Годовой отчет Cisco по безопасности за 2013 год

Годовой отчет Cisco по безопасности за 2013 год

У корпорации Cisco имеется более 200 офисов по всему миру. Адреса, номера телефонов и факсов приведены на веб-сайте Cisco по адресу www.cisco.com/go/offices.

© Корпорация Cisco Systems, 2011–2013. Содержание документа является собственностью корпорации Cisco. Все права защищены. В данном документе содержится общедоступная информация корпорации Cisco. Cisco и логотип Cisco являются товарными знаками корпорации Cisco Systems и/или ее дочерних компаний в США и других странах. Список товарных знаков Cisco можно просмотреть на странице www.cisco.com/go/trademarks. Товарные знаки сторонних организаций, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. Использование слова «партнер» не подразумевает наличия партнерских взаимоотношений между Cisco и любой другой компанией. (020813 v2)

Штаб-квартира в США Корпорация Cisco Systems Сан-Хосе, Калифорния

Штаб-квартира в Азиатско-Тихоокеанском регионе Cisco Systems (USA) Pte. Ltd. Сингапур

Штаб-квартира в Европе Cisco Systems International BV Amsterdam, Нидерланды

Годовой отчет Cisco по безопасности за 2013 год2 3

Жизнь в сегодняшнем мире поддержки всех типов устройств.

Киберпреступники пользуются преимуществами быстрого расширения сферы их атак в сегодняшнем мире, когда поддерживаются все типы устройств и когда отдельные лица используют любое устройство для доступа к бизнес-приложениям в сетевой среде, где применяются децентрализованные облачные сервисы. Годовой отчет Cisco® по безопасности за 2013 год освещает глобальные тенденции угроз, основываясь на данных из реальной жизни, и позволяет проанализировать процессы, давая возможность деловым кругам и государственным учреждениям улучшить свою безопасность с заделом на будущее. В отчете объединены экспертные и аналитические оценки, собранные по корпорации Cisco, при этом основное внимание уделено информации за 2012 календарный год.


Взаимосвязь устройств, облачных платформ и приложений 6

Рост количества терминальных устройств 12

Сервисы, размещаемые в нескольких облачных средах 18

Смешанное назначение для личных и деловых задач 22Поколение Y и рабочее место

Большие наборы данных 28Большой задел для сегодняшних предприятий

Постороннее вторжение 32Опасность подстерегает в самых неожиданных местах

Эволюционирующие угрозы 50 Новые методы, те же средства внедрения

Спам повсюду 58

Прогноз по проблемам безопасности на 2013 год 70

Об отделе информационной безопасности компании Cisco (Cisco Security Intelligence Operations (SIO)) 74

Содержание


Взаимосвязь устройств, облачных платформ и приложений

Мир поддержки всех типов устройств и «Всеобъемлющего Интернета» — это быстрая эволюция возможностей связи и совместной работы. Это взаимозависимость устройств, облачных платформ и приложенийХотя такое развитие событий предсказывалось, сегодняшние предприятия могут оказаться не готовы к реалиям работы в мире, требующем поддержки всех типов устройств — по меньшей мере, с точки зрения безопасности.

«Самая большая трудность в решении вопроса поддержки всех типов устройств заключается в следующем: мы быстро приближаемся к той точке, в которой резко снижается вероятность того, что пользователь будет пытаться получить доступ к материалам предприятия через корпоративную сеть, — говорит Крис Янг (Chris Young), старший вице-президент, группа безопасности и управления компании Cisco. — Все чаще речь идет о возможности подключения любого устройства, расположенного где угодно, с помощью любого вида сети. Устройства, имеющие выход в Интернет: смартфоны, планшетные ПК и другие, — стараются подключиться к приложениям, которые функционируют где-то еще, в т. ч. в облаке общедоступного программного обеспечения, работающего как сервис (SaaS), в частном или гибридном облаке».

Одновременно мы наблюдаем еще одну эволюцию — неуклонное движение к формированию «Всеобъемлющего Интернета». В нем рационально соединяется следующее:

• Люди: социальные сети, населенные пункты, цифровые объекты.

• Процессы: системы, бизнес-процессы.

• Данные: всемирная сеть Интернет, информация.

• «Вещи»: физический мир, устройства и объекты.

«Все чаще речь идет о возможности подключения любого устройства, расположенного где угодно, с помощью любого вида сети. Устройства, имеющие выход в Интернет: смартфоны, планшетные ПК и другие, - стараются подключиться к приложениям, которые функционируют где-то еще».Крис Янг (Chris Young), старший вице-президент, группа безопасности и управления в Cisco


«Всеобъемлющий Интернет» строится на фундаменте «Интернета вещей»1 за счет добавления сетевых вычислительных возможностей, позволяющих добиться взаимодействия, гармоничности и прозрачности прежде разобщенных систем. Связь во «Всеобъемлющем Интернете» подразумевает не только мобильные устройства или настольные и портативные ПК, но и быстро растущее число подключений типа «машина-машина» (M2M), которые ежедневно появляются в сети. Такие «вещи» зачастую представляют собой объекты, которые мы воспринимаем как нечто само собой разумеющееся и которыми пользуемся ежедневно, при этом обычно не задумываясь о том, что они тоже связаны, например систему домашнего отопления, ветровую турбину или автомобиль.

«Всеобъемлющий Интернет» — несомненно, дело будущего, но не такого и отдаленного, когда мы рассматриваем вопрос поддержки всех типов устройств. И хотя он принесет дополнительные проблемы для предприятий, связанные с безопасностью, вместе с ним появятся и новые возможности. «По мере

развития «Всеобъемлющего Интернета» произойдут и будут созданы чудесные вещи, — говорит Нэнси Кэм-Уингет (Nancy Cam-Winget), ведущий инженер Cisco. — Из-за растущего количества и увеличивающегося взаимодействия пользователей, процессов, данных и «вещей» в Интернете связь через сеть будет нужной и актуальной как никогда прежде. В итоге «Всеобъемлющий Интернет» позволит сформировать новые функции, обогатить опыт, создать беспрецедентные экономические возможности для стран, предприятий и отдельных людей».

Облачные технологии: усложнение системы безопасностиПроблема защищенности широкого спектра приложений, устройств и пользователей в контексте как поддержки всех типов устройств, так и «Всеобъемлющего Интернета» становится еще сложнее из-за популярности облачных технологий как средства управления корпоративными системами. По данным, подготовленным компанией Cisco, ожидается, что

в ближайшие пять лет глобальный трафик ЦОД вырастет в четыре раза, и при этом наиболее быстро растущий сегмент составят облачные данные. К 2016 году на глобальный облачный трафик будет приходиться практически две трети общего трафика центров обработки данных.

Разрозненные решения, обеспечивающие безопасность, например внедрение межсетевых экранов на меняющейся границе сети, не защищают данные, которые теперь непрерывно перемещаются между устройствами, сетями и облачными средами. И даже в центрах обработки данных, где сегодня располагается основное сокровище организации — информационные супермассивы, — виртуализация становится скорее правилом, чем исключением. Решение проблем безопасности, связанных с виртуализацией и применением облачных технологий, требует переосмысления стоящих задач, чтобы они отражали появление новой парадигмы: использование элементов управления по периметру безопасности и старых моделей доступа, а также необходимость в снижении затрат должны быть изменены в соответствии с новой бизнес-моделью.

Подключение работающих пользователей и конфиденциальность данныхЕще один фактор, усложняющий решение задачи поддержки всех типов устройств — молодость и мобильность работников. Люди в этой группе полагают, что должны

иметь возможность заниматься своими делами из любой точки, где бы они не оказались, и с любого устройства, которое есть под рукой. В отчете Cisco по безопасности за 2013 год приведены выводы из доклада Cisco о мировых технологиях связи за 2012 год, которые получены по результатам исследования, проведенного в 2011 году, об изменениях в отношении студентов колледжей и молодых специалистов к вопросам работы, технологий и безопасности в международном масштабе.

Самые последние исследования проливают свет на отношение таких работников к вопросам безопасности, при этом особый акцент делается на конфиденциальности и той степени и регулярности, с которой компания может регламентировать желание сотрудника свободно пользоваться Интернетом в рабочее время. В докладе Cisco о мировых технологиях связи за 2012 год проанализировано также, является ли конфиденциальность в сети по-прежнему фактором, в связи с которым все пользователи активно выражают свое беспокойство.

«Из-за растущего количества и увеличивающегося взаимодействия пользователей, процессов, данных и «вещей» в Интернете связь через сеть будет нужной и актуальной как никогда прежде».

Нэнси Кэм-Уингет (Nancy Cam-Winget), ведущий инженер, Cisco

Ожидается, что в ближайшие пять лет глобальный трафик ЦОД вырастет в четыре раза, и при этом наиболее быстро растущий сегмент составят облачные данные. К 2016 году на глобальный облачный трафик будет приходиться практически две трети общего трафика центров обработки данных.

Еще один фактор, усложняющий решение задачи поддержки всех типов устройств — молодость и мобильность работников. Люди в этой группе полагают, что должны иметь возможность заниматься своими делами из любой точки, где бы они не оказались, и с любого устройства, которое есть под рукой.


Тенденции, связанные с анализом данных и глобальной безопасностьюГодовой отчет Cisco по безопасности за 2013 год содержит углубленный анализ трендов, связанных с распространением вредоносного ПО и спама, причем анализ базируется на проведенных Cisco исследованиях. Хотя многие из тех, кто действует в «теневом секторе», в последние годы сосредоточились на разработке все более сложных и совершенных технологий, из анализа Cisco становится ясно, что киберпреступники часто обращаются к хорошо известным и базовым методам для взлома пользовательских данных.

Всплеск распределенных атак типа «отказ в обслуживании» (DDoS) в прошедшем году — пример того, что киберпреступность склонна возвращаться к старым проверенным средствам. В последние годы для многих предприятий атаки DDoS, способные парализовать работу интернет-провайдеров и нарушить исходящий и входящий трафик на тех веб-сайтах, что стали объектом такой атаки, находились внизу списка угроз ИТ-безопасности. Тем не менее, недавние акции, направленные против ряда ведущих компаний, в т. ч. американских финансовых учреждений,2 служат напоминанием, что любая киберугроза может создать серьезный хаос и даже нанести невосполнимый ущерб, если организация

не будет к этому готова. Поэтому при составлении планов, направленных на обеспечение непрерывности бизнес-процесса, предприятиям следует предусмотреть меры по реагированию на киберугрозы и последующему восстановлению, независимо от того, в каком виде они реализованы: DDoS-атаки, направленной против компании; важного производственного участка с выходом в Интернет, доступ к которому внезапно оказывается невозможен; расширенной многоступенчатой атаки или чего-то еще, что прежде не встречалось.

«Хотя в дискуссиях по вопросам ИТ-безопасности в последние годы присутствовала известная доля панических настроений, мы наблюдаем определенные тревожные изменения в этой обстановке, которая угрожает правительствам, компаниям и общественным кругам, — говорит Джон Стюарт (John N. Stewart), старший вице-президент и директор по информационной безопасности в Cisco. — Киберпреступность теперь не просто досадная помеха или еще одна статья деловых расходов. Мы приближаемся к переломной точке, в которой экономические потери от киберпреступности угрожают превзойти выгоды, полученные при помощи информационных технологий. Очевидно, нам требуется мыслить и действовать по новому, чтобы снизить ущерб, наносимый киберпреступностью благосостоянию в мире».

«Мы наблюдаем определенные тревожные изменения в этой обстановке, которая угрожает правительствам, компаниям и общественным кругам». Джон Стюарт (John N. Stewart), старший вице-президент и директор по информационной безопасности в Cisco.


Стремительный рост количества терминальных устройств

С развитием поддержки всех типов устройств в дело вступают миллиарды подключенных к Интернету устройств; в 2012 году число этих устройств во всем мире выросло до более чем 9 миллиардов.3

Учитывая, что сегодня подключены менее 1 процента «вещей» в физическом мире, остается большой потенциал для подключения всего оставшегося.4 Прогнозируется, что в Интернете, где уже насчитывается примерно 50 миллиардов подключенных к нему «вещей», число подключений вырастет до 13 311 666 640 184 600 к 2020 году. Добавление еще одной подключенной к Интернету «вещи» (50 млрд + 1) увеличит число подключений еще на 50 миллиардов.5

Что касается «вещей», которые в результате сформируют «всеобъемлющую» среду, в их число войдут устройства от смартфонов и домашних отопительных систем до ветровых турбин и автомобилей. Дэвид Эванс (David Evans), главный футурист консалтингового подразделения Cisco Internet Business Solutions Group, поясняет концепцию резкого роста числа терминальных устройств следующим образом: «После подключения вашего автомобиля к «Всеобъемлющему Интернету» в самом ближайшем будущем это просто увеличит число «вещей»

в Интернете еще на одну единицу. Теперь подумайте о множестве других элементов, к которым автомобиль сможет подключаться: другим машинам, светофорам, вашему дому, обслуживающему персоналу, сводкам погоды, предупреждающим знакам и даже к самой дороге». 6

«После подключения вашего автомобиля к «Всеобъемлющему Интернету» в самом ближайшем будущем это просто увеличит число «вещей» в Интернете еще на одну единицу. Теперь подумайте о множестве других элементов, к которым автомобиль сможет подключаться: другим машинам, светофорам, вашему дому, обслуживающему персоналу, сводкам погоды, предупреждающим знакам и даже к самой дороге».

Дэвид Эванс (David Evans), главный футурист, Cisco


Люди — машины (P2M)

Люди — люди (P2P)

Машина — машина (M2M)

Люди

Данные

Рабочиепроцессы

Вещи

Работа

Дом Мобильные устройства

Рисунок 1. Всеобъемлющий Интернет«Всеобъемлющий Интернет» предназначен для объединения в сеть людей, процессов, данных и «вещей».

Соединения во «Всеобъемлющем Интернете» — вот что наиболее важно. Тип соединений, а не их число — именно это создает ценность в среде людей, процессов, данных и «вещей». В конце концов, количество подключений будет несравнимо с числом «вещей».7 Взрывной рост количества новых подключений уже стал частью «Всеобъемлющего Интернета» и подстегивается в основном разработкой все новых и новых устройств с поддержкой IP, а также доступностью широкополосных каналов связи в глобальном масштабе и появлением протокола IPv6. Угрозы безопасности, вызванные формированием «Всеобъемлющего Интернета», связаны не только с резким увеличением количества терминальных устройств всех типов, благодаря которым мир становится все более взаимосвязанным, но и с возможностями, которые получают злоумышленники в виде дополнительных лазеек для взлома пользовательских, сетевых и прочих данных. Новые подключения создают риск сами по себе, поскольку увеличивают объем генерируемых данных, требующих защиты в режиме реального времени, включая быстро растущие объемы супермассивов информации, которые предприятия будут продолжать собирать, хранить и анализировать.

