Отчет Cisco по информационной безопасности за первое полугодие 2016 г. прогнозирует появление нового поколения программ-вымогателей

По данным подготовленного компанией Cisco® отчета по информационной безопасности за первое полугодие 2016 г. (MidyearCybersecurityReport, MCR), организации не готовы к появлению новых разновидностей изощренных программ-вымогателей. Нестабильная инфраструктура, плохая сетевая гигиена, низкая скорость обнаружения — все это обеспечивает злоумышленникам возможность долгое время действовать скрытно. Полученные результаты говорят о том, что основные трудности компании испытывают при попытках ограничить оперативное пространство атакующих, и это ставит под угрозу всю базовую структуру, необходимую для цифровой трансформации. Также в отчете отмечается расширение сферы активности злоумышленников за счет атак на серверы, растущая изощренность атак и участившееся применение шифрования для маскировки злонамеренной деятельности.

По итогам первого полугодия 2016 года программы-вымогатели стали самым доходным типом злонамеренного ПО в истории. Специалисты Cisco считают, что эта тенденция сохранится, причем появятся еще более разрушительные программы-вымогатели, способные распространяться самостоятельно, заложниками которых могут стать целые сети и компании. Новые модульные разновидности таких программ смогут быстро менять свою тактику для достижения максимальной эффективности. Например, будущие программы-вымогатели смогут избегать обнаружения благодаря способности свести к минимуму использование центрального процессора и отсутствию управляющих команд. Эти новые версии программ-вымогателей будут распространяться быстрее своих предшественников и до начала атаки самореплицироваться в организациях.

Одной из основных проблем остается плохая обозреваемость сети и оконечных точек. В среднем на выявление новых угроз у организаций уходит до 200 дней. По медианному времени обнаружения угроз Ciscoпродолжает опережать отрасль: в течение шести месяцев до апреля 2016 г. было зафиксирован новый минимум для ранее неизвестных угроз — около 13 часов. Это меньше, чем за аналогичный период, закончившийся в октябре 2015 г., тогда результат составлял 17,5 часов. Сокращение времени обнаружения угроз чрезвычайно важно с точки зрения ограничения оперативного пространства злоумышленников и минимизации ущерба от вторжений. Приведенные выше цифры получены в результате обработки добровольной телеметрии, собранной решениями Ciscoпо обеспечению информационной безопасности, развернутыми по всему миру.

Злоумышленники не стоят на месте, и защищающимся приходится постоянно работать над поддержанием безопасности своих устройств и систем. Дополнительные удобства атакующим создают неподдерживаемые и необновляемые системы, которые позволяют им легко получать доступ, оставаться незамеченными, увеличивать свой доход и наносить максимальный ущерб. Отчет CiscoMCR2016 свидетельствует о том, что эта проблема носит глобальный характер. За последние несколько месяцев значительный рост атак зафиксирован в наиболее важных отраслях (например, в здравоохранении), при этом целью злоумышленников являются все вертикальные рынки и глобальные регионы. Общественные организации и предприятия, благотворительные и неправительственные организации, компании электронной коммерции — все они в первой половине 2016 г. зафиксировали рост атак. В мировом масштабе вызывают озабоченность геополитические вопросы, включая сложность регламентирования и противоречивость политик кибербезопасности в разных странах. Необходимость контролировать данные и получать доступ к ним может ограничивать международную торговлю и противоречить ее интересам.

Атакующие действуют без ограничений

Чем дольше атакующие смогут действовать незамеченными, тем большую прибыль они получат. По данным Cisco, в первой половине 2016 г. доходы атакующих значительно возросли вследствие ряда факторов.

Расширение сферы действий.Атакующие расширяют сферу своих действий, переходя от клиентских эксплойтов к серверным, избегая обнаружения и максимизируя ущерб и свои доходы.

• Уязвимости AdobeFlashостаются одной из главных целей вредоносной рекламы и наборов эксплойтов. В распространенном наборе Nuclearна долю Flashприходится 80% успешных попыток взлома.
• Ciscoотметила также новую тенденцию программ-вымогателей, эксплуатирующих серверные уязвимости, в особенности это касается серверов Jboss(скомпрометировано 10 % всех подключенных к Интернету серверов). Многие из уязвимостей Jboss, используемые для компрометации систем, были выявлены еще пять лет назад, и базовые корректировки и обновления вендоров вполне могли бы предотвратить подобные атаки.

Новые методы атак. В первой половине 2016 г. атакующие разрабатывали новые методы, использующие недостаток обозреваемости сети.

• Эксплойты двоичных файлов Windowsза прошедшие полгода вышли на первое место среди веб-атак. Этот метод обеспечивает прочное положение в сетевых инфраструктурах и затрудняет обнаружение и устранение атак.
• В то же время мошеннический социальный инжиниринг в Facebookпереместился с первого места (2015 г.) на второе.

