image

Вдогонку к нашей статье про телефонный фрод и методы защиты от него делимся выкладками на тему кибербезопасности вообще от Cisco. Под катом — основные выводы исследования Cisco 2017 Midyear Cybersecurity Report.

Отчет Cisco включает в себя много глобальных выводов, но все они объединены одним фактом: мир кибератак сложен и изменчив. По мере того, как выявляются новые стратегии атак, в ответ на них возникают новые стратегии защиты, прикрывающие «незапертые двери». И это, в свою очередь, дает жизнь разработке новых или доработке старых стратегий атак, представляющих реальную угрозу для любого бизнеса и его потенциальной прибыли.


Слабый инструментарий защиты и негибкость бизнеса уровня крупных корпораций оставляет огромные дыры в защите сети в целом. Тем не менее, это не означает, что IT-департаментам надо каждый год менять стратегию. Скорее, стоит следить за трендами и быть в курсе того, какие угрозы представляют наибольшую опасность в данный момент. При этом, не стоит забывать и о традиционных угрозах, потому что история действительно имеет свойство повторяться.


Как меняется мир кибератак: основные выводы исследования


  1. «Особо выгодное» направление для атак сегодня — BEC (Business Email Compromise), мошенничество, осуществляемое в рамках корпоративной переписки. Отчет Центра регистрации интернет-преступлений (Internet Crime Complaint Center) показывает, что с октября 2013 по декабрь 2016 года за счет этого было украдено 5,3 млрд долларов. Для сравнения, вирусные спам-схемы с требованием выкупа в 2016 году «заработали» 1 млрд долларов.
  2. Интернет вещей (IoT) обещает большое будущее для технологий командного взаимодействия. Но он же таит большие риски. Одна из проблем — недостаточная видимость: «защита» просто не контролирует то, какие IoT-устройства присоединены к сети. И ей надо поскорее разобраться с этим и другими вопросами к безопасности IoT. Хакеры уже используют тонкие места в технологии: IoT-устройства служат им отличными опорными точками для того, чтобы легко и относительно непринужденно перемещаться по сетям.
  3. Наблюдается рост объемов email-спама с середины 2016-го, что по-видимому, коррелирует с существенным уменьшением частоты использования эксплойт-китов (инструментов, направленных на эксплуатацию уязвимостей систем) за тот же период времени. Хакеры, специализировавшиеся на уязвимостях, вновь обратились к традиционному спаму. К этой же категории относится метод, когда к почтовому сообщению прилагается вредоносное вложение, представляющее опасность для изолированных программ и приложений пользователя. Инфицирование системы происходит с вовлечением пользователя в взаимодействие.
  4. Шпионское ПО, маскирующееся при установке под потенциально нежелательные программы (PUA, Potentially Unwanted Applications), представляет собой настоящий вирус и угрозу для пользовательских и корпоративных данных, но на него при этом почти не обращают внимания. Так, в ходе исследования было выявлено, что три шпионских приложения из контрольной группы были установлены в 20% из 300 компаний выборки.
  5. За период наблюдений Cisco за средним временем обнаружения нападения с ноября 2015 произошли существенные улучшения — с 39 часов оно упало до 3,5 часов (по состоянию на май 2017).
  6. Атаки на цепочки поставок позволяют мошенникам распространять вирус по многим компаниям с помощью одного-единственного зараженного сайта. В одном из исследованных случаев была заражена веб-страница продавца ПО для загрузки программ — таким образом вирус попадал в любую компанию, которая приобретала и скачивала ПО у данного продавца.
  7. Частота кибератак, уровень их сложности и масштабы существенно выросли за последний год. Хакерам все проще найти доступ к ресурсам, разработчики которых не слишком вкладываются в безопасность.
  8. Недооценена необходимость защиты облачных сервисов с точки зрения их потенциальной опасности для бизнеса. Открытая авторизация и недоработки в управлении привилегированными аккаунтами создают дыры в безопасности, которые злоумышленники могут легко использовать. Хакеры уже методично работают над взломом корпоративных облачных сетей.
  9. Существенно упал уровень использования эксплойт-китов — развитие инструментария стагнирует с тех пор, как Angler и другие лидеры технологии исчезли или изменили свою бизнес-модель. Ситуация, скорее всего, временная, учитывая историю развития этого направления. Но такие факторы, как, например, усложнение использования уязвимостей Adobe Flash, могут замедлить возвращение активности на прежний уровень.
  10. Сервисы DevOps, развернутые некорректно или намеренно оставленные открытыми для удобства использования, несут в себе значительные угрозы для компаний. Фактически, многие из подобных копий сервисов уже заражены.

Все эти выводы высвечивают изменения мира кибербезопасности — основной урон наносится новыми набирающими популярность методами атак, в том числе, BEC. В то же время, рост облачных и других технологий из разряда IoT открывает совершенно новые направления. Хотя хакеры продолжают использовать традиционные методы, в то время как компании забывают о том, что против них по-прежнему надо защищаться — это, в особенности, касается email-спама.