«Формирование «Всеобъемлющего Интернета» быстро продвигается, и специалистам по информационной безопасности нужно подумать, как сосредоточиться не только на простой защите терминальных устройств и сетевого периметра, — говорит Крис Янг. — Количество устройств, подключений, типов контента и приложений будет слишком большим, и оно будет только расти. В этой новой обстановке сеть сама станет частью парадигмы безопасности, позволяющей предприятию расширять политику и контроль над различными средами».

Соединения во «Всеобъемлющем Интернете» — вот что наиболее важно. Тип соединений, а не их число — именно это создает ценность в среде людей, процессов, данных и «вещей».

«Формирование «Всеобъемлющего Интернета» быстро продвигается, и специалистам по информационной безопасности нужно подумать, как сосредоточиться не только на простой защите терминальных устройств и сетевого периметра».

Крис Янг (Chris Young), старший вице-президент, группа безопасности и управления в Cisco


Обновление Cisco BYODРезкий рост количества терминальных устройств — феномен, с которым Cisco хорошо знакома в рамках собственной организации, насчитывающей 70 000 сотрудников по всему миру. После того как два года назад была формализована концепция BYOD («принеси на работу свое устройство»), в компании зарегистрирован рост количества мобильных устройств, используемых внутри организации, на 79 процентов.

В годовом отчете Cisco по безопасности за 2011 год8 впервые были рассмотрены результаты Cisco по внедрению принципа BYOD, являющегося частью более широкого, постоянно действующего плана по превращению компании в «виртуальное предприятие». К тому времени, когда Cisco достигнет последнего этапа этого пути, на что уйдет не один год, корпорация будет все меньше зависеть от расположения и доступа к обслуживанию, а корпоративные данные будут защищены.9

В 2012 году парк оборудования Cisco увеличился на 11 000 смартфонов и планшетных ПК, т. е. по 1000 имеющих выход в Интернет устройств каждый месяц. «К концу 2012 года у нас использовалось почти 60 000 смартфонов и планшетов — в т. ч. чуть меньше 14 000 iPad — и все это произошло в рамках программы BYO, — говорит Бретт Белдинг (Brett Belding), старший менеджер-контролер в Cisco IT Mobility Services. — Мобильный в Cisco значит BYO, точка».

Самый большой количественный рост по типу устройств в Cisco принадлежит iPad от Apple. «Подумать только, ведь три года назад этого продукта даже не существовало, — удивляется Белдинг. — Теперь наши сотрудники ежедневно используют в Cisco более 14 000 iPad в самых разных целях — личных и деловых. При этом сотрудники пользуются iPad в дополнение к смартфонам».

Что касается смартфонов, количество Apple iPhone, используемых в Cisco, за два года практически утроилось и достигло 28 600 единиц. В программу BYOD в Cisco также включены устройства RIM BlackBerry, Google Android и Microsoft Windows. Сотрудники могут по своему выбору получить доступ к корпоративным данным на своем персональном устройстве по согласованию с инстанциями, отвечающими за компьютерную безопасность. Например, пользователи, которые хотят проверять почту и обращаться к календарю на своем устройстве, обязаны обзавестись профилем безопасности Cisco, который позволяет дистанционно использовать стирание и шифрование данных, а также пользоваться парольными фразами.

Рисунок 2. Развертывание мобильных устройств Cisco

С самого начала ключевым элементом программы BYOD в Cisco была поддержка возможностей общения. «Мы широко используем [корпоративную платформу для совместной работы] WebEx Social в качестве вспомогательной площадки BYOD, и это принесло отличные плоды, — говорит Белдинг. — У нас поддерживается больше устройств, чем когда-либо прежде, и в то же время мы получили наименьшее количество обращений за поддержкой. Мы ставим своей задачей добиться того, чтобы однажды сотрудник мог просто принести любое устройство, самостоятельно получить доступ, используя Cisco Identity Services Engine (ISE), и настроить наши основные инструменты для совместной работы WebEx, в т. ч. Meeting Center, Jabber и WebEx Social».

Следующим этапом программы BYOD в Cisco, по словам Белдинга, будет дальнейшее совершенствование безопасности за счет повышения прозрачности и контроля всех действий и устройств пользователей, как в физической сети, так и в виртуальной среде, с одновременным повышение удобства работы пользователей. «Забота об удобстве пользователей является ключевым фактором повышения потребительской привлекательности в ИТ-тренде, — отмечает Белдинг. — Мы стремимся внедрить эту концепцию применительно к своей организации. Мы должны это делать. Думаю, что то, что мы наблюдаем сегодня, — это «информатизация» пользователей. Мы уже прошли ту точку, когда они задавали вопросы: «Можно я буду пользоваться этим устройством на работе?» Теперь они говорят: «Я понимаю, что вы должны обеспечить безопасность предприятия, но не мешайте мне работать с комфортом».

«У нас поддерживается больше устройств, чем когда-либо прежде, и в то же время мы получили наименьшее количество обращений за поддержкой. Мы ставим своей задачей добиться того, чтобы однажды сотрудник мог просто принести любое устройство, самостоятельно получить доступ, используя Cisco Identity Services Engine (ISE), и настроить наши основные инструменты для совместной работы WebEx, в т. ч. Meeting Center, Jabber и WebEx Social».Бретт Белдинг (Brett Belding), старший менеджер по контролю мобильных сервисов ИТ Cisco

iPhone

iPad

Blackberry

Android

Другое

ВСЕГО

ПЛАТФОРМА

ДЕК.2010

ДЕК.2011

ДЕК.2012


Сервисы, размещаемые в нескольких облачных средах

Продолжается рост глобального трафика центров обработки данных. В соответствии с Cisco Global Cloud Index, ожидается, что глобальный трафик ЦОД вырастет вчетверо в ближайшие пять лет, а совокупные темпы среднегодового прироста (CAGR) будут составлять 31 процент в период между 2011 и 2016 гг.10

Наиболее быстро растущий сегмент этого грандиозного увеличения составят облачные данные. Глобальный облачный трафик в следующие пять лет увеличится вшестеро с темпами 44 процента в период с 2011 по 2016 год. На долю глобального облачного трафика к 2016 году будет приходиться две трети общего трафика ЦОД.11

В связи с таким резким ростом глобального трафика возникают вопросы, будут ли предприятия в состоянии правильно организовать эти информационные потоки. В облачной среде каналы управления размыты.

Сможет ли организация сформировать системы защиты вокруг облачных данных, когда она не имеет в своем распоряжении ЦОД? Как можно использовать даже базовые инструменты защиты, такие как межсетевые экраны и антивирусное ПО, когда невозможно определить границу сети?

Глобальный облачный трафик в следующие пять лет увеличится вшестеро с темпами 44 процента в период с 2011 по 2016 год.


Неважно, сколько вопросов, связанных с безопасностью, встает сейчас. Понятно, что все больше и больше предприятий начинают пользоваться облачными технологиями, и те из них, которые это уже сделали, вряд ли вернутся к модели закрытого центра обработки данных. Хотя облачная среда предоставляет организациям разнообразные преимущества, включая экономию расходов, улучшение совместной работы персонала, увеличение производительности труда и повышение экологичности предприятия, вероятны риски, связанные с безопасностью, которые возникают как результат перевода данных и процессов компании на облачные технологии, включая следующее:

Гипервизоры При взломе это программное обеспечение, которое создает и запускает виртуальные машины, может стать причиной массированного вмешательства хакеров или повреждения данных на нескольких серверах — благодаря простоте управления и доступа, которые предлагает виртуализация. Гипервизор-мошенник (находящийся под контролем взломщика) может полностью захватить управление сервером.12

Снижение начальных затрат Виртуализация позволила снизить затраты на ввод в действие сервисов, таких как виртуальный частный сервер (VPS). В сравнении с более старыми аппаратными моделями центров обработки данных мы видим рост использования недорогой быстро формируемой инфраструктуры, которая легко доступна для действий преступников. Например, существует множество сервисов VPS для быстрой продажи (с возможностью оплаты покупки через Bitcoin или другие платежные системы, где ее трудно отследить), которые становятся мишенью для преступников. Виртуализация позволила сделать инфраструктуру дешевле и проще в предоставлении, при минимуме или отсутствии регламентации действий.

Независимость виртуализированных приложений от аппаратных средствПоскольку виртуализированные приложения не зависят от используемых ими физических ресурсов, для предприятий становится труднее следовать традиционным подходам к безопасности. Провайдеры стремятся минимизировать издержки за счет очень гибких коммерческих предложений, в рамках которых они могут при необходимости манипулировать ресурсами, что контрастирует с группой информационной безопасности, которая старается объединить сервисы со схожей защищенностью, отделяя их от других, которые могут быть защищены в меньшей степени.

«Виртуализация и облачные вычисления создают проблемы, такие же как в BYOD, но только перевернутые с ног на голову, — говорит Джо Эпстейн (Joe Epstein), бывший главный исполнительный директор Virtuata, компании, приобретенной Cisco в 2012 году, которая предлагает высокотехнологические разработки по защите информации на уровне виртуальных машин в центрах обработки данных и облачных средах. — Ценные приложения и данные теперь перемещаются по всему ЦОД. Предприятия смущает понятие виртуальных нагрузок. Как в виртуальной среде можно доверять тому, что ты запустил? Ответ заключается в том, что до сих пор это было попросту невозможно, и такая неопределенность была основным препятствием на пути внедрения облачных технологий».

При этом Эпстейн отмечает, что для предприятий становится все труднее игнорировать технологии виртуализации и облачных вычислений.. «Все в мире становится общим, — заключает он. — Все будет виртуализироваться, все будет общим. Будет бессмысленно продолжать работать только с закрытыми центрами обработки данных; гибридные облака —это будущее интернет-технологий».

Ответом на все растущие трудности виртуализации и облачных вычислений станет адаптивный и гибкий характер защиты. По словам Эпстейна, в этом случае безопасность сможет превратиться в программируемый элемент, который будет идеально интегрирован в структуру коммутации своего базового ЦОД. Помимо прочего, потребности системы защиты следует учесть еще на стадии проектирования, а не доделывать ее, когда все уже готово.

Гипервизор-мошенник (находящийся под контролем взломщика) может полностью захватить управление сервером.

«Виртуализация и облачные вычисления создают проблемы, такие же как в BYOD, но только перевернутые с ног на голову... Ценные приложения и данные теперь перемещаются по всему ЦОД».Джо Эпстейн (Joe Epstein), бывший главный исполнительный директор компании Virtuata


Смешанное назначение для личных и деловых задачПоколение Y и рабочее место

Современные работники — в особенности молодое поколение рубежа веков — хотят свободно выбирать не только время и способ, но и устройства для использования Интернета. При этом они не желают, чтобы работодатели посягали на эти свободы — ситуация, чреватая серьезными трудностями для специалистов по безопасности.Согласно исследованию, представленному в докладе Cisco о мировых технологиях связи за 2012 год, две трети из числа респондентов полагают, что работодатели не должны отслеживать действия в сети своих сотрудников, использующих предоставленные компанией устройства. Короче говоря, они считают, что это не дело нанимателей контролировать их действия. Только примерно одна треть (34 процента) опрошенных работников заявила, что они не возражают против контроля их действий в сети со стороны работодателя.

Лишь один из пяти опрошенных сообщил, что их наниматели отслеживают действия в сети сотрудников, использующих корпоративные устройства, а 46 процентов заявили, что их работодатели не отслеживают активность в сети.

Результаты последнего исследования мировых технологий связи также показывают, что современное поколение крайне неравнодушно к тому, что работодатели контролируют действия в сети своих сотрудников — это касается даже тех, кто сообщил, что работает в организации, где такой контроль отсутствует.

Лишь один из пяти опрошенных сообщил, что их наниматели отслеживают действия в сети сотрудников, использующих корпоративные устройства, а 46 процентов заявили, что их работодатели не отслеживают активность в сети.


Что еще более усугубляет сложность проблем, стоящих перед специалистами по информационной безопасности, — похоже, существует разрыв между тем, что сотрудники считают допустимым для себя в использовании предоставленного компанией оборудования, и тем, что предписывается ИТ-регламентами. Четверо из 10 опрошенных сообщили, что должны использовать выданные компанией устройства исключительно для рабочих целей, а четверть респондентов ответила, что им разрешается пользоваться такими устройствами не только для работы. При этом 90 процентов ИТ-специалистов, которые приняли участие в опросе, заявили, что у них действительно существуют регламенты, запрещающие использование в сети предоставленного компанией оборудования в личных целях, хотя 38 процентов признало, что сотрудники нарушают эти правила и пользуются этими устройствами для личных целей помимо работы. (Подробнее о подходе Cisco к проблемам BYOD см. на стр. 16.)

Конфиденциальность и поколение YСогласно докладу Cisco о мировых технологиях связи за 2012 год, поколение нового тысячелетия признает тот факт, что благодаря Интернету конфиденциальность личной информации ушла в прошлое. Девяносто один процент из опрошенных молодых покупателей согласны с тем, что век частной информации закончился, и полагают, что не в состоянии сохранить в секрете свои сведения. При этом одна треть опрошенных говорит, что они не беспокоятся из-за того, что кто-то собирает и хранит данные о них.

Как правило, люди, принадлежащие к этому поколению, также считают, что их сетевая идентичность отличается от индивидуальности в реальной жизни. Сорок пять процентов заявили, что их идентичность отличается часто в зависимости от того, что они делают, тогда как 36 процентов полагают, что эти характеристики индивидуальности полностью различны. Лишь 8 процентов полагают, что они одинаковы.

