В 2015 году информационная безопасность стала особенно актуальной темой. Было обнаружено множество критических уязвимостей в давно используемых компонентах. Появились новые типы сетевых атак и изменился их вектор. Если раньше они часто не имели явной направленности и затрагивали в основном рядовых пользователей,
то сейчас наиболее масштабные осуществляются прицельно –
на серверы крупных компаний и платёжных систем.

Топ-10 событий по версии Computerra.ru

Новые
типы атак

1

Даже простые по своей сути DDoS-атаки вышли на новый уровень. Одни из них увеличили мощность за счёт вовлечения в ботнеты производительных Linux-серверов. Другие стали более изощрёнными: действуя на уровне приложений, они не блокируются обычными фаерволами. В некоторых сценариях DDoS-атак теперь используется протокол HTTPS и SSL-шифрование, которое создаёт дополнительную нагрузку. Шифрование паразитного трафика препятствует его блокировке внешними фильтрами, в том числе и у специализированных фирм, предлагающих защиту от DDoS-атак. Наиболее массированные атаки этого года использовали высокопроизводительный сервис анонимизации SoftEther VPN. Они начинались в двух китайских подсетях и вовлекали десятки тысяч заражённых машин.

2

Биометрика «на лету»

Прошло время, когда компьютеры с трудом узнавали людей, подолгу сканируя их сетчатку, радужку и папиллярные узоры. Современная биометрическая идентификация стала выполняться дистанционно и даже скрытно. Новые методы анализируют термограмму и капиллярный рисунок лица, бесконтактно сканируют отпечатки, анализируют походку и могут определить человека даже не видя его. Как результат, появились профессиональные системы для распознавания людей «на лету». Они работают в аэропортах, на стадионах и массовых мероприятиях в крупных городах. Используя технологии обработки «больших данных», современные системы наблюдения и контроля доступа всё точнее идентифицируют людей в потоке. На уровне массовых продуктов биометрика тоже широко проникла в наш быт. Технология Intel RealSense и сканеры отпечатков в смартфонах позволяют сократить число запоминаемых паролей и сделать авторизацию более удобным процессом.

3

Открытый шпионаж как
новая парадигма

В эпоху Big Data данные стали новой валютой, наряду с биткоином. Отличие этого года состоит в том, что большая часть сведений теперь собирается явно. В заявлении о конфиденциальности Microsoft прямым текстом указано, что Windows 10 загружает на серверы корпорации все сведения, до которых может дотянуться. В другие версии Windows шпионский функционал добавляется с обновлениями. Многие антивирусные компании тоже переписали тексты соглашений и собирают о своих клиентах сведения о привычках и предпочтениях пользователя. Раньше это был бич бесплатных программ, а теперь становится общей практикой. Гигабайты личных данных утекают в сеть, а в облаках крупных компаний создаётся подробный профиль каждого пользователя. По официальной версии его используют для персонализации сервисов. Однако накопленной информации хватает не только для прогнозирования наших действий, но и для создания иллюзии добровольного желания их совершить.

4

Безопасность
транспорта

Уходящий год запомнился показательными взломами электронных систем личного и общественного транспорта. Сначала специалисты IOActive выполнили дистанционный перехват управления джипом через уязвимость в системе UConnect. Они пояснили, что подобным образом можно контролировать примерно полмиллиона машин, выпущенных за последние два года. Меньше чем через месяц после этого эксперт по безопасности Сэми Камкар продемонстрировал еще один способ перехвата управления автомобилями. Вдобавок, он сделал универсальную электронную отмычку. Его устройство Rolljam взламывает сигнализации практически всех производителей, используя одну и ту же ошибку в протоколе обмена ключами. Современный автомобиль – компьютер на колёсах, а самолёт – компьютер с крыльями. Основатель One World Lab наглядно продемонстрировал это, подключившись с пассажирского сидения к бортовой электронике авиалайнера через блок мультимедийной системы.

5

Уязвимости мобильных ОС

Расплатой за популярность мобильных ОС стал возрастающий интерес к ошибкам в их коде. Об этом свидетельствует рост числа атак через найденные уязвимости. Если раньше для заражения смартфонов использовались методы социального инжиниринга, то теперь оно может происходить без участия его владельца. По числу обнаруженных за год «дыр» с большим отрывом лидирует Apple iOS – 356 новых записей в базе MITRE. На втором месте оказался Android – ему посвящено 177 бюллетеней по безопасности. Корреляция с рыночной долей здесь обратная: в зависимости от региона iOS установлена примерно на 1/4 – 1/3 всех смартфонов, а Android ≈ на 2/3. На другие мобильные ОС приходятся считанные проценты. Целенаправленные атаки на iOS и Android связаны с тем, что заражённый смартфон становится универсальным ключом ко всем конфиденциальным данным.

6

Электронные грабители

Платежные системы стали основной целью хакерских атак в этом году. «Защищённые от мошенников» мобильные кошельки по факту были главным источником мошеннических транзакций. Терминалы крупнейших ритейлеров оказались протроянены буткитом ModPOS, который долгое время не могли обнаружить традиционные антивирусные средства. Сочетание технологий загрузочного вируса, руткита, клавиатурного шпиона и бэкдора породило целый класс троянских платформ. Они содержат набор вредоносных компонентов разного уровня, который позволяет им избегать обнаружения обычными методами, восстанавливаться после удаления и похищать деньги даже с чипованных банковских карт. Помимо ModPOS к ним относится Nemesis, также ориентированная на кражу и подмену финансовых данных.

7

Деанонимизация TOR

Гибридная сеть TOR стала одним из самых популярных средств поддержания анонимности в сети. Её используют для обхода цензуры, доступа к региональным сервисам из разных стран и множества других целей – как легальных, так и преступных. В этом году стало известно, что правительственные агентства принимают активные попытки вскрыть луковичную маршрутизацию. Для этого они пытаются наводнить TOR модифицированными серверами и платят за разработку методов перехвата/дешифрования трафика. Руководство университета Карнеги–Меллон отрицает свою причастность к выполнению миллионного гранта на вскрытие TOR, хотя именно исследователи из CMU анонсировали доклады по этой теме на конференции Black Hat. Подтверждает разработку методик деанонимизации в TOR и арест Брайана Фаррелла, известного в даркнете как DoctorClu из Silk Road 2.0.

8

Курьезные случаи

Этот год войдёт в историю как минимум тремя необычными взломами. Итальянская компания Hacking Team, создававшая шпионский софт для спецслужб, сама стала жертвой хакерской атакиБольшую часть её наработок теперь можно найти в открытом доступе. Ещё более крупная утечка данных случилась у директора ЦРУ. Вопреки собственным директивам, Джона Бреннан порой использовал бесплатную почту для рабочей переписки. Едва скандал стал затихать, как его подвиг повторил зам. директора ФБР. Хакерская группа CWA взломала его почтовый ящик AOL и через него добралась до массы секретных сведений, которые выложила на общедоступных ресурсах. Отдельно стоит отметить появление «цифрового Робин Гуда» Linux.Wifatch. