22 октября компания Cisco провела пресс-мероприятие, в рамках которого представила результаты комплексных отчетов в сфере защиты данных, опубликованных в 2019 году. Бизнес-консультант по безопасности Cisco Алексей Лукацкий проанализировал итоги Email Security Report, Threat Hunting Report, CISCO Benchmark Study и ряда других исследований Cisco.
Прежде чем приступить к собственно обсуждению заявленной темы, Алексей Лукацкий заявил о том, что в марте текущего года компания Cisco была признана крупнейшим мировым производителем ИТ-решений в области кибербезопасности.
Анализируя эволюцию киберугроз, представитель Cisco отметил, что вредоносный код Emotet, который изначально представлял собой классический банковский троян с узкой функциональностью, в конце прошлого и начале текущего года превратился в самую популярную инфраструктуру для распространения вредоносного кода. Т.е., если раньше Emotet был рассчитан только на кражу денег со счетов клиентов банков, то сейчас он является вредоносным ПО с модульной архитектурой, которая насчитывает десятки различных блоков, что существенно усложнило борьбу с этим программным кодом. По сути дела, троян Emotet стал целой сетью распространению вредоносного кода. Таким образом, если раньше троян Emotet был монолитен и содержал не более 3-5 модулей, то у современного вредоносного кода может быть от 50 до 80 различных блоков с самой разнообразной функциональностью. Все эти модули загружаются в один вредоносный код, что затрудняет борьбу с ним. Именно поэтому сегодня одним ИБ-продуктом, пусть даже и самым совершенным на рынке, обладающим кучей престижных сертификатов и побед на независимых конкурсах, бороться с современными угрозами невозможно. Нужна комплексная система защиты, одновременно работающая на разных уровнях.
Как показывает практика, 99% всех атак относятся к простым, тривиальным попыткам, которые распространяются через традиционные каналы – до 95% всех атак идут через электронную почту. Причем, через e-mail обычно начинаются атаки как на рядовых домашних пользователей, так и на корпоративные или ведомственные сети. Но есть и более сложные методики компрометации бизнес-почты (Business Email Compromise, BEC), когда на рабочую почту сотрудника, например, приходит сообщение с фишинговой ссылкой, ведущей на зараженный сайт. Как особо подчеркнул Алексей Лукацкий, до 90% вредоносного кода уникально для каждой компании, а это означает, что традиционные антивирусы, которые борются с чем-то известным и опираются только на информацию в антивирусных базах, не способны парировать такого рода уникальные угрозы.
Переход по фишинговой ссылке приводит к компрометации рабочего компьютера с последующим распространением вредоносного кода и активности злоумышленников по всей внутрикорпоративной либо ведомственной сети.
При этом скомпрометированные учетные записи в дальнейшем не используются: как правило, злоумышленники используют либо бесплатные учетные записи на каком-то известном почтовом домене, либо же атаки идут со специально зарегистрированных под конкретную задачу фишинговых доменов, похожих по написанию на настоящие.
Если же анализировать вложения в электронную почту, то здесь мы увидим, что более половины из них относятся к регулярно используемым типам документов: офисные файлы, PDF и др. Таким образом, злоумышленники легко подстраиваются под все типы документов, которые разрешены для работы в кампаниях. В силу этого традиционные технологии, блокирующие явные угрозы, начинают давать сбои.
Алексей Лукацкий также указал на рост фишинговых доменов – сейчас ежеквартально создается порядка 500 тысяч таких доменов. На основании данных за первый квартал 2019 года эксперты Cisco вывели средние показатели за неделю, которые затем сравнивали с последующими значениями. Результаты показывают, что, несмотря на низкие темпы роста на начало года, количество доменов увеличилось к последней неделе квартала на 64 % – в сравнении с первоначальными показателями. Это полноценный бизнес, с которым достаточно сложно бороться: в мире существуют вполне легальные компании, которые зарабатывают на этом хорошие деньги, примерно так же, как существуют легально работающие «отмывочные компании». А ИБ-технологии, которые борются с такими доменами по принципу «белых-черных» списков, оказываются неэффективными – к тому времени, как домен появляется в черном списке, злоумышленник его уже не использует.