Покупатели из числа молодежи также часто ожидают, что интернет-сайты сохранят сведения о них в тайне, и чувствуют себя более комфортно, когда делятся своими данными в крупной социальной сети или сетевом сообществе, где легче сохранить обезличенность, растворившись в толпе. Сорок шесть процентов говорят, что ожидают от некоторых сайтов защиты

своей информации, 17 процентов надеются, что большинство сайтов сохранит данные о них в тайне. Тем не менее, 29 процентов сообщили, что не только не верят в то, что сайты могут сохранить информацию в тайне, но их также сильно беспокоит ее защищенность и возможность кражи персональных данных. Сравните это с идеей делиться данными с работодателем, который, к тому же, осведомлен в целом о личности и характере занятий человека.

«Теперь на работу приходит молодежь из поколения нового тысячелетия, которая приносит с собой новую практику работы и отношение к информации и к ее защищенности. Они считают, что конфиденциальности больше нет, она просто отмерла, и именно в такой парадигме должны функционировать организации — такой взгляд на вещи будет внушать тревогу людям старого поколения, которые работают там же, — говорит Адам Филпотт (Adam Philpott), директор EMEAR Security Sales, Cisco. — Организации могут, тем не менее, постараться организовать обучение своих сотрудников по вопросам информационной безопасности, ознакомить их с существующими рисками и дать рекомендации, как лучше обмениваться информацией и пользоваться интерактивными инструментами в мире, где особую важность приобретает защищенность данных».

Похоже, существует разрыв между тем, что сотрудники считают допустимым для себя в использовании предоставленного компанией оборудования, и тем, что предписывается ИТ-регламентами.

«Теперь на работу приходит молодежь из поколения нового тысячелетия, которая приносит с собой новую практику работы и отношение к информации и к ее защищенности. Они считают, что конфиденциальности больше нет, она просто отмерла, и именно в такой парадигме должны функционировать организации — такой взгляд на вещи будет внушать тревогу людям старого поколения, которые работают там же».Адам Филпотт (Adam Philpott), директор EMEAR Security Sales, Cisco


Почему предприятиям следует быть бдительнее относительно дезинформации в социальных сетяхДжин Гордон Косиенда (Jean Gordon Kocienda) Аналитик по вопросам глобальных угроз, Cisco

Социальные сети оказались находкой для многих предприятий; возможность непосредственно связаться с покупателями и обратиться к другим аудиториям через Twitter и Facebook позволила не одной организации познакомить пользователей со своей торговой маркой через сетевое общение.

Оборотной стороной такой мгновенной непосредственной коммуникации стало то, что социальные медиа позволяют распространить неточную или вводящую в заблуждение информацию со скоростью лесного пожара. Нетрудно представить себе сценарий, в котором наземная террористическая атака координируется через использование дезинформирующих твитов с целью создать пробки на дорогах или перегрузки на телефонных линиях либо направить людей по опасному пути. Приведем пример. Правительство Индии заблокировало сотни сайтов и ограничило текстовые публикации13 прошлым летом в попытке восстановить спокойствие на северо-востоке страны, после того как в постах было размещено несколько фотографий и текстовых сообщений. Из-за распространившихся слухов тысячи рабочих-мигрантов в панике бросились на переполненные железнодорожные и автобусные вокзалы.

Похожие кампании по дезинформации в социальных сетях в ряде случаев повлияли на рыночные котировки. Принадлежащий агентству Рейтер канал Twitter после взлома сообщил о разгроме Армии освобождения Сирии под Алеппо. Несколько дней спустя был взломан другой канал в Twitter, и некий высокопоставленный российский дипломат разместил твит о смерти президента Сирии Башара Асада. Прежде чем правдивость этих записей удалось опровергнуть, на международных рынках резко выросли цены на нефть.14

Специалисты по информационной безопасности должны внимательно следить за такими быстро распространяющимися и несущими потенциальный ущерб сообщениями в социальных сетях, особенно если те обращены на все предприятие в целом; от них требуется быстро принимать меры по защите сетей от вредоносного ПО, оповещению сотрудников о предпринятой мошеннической попытке, перенаправлению грузовых партий или консультированию персонала по вопросам безопасности. Меньше всего ответственным за информационную безопасность лицам хотелось бы сообщить руководству об экстренном событии, которое окажется розыгрышем.

Первое средство, позволяющее не попасться на сфабрикованную информацию, — подтвердить ее по нескольким источникам. Одно время журналисты делали эту работу за нас, поэтому, когда новости попадали к нам, информация была проверенной. Сегодня многие журналисты берут сюжеты из тех же записей в Twitter, что и мы, и, если кто-то обманулся, ретвиты можно легко принять за нужное подтверждение.

Для экстренных новостей, требующих быстрых действий, возможно, придется положиться на старое доброе «чутье». Если история выглядит неправдоподобно, подумайте дважды, прежде чем ее повторить или сослаться на нее.15

Для экстренных новостей, требующих быстрых действий, возможно, придется положиться на старое доброе «чутье». Если история выглядит неправдоподобно, подумайте дважды, прежде чем ее повторить или сослаться на нее.


Большие наборы данныхБольшой задел для сегодняшних предприятий

В деловом сообществе у всех на слуху слова «большие наборы данных» — и те «золотые» возможности, которые аналитики могут черпать из обширных массивов информации, генерируемой, собираемой и хранимой предприятиями. В докладе Cisco о мировых технологиях связи за 2012 год рассматривается влияние тенденций, связанных с использованием больших наборов данных, на деятельность предприятий и конкретно на работу их ИТ-отделов. По результатам исследования, примерно три четверти (74 процента) организаций во всем мире ведут сбор и хранение данных, и руководство компаний использует анализ больших информационных массивов в принятии решений. Кроме того, семь из 10 связанных с ИТ участников опроса сообщили, что большие наборы данных будут пользоваться стратегическим приоритетом в их компании и ИТ-отделе в предстоящем году.

Появление и развитие таких сетевых трендов, как мобильность, облачные технологии, виртуализация и рост количества терминальных устройств, прокладывает дорогу к формированию еще более крупных супермассивов данных и аналитических возможностей для компаний. При этом большие наборы данных внушают озабоченность

в связи с проблемами безопасности. Результаты исследования, приведенные в докладе о мировых технологиях связи, показали, что около трети респондентов (32 процента) считают, что информационные супермассивы усложняют требования к защите данных и сетей из-за большого количества данных и способов доступа к ним. Другими словами, использование больших наборов данных увеличивает число аспектов и задач, которые должны разрешить специалисты — и технические решения — по информационной безопасности.

Около 74 процентов организаций в международном масштабе уже осуществляют сбор и хранение данных, и руководство компаний использует анализ больших информационных массивов в принятии решений.


Корея (45 процентов), Германия (42 процента), США (40 процентов) и Мексика (40 процентов) показали наибольшее процентное соотношение тех связанных с ИТ респондентов, которые считают, что большие наборы данных усложняют вопросы информационной безопасности. Для облегчения защиты информации большинство опрошенных, имеющих дело с ИТ, — более двух третей (68 процентов) — полагают, что в рамках компании в стратегическом планировании и руководстве работой с большими наборами данных должен участвовать весь ИТ-отдел. Гэвин Рейд (Gavin Reid), руководитель по вопросам исследований угроз, отдел информационной безопасности компании Cisco (Cisco Security Intelligence Operations (SIO)): «Большие наборы данных не осложняют безопасность, они делают это возможным. В Cisco мы ведем сбор и сохранение 2,6 триллиона записей каждый день — это позволяет создать платформу, на которой можно приступать к выявлению и контролю нештатных ситуаций».

Что касается решений, которые призваны помочь предприятиям улучшить организацию и без ограничений использовать большие наборы данных, для их внедрения

существуют некоторые препятствия. Респонденты указывали на недостаток финансирования, времени на анализ информационных супермассивов, отсутствие нужных технических решений, нехватку ИТ-персонала и недостаток профессионального опыта. Тот факт, что почти каждый четвертый из числа опрошенных (23 процента) назвал недостаток профессионального опыта и нехватку персонала в качестве причины, препятствующей способности предприятия эффективно использовать большие наборы данных, указывает на необходимость профессионального обучения большего числа специалистов для этого рынка.

Одним из факторов, способствовавших успеху информационных супермассивов, стали облачные технологии; об этом свидетельствуют 50 процентов связанных с ИТ респондентов в исследовании, на которое ссылается доклад о мировых технологиях

связи. По их мнению, для достойных результатов в использовании больших наборов данных компаниям необходимо проработать вопросы планирования и развертывания облачных сред. Такое мнение было особо заметно в Китае (78 процентов) и Индии (76 процентов), где один из трех опрошенных был уверен, что успешный старт больших наборов данных зависит от облачных технологий. Как результат, в некоторых случаях исследование показывает, что внедрение облачных технологий оказывает влияние на темпы принятия — и выгоды от использования — информационных супермассивов.

Более половины из опрошенных ИТ-работников также подтвердили, что дискуссиям об использовании больших наборов данных в их компаниях пока не достает плодотворности. Это неудивительно с учетом того, что участники рынка еще только пытаются понять, как обустроить информационные супермассивы, анализировать и использовать их в стратегических целях. В некоторых странах, тем не менее, дискуссии о применении больших наборов данных уже приводят к результатам в виде значимых решений по стратегическому планированию, директивному и техническому наполнению. Ведущие позиции в этом отношении занимают Китай (82 процента), Мексика (67 процентов), Индия (63 процента) и Аргентина (57 процентов). При этом свыше половины респондентов из этих стран утверждают, что дискуссии об информационных супермассивах в их компаниях ведутся полным ходом и приводят к конкретным действиям и результатам.

Три из пяти опрошенных работников ИТ в докладе о мировых информационных технологиях за 2012 год полагают, что использование больших наборов данных поможет повысить конкурентоспособность стран и их экономик на глобальном рынке.

Корея, Германия, США и Мексика показали наибольшее процентное соотношение респондентов, считающих, что большие наборы данных усложняют информационную безопасность.

Есть некоторые страны, где дискуссии о применении больших наборов данных уже приводят к результатам в виде значимых решений по стратегическому планированию, директивному и техническому наполнению. Ведущие позиции в этом отношении занимают Китай, Мексика, Индия и Аргентина; свыше половины респондентов из этих стран утверждают, что дискуссии об информационных супермассивах в их компаниях ведутся полным ходом и приводят к конкретным действиям и результатам.

Что касается решений, которые призваны помочь предприятиям улучшить организацию и без ограничений использовать большие наборы данных, для их внедрения существуют некоторые препятствия. Респонденты указывали на недостаток финансирования, времени на анализ информационных супермассивов, отсутствие нужных технических решений, нехватку ИТ-персонала и недостаток профессионального опыта.


Постороннее вторжениеОпасность подстерегает в самых неожиданных местах

Значительное число специалистов по информационной безопасности — и, конечно же, существенная часть сообщества сетевых пользователей — сохраняют предубежденное мнение относительно того, где вероятнее всего можно наткнуться на опасные вредоносные программы в Интернете. Распространенное мнение заключается в том, что сайты, связанные с незаконной деятельностью — например, распространением нелегальных фармацевтических препаратов или поддельных предметов роскоши, — с наибольшей вероятностью будут заражены вредоносными программами. Наши данные показывают, что такой взгляд уже устарел, поскольку на современной карте компьютерных угроз заражение вредоносным ПО не является побочным следствием существования «плохих» сайтов.

«Встретить вредоносные программы можно везде, куда заглядывают люди в Интернете, включая вполне добропорядочные сайты, которые посещают в т. ч. по делу, — говорит Мэри Ландесман (Mary Landesman), ведущий исследователь по проблемам информационной безопасности в Cisco. — В действительности бизнес- и отраслевые сайты составляют одну из трех категорий, при посещении которых встречаются вредоносные

программы. Конечно же, это не является результатом злонамеренного проектирования деловых сайтов». Опасность зачастую скрыта на самом виду, в рекламных объявлениях, зараженных программным кодом-эксплойтом, которые распространяются через законопослушные сайты, либо объектом действий хакеров становится сообщество пользователей на общих, наиболее часто используемых сайтах.

Кроме того, зараженные вредоносными программами сайты повсеместно распространены по разным странам и регионам, что опровергает взгляд, согласно которому сайты в некоторых странах с большей вероятностью будут

Опасность часто скрывается у всех на виду, в рекламных объявлениях, которые заражены программным кодом-эксплойтом.


содержать опасный код. «Всемирная паутина — наиболее мощное средство доставки вредоносного ПО, с которым мы сталкивались до сегодняшнего дня, превосходящее даже любых червей или вирусы в своей способности достигать — и заражать — массовую аудиторию бесшумно и эффективно, — говорит Ландесман. — Предприятиям нужна защита, даже если они заблокируют доступ к «плохим» сайтам, с дополнительной структуризацией контроля и анализа».

Вероятность столкнуться с вредоносным программным обеспечением в зависимости от размера компанииСамые крупные предприятия (25 000 сотрудников и более) рискуют в 2,5 раза чаще встретиться с такими программами в сети, чем компании меньшего размера. Повышенный риск может отражать тот факт, что большие компании владеют более ценной интеллектуальной собственностью и поэтому чаще становятся объектом посягательств.

Хотя в меньших компаниях каждый пользователь реже сталкивается с вредоносным кодом в сети, важно заметить, что всем предприятием — независимо от размера — грозит серьезная опасность заражения через Интернет. Каждая организация должна с вниманием относиться к основным мерам безопасности своей сети и интеллектуальной собственности.

Вероятность столкнуться с вредоносным программным обеспечением по странам

Анализ Cisco показывает значительное изменение в глобальном ландшафте распространения вредоносного программного обеспечения в Интернете по странам за 2012 год. Китай, занимавший вторую строчку в списке в 2011 году по количеству встреч с такими программами, в 2012 году опустился сразу на 6 место. Дания и Швеция теперь располагаются на третьей и четвертой позиции соответственно. Вверху рейтинга, как и в 2011 году, остаются Соединенные Штаты с 33 процентами всех случаев обнаружения вредоносного ПО на сайтах, расположенных в США.

Изменения по географическому положению между 2011 и 2012 годами, вероятно, отражают перемены как в способах обнаружения, так и в привычках пользователей. Например, распространение вредоносных программ через рекламные объявления встречалось в 2012 году чаще по сравнению с 2011 годом. Напомним, что опасное ПО чаще всего встречается при обычном посещении не нарушающих законы сайтов, которые были взломаны или непредумышленно взяли на себя показ злонамеренных рекламных сообщений. Вредоносная реклама может оказаться на любом сайте, независимо от его происхождения.

