Rambler's Top100
Все новости Новости отрасли

Кибербезопасность требует новых подходов

13 марта 2018

Чтобы сократить время обнаружения злоумышленников, специалисты по кибербезопасности все больше применяют (и закупают) средства, использующие искусственный интеллект и машинное самообучение.

Вредоносное ПО не перестает совершенствоваться: сегодня злоумышленники используют облачные сервисы и избегают обнаружения с помощью шифрования, которое помогает скрыть активность потока команд и управления. С одной стороны, шифрование помогает усилить защиту, с другой — рост объемов как легитимного, так и вредоносного шифрованного трафика (50% по состоянию на октябрь 2017 г.) множит проблемы для защищающихся в процессе выявления потенциальных угроз и мониторинга их активности. За прошедшие 12 месяцев специалисты Cisco по информационной безопасности зафиксировали более чем трехкратный рост шифрованного сетевого трафика от инспектируемых образцов вредоносного ПО, говорится в 11-м отчете Cisco по кибербезопасности (Cisco 2018 Annual Cybersecurity Report, ACR),

Применение машинного самообучения (МС) помогает повысить эффективность защиты сети и с течением времени позволит автоматически выявлять нестандартные паттерны в шифрованном веб-трафике, в облачных и IoT-средах. Некоторые из 3600 директоров по информационной безопасности, опрошенных в ходе подготовки отчета Cisco 2018 Security Capabilities Benchmark Study, заявили, что доверяют таким инструментам, как МС и ИИ, и хотели бы их использовать, но они разочарованы большим количеством ложных срабатываний. Технологии МС и ИИ, которые сейчас находятся в самом начале своего развития, с течением времени усовершенствуются и научатся определять «нормальную» активность сетей, мониторинг которых они осуществляют. Тем не менее 39% организаций делают ставку на автоматизацию, 34% — на машинное самообучение, 32% — на искусственный интеллект.

«Эволюция вредоносного ПО за прошедший год показала, что злоумышленники с большей изобретательностью стали использовать незащищенные бреши в системах безопасности, — отметил Джон Стюарт (John Stewart), старший вице-президент Cisco, директор по информационной безопасности. — Для отражения нападений и уменьшения подверженности нарастающим рискам как никогда ранее важно стратегически совершенствовать защиту, инвестировать в технологии и внедрять передовые методики».

Некоторые результаты отчета Cisco 2018 Annual Cybersecurity Report
  • Финансовый ущерб от атак все более реален
По данным респондентов, более половины всех атак нанесли финансовый ущерб в размере свыше 500 млн долларов, включая в том числе потерю доходов, отток заказчиков, упущенную выгоду и прямые издержки.
  • Атаки на цепочки поставок усложняются и набирают скорость
Такие атаки способны масштабно поражать компьютеры, при этом их действие может продолжаться месяцы и даже годы. Необходимо помнить о потенциальных рисках использования программного и аппаратного обеспечения организаций, которые не воспринимают серьезно вопросы информационной безопасности.

В 2017 г. две подобные атаки заражали пользователей вирусами Nyetya и Ccleaner через доверенное ПО.

Для снижения рисков атаки на цепочку поставок необходимо пересматривать процедуры сторонних организаций для тестирования эффективности технологий информационной безопасности.
  • Защищать становится все сложнее, уязвимости становятся разнообразнее
Для своей защиты организации используют комплексные сочетания продуктов от различных производителей. Такое усложнение при расширяющемся разнообразии уязвимостей отрицательно сказывается на способность организаций к отражению атаки и ведет в том числе к увеличению рисков финансовых потерь.

В 2017 г. 25% специалистов по информационной безопасности сообщили, что используют продукты от 11—20 вендоров, в 2016 г. так ответили 18%.

Специалисты по информационной безопасности сообщили, что 32% уязвимостей затронули более половины систем, в 2016 г. так ответили 15%.

Специалисты по информационной безопасности оценили пользу средств поведенческого анализа для выявления вредоносных объектов

92% специалистов считают, что средства поведенческого анализа хорошо справляются с поставленной задачей.

2/3 представителей сектора здравоохранения и представители индустрии финансовых услуг считают поведенческую аналитику полезной для выявления вредоносных объектов.
  • Растет использование облачных технологий; атакующие пользуются отсутствием продвинутых средств обеспечения безопасности
В этом году 27% специалистов по информационной безопасности сообщили об использовании внешних частных облаков (показатель 2016 г. — 20%).

Из них 57% размещают сеть в облаке ради лучшей защиты данных, 48% — ради масштабируемости, 46% — ради удобства эксплуатации.

Хотя облако и обеспечивает повышенную безопасность данных, атакующие пользуются тем, что организации не очень хорошо справляются с защитой развивающихся и расширяющихся облачных конфигураций. Эффективность защиты таких конфигураций повышается с использованием сочетания передовых методик, таких продвинутых технологий безопасности, как машинное самообучение, и таких средств защиты первой линии, как облачные платформы информационной безопасности.

Тенденции роста объемов вредоносного ПО и время обнаружения

Продемонстрированное Cisco медианное время обнаружения (time to detection, TTD) за период с ноября 2016 по октябрь 2017 г. составило около 4,6 часов. В ноябре 2015 г. этот показатель составил 39 часов, а по данным Отчета Cisco по кибербезопасности за 2017 г., медианное время обнаружения за период с ноября 2015 по октябрь 2016 г. составило 14 часов.

Ключевым фактором для Cisco в процессе сокращения времени обнаружения и поддержания его на низком уровне стали облачные технологии обеспечения информационной безопасности. Чем меньше время обнаружения, тем быстрее отражается атака.

Дополнительные рекомендации для подразделений информационной безопасности:
  • контроль за соблюдением корпоративных политик и практик для обновления приложений, систем и устройств;
  • своевременное получение точных данных по угрозам и наличие процессов, позволяющих использовать эти данные для контроля безопасности;
  • проведение углубленного и продвинутого анализа;
  • регулярное резервное копирование данных и проверка процедур восстановления — критичные действия в условиях быстрой эволюции сетевых программ-вымогателей и разрушительного вредоносного ПО;
  • проведение проверки безопасности микросервисов, облачных сервисов и систем администрирования приложений.

Источник: Пресс-служба Cisco в России/СНГ

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.