Заметание следов.В дополнение к проблемам обозреваемости злоумышленники стали все больше использовать шифрование как метод маскирования различных аспектов своей деятельности.

• Ciscoзафиксировала рост использования криптовалют, протокола безопасности транспортного уровня TransportLayerSecurityи браузера Tor, что позволяет анонимно общаться в Интернете.
• В кампаниях вредоносной рекламы за период с декабря 2015 по март 2016 г. отмечен 300-процентный рост использования вредоносного ПО с шифрованием по протоколу HTTPS. Такое ПО позволяет атакующим дольше скрывать свою веб-активность, увеличивая время действия.

Защитники пытаются сократить уязвимости и закрыть бреши

При столкновении с изощренными атаками компаниям, располагающим ограниченными ресурсами и устаревающей инфраструктурой, сложно угнаться за своими противниками. Полученные данные позволяют предположить, что чем важнее технология для бизнес-операций, тем хуже обстоят дела с поддержанием адекватной сетевой гигиены, в том числе с корректировкой ПО. Например:

• если мы возьмем браузеры, то последнюю или предпоследнюю версию GoogleChrome, который поддерживает автоматические обновления, используют 75 — 80 %  пользователей;
• если перейти к программному обеспечению, то Javaобновляется значительно медленнее: на одной трети исследованных систем установлено ПО JavaSE6, которое компания Oracleдавно уже вывела из эксплуатации (текущая версия — SE10);
• не более 10 % пользователей MicrosoftOffice2013 v.15xустановили последнюю версию пакета исправлений.

Кроме того, исследование Ciscoвыявило, что большая часть инфраструктуры потенциальных жертв уже не поддерживается или же эксплуатируется при наличии известных уязвимостей. Это системная проблема и для вендоров, и для оконечных точек. В частности, специалисты Cisco, обследовав 103 121 устройство компании, подключенное к Интернету, обнаружили следующее:

• на каждом устройстве присутствовало в среднем 28 известных уязвимостей;
• средний срок активности известных уязвимостей на устройствах составил 5,64 года;
• более 9 % известных уязвимостей были старше 10 лет.

Для сравнения специалисты Ciscoобследовали более 3 млн программных инфраструктур, в основном на базе Apacheи OpenSSH. В них было обнаружено в среднем 16 известных уязвимостей со средним сроком существования 5,05 года.

Проще всего обновить браузер на оконечной точке, сложнее — корпоративные приложения и серверные инфраструктуры, т.к. это может вызвать проблемы с непрерывностью бизнес-процессов. В общем и целом, чем более важную роль играет приложение для бизнес-операций, тем меньше вероятность его частого обновления, что создает бреши в защите и удобные возможности для атак.

Простые советы Cisco по защите бизнес-среды

Специалисты Cisco Talos пришли к выводу, что организации, которые следуют нескольким простым, но важным процедурам, значительно повышают безопасность своих операций:

• Соблюдение сетевой гигиены:мониторинг сети, своевременная установка корректировок и обновлений ПО, сегментация сети, реализация защиты на границе, включая веб-защиту и защиту электронной почты, применение новейших межсетевых экранов и систем предотвращения вторжений;
• Интеграция защитына основе архитектурного подхода в противоположность использованию нишевых продуктов;
• Измерение времени обнаружения; меры, направленные на сокращение периода обнаружения и устранения угроз, внесение измерительных процессов в политику безопасности организации;
• Повсеместная защита пользователей, где бы они ни работали, а не  только защита систем корпоративной сети;
• Резервное копирование критичных данных, регулярная проверка эффективности и защищенности резервных копий.

«Для организаций, переходящих в результате цифровой трансформации к новым бизнес-моделям, вопросы безопасности становятся основополагающими. Атакующие уходят незамеченными и действуют все дольше. Чтобы устранить «лазейки», необходимо улучшить обозреваемость сетей и более ответственно подходить к таким вопросам, как обновление ПО и списание устаревающей инфраструктуры, не обладающей передовыми средствами защиты»,  отмечает Марти Рош (Marty Roesch), вице-президент Ciscoи главный архитектор бизнес-группы по разработке систем безопасности.

Краткая информация об отчете MidyearCybersecurityReport2016

В отчете анализируются новейшие сведения об угрозах, полученные при помощи системы коллективной аналитики информационной безопасности CiscoCollectiveSecurityIntelligence. В документе приводятся результаты анализа полученных данных и выявленные отраслевые тенденции в сфере кибербезопасности за первое полугодие, а также практические рекомендации по совершенствованию защиты. При составлении отчета использовались данные, ежедневно поступающие от 40 млрд точек телеметрии. На основе аналитических данных специалисты Ciscoв реальном времени обеспечивают защиту продуктов и сервисов, которыми пользуются заказчики компании во всем мире.

© Cisco Systems, 2016
© Издание 12NEWS (ИП Маринин А.Л.), 2016