• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Противостоять угрозам поможет интеграция

Разработчики технологий и средств обеспечения информационной безопасности все больше отстают от киберпреступников, делается вывод в полугодовом отчете Cisco. 

Полугодовой отчет Cisco по  информационной безопасности, подготовлен силами исследовательской организации Cisco Talos, с прошлого года объединившей специалистов ThreatGRID, а также всех других подразделений вендора, занимавшихся исследованиями в области информационной безопасности (Sourcefire VRT, Cisco SIO, Cognitive Security и т.д.). Что же он показал?

Новые методы

Самый неприятный тренд минувшего полугодия в области информационной безопасности – изменчивость. Она наблюдается в поведении злоумышленников и используемого ими вредоносного кода. По сравнению с прошлыми годами, киберпреступники существенно расширили набор технологий, позволяющих им обойти традиционные механизмы защиты.

К примеру, вредоносный код «Рыболов» (Angler), появившийся в конце 2014 г., использует огромное количество методов для проникновения в компьютерные сети. Первый из них – регулярная смена  IP-адреса тех узлов, с которых ими выдаются управляющие команды, а также тех, на которые направляется украденная информация. Этот метод позволяет Angler уйти от систем защиты, настроенных таким образом, чтобы раз в день обновлять черные списки адресов, обращения с которых надо блокировать, и остаться для них незамеченным.

Второй метод - активное использование сайтов-однодневок. Как показало исследование, таковыми являются 60% всех сайтов, с которых распространяется вредоносный код. Работает он похожим образом: к тому моменту, когда эти средства защиты их выявляют, сайты-однодневки уже перестают использоваться. 

Третий метод, широко применявшаяся  Angler – шифрование тела вредоносного кода для затруднения его анализа и поиска противоядия: к примеру. включение в код зараженного сайта отрывков из романа Джейн Остин для англоязычного ресурса или Льва Толстого для русскоязычного. Для пользователей такие вставки невидимы, зато вводят в заблуждение средства защиты.

Одновременно злоумышленники с успехом продолжают использовать такие проверенные методы, как социальная инженерия и уязвимости программного обеспечения. И это, в очередной раз, подтверждает, что без участия пользователя защитить компьютер невозможно. Пользователи же по-прежнему не понимают важности такой меры, как своевременная  установка обновлений. А между тем, именно временной зазор между выходом патча и установкой его пользователем использовал Angler для проникновения на компьютеры. Самыми  удобными для злоумышленников и потому наиболее часто ими использующимися оказались уязвимости в Adobe Flash. «На сегодняшний день Flash-технологии  - это одна из проблем современного интернета с точки зрения информационной безопасности, - констатирует Алексей Лукацкий, бизнес-консультант по ИБ компании Cisco.

Изменчивое поведение приводят к тому, что эффективность Angler в два раза выше, по сравнению с вредоносными программами, которые распространялись годом ранее. Им заражаются  40% из 100 компьютеров вместо 20%: -- такого результата злоумышленникам удалось достичь именно за счет увеличения скорости и за счет того, что средства защиты, работающие по старинке, не успевают за ними.

Еще одно свойство проявивших себя на рубеже 2014-2015 г.г. вредоносных программ – активное сопротивление обнаружения. Им отличался еще один образец вредоносного кода – Rombertik. Будучи запущенным «в песочнице» (на специально созданной для анализа кода виртуальной машине), он создавал около 1 млрд инструкций работы с памятью для того, чтобы песочница не смогла справиться с анализом такого объема данных. Что самое неприятное, обнаружив, что его хотят устранить из памяти компьютера, этот вредонос уничтожал его путем перезаписи кода и данных, необходимых для последующей загрузки системы  – master boot record, после чего она уже не могла загрузиться. Этот метод активно использовался вирусописателями в 90-х гг., однако впоследствии был «забыт» ими, что привело к утрате бдительности разработчиков средств защиты. 

Возвращение к старым проверенным технологиям – тренд, который тоже отчетливо проявился в первом полугодии 2015 г. Проследить его удалось на примере вредоносного кода Dridex, использующего макровирусы, распространяющиеся в файлах Microsoft Office. Злоумышленники заранее создавали код таким образом, чтобы все новые и новые атаки спамеров и хакеров, в процессе которых часто менялись отправители, адресаты, вложения, почтовые агенты, содержимое электронных писем, продолжались по нескольку часов. Так что традиционные антивирусные системы заново проводили обнаружение каждого нового варианта. 

Для постоянного обновления своего вредоносного кода злоумышленникам нужна целая индустрия теневого ПО, и она действительно создается. По оценкам Cisco, оборот ее уже приближается к $1 трлн. Доходит до того, что игроками этого рынка проводятся специальные маркетинговые исследования, например, для выявления максимальной суммы, которую готовы пользователи заплатить авторам программ-вымогателей за расшифровку данных своих компьютеров. За пределами России она оказалась $300-500. Неизбежное следствие активизации киберпреступности  - увеличение времени обнаружения вредоносного кода. Как показало исследование, теперь для этого требуется, в среднем, 200 дней.

Можно ли с ними бороться?

Ситуацию усугубляют сразу несколько факторов. Во-первых, невозможность эффективно бороться с киберпреступниками на глобальном уровне. Государствам на уровне ООН пока не удается выработать определение таких явлений, как «киберпреступность» или «кибервойна», которые стали бы общепризнанными. Вторым фактором является недопонимание важности стандартизации и обмена информацией, существующие у ведущих игроков рынка ИБ. В-третьих, компании используют до 50 средств защиты от разных поставщиков, которые слабо интегрируются между собой.

Понятно, что и  компаниям-заказчикам в одиночку бороться в одиночку с целой индустрией становится все трудней, тем более, что даже лучшие на рынке средства защиты решают свои, достаточно узкие задачи. На первый план выходят задачи интеграции программных продуктов разных производителей между собой. Так, к примеру, компанией Cisco разработаны специальные API для обмена информацией между разными средствами защиты.

В условиях нарастающих угроз в области ИБ технологии, услуги, люди должны быть готовы к действию до, во время и после компрометации своих корпоративных систем и сетей. 

Оставить свой комментарий:

Комментарии по материалу