В целом, географические данные за 2012 год свидетельствуют о том, что всемирная паутина предоставляет равные возможности заражения, в противовес взглядам, что ответственность за размещение вредоносных программ лежит на одной или двух странах или что одна страна безопаснее другой. Насколько динамика доставки контента в Web 2.0 позволяет добиваться монетизации веб-сайтов во всем мире, настолько же она может облегчить распространение вредоносных программ в глобальном масштабе.

Рисунок 3. Риски в зависимости от размера компанииОпасность столкнуться с вредоносными программами в 2,5 раза выше для крупных организаций.

250 или меньше

251–500

501–1000

1001–2500

2501–5000

5001–10 000

10 001–25 000

Более 25 000

Количество сотрудников

Всем компаниям, независимо от их размера, грозит серьезная опасность столкнуться с вредоносным ПО в сети. Каждая организация должна с вниманием относиться к основным мерам безопасности своей сети и интеллектуальной собственности.


Рисунок 4. Случаи обнаружения вредоносных программ по странамОдна треть всех случаев обнаружения вредоносного ПО происходит в доменной зоне США.

ПРИРОСТ С 2011 Г. ПАДЕНИЕ С 2011 Г.

США

Германия

33,14 %

Россия9,79 %

Нидерланды2,27 %

Дания9,55 %

Турция2,63 %

Швеция9,27 %

6,11 %

Китай5,65 %

Великобритания4,07 %

Ирландия1,95 %

1 2

43

6

5

8

710

9

В целом, географические данные за 2012 год свидетельствуют о том, что всемирная паутина предоставляет равные возможности заражения, в противовес взглядам, что ответственность за размещение вредоносных программ лежит на одной или двух странах или что одна страна безопаснее другой.


Конечно, следует проводить четкую границу между тем местом, где такая программа была встречена, и компьютером, где она фактически размещается. В злонамеренной рекламе, например, встреча обычно происходит при посещении пользующегося хорошей репутацией, добропорядочного сайта, который случайно разместил рекламу третьих лиц. При этом сама программа, разместившая код, находится на компьютере совсем в другом домене. Поскольку полученные Cisco данные базируются на том, где вредоносное ПО встречалось, в них нет никаких указаний на его фактическое происхождение. Например, растущая популярность социальных сетей и развлекательных сайтов в Дании и Швеции, вместе с опасностью злонамеренной рекламы, внесли значительный вклад в число обнаруженных случаев на сайтах, размещенных в этих странах, но ничего не говорит о действительном происхождении этих вредоносных программ.

Наиболее распространенные типы сетевых вредоносных программ в 2012 годуЧисло хакерских программ для ОС Android росло значительно быстрее остальных форм аналогичного ПО, распространяемого через сеть, — важный тренд с учетом того, что Android, по сообщениям, удерживает большую часть мирового рынка мобильных устройств. Следует заметить, что случаи обнаружения вредоносных программ для мобильных устройств отмечены лишь в 0,5 процента всех обнаружений такого ПО в Интернете за 2012 год, при этом на

Android приходится свыше 95 процентов указанных случаев. Кроме того, в 2012 году было впервые документально зафиксировано появление сети ботнет в естественных условиях, что указывает на то, что развитие хакерских программ для мобильных устройств в 2013 году требует самого пристального внимания.

Хотя некоторые эксперты утверждают, что Android является «главной угрозой» и должен в 2013 году находиться в центре внимания отделов информационной безопасности предприятий, фактические данные говорят об ином. Как указывалось выше, вредоносное программное обеспечение для мобильных устройств в целом составляет менее 1 процента от общего числа обнаруженных случаев — это далеко от сценария «апокалипсиса», который многие расписывают. Важность BYOD и увеличения числа устройств нельзя недооценивать, однако организации должны быть более озабочены угрозами, связанными с непреднамеренной утратой данных, следя за тем, чтобы сотрудники не снимали наложенные пользовательские ограничения в своих устройствах при помощи манипуляций root или jailbreak и устанавливали приложения только из официальных и проверенных дистрибутивов. Когда пользователи предпочитают брать что-то за пределами официальных магазинов мобильных приложений, они перед загрузкой приложения должны обязательно убедиться, что это что-то создано известным и проверенным разработчиком и что его программный код не был изменен посторонними лицами.

Рисунок 5. Основные типы вредоносных сетевых программЧисло обнаружений хакерских программ для устройств под ОС Android выросло на 2577 процентов в течение 2012 года, хотя вредоносное ПО для мобильных устройств составляет лишь небольшой процент от всех обнаруженных угроз в Интернете.

ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК

Android Growth

Вредоносное ПО/хакерский набор 0,057 %Программы, требующие выкупа 0,058 %

Поддельные антивирусы 0,16 %

Мобильный 0,42 %

Вирус 0,48 %

Червь 0,89 %

Загрузчик 1,1 %

Infostealer 3,4 %

Эксплойт 9,8 %

Вред. сценарий/плав. фрейм 83,4 %

Рост устройств под ОС Android: 2577 %


Если взглянуть на картину вредоносного ПО под более широким углом, неудивительно, что на сценарии и плавающие фреймы в 2012 году пришлось 83 процента обнаруженных случаев. Хотя это не очень отличается от результатов за прошлые годы, такой вывод заставляет задуматься. При таких видах атак вредоносный код часто внедряется в «проверенные» страницы, которые пользователи могут посещать каждый день, — это означает, что взломщик может завладеть данными пользователя, даже не возбуждая его подозрений.

На втором месте идут программы-эксплойты, на долю которых приходится 10 процентов всех случаев обнаружения сетевого вредоносного ПО в прошлом году. При этом данные цифры в целом получены по месту блокирования, а не действительной концентрации этих программ во всемирной сети. Например, 83 процента вредоносных сценариев и скрытых плавающих фреймов — это блокировки, которые выполнялись на ранних этапах до воспроизведения программы-эксплойта, что может искусственно занижать количество замеченных программ этого типа.

Эксплойты остаются важной причиной заражения через Интернет, а их продолжающееся присутствие подчеркивает необходимость для разработчиков внедрять лучшие практические рекомендации по информационной безопасности в планировании жизненного цикла своих продуктов. Организации при проектировании и разработке продукции должны держать вопросы безопасности в центре внимания, своевременно выявляя уязвимые места и быстро/

регулярно предлагая исправления. Организации и пользователи должны быть в курсе рисков для безопасности, связанные с использованием продуктов, которые более не поддерживаются разработчиками. Для организаций также критически важно вести процесс контроля основных уязвимых точек, а для пользователей — следить за обновлением своего программного и аппаратного обеспечения.

Другие места в верхней пятерке занимают троянские программы типа infostealer, с 3,5 процентами от общего числа обнаруженных вредоносных ПО в 2012 году, программы-загрузчики (1,1 процента) и «черви» (0,8 процента). Напомним, данные цифры отражают события, когда происходит блокировка, обычно в такой точке, в которой вредоносный сценарий или плавающий фрейм обнаруживается впервые. В результате они не являются показателем действительного числа троянских программ, программ-загрузчиков или червей, распространяемых через Интернет.

Виды содержимого основных вредоносных программСоздатели этого программного обеспечения стремятся постоянно максимизировать окупаемость вложенных средств, отыскивая пути доступа к наиболее многочисленным группам потенциальных жертв с минимальными усилиями; при этом они по возможности пользуются преимуществами технологий кросс-платформ. Для этих целей программный набор разработчика позволяет рассылать программы-эксплойты в определенном порядке; после

Рисунок 6. Основные типы наполнения вредоносного ПО в 2012 годуНа Java-эксплойты пришлось 87 процентов всех программ подобного типа в Интернете.

J F M A M J J A S O N D

J F M A M J J A S O N D

ПриложенияТекстИзображениеВидеоАудиоСообщения

JavaPDFFlashActive-X

0%

20%

40%

60%

80%

100%

0%

20%

40%

60%

80%

100%

Приложения

65,05%

Текст

33,81%

Изображение

1,09%

Видео

0,05%

Аудио

0,01%

Сообщение

0,00%

Основные типы контента по месяцам

Итого основные типы контента

Типы контента программ-эксплойтов

Увеличение доли Java-эксплойтов свидетельствует о том, что они используются в первую очередь и пользуются успехом у тех, кто организует атаки.


успешного внедрения программа уже не делает других попыток. Увеличение доли Java-эксплойтов — 87 процентов от общего числа таких программ в Интернете — свидетельствует о том, что они используются в первую очередь и пользуются успехом у тех, кто организует атаки. Кроме того, теперь, когда свыше 3 миллиардов устройств работают с приложениями Java,16 эта технология дает хакерам удобную возможность масштабировать свои атаки в пределах нескольких платформ.

Еще две кросс-платформенные технологии — PDF и Flash — занимают второе и третье место в анализе распределения вредоносных программ по виду содержимого. Хотя внедрение в элементы Active X используется по-прежнему, исследователи Cisco обнаружили неуклонное снижение применения этой технологии в качестве средства доставки опасных программ. Однако, как отмечалось выше для Java, снижение количества некоторых типов эксплойт-программ в основном отражает порядок, в котором осуществляются попытки внедрения.

При изучении медиа-контента можно увидеть, что данные Cisco демонстрируют практически двукратное преобладание вредоносных программ в графических форматах по сравнению с видео, не относящемуся к формату Flash. Это, однако, происходит частично из-за способа, которым браузеры обращаются с объявленным типом наполнения, и усилий хакеров, направленных на манипулирование этими элементами управления с целью неправильного декларирования вида контента. Помимо прочего, системы командного управления вредоносных программ часто распределяют

информацию о серверах через комментарии, скрытые в обычных графических файлах.

Верхняя категория сайтовКак видно из данных, приведенных Cisco, представление о том, что заражение вредоносным ПО чаще всего происходит от «рискованных» сайтов, например от сайтов с контрафактными компьютерными программами, является заблуждением. Анализ Cisco демонстрирует, что подавляющее большинство вредоносных программ встречается при посещении законопослушных и хорошо известных сайтов. Иными словами, большинство таких случаев происходит в местах, которые пользователи посещают чаще всего — и полагают, что это безопасно.

Второе место в списке удерживают сетевые рекламные объявления, на долю которых приходится 16 процентов всех случаев обнаружения вредоносных программ в сети. Синдицированная реклама — широко распространенный способ монетизации веб-сайтов, поэтому единственное злонамеренное объявление, запущенное таким образом, может привести к самым негативным последствиям.

Рисунок 7. Верхняя категория сайтовНа сайтах интернет-магазинов вероятность заразиться вирусом в 21 раз больше, чем на ресурсах, распространяющих контрафактное программное обеспечение.

Примечание. Категория «Динамический контент» находится вверху списка Cisco для мест с наибольшей вероятностью заражения вредоносным кодом. В эту категорию входят системы доставки такого контента, как интернет-статистика, аналитические данные по сайтам и другое стороннее информационное наполнение, не связанное с распространением рекламы.

Игры 6,51 %

Веб-хостинг 4,98 %

Поисковые системы и порталы 4,53 %

Компьютеры и Интернет 3,57 %

Покупки 3,57 %

Путешествия 3,00 %

Сетевые сообщества 2,66 %

Развлечения 2,57 %

Хранение и резервирование данных в Интернете 2,27 %

Новости 2,18 %

Спорт и отдых 2,10 %

Сервисы по пересылке файлов 1,5 %

SaaS и B2B 1,40%Электронная

почта через веб-интерфейс 1,37 %

Образование 1,17 %

Транспорт 1,11 %

Здоровье и питание 0,97 %

Динамический контент и CDN 18,30 %

Рекламные объявления 16,81 %Бизнес

и промышленность 8,15 %

Top Site Category for Web Malware Encounter

Подавляющее большинство вредоносных программ встречается при посещении законопослушных и хорошо известных сайтов. Иными словами, большинство таких случаев происходит в местах, которые пользователи посещают чаще всего — и полагают, что это безопасно.


Рисунок 8. Популярные приложения по числу вызововСоциальные сети и интернет-видео меняют то, как сотрудники проводят время на работе — и обнажают новые уязвимости.

Далее по списку категорий сайтов, на которых было обнаружено вредоносное ПО, на третьем месте находятся бизнес- и отраслевые ресурсы — от корпоративных сайтов и площадок по подбору персонала до сайтов, предлагающих услуги грузоперевозок. Онлайн-игры занимают четвертую позицию, за ними следуют сайты с предложениями услуг веб-хостинга и поисковые системы, которые находятся соответственно на пятом и шестом местах. В числе 20 категорий веб-сайтов, на которых чаще всего встречается вредоносное ПО, нет сайтов, которые традиционно считаются потенциально опасными. Этот список состоит из популярных и не нарушающих закон сайтов, таких как интернет-магазины (№ 8), новостные ресурсы (№ 13) и приложения SaaS/B2B (№ 16).

Киберпреступники внимательно изучили привычки современных интернет-пользователей, что позволило им получить доступ к крупнейшим сетевым сообществам для распространения вредоносного ПО. Создатели вредоносных программ следуют по пятам за сетевыми пользователями, извлекая выгоду от пользующихся доверием сайтов путем прямого взлома или рассылки через сеть от третьих лиц.

Популярные приложения по числу вызововИзменения в том, как люди проводят время в Интернете, расширяют поле возможностей для киберпреступников с целью внедрения. Организации, большие и малые, начинают использовать социальные сети и сервисы видеохостинга; большинство известных торговых марок присутствуют в Facebook и Twitter, многие из них интегрируют функции социальных медиа в свою продукцию. Поскольку такие сетевые ресурсы привлекают к себе внимание массовой аудитории и оказываются частью корпоративной структуры, это также создает дополнительные возможности для распространения вредоносного программного обеспечения.

Согласно данным Cisco Application Visibility and Control (AVC), значительное большинство (91 процент) запросов в Интернете делится между поисковыми системами (36 процентов), ресурсами онлайн-видео (22 процента), рекламными сетями (13 процентов) и социальными сетями (20 процентов).

Если данные по наиболее посещаемым сайтам в Интернете имеют корреляцию с наиболее опасными категориями сетевых ресурсов, именно те места, где пользователи наименее защищены от вредоносного ПО, такие как поисковые системы, оказываются в тех областях, где оно наиболее распространено. Такая

корреляция еще раз показывает, что создатели хакерских программ уделяют основное внимание максимальной окупаемости вложений и поэтому будут направлять основные усилия на те точки, где присутствует наибольшее количество пользователей с наименьшей защищенностью.