Технологии защиты почты меняются: сегодня это уже не какие-то банальные решения по антиспаму и не традиционные антивирусные движки, а очень сложные многоуровневые средства, которые насчитывают до полутора десятков различных движков, Например, Cisco Email Security содержит 10 различных движков, чтобы быстро выявлять ту или иную вредоносную активность в электронной почте (обнаружение бессигнатурной аномальной активности и т.д.).
Еще одна пугающая тенденция связана со спуском злоумышленников на самый нижний сетевой уровень – речь идет о компрометации сетевого оборудования. Так, специалисты Cisco выявили вредоносную компанию VPNFilter, которая скомпрометировала около 500 тысяч легально стоящих в корпоративных сетях маршрутизаторов. Это очень опасное явление, поскольку скомпрометированным оказывается доверенный внутренний трафик. Злоумышленники как можно дольше остаются незамеченными – они перехватывают нужный им трафик и перенаправляют на внешние в интернете серверы для последующего анализа и возможной модификации. Иногда это даже происходит, когда атакуется не корпоративное оборудование, а сетевые устройства оператора связи – зафиксировать атаку на компанию становится еще сложнее для корпоративных служб ИБ. Так можно перехватывать, подменять и анализировать трафик, который уже выходит за пределы компании. Недавно был зафиксирован случай перехвата трафика организаций, занимающихся разработкой ядерного оружия.
К сравнительно новым угрозам относится подмена легальных мобильных приложений. На мобильных устройствах сегодня средств зашиты не так много, да и ставят их пользователи не так часто. Злоумышленники сегодня подменяют легальные мобильные приложения, скачиваемые из App Store и Google, и получают контроль над мобильным устройством. А если это смартфон высокопоставленного сотрудника компании, то с его помощью можно войти в корпоративную сеть, легко минуя все навороченные средства зашиты периметра.
Во время зимних Олимпийских игр в Корее была зарегистрирована новая угроза, которая получила название Olympic Destroyer. Злоумышленники ухитрились использовать вполне легальный инструментарий – системные утилиты администратора, которые есть на любом компьютере под управлением операционной системы Windows. Детектировать такие программы в качестве вредоносных будет ошибкой, поскольку они, по большей части, используются реальными администраторами для вполне легальных целей. Для борьбы с угрозами в этом случае важно фиксировать не наличие данной программы на компьютере пользователя (она там и должна быть), а анализировать ее поведение, что большинство традиционных антивирусов делать не в состоянии.
Еще одной примечательной спецификой кода Olympic Destroyer было то обстоятельство, что он предназначался не для кражи денег, не для вымогательства, а для банального уничтожения данных (деструктивная функция была главной!).
Такой же особенностью обладает и вредоносный код Nyetya – его главной целью является разрушение. Хотя Nyetya и использует коды сродни шифровальщикам или программам-вымогателям, как показывает анализ, главной задачей создателей кода был ущерб. И действительно, Nyetya нанес ущерб на миллиарды долларов, став самой дорогостоящей киберугрозой к настоящему моменту.
Криптомайнинг довольно долго не рассматривался в качестве проблемы информационной безопасности. В самом деле, криптомайнинг в чем-то сродни посещению социальной сети: он не может быть изначально хорошим либо плохим, тут все зависит от конкретных задач. Необходимо четко разделять: есть криптомайнинговые программы, которые выполняют свою основную функцию, но есть и такое ПО, для которого криптомайнинговые функции являются своего рода «обвеском» для вредоносной составляющей, когда внутри самой криптомайнинговые программы содержатся модули, крадущие информацию и т.д. Это свежая тенденция, когда под легальные криптомайнинговые программы начинает маскироваться различное вредоносное ПО.
