RSS
3 Февраля 2017
Второе пришествие классических направлений вредоносных атак
По данным подготовленного компанией Cisco® (NASDAQ: CSCO) отчета по информационной безопасности за 2017 г. (Annual Cybersecurity Report, ACR), больше трети организаций, чьи информационные системы были взломаны в 2016 г., сообщили о существенных (более 20%) потерях доходов, упущенных возможностях и оттоке заказчиков. 90% этих организаций после атак стали совершенствовать технологии и процессы защиты от угроз, разделяя функции ИТ и обеспечения информационной безопасности (38%), интенсифицируя тренинги по мерам информационной безопасности (38%) и внедряя методы снижения рисков (37%). В проводившемся в рамках подготовки Cisco ACR сравнительном исследовании решений безопасности (SecurityCapabilitiesBenchmarkStudy) приняли участие почти 3000 директоров по информационной безопасности и руководителей ИБ-подразделений.
В десятом, юбилейном отчете освещаются глобальные проблемы и возможности подразделений информационной безопасности по защите от непрестанно эволюционирующей киберпреступности и обновляющихся методов атак. Директора по информационной безопасности считают основными препятствиями на пути продвижения стратегических планов защиты бюджетные ограничения, недостаточную совместимость систем и отсутствие квалифицированных специалистов. Руководители также отмечают тот факт, что структуры их подразделений постоянно усложняются, и уже более 65% организаций используют от 6 до 50 и более продуктов информационной безопасности, что потенциально способствует образованию брешей в защите.
Как свидетельствуют данные отчета Cisco ACR, киберпреступники пользуются этими брешами, возрождая такие «классические» направления атак, как рекламное ПО и почтовый спам, причем уровни последнего зашкаливают до показателей, которых не наблюдалось с 2010 года. На спам приходится почти две трети (65%) сообщений всей электронной почты, из них 10% рассматриваются как опасные. Растет глобальный объем спама, распространяемого крупными ботнетами.
В этих условиях критичным фактором становится оценка эффективности методов обеспечения информационной безопасности. Cisco неустанно работает над сокращением времени обнаружения (time to detection, TTD), т.е. времени от компрометации до обнаружения угрозы. Чем меньше время обнаружения, тем более ограничено оперативное пространство атакующих и тем меньше последствия вторжений. Если в начале 2016 г. медианное время обнаружения составляло 14 часов, то за последние полгода Cisco удалось сократить этот показатель до 6 часов. Приведенные цифры получены в результате обработки добровольной телеметрии, собранной решениями информационной безопасности Cisco, развернутыми по всему миру.
Сколько стоят киберугрозы для бизнеса: потерянные заказчики и потерянные доходы
В отчете Cisco ACR 2017 показано потенциальное влияние атак на финансовое положение пострадавших — от крупных предприятий до среднего и малого бизнеса. Более 50% организаций после нарушения защиты привлекли пристальное внимание общественности. Наибольший ущерб был нанесен операционным и финансовым системам, пострадала репутация брендов, ухудшились показатели лояльности заказчиков. Для организаций, подвергавшихся атакам, результат был весьма ощутимым:
- у 22% атакованных организаций уменьшилось число заказчиков, при этом у 40% из них клиентская база сократилась более чем на 20%;
- у 29% уменьшились доходы, из них у 38% доходы уменьшились более чем на 20%;
- 23% атакованных организаций заявили об упущенной выгоде, из них 42% потеряли более 20%.
Действия хакеров и новые «бизнес-модели
В 2016 г. хакерские группы стали более «корпоративными». Обусловленные цифровизацией динамичные изменения технологического пейзажа открывают перед киберпреступниками новые возможности. С одной стороны, атакующие продолжают пользоваться проверенными временем технологиями, с другой — прибегают к новым методам, отражающим структуру управления «среднего слоя» их корпоративных мишеней.
- Новые методы атак имитируют корпоративную иерархию. В ряде кампаний по распространению вредоносной рекламы используются т.н. брокеры, или «шлюзы», действующие как менеджеры среднего звена, маскирующие вредоносную активность. Это позволяет злоумышленникам ускорять свои действия, захватывать операционное пространство и избегать обнаружения.
- Возможности и риски облачных технологий. 27% сторонних облачных приложений, инициаторами применения которых стали сами сотрудники с целью повышения эффективности и поиска новых бизнес-перспектив, были отнесены к категории повышенного риска и создавали значительные проблемы безопасности.
- Традиционное рекламное ПО, загружающее рекламу без ведома пользователя, продолжает доказывать свою эффективность: им заражены 75% обследованных организаций.
- Светлым пятном стало падение популярности таких крупных наборов эксплойтов, как Angler, Nuclear и Neutrino, деятельность владельцев которых была пресечена в 2016 г., но на их место ринулись более мелкие игроки.
Защищать бизнес и поддерживать бдительность
В отчете ACR 2017 указывается, что расследуются лишь 56% предупреждений о нарушении защиты, при этом необходимые действия предпринимаются менее чем для половины предупреждений о реальных угрозах. Защищающейся стороне, даже при уверенности в средствах защиты, приходится действовать в условиях наличия сложных систем и недостатка персонала, что дает атакующим преимущество во времени и оперативном пространстве. Для предотвращения, обнаружения и устранения последствий атак, а также для минимизации рисков Cisco предлагает следующее:
- Обеспечение информационной безопасности должно стать одним из бизнес-приоритетов. Топ-менеджеры должны непосредственно отвечать за безопасность, пропагандировать ее и финансировать на приоритетной основе;
- Оценка операционной дисциплины. Необходимо провести ревизию методов защиты, корректировки ПО, точек контроля доступа для сетевых систем, приложений, функций и данных;
- Тестирование эффективности защиты. Следует задать четкие метрики и использовать их для оценки и совершенствования методов защиты;
- Принятие интегрированного подхода к защите. Интеграция и автоматизация должны находиться на верхних строчках списка критериев оценки мероприятий для улучшения контроля, совершенствования взаимной совместимости и сокращения времени обнаружения и прекращения атак. В этом случае подразделения обеспечения информационной безопасности смогут сосредоточиться на анализе и устранении реальных угроз.