Если данные по наиболее посещаемым сайтам в Интернете имеют корреляцию с наиболее опасными категориями сетевых ресурсов, именно те места, где пользователи наименее защищены от вредоносного ПО, такие как поисковые системы, оказываются в тех областях, где оно наиболее распространено.

Киберпреступники внимательно изучили привычки современных интернет-пользователей, что позволило им получить доступ к крупнейшим сетевым сообществам для распространения вредоносного ПО.

Организации, большие и малые, начинают использовать социальные сети и сервисы видеохостинга; большинство известных торговых марок присутствуют в Facebook и Twitter, многие из них интегрируют функции социальных медиа в свою продукцию.

36%

9% Поисковая система

Реклама

Социальная сеть

Другое

20%

13%22%

Онлайн-видео

Top Web Applications by Hits


Мутация как порождение вредоносного ПОKevin W. Hamlen Адъюнкт-профессор, кафедра вычислительной техники, Техасский университет, Даллас

Маскировка вредоносных программ — недавно появившаяся угроза, с которой все чаще могут сталкиваться специалисты по компьютерной безопасности. Хотя в большинстве таких программ используются простые мутации или усложнения, увеличивающие их многообразие и затрудняющие декомпиляцию кода, камуфлирование еще более повышает скрытность, позволяя вредоносному программному обеспечению маскироваться под ту или иную программу, которая уже есть в зараженной системе. Она может обходить оборонительные рубежи, на которых отслеживаются подозрительные процессы, например распаковка в среде выполнения или шифрованный код, часто выдающие более традиционное вредоносное ПО.

Самая последняя технология создания хакерских программ — с удачным названием «Франкенштейн»17 — предмет нашего исследования в научно-исследовательском центре компьютерной безопасности Техасского университета в Далласе. Как и вымышленный сумасшедший ученый в романе Мэри Шелли 1818 года, вирус «Франкенштейн» создает мутантов, воруя части тела (т. е. участки кода) у других встреченных программ и сшивая их вместе, формируя при этом собственные уникальные копии. Каждый мутант «Франкенштейн», соответственно, создается полностью из нормального, безопасно выглядящего программного обеспечения, не запускает подозрительных процессов шифровки или распаковки в среде выполнения и имеет доступ к постоянно расширяющемуся набору трансформаций кода, заимствованного у других встреченных программ.

Под этим покровом «Франкенштейн» вызывает свои создания к жизни, используя разнообразные способы, полученные при помощи теоретического и программного анализа в компиляторе. Сначала исследуются двоичные файлы жертвы на предмет поиска коротких последовательностей байтов, которые декодируются в потенциально полезные последовательности инструкций, известные как диалоговые элементы. Небольшой интерпретатор абстрактных объектов делает вывод о возможном назначении семантики всех обнаруженных диалоговых элементов. Применяемый далее поиск с возвратом обнаруживает последовательности диалоговых элементов, которые при исполнении в правильном порядке приводят к реализации заложенного в хакерскую программу злонамеренного умысла.

17 Vishwath Mohan и Kevin W. Hamlen. «Франкенштейн: вредоносное ПО на основе полезного кода». Записи семинара USENIX по вредоносным технологиям (WOOT), стр. 77-84, август 2012 г.

18 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han и Bhavani Thuraisingham. Обнаружение вредоносного ПО на основе облака. Транзакции ACM в информационных системах управления (TMIS), 2(3), октябрь 2011 г.

Каждая такая обнаруженная последовательность в конце концов собирается в виде новой версии-мутанта. На практике «Франкенштейн» обнаруживает свыше 2000 диалоговых элементов в секунду, аккумулируя более 100 000 единиц только из двух или трех двоичных файлов жертвы менее чем за пять секунд. С таким значительным запасом диалоговых элементов получившиеся мутанты редко пользуются одинаковыми последовательностями инструкций, и каждый из них, следовательно, имеет уникальный облик.

В целом, наше исследование позволяет предположить, что следующее поколение вредоносных программ будет все чаще отказываться от простых мутаций, базирующихся на шифровании и архивировании, в пользу расширения обманчивых метаморфоз двоичных данных, подобных тем, которые используются вирусом «Франкенштейн». Подобная изменчивость практична в реализации, поддерживает стремительное распространение и эффективно скрывает вредоносное ПО на стадиях статического анализа в большинстве средств борьбы с ним. Для противодействия этому разработчики антивирусного ПО должны использовать те же технологии, что были применены для создания «Франкенштейн», в т. ч. семантический, а не синтаксический анализ, отбор признаков и определение особенностей семантики через машинное изучение,18 в отличие от анализа, производимого исключительно вручную.

В статье сообщается о выделении на проведение части исследования грантов № 1054629 от Национального научного фонда (NSF) и от Управления НИОКР ВВС США (AFOSR), FA9550-10-1-0088. Все выводы и рекомендации принадлежат авторам исследования и не обязательно отражают взгляды NSF или AFOSR.

Как и вымышленный сумасшедший ученый в романе Мэри Шелли 1818 года, вирус «Франкенштейн» создает мутантов, воруя части тела (т. е. участки кода) у других встреченных программ и сшивая их вместе, формируя при этом собственные уникальные копии.

В целом, наше исследование позволяет предположить, что следующее поколение вредоносных программ будет все чаще отказываться от простых мутаций, базирующихся на шифровании и архивировании, в пользу расширения обманчивых метаморфоз двоичных данных, подобных тем, которые используются вирусом «Франкенштейн».


Анализ уязвимостей и угроз 2012 годаВ таблице классификации уязвимостей и угроз показано существенное увеличение суммарного количества угроз —в 2012 году их число возросло на 19,8 процента по сравнению с 2011 годом. Такой резкий рост создает серьезную нагрузку на возможности организаций своевременно обновлять и корректировать программное обеспечение систем контроля уязвимостей, в особенности с учетом перехода на виртуальные технологии.

Организации также прилагают все усилия с целью справиться с использованием растущего числа программ сторонних разработчиков и с открытым исходным кодом, которые входят в состав имеющихся у них продуктов и платформ. «Всего лишь одна уязвимость в решениях сторонних разработчиков или с открытым исходным кодом может повлиять на целый ряд систем, работающих в этой среде, и из-за этого определить проблему и обновить или исправить программное обеспечение всех этих систем будет весьма затруднительно», — говорит Джефф Шипли (Jeff Shipley), менеджер Cisco Security Research and Operations.

Что касается типов угроз, самая большая их группа направлена на управление ресурсами; в основном это относится к слабым местам, приводящим к отказу в обслуживании, нарушению проверки ввода. Это, например, ошибки, связанные с внедрением SQL-кода и межсайтовым скриптингом, а также переполнение буфера памяти, приводящее к отказу в обслуживании. Преобладание аналогичных угроз по сравнению с предыдущими годами, в сочетании с резким ростом их числа, указывает на то, что компьютерной безопасности требуется улучшить способы обнаружения и устранения этих уязвимостей.

Актуальный рейтинг IntelliShield Alert Urgency, который ведет компания Cisco, показывает уровень активности угроз, направленных на определенные уязвимости. Существенный рост количества угроз на уровне 3 говорит, что для внедрения в действительности используется большее число уязвимостей. Это, вероятно, объясняется тем, что разработчики и тестовые инструменты выкладывают большое количество информации об эксплойтах в открытый доступ, после чего они используются во время организованных атак. Эти два фактора дают возможность хакерам и криминальным группировкам повсеместно получить доступ к еще большему числу эксплойтов.

Рейтинг Cisco IntelliShield Alert Severity отражает степень воздействия успешно внедренных программ-эксплойтов. Рейтинг серьезности угроз также показывает заметный рост количества угроз на уровне 3 — в силу тех же причин, что были указаны выше, которые связаны с доступностью программ-эксплойтов.

Рисунок 10. Классификация уязвимостей и угроз

Рисунок 9. Рейтинг актуальности и серьезности угроз

Число оповещений за месяц в 2012 г.



ЯнварьФевраль

МартАпрель

МайИюньИюль

АвгустСентябрь

ОктябрьНоябрь

Декабрь

417 259 158 417430 253 177 847518 324 194 1364375 167 208 1740322 174 148 2062534 294 240 2596422 210 212 3018541 286 255 3559357 167 190 3916418 191 227 4334476 252 224 4810400 203 197 5210

Всего Старые НовыеВсего Старые НовыеВсего Старые Новые

6292 3488 28045301 2684 26175210 2780 2430

010002000300040005000600070008000

Я Ф М А М И И А С О Н Д

2010 2011 2012

2010 2011 2012

Серьезность ≥3



Актуальность ≥3



0 10 20 30 40 50 60 0 500 1000 1500 2000

Оценка Оценка

403 237 166 403400 176 224 803501 276 225 1304475 229 246 1779404 185 219 2183472 221 251 2655453 213 240 3108474 226 248 3582441 234 207 4023558 314 244 4581357 195 162 4938363 178 185 5301

552 344 208 552551 317 234 1103487 238 249 1590524 306 218 2114586 343 243 2700647 389 258 3347514 277 237 3861591 306 285 4452572 330 242 5024517 280 237 5541375 175 200 5916376 183 193 6292




ЯнварьФевраль

МартАпрель

МайИюньИюль

АвгустСентябрь

ОктябрьНоябрь

Декабрь

417 259 158 417430 253 177 847518 324 194 1364375 167 208 1740322 174 148 2062534 294 240 2596422 210 212 3018541 286 255 3559357 167 190 3916418 191 227 4334476 252 224 4810400 203 197 5210

Всего Старые НовыеВсего Старые НовыеВсего Старые Новые

6292 3488 28045301 2684 26175210 2780 2430

010002000300040005000600070008000

Я Ф М А М И И А С О Н Д

2010 2011 2012

2010 2011 2012







0 10 20 30 40 50 60 0 500 1000 1500 2000

Оценка Оценка

403 237 166 403400 176 224 803501 276 225 1304475 229 246 1779404 185 219 2183472 221 251 2655453 213 240 3108474 226 248 3582441 234 207 4023558 314 244 4581357 195 162 4938363 178 185 5301

552 344 208 552551 317 234 1103487 238 249 1590524 306 218 2114586 343 243 2700647 389 258 3347514 277 237 3861591 306 285 4452572 330 242 5024517 280 237 5541375 175 200 5916376 183 193 6292

«Всего лишь одна уязвимость в решениях сторонних разработчиков или с открытым исходным кодом может повлиять на целый ряд систем, работающих в этой среде, и из-за этого определить проблему и обновить или исправить программное обеспечение всех этих систем будет весьма затруднительно». Джефф Шипли (Jeff Shipley), менеджер Cisco Security Research and Operations


Эволюциони-рующие угрозыНовые методы, те же средства внедрения

Сегодня, когда речь заходит о вторжении в киберпространстве, случиться может что угодно — нужно только выбрать метод, и цель будет достигнута. Это не означает, что действующие лица в теневой экономике не причастны к созданию еще более совершенных инструментов и способов взлома данных пользователей, распространения вирусного сетевого ПО и кражи важной информации, помимо стремления достичь многих других целей. В 2012 году, тем не менее, появилась тенденция возврата к «хорошо забытому старому», направленная на поиск новых путей для нарушения работы систем безопасности предприятий или для их обхода.

Основным примером служат DDoS-атаки; несколько крупных финансовых учреждений в США стали мишенью двух массированных и сопутствующих акций, предпринятых хакерскими группировками из-за рубежа в последние шесть месяцев 2012 года (более подробный анализ см. в разделе «Тенденции 2012 года в использовании распределенных отказов в обслуживании»). Некоторые специалисты по информационной безопасности предупреждают, что эти события только начало и что «хакерские группировки, круги организованной преступности и даже некоторые государства будут

незаконно предпринимать»19 такие атаки в будущем, действуя как совместно, так и самостоятельно.

«Мы наблюдаем тенденцию к DDoS-атакам, и при этом их организаторы привносят дополнительный контекст к ставшему их целью сайту, чтобы сделать последствия нарушения его работы еще более значительными, — отмечает Гэвин Рейд (Gavin Reid), руководитель по вопросам исследований угроз, отдел информационной безопасности компании Cisco (Cisco Security Intelligence Operations (SIO)). — Вместо отправки большого числа SYN-пакетов в DDoS-атаке теперь предпринимается попытка завладеть определенным приложением в организации, что может вызвать лавинообразный ущерб в случае отказа».

В 2012 году появилась тенденция возврата к «хорошо забытому старому», направленная на поиск новых путей для нарушения работы систем безопасности предприятий или для их обхода.


Хотя предприятия могут считать, что надежно защищены от DDoS-угрозы, скорее всего, их сеть не сможет устоять против массированных повторяющихся DDoS-атак, которые мы наблюдали в 2012 году. «Даже в противостоянии с искушенным, но средним по силам противника нынешние «суперсовременные» технологии сетевой безопасности зачастую значительно уступают», — говорит Грегори Нил Эйкерс (Gregory Neal Akers), старший вице-президент, Advanced Security Initiatives Group компании Cisco.

Еще одна тенденция в киберпространстве связана с угрозами «демократизации». Мы все чаще видим, что инструменты и методики — а также информация о том, как можно воспользоваться уязвимостями, — становятся сегодня широко доступны в теневом секторе. «Развитие функций, связанных со специальными навыками, сегодня шагнуло далеко вперед, — говорит Эйкерс. — Мы видим все большую специализацию и все более тесное сотрудничество между преступными элементами. Вот как выглядит этот конвейер: кто-то находит ошибку в программе, другой пишет вирусный код, еще один человек разрабатывает компонент для социотехники и т. д.».

Создание сильнодействующих угроз, которые помогут получить доступ к большим объемам ценной информации в сети, — это одна из причин, по которой киберпреступники предпочитают объединять свой опыт. Но, как и в любой организации в реальном мире, которая отдает выполнение задач сторонним подрядчикам, эффективность и экономия издержек представляют собой основные стимулы, регулирующие деятельность по созданию угроз в сообществе киберпреступников. «Вольнонаемные таланты», которые нанимаются под эти задачи, обычно дают объявления о своих умениях и тарифах для широкого круга киберпреступников на тайном сетевом рынке труда.