При этом в Cisco отмечают, что практики защиты существенно улучшились в последнее время. Например, стандартом функционирования современных систем — даже мобильных версий — стали автоматические обновления. Нас может раздражать то, что Microsoft вынуждает нас обновляться до Windows 10, или то, что Apple неустанно напоминает нам о необходимости установить последнюю версию iOS, но все это ради нашей собственной безопасности. При так быстро выпускающихся обновлениях киберпреступники просто смещают фокус обратно на почтовые и вирусные технологии. А их можно считать привычными традиционными угрозами, хотя методы их применения и видоизменяются.


Старое сталкивается с новым


Старые методики комбинируются с новыми форматами атак. Современный способ вымогательства денег за отключение вирусных программ основывается на давно известном приеме: упаковка вредоносных файлов в почтовые сообщения. Он сдобрен надеждой на то, что кто-то просто скачает и откроет их, не подумав хорошенько, стоит ли это делать.


Исследователи из Cisco отмечают, что рост объемов спама коррелирует со спадом активности по использованию хакерами эксплойт-китов для осуществления атак. Как правило, такая политика была удобна при проникновении через уже известные дыры в защите.


Например, популярный Flash-плеер для сайтов был хорошо известен своими косяками в безопасности, и сейчас основные веб-браузеры ограничили его применение именно по этой причине. Постоянные обновления и снижение распространенности Flash-технологии сделало ее менее популярным инструментом получения доступа к пользовательским ресурсам среди хакеров. Вместо этого они обратились к электронной почте.


Выполнив простейшую домашнюю работу по «социальной разведке», мошенники добиваются того, что жертва без подозрений открывает вордовский документ якобы от лучшего друга и дает доступ ко всей своей системе.


image

Отчет Cisco также предупреждает, что спам — не единственный способ для применения фишинговой схемы. Маскировка мошенничества под корпоративную переписку (BEC) — это даже большая головная боль, чем применение вирусных вложений, ориентированных на требование выкупа.


Мошенничество под видом корпоративной переписки (BEC)


BEC-кампания осуществляется с помощью email-сообщений, пересылаемых сотрудникам компании, отвечающим за финансовые расчеты. Как правило, мошенники проводят предварительную подготовку и изучают иерархию компании — например, используют социальные сети, чтобы выстроить потенциальную управленческую цепочку. Подложное письмо с поручением осуществить денежный перевод предполагаемому бизнес-партнеру или заплатить продавцу может выглядеть, как сообщение от генерального директора или от другого топ-менеджера.


Конечно, все это требует тщательных усилий и подготовки, и мошенник чаще всего моделирует ситуацию срочности, чтобы жертва не успела перепроверить информацию. Согласно отчету Cisco, целью таких атак чаще всего становятся крупные мишени — типа Google или Facebook — и они действительно уязвимы в этом смысле, несмотря на выработку достаточно зрелых стратегий защиты, в том числе, и против такого вида мошенничества. Хотя наиболее успешными получаются атаки на SMB-сегмент, поскольку такие компании, как правило, вовсе не формализуют процессы коммуникаций между сотрудниками.


image

В Cisco также отмечают, что поскольку мошеннические почтовые сообщения используют правдивую информацию социального характера, они не содержат никаких подозрительных вложений. И таким образом легко минуют стандартные барьеры защиты. И, в среднем, создают для бизнеса потери на уровне 1,7 млрд долларов ежегодно.


Новые технологии — новые угрозы


Электронная почта — это прямо-таки дедушка современных технологий. И если даже здесь еще остаются возможности для успешных атак, то есть все шансы, что хакерам также обеспечен успех и в случае с новейшими технологиями. Если только не изменится отношение к проблеме безопасности в целом.


Например, зарождающиеся сейчас технологии IoT уже содержат в себе традиционную брешь: о защите разработчики думают в последнюю очередь. Большая часть IoT-сервисов просто оставляет входную дверь незапертой и хотя буквально только что вышла на рынок, бот-сети на основе IoT уже тут как тут. В 2016 году значительная часть кибератак была совершена именно через объединенные устройства, превращенные в бот-сети.


Такие DDoS-атаки используют армию объединенных IoT-устройств (по аналогии с сетью зараженных компьютеров) для перегрузки и обрушения корпоративных сетей. В своем отчете Cisco подробно анализирует деятельность трех самых известных бот-сетей: Mirai, BrickerBot и Hajime.


image

Похожим образом обстоят дела с облачными технологиями. Отчет Cisco показывает, что 60% пользователей никогда не разлогиниваются из интерфейсов облачных сервисов. Этому не придается значения, но для хакеров это прямо-таки неоновая вывеска «Добро пожаловать» и возможность неавторизованного доступа к сервисам.


А это ссылка на полную версию отчета Cisco

Комментарии (0)