя. Результаты наших исследований свидетельствуют об увеличении общемирового объема спама за счет крупных и прибыльных ботнетов, рассылающих такие письма. Около двух третей трафика электронной почты (65 %) приходится на спам. При этом спам вреден не только тем, что отвлекает от основной деятельности. Согласно данным, собранным специалистами Cisco по анализу угроз, вредоносные письма составили от 8 до 10 % общемирового объема спама в 2016 году. Кроме того, процент спама с вредоносными вложениями увеличивается, при этом хакеры по-видимому экспериментируют с разнообразными форматами файлов в поисках наиболее эффективного средства для реализации атак.

Процент общего объема спама, содержащий вредоносные вложения

Анализ данных CBL (черный список на основе DNS, содержащий подозрительные адреса, с которых рассылается спам) за 10 лет показал, что объемы спама в 2016 году близки к рекордно высоким показателям 2010 года.

Общий размер SpamCop Blocking List

В последние несколько лет объем спама оставался сравнительно небольшим, что можно объяснить появлением новых технологий защиты от спама и резонансными отключениями спам-ботнетов. По мнению наших специалистов, зафиксированный в недавнем времени рост объемов спама связан с деятельностью ботнета Necurs. Necurs является основным вектором распространения программ-вымогателей семейства Locky. Через этот же ботнет распространяется банковский троян Dridex и другие подобные программы. Многие IP-адреса, с которых по команде Necurs рассылается спам, были заражены уже более 2 лет назад. Necurs скрывает свои реальные масштабы, используя для рассылки спама лишь определенные подмножества зараженных хостов. Как правило, ботнет эксплуатирует инфицированный хост в течение 2–3 дней, за которыми может следовать перерыв в 2–3 недели. Подобная модель поведения усложняет борьбу со спам-атаками. Специалисты по безопасности находят и дезинфицируют один из зараженных хостов, полагая, что решили проблему, но хозяева ботнета Necurs всего лишь ждут подходящего момента для запуска очередной атаки.

Инфраструктура одного из самых популярных вредоносного ПО прошлого года Locky выглядит следующим образом. Для визуализации мы использовали сервис Cisco OpenDNS Investigate и библиотеку визуализации OpenGraphitti. Красные узлы являются известными вредоносными доменами, внесенными в черные списки; серые узлы — это добропорядочные домены; зеленые — популярные и хорошие домены, оранжевые — IP-адреса, а синие узлы — хеши файлов. Пульсация отображает движение DNS-трафика между узлами.


При этом злоумышленники стараются всеми силами увеличить вероятность успешного проникновения и заражения и для этого применяют сразу несколько векторов для атаки, постоянно комбинируя их и расширяя. Например, у вредоносного кода Locky, визуализация инфраструктуры которого показана выше, это распределение векторов атак выглядит следующим образом:

Уникальные вектора атак для Locky

А у того же Nemucod число уникальных векторов еще больше:

Уникальные вектора атак для Nemucod

Все это приводит к тому, что среднее время обнаружения вредоносных программ варьируется от нескольких часов (для хорошо известных кампаний) до нескольких дней.

Медианные значения времени обнаружения 20 основных семейств вредоносного ПО

Борьба с такой тактикой злоумышленник ов требует не только применения эффективных средств защиты электронной почты (например, Cisco E-mail Security Appliance), но и технологий Threat Intelligence (например, Cisco OpenDNS, Cisco AMP Threat Grid и других), позволяющих оперативно получать информацию о динамически изменяющемся ландшафте угроз — используемых ими IP-адресах, доменах, автономных системах и на основе этой информации блокировать их с помощью традиционных средств сетевой безопасности — межсетевых экранов (например, Cisco ASA или Cisco Firepower NGFW), систем предотвращения вторжений (например, Cisco NGIPS), систем контроля доступа в Интернет (например, Cisco Web Security Appliance или Cisco OpenDNS Umbrella), систем защиты оконечных устройств (например, Cisco AMP for Endpoints) и т.п.

Наверное, это все ключевые моменты, на которых я бы хотел остановиться в кратком обзоре раздела по угрозам нашего ежегодного отчета по кибербезопасности Cisco Annual Cybersecurity Report 2017, который может быть свободно скачан с нашего сайта на русском языке. Но наш отчет не ограничивается анализом только поведения атакующих. Мы активно изучаем и поведение обороняющейся стороны и в следующей заметке (если опять не произойдет какой-нибудь внезапной эпидемии, о которой нам надо будет написать, как мы это сделали для WannaCry) мы рассмотрим интересные аспекты, связанные с обеспечением кибербезопасности. При этом оперировать будем только российской статистикой. Да-да, у нас есть не только мировая статистика, но и локальная, показывающая отличия в поведении защитников во всем мире и в нашей стране. Но об этом уже в следующей заметке.
Поделиться с друзьями
-->

Комментарии (0)