«Даже в противостоянии с искушенным, но средним по силам противника нынешние «суперсовременные» технологии сетевой безопасности зачастую значительно уступают». Грегори Нил Эйкерс (Gregory Neal Akers), старший вице-президент, Advanced Security Initiatives Group компании Cisco

Атаки по методу умножения и отраженияАтаки по методу умножения и отражения DNS-запросов20 используют открытые рекурсивные резолверы в системе доменных имен (DNS) или серверы авторизации DNS для увеличения объема трафика, отправляемого на объект атаки. Имитируя21 сообщения обращений к DNS, такие атаки позволяют скрыть истинный источник атаки и отправлять DNS-запросы, заставляя DNS давать количество ответов, которое на 1000–10 000 процентов превосходит число обращений к DNS. В таком виде это можно наблюдать во время DDoS22-атак.

Организации невольно становятся участниками этих атак, оставляя резолверы в Интернете открытыми. Они могут обнаруживать атаки, используя различные инструменты23 и технологии24 телеметрии потоков, и помочь в их предотвращении, защитив25 свой сервер DNS или ограничив26 число ответных сообщений DNS за определенный период времени.

Тенденции 2012 года в использовании распределенных отказов в обслуживанииПриводимый далее анализ получен из архивов Arbor Networks ATLAS и включает глобальные данные, собранные из различных источников от 240 интернет-провайдеров, которые ведут мониторинг пикового трафика в 37,8 Тбит/с.27

Продолжается тенденция к увеличению масштабов атак В целом, за последний год наблюдался рост атак средних размеров. Отмечено 27-процентное увеличение пропускной способности каналов, используемых при атаках (с 1,23 Гбит/с в 2011 году до 1,57 Гбит/с в 2012 году), и 15-процентный рост числа отправляемых пакетов в секунду во время атак (с 1,33 в 2011 г. до 1,54 млн пакетов в секунду в 2012 году).

Демографические характеристики атак Три самые заметные источника атак, по которым велся мониторинг, после исключения 41 процентов источников, принадлежность которых не удалось установить из-за анонимности данных, — это Китай (17,8 процента), Южная Корея (12,7 процента) и США (8,0 процента).

Крупнейшие атаки Крупнейшая атака по результатам мониторинга была отмечена на 100,84 Гбит/с и продолжалась примерно 20 минут (источник атаки неизвестен из-за анонимности данных). Соответствующая крупнейшая зарегистрированная атака по числу пакетов в секунду наблюдалась с результатом 82,36 млн пакетов в секунду и длилась приблизительно 24 минуты (источник атаки неизвестен из-за анонимности данных).


Техническая вооруженность современных методов обхода систем защитыКиберпреступники постоянно разрабатывают новые способы обхода устройств безопасности. Исследователи Cisco бдительно следят за появлением новых технологий и совершенствованием «вооруженности» хорошо известных способов.

Отдел Security Research and Operations в компании Cisco имеет в своем распоряжении несколько лабораторий для наблюдения вредоносного трафика в естественной среде. Вредоносный код преднамеренно запускается в лаборатории для проверки эффективности систем защиты; компьютеры также умышленно остаются уязвимыми и подключенными к Интернету.

Во время одного из тестов система предотвращения вторжений (Cisco Intrusion Prevention System, IPS) обнаружила атаку по хорошо известному способу Microsoft Remote Procedure Call (MSRPC). Тщательный анализ установил, что для атаки использовалась ранее не встречавшаяся тактика обхода вредоносной программой систем безопасности.28 Для обхода внутри исходного запроса привязки отправлялось несколько контекстных идентификаторов присваивания. Такая атака может обойти защиту, если система IPS не будет контролировать ситуацию и не определит, который из идентификаторов был успешно присвоен.

Рисунок 11. Способы обхода активной системы предотвращения вторжений (IPS)

Отдел Security Research and Operations в компании Cisco имеет в своем распоряжении несколько лабораторий для наблюдения вредоносного трафика в естественной среде. Вредоносный код преднамеренно запускается в лаборатории для проверки эффективности систем защиты; компьютеры также умышленно остаются уязвимыми и подключенными к Интернету.

Киберпреступники постоянно разрабатывают новые способы обхода устройств безопасности. Исследователи Cisco бдительно следят за появлением новых технологий и совершенствованием «вооруженности» хорошо известных способов.

Transmission Control Protocol, Src Port: 32883 (32883), DstDCE RPC Bind, Fragment: Single, FragLen: 820, Call: 0 Version: 5 Version (minor): 0 Packet type: Bind (11) Packet Flags: 0x03 Data Representation: 10000000 Frag Length: 820 Auth Length: 0 Call ID: 0 Max Xmit Frag: 5840 Max Recv Frag: 5840 Assoc Group: 0x00000000 Num Ctx Items: 18 Context ID: 0 Num Trans Itms: 1 Interface UUID: c681d4c7-7f36-33aa-6cb8-535560c3f0e9 Context ID: 1 Num Trans Items: 1 Interface UUID: 2ec29c7e-6d49-5e67-9d6f-4c4a37a87355


ПРИМЕР ИСПОЛьЗОВАНИЯ

Операция AbabilВ период с сентября по октябрь 2012 года Cisco и Arbor Networks следили за целенаправленной и очень серьезной DDoS-кампанией, которая стала известна как «Операция Ababil» и была направлена против расположенных в США финансовых учреждений. Атаки DDoS имели тщательно спланированный и персонализированный характер, были заранее разрекламированы и проведены безукоризненно. Организаторы смогли вывести из строя доступ к сайтам нескольких крупных финансовых организаций на период до нескольких минут и — в самых критических случаях — часов. В ходе развития событий ответственность за организацию атак взяли на себя несколько группировок; по меньшей мере одна из них заявила, что протестует против законодательства США об охране авторских прав и интеллектуальной собственности. Другие объявили свое участие ответом на появление на YouTube видеоролика, оскорбительного для некоторых мусульман.

С точки зрения компьютерной безопасности «Операция Ababil» достойна внимания, поскольку в ней использовались обычные веб-приложения и хост-серверы, которые столь же популярны, сколь и уязвимы. Еще один очевидный и необычный фактор в этой серии атак заключается в том, что одновременные атаки в широкой полосе пропускания были предприняты против нескольких компаний в одной отрасли (финансовой).

Как можно часто увидеть в сфере компьютерной безопасности, новое — это хорошо забытое старое.

18 сентября 2012 года организация Cyber Fighters of Izz ad-Din al-Qassam разместила на Pastebin29 призыв к мусульманам сделать своей целью крупнейшие финансовые институты и товарно-сырьевые биржевые площадки. Эти угрозы и выбранные объекты были выставлены на всеобщее обозрение четыре недели подряд. Каждую неделю появлялись новые угрозы с новыми мишенями для атак, за которыми в назначенное время следовали действия. К пятой неделе группировка прекратила объявлять имена для нападений, но дала понять, что акции будут продолжаться. Как и было обещано, они возобновились с прежней силой в декабре 2012 года, снова выбрав своей целью многие крупные финансовые организации в США.

О втором этапе «Операции Ababil» также было объявлено на Pastebin.30 Теперь функции программных роботов в кампании выполнялись не путем использования зараженных компьютеров, а через разнообразные веб-приложения с кодом PHP, в т. ч. Joomla Content Management System. Кроме того, примерно в то же время были взломаны многие сайты WordPress, использовавшие устаревший подключаемый модуль TimThumb. Организаторы атаки часто старались добраться до необслуживаемых серверов, на которых размещались эти приложения и загружали программы webshell с кодом PHP, чтобы обеспечить готовность к последующим атакам. Принцип командного управления не применялся в обычном смысле, однако нападающие подключались к нужным программным средствам непосредственно либо через промежуточные или прокси-серверы, а также скрипты. В ходе событий сентября–октября 2012 года использовался разнообразный арсенал файлов и программ с использованием кода PHP, а не только часто упоминаемый в отчетах «tsoknoproblembro» (или Brobot). Во втором раунде предпринятых действий также использовались обновленные хакерские инструменты, такие как Brobot v2.

В «Операции Ababil» применялось сочетание разных инструментов, часть которых была направлена против уровня приложений в HTTP, HTTPS и DNS, и массированного хакерского трафика по различным протоколам: TCP, UDP, ICMP и другим IP-

протоколам. Анализ Cisco показывает, что большинство пакетов отправлялось на TCP/UDP-порт 53 (DNS) или 80 (HTTP). Хотя трафик на портах UDP 53, TCP 53 и 80 вполне обычен, пакеты, отправляемые на порт UDP 80, указывают на аномалию, поскольку приложения, как правило, им не пользуются.

Подробный отчет о шаблонах и информационном наполнении «Операции Ababil» можно найти в материале «Cisco отражает угрозу: DDoS-атаки на финансовые учреждения».31

ВыводыСистема предотвращения вторжений IPS и межсетевые экраны, являющиеся важной составной частью любого комплекса сетевой безопасности, широко используют для трафика архитектуру с сохранением состояния. Атаки на уровне приложений, использовавшиеся в «Операции Ababil», легко приводили к переполнению таблиц состояния и, в некоторых случаях, к их неработоспособности. Единственной эффективной мерой оказалась интеллектуальная технология минимизации последствий от DDoS-атак.

Управляемые сервисы безопасности и интернет-провайдеры имеют свои пределы. При типовых DDoS-атаках здравый смысл подсказывает обращать внимание на массированное воздействие в сети. Когда враждебные действия предприняты на уровне приложений близко к объекту нападения, их следует встречать в месте расположения ЦОД или на «стороне заказчика». Поскольку мишенью параллельно стали сразу несколько организаций, сетевые scrubbing-центры, следящие за нормализацией пакетов, быстро оказались перегружены.

Важно вовремя обновлять программное и аппаратное обеспечение на оборудовании, предназначенном для минимизации последствий DDoS-атак. Более старые устройства не всегда могут противостоять новейшим угрозам. Также имеет значение наличие достаточной пропускной способности в нужных местах. Физическая возможность ослабить ущерб от крупной атаки бесполезна, если трафик нельзя перенаправить на участок, оснащенный соответствующей технологией.

Хотя средства минимизации последствий DDoS-атак на облачных или сетевых платформах имеют большие возможности широкополосного обмена данными, решения, функционирующие на территории заказчика, обеспечивают лучшее время реагирования на противодействие, сдерживание и визуальный контроль таких атак. Более полное решение достигается комбинированием обоих вариантов.

В сочетании с облачными и сетевыми DDoS-технологиями и как побочное следствие событий, связанных с «Операцией Ababil», Cisco подготовила методики обнаружения и ослабления ущерба, выпустив практический бюллетень по устранению угроз «Определение и минимизация последствий DDoS-атак на финансовые учреждения».32 Эти способы включают использование фильтров Transit Access Control List (tACL), анализ данных NetFlow и одноадресную проверку обратного маршрута IP-пакетов (uRPF). Кроме того, существует ряд проверенных практических способов, которые следует регулярно анализировать, проверять и внедрять, что поможет предприятиям хорошо подготовиться к сетевым событиям и правильно на них реагировать. Библиотеку с описанием таких способов можно найти по ссылкам в материалах «Тактические ресурсы Cisco SIO»33 и «Практика обеспечения безопасности поставщиками услуг».34


Спам повсюду

Согласно исследованию Cisco, объемы спама продолжают снижаться во всем мире, хотя он и остается привычным инструментом многих киберпреступников, которые рассматривают его как удобный и эффективный способ сделать пользователей беззащитными перед вредоносным ПО и облегчить проведение самых разнообразных мошеннических акций. При этом несмотря на мнение, что вредоносный код внедряется через вложения в почтовом письме со спамом, данные Cisco говорят, что сегодня лишь немногие спамеры полагаются на этот способ; вместо этого они прибегают к злонамеренным гиперссылкам в почтовом сообщении в качестве гораздо более эффективного механизма распространения.

Спам также стал менее «спонтанным» по сравнению с прошлым, теперь многие спамеры предпочитают обращаться к конкретным группам в надежде получить большую прибыль. Торговые марки известных фармацевтических компаний, производителей дорогих часов, события, например связанные с периодом подачи налоговых деклараций, — все это находится вверху списка того, что спамеры рекламируют в своих акциях. Со временем спамеры поняли, что самый быстрый способ повысить число

переходов по ссылкам и сделанных покупок — и увеличить прибыль — это продвижение поддельных фирменных марок и использование в своих интересах текущих событий, которые привлекают внимание больших групп пользователей.

Глобальные тенденции в распространении спамаПосле ликвидации крупных ботнет-сетей в 2010 году большие объемы спама уже не так эффективны, как прежде. Спамеры извлекли из этого урок и изменили тактику. Наблюдается несомненная эволюция в сторону меньших, более целенаправленных кампаний, в основе которых находятся международные события и определенные подгруппы пользователей. В больших объемах спам будет, скорее всего, замечен провайдерами, предоставляющим почтовый сервис, и перекрыт до того, как его цель будет достигнута.


Рисунок 12. Глобальные тенденции в распространении спамаОбъемы спама в глобальном масштабе падают на 18 процентов, поскольку спамеры следуют распорядку дня банков на выходные.

США

Саудовская Аравия

Бразилия

11,38%

3,60%

Польша2,72%

Тайвань2,94%

Вьетнам4,00%

3,60%

Индия12,3%

Россия3,88%

Китай4,19%

Корея4,60%

10

98

7

6

5

4 32

1

ПРИРОСТ С 2011 Г. ПАДЕНИЕ С 2011 Г.

Русский5%

Каталонский3%

Японский3%

Датский2%

Французский1%

Румынский1%

Испанский1%

Немецкий1%

Английский79% Китайский

1%

Spam Language

В больших объемах спам будет, скорее всего, замечен провайдерами, предоставляющим почтовый сервис, и перекрыт до того, как его цель будет достигнута.


В 2011 году общий объем спама снизился на 18 процентов. Это меньше радикального снижения объема, который мы наблюдали в 2010 году вслед за ликвидацией ботнет-сетей, хотя продолжающаяся тенденция снижения — это, безусловно, положительный признак.

Спамеры по-прежнему стремятся минимизировать усилия, стараясь одновременно добиться максимального эффекта. В соответствии с исследованием Cisco, объемы спама снижаются на 25 процентов в выходные дни, когда многие пользователи не заглядывают в почту. Эти объемы возрастают до наивысшего уровня во вторник и среду — в среднем на 10 процентов выше по сравнению с остальными будними днями. Такая повышенная активность в середине недели и снижение объемов по выходным дает возможность спамерам вести «нормальный образ жизни».