Смотреть продукцию Cisco на нашем сайте
В десятом, юбилейном отчете освещаются глобальные проблемы и возможности подразделений информационной безопасности по защите от непрестанно эволюционирующей киберпреступности и обновляющихся методов атак. Директора по информационной безопасности считают основными препятствиями на пути продвижения стратегических планов защиты бюджетные ограничения, недостаточную совместимость систем и отсутствие квалифицированных специалистов. Руководители также отмечают тот факт, что структуры их подразделений постоянно усложняются, и уже более 65% организаций используют от 6 до 50 и более продуктов информационной безопасности, что потенциально способствует образованию брешей в защите.
Как свидетельствуют данные отчета Cisco ACR, киберпреступники пользуются этими брешами, возрождая такие «классические» направления атак, как рекламное ПО и почтовый спам, причем уровни последнего зашкаливают до показателей, которых не наблюдалось с 2010 года. На спам приходится почти две трети (65%) сообщений всей электронной почты, из них 10% рассматриваются как опасные. Растет глобальный объем спама, распространяемого крупными ботнетами.
В этих условиях критичным фактором становится оценка эффективности методов обеспечения информационной безопасности. Cisco неустанно работает над сокращением времени обнаружения (time to detection, TTD), т.е. времени от компрометации до обнаружения угрозы. Чем меньше время обнаружения, тем более ограничено оперативное пространство атакующих и тем меньше последствия вторжений. Если в начале 2016 г. медианное время обнаружения составляло 14 часов, то за последние полгода Cisco удалось сократить этот показатель до 6 часов. Приведенные цифры получены в результате обработки добровольной телеметрии, собранной решениями информационной безопасности Cisco, развернутыми по всему миру.
Сколько стоят киберугрозы для бизнеса: потерянные заказчики и потерянные доходы
В отчете Cisco ACR 2017 показано потенциальное влияние атак на финансовое положение пострадавших — от крупных предприятий до среднего и малого бизнеса. Более 50% организаций после нарушения защиты привлекли пристальное внимание общественности. Наибольший ущерб был нанесен операционным и финансовым системам, пострадала репутация брендов, ухудшились показатели лояльности заказчиков. Для организаций, подвергавшихся атакам, результат был весьма ощутимым:
- у 22% атакованных организаций уменьшилось число заказчиков, при этом у 40% из них клиентская база сократилась более чем на 20%;
- у 29% уменьшились доходы, из них у 38% доходы уменьшились более чем на 20%;
- 23% атакованных организаций заявили об упущенной выгоде, из них 42% потеряли более 20%.
Действия хакеров и новые «бизнес-модели
В 2016 г. хакерские группы стали более «корпоративными». Обусловленные цифровизацией динамичные изменения технологического пейзажа открывают перед киберпреступниками новые возможности. С одной стороны, атакующие продолжают пользоваться проверенными временем технологиями, с другой — прибегают к новым методам, отражающим структуру управления «среднего слоя» их корпоративных мишеней.
- Новые методы атак имитируют корпоративную иерархию. В ряде кампаний по распространению вредоносной рекламы используются т.н. брокеры, или «шлюзы», действующие как менеджеры среднего звена, маскирующие вредоносную активность. Это позволяет злоумышленникам ускорять свои действия, захватывать операционное пространство и избегать обнаружения.
- Возможности и риски облачных технологий. 27% сторонних облачных приложений, инициаторами применения которых стали сами сотрудники с целью повышения эффективности и поиска новых бизнес-перспектив, были отнесены к категории повышенного риска и создавали значительные проблемы безопасности.
- Традиционное рекламное ПО, загружающее рекламу без ведома пользователя, продолжает доказывать свою эффективность: им заражены 75% обследованных организаций.
- Светлым пятном стало падение популярности таких крупных наборов эксплойтов, как Angler, Nuclear и Neutrino, деятельность владельцев которых была пресечена в 2016 г., но на их место ринулись более мелкие игроки.
Защищать бизнес и поддерживать бдительность
В отчете ACR 2017 указывается, что расследуются лишь 56% предупреждений о нарушении защиты, при этом необходимые действия предпринимаются менее чем для половины предупреждений о реальных угрозах. Защищающейся стороне, даже при уверенности в средствах защиты, приходится действовать в условиях наличия сложных систем и недостатка персонала, что дает атакующим преимущество во времени и оперативном пространстве. Для предотвращения, обнаружения и устранения последствий атак, а также для минимизации рисков Cisco предлагает следующее:
- Обеспечение информационной безопасности должно стать одним из бизнес-приоритетов. Топ-менеджеры должны непосредственно отвечать за безопасность, пропагандировать ее и финансировать на приоритетной основе;
- Оценка операционной дисциплины. Необходимо провести ревизию методов защиты, корректировки ПО, точек контроля доступа для сетевых систем, приложений, функций и данных;
- Тестирование эффективности защиты. Следует задать четкие метрики и использовать их для оценки и совершенствования методов защиты;
- Принятие интегрированного подхода к защите. Интеграция и автоматизация должны находиться на верхних строчках списка критериев оценки мероприятий для улучшения контроля, совершенствования взаимной совместимости и сокращения времени обнаружения и прекращения атак. В этом случае подразделения обеспечения информационной безопасности смогут сосредоточиться на анализе и устранении реальных угроз.
Смотреть продукцию Cisco на нашем сайте