Алексей Лукацкий также рассказал нам о новой тенденции, для которой придумали специальный термин – «водопой» (атака не на жертву, а на ее контрагентов). В качестве примера он привел случай с распространением CCleaner – это ПО, предназначенное для оптимизации работы ПК. CCleaner распространялся с сайта популярной антивирусной компании Avast, при этом в ее коде содержалась вредоносная составляющая. Таким образом, антивирусная компания со своего официального сайта распространяла вредоносное ПО, естественно, даже не подозревая об этом! CCleaner успел заразить несколько сотен тысяч компьютеров по всему миру.
Что приводит к основным инцидентам? Как выяснилось, именно поведение пользователей (например, клики по фишинговым ссылкам в e-mail или на веб-сайтах) остается основной и самой опасной проблемой. Такое отношение, к сожалению, не меняется все последние годы и составляет от 56 до 57% инцидентов. Далее, какие 6 основных типов атак стали основной проблемой для руководителей ИБ:
- вредоносное ПО (20%);
- утечка данных (19%);
- шпионское ПО (14%);
- фишинг (13%);
- вирусы-вымогатели (13%);
- вредоносный спам (13%).
Анализируя основные каналы проникновения зловредного ПО в корпоративную сеть, Алексей Лукацкий обратил особое внимание на использование протокола DNS, который отвечает за трансляцию IP в доменное имя или символьный адрес. Понятно, что этот важнейший для Интернета протокол никто и никогда не запрещает для использования. Беда в том, что большинство средств защиты не мониторят DNS в принципе, что и открывает возможности для кибермошенников. Алексей Лукацкий привел интересный пример, когда за названием домена третьего уровня (231 символ в строке) стоял факт утечки номеров кредитных карт: номера кредиток и дополнительная информация (ФИО) скрывались в названии доменов – ни один брандмауэр не мог этого отследить. Именно поэтому несколько лет назад Cisco купила компанию OpenDNS и на ее основе выпустила новый продукт – фильтрующий DNS-сервер (точнее облако) Cisco Umbrella, который занимается мониторингом DNS-активности (150 млрд. DNS-запросов ежедневно).
В завершение своего выступления Алексей Лукацкий отметил изменение тенденции, которую Cisco отмечала в прежние годы – на увеличение разнообразия вендоров ИБ в компаниях. По мере роста потребности в комплексном подходе к защите от киберугроз организации в спешке приобрели множество специализированных решений. Так, в ходе опроса, проведенного в 2018 году, стало известно, что у более 21% респондентов было более 20 поставщиков ИТ-решений ИБ, а у 5% – более 50. В этом году этот показатель упал до 14 и 3% соответственно. Cisco отмечает реверс тенденции – от увеличения к сокращению числа поставщиков и решений.
Дело в том, что решения от нескольких поставщиков не интегрированы и, следовательно, они не используют общую систему сортировки и приоритизации предупреждений на ограниченном числе панелей управления. Опрос Cisco показал, что директора по ИБ, обладающие меньшим числом точечных решений, могут даже эффективнее управлять предупреждениями, используя подход на основе корпоративной архитектуры.
Для того чтобы эффективнее управлять предупреждениями, разумнее сократить число поставщиков и точечных решений в сфере ИБ. В 2018 году было зарегистрировано 54% респондентов, среда которых содержит решения от 10 или менее поставщиков. Теперь эта цифра возросла до 63%. Таким образом, число респондентов с небольшим количеством поставщиков стало больше; консолидация поставщиков действительно происходит (в силу ряда возможных причин), и это легко измерить.
Сокращение числа поставщиков, которыми требуется управлять, помогает специалистам сосредоточиться на более важной работе, такой как устранение нарушений. Респонденты, у которых было менее 10 поставщиков, имели более высокую среднюю скорость реагирования и устраняли 44% обоснованных предупреждений. Таким образом, сокращение числа поставщиков позволяет повысить эффективность.