Это также позволяет им проводить тщательно спланированные кампании, базирующиеся на событиях, которые произошли в мире в начале недели, из-за чего они могут рассчитывать на большее число откликов.

В 2012 году было зарегистрировано несколько примеров, когда спамеры использовали новости о событиях в мире, в т. ч. трагических, чтобы воспользоваться слабостями пользователей. Во время урагана «Сэнди», например, исследователи Cisco зарегистрировали махинации на биржевом рынке, связанные с интенсивной покупкой и сбросом акций, которые были построены на кампании по рассылке спама. Используя уже имеющееся электронное сообщение, в котором предлагалось покупать дешевые акции компаний, занимающихся разработкой природных ресурсов, спамеры добавляли сенсационные заголовки, посвященные урагану «Сэнди». Необычной чертой этой кампании стало то, что спамеры воспользовались для отправки серии спама уникальными IP-адресами, которые с тех пор ни разу не использовались.

Происхождение спамаВ мире спамеров некоторые страны остаются на прежних позициях, тогда как рейтинг других радикально изменился. В 2012 году Индия удерживала первое место как источник спама в международном масштабе, а США переместились с шестой строчки в 2011 г. на вторую позицию в 2012 году. Другие места в пятерке крупнейших источников спама заняли Корея (третье), Китай (четвертое) и Вьетнам (пятое).

В целом, большинство спамеров сосредоточивают свои усилия на создании спам-сообщений на том языке, на котором говорят крупнейшие аудитории, регулярно пользующиеся

В 2012 году было зарегистрировано несколько примеров, когда спамеры использовали новости о событиях в мире, в т. ч. трагических, чтобы воспользоваться слабостями пользователей.

Рисунок 13. Происхождение спамаПервенство в распространении спама принадлежит Индии, а США резко усилили свои позиции, заняв второе место.

-25 %

+10 %ПОНЕДЕЛЬНИК

ВТОРНИК

СРЕДА

ЧЕТВЕРГ

ПЯТНИЦА

СУББОТА

ВОСКРЕСЕНЬЕ

ПРИРОСТ НА СЕРЕДИНУ НЕДЕЛИ

СПАД НА ВЫХОДНЫЕ ДНИ

-18 %ПАДЕНИЕ С 2011 ПО 2012 ГГ.

ОБЪЕМЫ СПАМА

SPAM VOLUMESCISCO ASR / JAN 28, 2013 200 pm

электронной почтой. Согласно исследованию Cisco, основным языком спамерских сообщений в 2012 году был английский, за ним следовали русский, каталанский, японский и датский. Примечательно, что существуют разрывы между тем, откуда отправлялся спам, и языками, которые

использовались в сообщениях спамеров; например, хотя Индия занимала первое место как источник спама в 2012 году, местные наречия не попали в верхнюю десятку по языку сообщений, отправленных из этой страны. Это оказалось справедливо также для Кореи, Вьетнама и Китая.


Почтовые вложенияДолгое время спам считался механизмом доставки вредоносного программного обеспечения, особенно там, где это касалось почтовых вложений. Однако недавнее исследование Cisco, предметом которого стало использование почтовых вложений в спамерских рассылках, показывает, что такой взгляд, возможно, не более чем миф.

Только 3 процента от общего количества спама содержало вложения, против 25 процентов в нормальной почте. А в тех редких случаях, когда сообщение со спамом все же содержало вложение, оно было в среднем на 18 процентов больше, чем обычно вкладывают в нормальных случаях. Как результат, такие вложения имеют тенденцию выделяться среди прочих.

В сегодняшней почте главенствуют гиперссылки. Спамеры планируют свои кампании с целью убедить пользователей посетить сайты, где они смогут приобрести товары или услуги (часто сомнительного качества). После того как это произошло, осуществляется сбор личной информации о пользователе, часто даже без его ведома, или его компрометация иным образом.

Как видно из анализа «поддельных торговых марок» далее в этом разделе, большая часть спама приходит от группировок, старающихся продавать очень узкую группу товаров хорошо известных фирм — от дорогих часов до фармацевтической продукции, которые в большинстве случаев являются фальшивками.

Спам через IPv6Хотя пока электронная почта с использованием протокола IPv6 составляет лишь небольшой процент общего трафика, ее объем растет по мере того, как все больше пользователей переходит на инфраструктуру с IPv6.

Несмотря на то что объемы почты быстро увеличиваются, со спамом через IPv6 этого не происходит. Это позволяет предположить, что спамеры таким образом страхуются на будущее, чтобы не тратить потом время и деньги при переходе на новый интернет-стандарт. Для спамеров нет мотивации — и практически отсутствует материальная заинтересованность — в таком переходе на настоящий момент. Поскольку исчерпание возможностей IPv4-адресов и рост числа мобильных устройств и коммуникаций между ними ведет к резкому увеличению использования IPv6, можно ожидать, что спамеры обновят свою инфраструктуру и удвоят усилия.

Рисунок 15. Спам через протокол IPv6Хотя пока электронная почта с использованием протокола IPv6 составляет лишь небольшой процент общего трафика, ее объем растет по мере того, как все больше пользователей переходит на инфраструктуру с IPv6.

Рисунок 14. Вложения в электронной почтеТолько 3 процента спама содержали вложения против 25 процентов в нормальной почте, однако вложения в спаме на 18 процентов больше по размеру.

В сегодняшней почте главенствуют гиперссылки. Спамеры планируют свои кампании с целью убедить пользователей посетить сайты, где они смогут приобрести товары или услуги. После того как это произошло, осуществляется сбор личной информации о пользователе, часто даже без его ведома, или его компрометация иным образом.

Only 3% of Spam has an Attachment, versus 25% of Valid Email

3 % 25 %

18 %

Нормальная почтаПочта со спамом

Вложения со спамом на 18 % больше по размеру

Email Attachments

ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК

Рост числа электронных сообщений через IPv6: 862 %

Рост количества спама через IPv6: 171 %

IPv6 Spam


Поддельные торговые маркиВ спаме, предлагающем поддельные товары известных фирм, спамеры используют для рассылки организации и продукцию в расчете на то, что интернет-пользователи нажмут на ссылку или совершат покупку. Большинство поддельных товаров — это продаваемые по рецепту лекарства, например успокаивающие или болеутоляющие средства. Кроме того, марки дорогих часов образуют сплошной «шумовой» слой, который сохраняет равномерность на протяжении всего года.

Анализ Cisco показывает, что спамеры также умело привязывают свои акции к новостным событиям. В период с января по март 2012 года данные Cisco демонстрируют всплеск спама, относящегося к ПО для Windows, что совпало с выпуском операционной системы Windows 8. С февраля по апрель 2012 года, в период подачи налоговых деклараций в США, анализ отмечает заметный рост в рассылках спама о программах для налоговой отчетности.

С января по март 2012 года и затем еще раз с сентября по декабрь 2012 г. — в начале и в конце года — регистрировалось огромное количества спама, относящегося к профессиональным сообществам, возможно потому, что спамерам известно, что люди начинают поиск новой работы именно в это время.

С сентября по ноябрь 2012 года спамеры провели серию акций, выдавая себя за сотовых операторов, что совпало с появлением iPhone 5.

Подведем итог. Спамеры занимаются этим из-за денег. За столько лет они усвоили, что самый быстрый способ увеличить число нажатий на ссылки и сделанных покупок — предложить фармацевтические препараты и предметы роскоши, а также планировать свои атаки ближе к событиям, на которые обращают внимание в большинстве стран.

Рисунок 16. Поддельные торговые маркиВ целевую группу спамеров входят фармацевтическая продукция, дорогие часы и период сдачи налоговых деклараций.

Лекарства по рецепту

Дорогие часы

Кредитная карта

Бизнес-обзоры

Профессиональное сообщество

Электронный перевод денег

Бухгалтерское ПО

Социальная сеть

Профессиональные ассоциации

Авиа

Почта

Средства для похудения

Государственное учреждение

ПО Windows

Сотовый оператор

Налогообложение

Частные объявления в Интернете

Человеческий гормон роста

Новости

Услуги электронных платежей

Открытки

Автомобили класса люкс

Зарплатные услуги

ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК

5 % 50 % 100 %

Релиз демонстрационной версии Windows 8 для пользователей

Рассылка спама, связанного с сотовой связью, совпала с началом продаж iPhone 5

Спам, относящийся к профессиональным социальным сетям

Бухгалтерское ПО в период подачи налоговых деклараций в США

Spoofed Brands for Spam

Подведем итог. Спамеры занимаются этим из-за денег. За столько лет они усвоили, что самый быстрый способ увеличить число нажатий на ссылки и сделанных покупок — предложить фармацевтические препараты и предметы роскоши, а также планировать свои атаки ближе к событиям, на которые обращают внимание в большинстве стран.


Совершенствование методов обнаружения проблем безопасности будет также продолжаться на постоянной основе. В начале 2013 года Cisco начинает использовать новый тип документации — Cisco Security Notice — для информирования о проблемах безопасности продуктов низкой и средней степени серьезности. Cisco Security Notice позволит улучшить действенность коммуникации по проблемам информационной защиты, которые не рассматриваются как достаточно серьезные для выпуска отдельного информационного бюллетеня Cisco по безопасности. Эти документы будут находиться в публичном доступе и будут проиндексированы в классификаторе Common Vulnerability and Exposure (CVE) для удобства поиска.

С целью еще более сжатого и систематизированного изложения получаемых отчетов по вопросам безопасности разработчики (в т. ч. Cisco) стали включать в свои публикации форматы Common Vulnerability Reporting Framework (CVRF)39 и Open Vulnerability Assessment Language (OVAL)40. Эти развивающиеся стандарты позволяют конечным пользователям с уверенностью оценивать уязвимости по разным платформам и технологиям, а сами стандарты предоставляют возможность масштабирования за счет преимуществ формата, доступного для машинного чтения. Смоук добавляет: «Если предоставить заказчикам нужные инструменты для оценки угроз в их сетях, это позволит им значительно снизить риски и определить приоритеты задач по защите своей инфраструктуры».

Контроль уязвимостей. Разработчик должен предлагать больше, чем просто амбивалентное перечисление35 То, как разработчик находит проблемы в защите своего продукта, — это наиболее зримый аспект его практики, направленной на контроль уязвимостей. В Cisco публикуются информационные бюллетени по безопасности,36 которые готовит Группа реагирования на уязвимости технических решений (PSIRT), коллектив ведущих специалистов по безопасности, которые понимают, что защита покупателей Cisco и самой корпорации должны идти рука об руку.

«Информационные бюллетени по безопасности сообщают о наиболее серьезных проблемах защиты наших продуктов и, как правило, это первое публичное свидетельство об уязвимости продукции Cisco, — говорит Рассел Смоук (Russell Smoak), руководитель Cisco Security Research and Operations. — В таком виде важно сделать их эффективным средством коммуникации, которое поможет покупателям принимать взвешенные решения и управлять своими рисками. Вместе с усовершенствованными методиками минимизации ущерба,37 которые мы предоставляем своим заказчикам для усиления возможностей имеющегося оборудования Cisco, мы можем дополнительно предложить максимальную детализацию, позволяющую быстро и уверенно реагировать на появляющиеся проблемы».

Контроль уязвимостей, однако, начинается гораздо раньше в течение жизненного цикла проблемы и может переходить далеко за пределы первоначального обнаружения. «Постоянное практическое совершенствование контроля уязвимых мест является настоятельной необходимостью, чтобы не отставать от изменений в сфере информационной безопасности в результате эволюции угроз и появления новых продуктов и технологий», — замечает Смоук.

Иными словами, разработчик, который не успевает за развитием опасных технологий — и который не обнаруживает угрозы, — рискует остаться позади. К примеру, при использовании стандартного ПО сторонних разработчиков в Cisco теперь применяются средства внутреннего контроля уязвимостей. Программное обеспечение сторонних разработчиков — это любой программный код, включенный в продукт, написанием которого сам создатель продукта не занимался; сюда обычно входит стороннее коммерческое ПО или ПО с открытым исходным кодом.

Cisco охотно использует встраиваемые заказчиком инструментальные средства, в которых задействуются сведения об уязвимостях, полученные от Cisco IntelliShield,38 для уведомления групп разработчиков об обнаружении проблем с безопасностью в стороннем ПО, которые могут повлиять на работу продукта Cisco. Этот инструмент, названный Cisco Internal Alert Manager, позволил значительно повысить возможности контроля уязвимостей, которые возникают в не принадлежащем Cisco программном коде.

Разработчик, который не успевает за развитием опасных технологий — и который не обнаруживает угрозы, — рискует остаться позади.

В предстоящем году для того чтобы ознакомиться с дополнительными обновлениями и подробным анализом трендов, связанных с информационной безопасностью, и получить информацию о последних публикациях Cisco в области компьютерной безопасности предприятий, посетите сайт Cisco с отчетами по безопасности. http://www.cisco.com/go/securityreport

Чтобы узнать выводы специалистов Cisco по широкому кругу вопросов информационной безопасности, посетите блог по проблемам безопасности Cisco. blogs.cisco.com/security


Прогноз по проблемам безопасности на 2013 год

Сегодняшняя картина угроз — не проблема, созданная необразованными пользователями, которые посещают вредоносные сайты. Возможно ли ее решение блокированием «плохих» ресурсов в Интернете?Этот отчет показал, как росла изобретательность хакеров, направляющих свои действия против сайтов, программных средств и приложений, которые в наименьшей степени попадают под подозрение и которые посещаются пользователями чаще всего. Современные угрозы способны приводить к заражению массовых аудиторий бесшумно и эффективно, не делая различий по отраслям, компаниям, размерам или по странам. Киберпреступники пользуются преимуществами быстрого расширения сферы их атак в сегодняшнем мире, когда поддерживаются все типы устройств и когда отдельные лица используют любые устройства для доступа к своей рабочей сети.

Поскольку критически важная национальная инфраструктура, деловые круги и глобальные финансовые рынки продолжают переходить на сервисы в облачных средах и мобильную связь, требуется интегрированный, многоуровневый

подход к информационной безопасности для защиты активно развивающегося «Всеобъемлющего Интернета». «Хакеры и киберпреступники пользуются тем, что у каждого предприятия в частном и государственном секторе есть собственная программа по информационной безопасности, — говорит Джон Стюарт (John Stewart). — Да, мы ездим на конференции, сохраняем связь друг с другом, но нам действительно нужно переходить от индивидуальной информационной безопасности к той, которая базируется на общем использовании данных, полученных в режиме реального времени, и на коллективных ответных действиях».

Современные угрозы способны приводить к заражению массовых аудиторий бесшумно и эффективно, не делая различий по отраслям, размерам компаний или по странам.


Построение лучшей инфраструктуры безопасности не означает создание более сложной архитектуры — на самом деле, все совсем наоборот. Речь идет о том, чтобы созданная инфраструктура и ее элементы работали вместе, позволяя получить больше данных для обнаружения угроз и уменьшения ущерба. С быстрым внедрением BYOD, появлением реальности, где на каждого пользователя приходится несколько разных устройств, и растущим использованием облачных сервисов эпоха, когда безопасность регулировалась для каждого терминального устройства, закончилась. «Нам следует придерживаться целостного подхода к вопросам безопасности, который обеспечил бы контроль угроз на всех направлениях, от электронной почты и Интернета до самих пользователей, — говорит Майкл Ковингтон (Michael Covington), менеджер по разработке продуктов отдела информационной безопасности компании Cisco (Cisco Security Intelligence Operations (SIO)). — Анализ данных по угрозам должен быть поднят на уровень выше индивидуальных платформ, чтобы видеть сетевую перспективу».

Теперь, когда угрозы все чаще нацелены против пользователей и организаций с разных направлений, компаниям следует вести сбор, хранение и обработку данных о всей деятельности в сети, которая имеет отношение к безопасности, чтобы лучше понимать масштаб и длительность атак. Такой уровень анализа может быть усилен контекстом действий в сети для принятия точных и своевременных решений. С ростом изощренности атак предприятия должны предусматривать защитные функции в проекте сети с самого начала, обеспечивая решения, в которых будут объединены данные об угрозах, правила информационной безопасности и средства принудительного регулирования во всех контактных точках сети.

С ростом изощренности атак такими же должны становиться и средства, предназначенные для того, чтобы свести на нет их усилия. В сети, где единая структура коммутации обеспечивает связь среди нескольких платформ, она же будет служить средством защиты устройств, сервисов и пользователей, которые регулярно обмениваются важной информацией. Сеть завтрашнего дня должна обладать интеллектуальными функциями, обеспечивая лучшую защиту посредством архитектуры для совместной работы, чем это было возможно прежде, когда это было представлено суммой отдельных компонентов.

Сеть завтрашнего дня должна обладать интеллектуальными функциями, обеспечивая лучшую защиту посредством архитектуры для совместной работы, чем это было возможно прежде, когда это было представлено суммой отдельных компонентов.


Об отделе информац-ионной безопасности компании Cisco (Cisco Security Intelligence Operations (SIO))

Сложность задач по управлению и защите сегодняшних распределенных и быстродействующих сетей непрерывно возрастает.

Сетевые преступники продолжают эксплуатировать то доверие, которое пользователи оказывают потребительским приложениям и устройствам, что увеличивает риск для организаций и сотрудников. Традиционной защиты, которая опирается на многоуровневую организацию продуктов и использование многочисленных фильтров, недостаточно для того, чтобы защититься от вредоносных программ последних поколений, которые распространяются быстро, с глобальными целями и с разных направлений.

Cisco опережает самые последние угрозы, используя данные в режиме реального времени от отдела информационной безопасности компании Cisco (Cisco Security Intelligence Operations (SIO)). Отдел Cisco SIO — крупнейшая в мире облачная экосистема безопасности, в которой ежедневно анализируется более 75 терабайтов данных от развернутых решений Cisco для электронной почты, веб-сервисов, межсетевых экранов и систем предотвращения вторжений.

Этот отдел Cisco обобщает данные по всем направлениям угроз и анализирует автоматизированные алгоритмы и процессы в ручном режиме, стараясь понять, как распространяется та или иная опасность. Затем угрозы классифицируются, и вырабатываются правила с использованием более 200 параметров. Исследователи проблем безопасности также анализируют информацию о событиях, которые потенциально способны масштабно влиять на работу сетей, приложений и устройств. Правила в динамичном режиме передаются на устройства безопасности Cisco с интервалом от трех до пяти минут.

Отдел Cisco SIO — крупнейшая в мире облачная экосистема безопасности, в которой ежедневно анализируется более 75 терабайтов данных от развернутых решений Cisco для электронной почты, веб-сервисов, межсетевых экранов и систем предотвращения вторжений.


Услуга Cisco Security IntelliShield Alert ManagerУслуга Cisco Security IntelliShield Alert Manager является комплексным экономичным решением по предоставлению непредвзятых аналитических данных, требуемых организациям для выявления, предотвращения и смягчения последствий ИТ-атак. Такой сервис предупреждений об угрозах с индивидуальными настройками и веб-интерфейсом позволяет специалистам по информационной безопасности получать своевременную, точную и достоверную информацию о существующих опасностях и уязвимостях, которые могут повлиять на работу существующей инфраструктуры. IntelliShield Alert Manager позволяет организациям затрачивать меньше усилий на поиск угроз и уязвимостей и сосредоточиться на активных действиях по обеспечению безопасности.

Cisco предлагает бесплатное использование услуги Cisco Security IntelliShield Alert Manager в течение 90-дневного пробного периода. Зарегистрировавшись с целью такого пробного использования, вы получите полный доступ к функциям этого сервиса, в т. ч. к инструментам и средствам оповещения об угрозах и уязвимостях.

Чтобы больше узнать об услуге Cisco Security IntelliShield Alert Manager, посетите https://intellishield.cisco.com/security/alertmanager/trialdo?dispatch=4.

Отдел Cisco SIO также публикует практические рекомендации и оперативные инструкции для борьбы с угрозами. Cisco стремится предоставлять завершенные решения безопасности, которые целостны, своевременны, универсальны и эффективны, с целью создания единой структуры компьютерной безопасности для организаций во всех странах. Благодаря Cisco компании могут сократить время исследования угроз и уязвимостей, чтобы сосредоточиться на упреждающих действиях по обеспечению безопасности.

Для получения данных раннего предупреждения, анализа угроз и уязвимостей и ознакомления с проверенными решениями для смягчения последствий от компании Cisco, посетите http://www.cisco.com/security.

МетодологияАнализ, представленный в этом отчете, базируется на данных, которые были собраны из ряда анонимных источников в разных странах, включая

принадлежащие Cisco решения безопасности для электронной почты, веб-сервисов, межсетевых экранов и системы предотвращения вторжений IPS. Эти платформы находятся на переднем крае защиты сетей заказчиков от вредоносной информации и взломщиков. В дополнение к этим механизмам защиты заказчиков на их территории Cisco осуществляет сбор данных от размещенных по всему миру датчиков, которые выполняют разные функции: от перехвата спама до активного анализа сети в поиске новых экземпляров вредоносных программ.

Масштабный сетевой охват Cisco с использованием этих инструментов и собранных данных позволяет системам и специалистам отдела SIO получить широкую выборку как по законной активности в Интернете, так и по действиям злоумышленников. Ни один разработчик систем безопасности не располагает полной картиной всех обнаружений вредоносного ПО. Представленные в этом отчете данные отражают взгляд Cisco на современное состояние в области компьютерных угроз, и мы постарались упорядочить эти данные и отобразить глобальные тренды и модели, основываясь на информации, которая была доступна на тот момент времени.Cisco осуществляет сбор данных

от размещенных по всему миру датчиков, которые выполняют разные функции: от перехвата спама до активного анализа сети в поиске новых экземпляров вредоносных программ.

Дополнительная информацияОтдел информационной безопасности компании Cisco (Cisco Security Intelligence Operations (SIO)) www.cisco.com/security

Блог по проблемам безопасности Cisco blogs.cisco.com/security

Услуги удаленного управления Cisco www.cisco.com/en/US/products/ps6192/serv_category_home

Продукты безопасности Cisco www.cisco.com/go/security

Корпоративная безопасность Cisco Организация программ www.cisco.com/go/cspo


1 «Интернет вещей», Michael Chui, Markus Löffler и Roger Roberts, McKinsey Quarterly, март 2010 г.: http://www.mckinseyquarterly.com/The_Internet_of_Things_2538.

2 «Cisco отражает угрозу: DDoS-атаки на финансовые учреждения», 1 октября 2012 г.: http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html.

3 Консалтинговое подразделение Cisco Internet Business Solutions Group (IBSG).

4 «Мировой рынок устройств, подключаемых к Интернету, 2012 г.», пресс-релиз, IMS Research, 4 октября 2012 г.: http://imsresearch.com/press-release/Internet_Connected_Devices_Approaching_10_Billion_to_exceed_28_Billion_by_2020&cat_id=210&type=LatestResearch.


6 «Всеобъемлющий Интернет: значение подключений», Dave Evans, блог Cisco, 29 ноября 2012 г.: http://blogs.cisco.com/news/internet-of-everything-its-the-connections-that-matter/.


8 Годовой отчет Cisco по безопасности за 2011 г., декабрь 2011 г.: http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2011.pdf.

9 «Удаленный доступ и BYOD: компании ищут взаимопонимание с сотрудниками», Годовой отчет Cisco по безопасности за 2011 г., декабрь 2011 г., стр. 10: http://www.cisco.com/en/US/prod/collateral/vpndevc/security_annual_report_2011.pdf.

10 «Индекс развития облачных технологий Cisco: прогноз и методология, 2011–2016»: http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns1175/Cloud_Index_White_Paper.html.

11 Ibid

12 «Исследование атак на гипервизоры», Dimitri McKay, SecurityWeek, 3 февраля 2011 г.: http://www.securityweek.com/deep-dive-hyperjacking.

13 «Индия просит Пакистан расследовать причины паники», Jim Yardley, The New York Times, 19 августа 2012 г.: http://www.nytimes.com/2012/08/20/world/asia/india-asks-pakistan-to-help-investigate-root-of-panic.html?_r=1&.

14 «Слухи в Twitter как причина скачка цен на нефть», Nicole Friedman, WSJ.com, 6 августа 2012 г.: http://online.wsj.com/article/SB10000872396390444246904577573661207457898.html.

15 Впервые было опубликовано в блоге Cisco по проблемам безопасности: http://blogs.cisco.com/security/sniffing-out-social-media-disinformation/

16 Java.com: http://www.java.com/en/about/.

17 Vishwath Mohan и Kevin W. Hamlen. Франкенштейн: вредоносное ПО на основе полезного кода. Записи семинара USENIX по вредоносным технологиям (WOOT), стр. 77-84, август 2012 г.

18 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han и Bhavani Thuraisingham. Обнаружение вредоносного ПО на основе облака. Транзакции ACM в информационных системах управления (TMIS), 2(3), октябрь 2011 г.

19 «Атаки DDoS: прогноз на 2013 г.; недавние атаки — это только начало», Tracy Kitten, BankInfoSecurity.com, 30 декабря 2012 г.: http://ffiec.bankinfosecurity.com/ddos-attacks-2013-forecast-a-5396.

20 «Эксплуатация уязвимостей DNS», DNS Best Practices, Network Protections, and Attack Identification, Cisco.com: http://www.cisco.com/web/about/security/intelligence/dns-bcp.html#3.

21 «Подмена IP-адреса отправителя», Farha Ali, Lander University, доступно на Cisco.com: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_10-4/104_ip-spoofing.html.

22 «DDoS-атаки», Charalampos Patrikakis, Michalis Masikos и Olga Zouraraki, National Technical University of Athens, The Internet Protocol Journal - Volume 7, Number 4. Доступно на: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html.

23 «Инструменты DNS», The Measurement Factory: http://dns.measurement-factory.com/tools.

24 Подробнее об инструментах DNS см. на сайте DNS-OARC (https://www.dns-oarc.net/oarc/tools) и The Measurement Factory (http://dns.measurement-factory.com/tools/index.html).

25 «Защищенный шаблон BIND, версия 7.3, 7 августа 2012 г.», TEAM CYMRU, cymru.com: http://www.cymru.com/Documents/secure-bind-template.html.

26 «Ограничение скорости ответа в системе DNS (DNS RRL)», RedBarn.org: http://www.redbarn.org/dns/ratelimits.

27 Данные Arbor Networks в ATLAS получены от ловушек honey pot, которые размещены в сетях провайдера по всему миру, исследований ASERT вредоносных программ и почасовых порций анонимных данных на основе сопоставления NetFlow, BGP и SNMP. По анонимным данным от заказчиков Arbor Peakflow в ATLAS проводится сопоставление и представление в виде трендов, для детального просмотра угроз и моделей трафика в Интернете.

28 «Проверка IPS», Cisco.com: http://www.cisco.com/web/about/security/intelligence/cwilliams-ips.html.

29 «Bank of America и Фондовая биржа Нью-Йорка под атакой unt [sic]», Pastebin.com, 18 сентября 2012 г.: http://pastebin.com/mCHia4W5.

30 «Операция Ababil, этап 2», Pastebin.com, 18 сентября 2012 г.: http://pastebin.com/E4f7fmB5.

31 «Cisco отражает угрозу: DDoS-атаки на финансовые учреждения»: http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html.

32 Практический бюллетень по устранению угроз «Определение и минимизация последствий DDoS-атак на финансовые учреждения»: http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115.

33 «Тактические ресурсы отдела информационной безопасности компании Cisco (Cisco Security Intelligence Operations (SIO)), Cisco.com: http://tools.cisco.com/security/center/intelliPapers.x?i=55.

34 «Практика обеспечения безопасности поставщиками услуг», Cisco.com: http://tools.cisco.com/security/center/serviceProviders.x?i=76.

35 Анаграмма используется с разрешения anagramgenius.com.

36 Информационные бюллетени Cisco по безопасности: http://cisco.com/go/psirt.

37 Практические бюллетени Cisco по устранению угроз, Cisco.com: http://tools.cisco.com/security/center/searchAIR.x.

38 Услуга Cisco IntelliShield Alert Manager: http://www.cisco.com/web/services/portfolio/product-technical-support/intellishield/index.html.

39 CVRF, ICASI.com: http://www.icasi.org/cvrf.

40 OVAL, Oval International: http://oval.mitre.org/.

Годовой отчет Cisco по безопасности за 2013 год

Travel

Transcript of Годовой отчет Cisco по безопасности за 2013 год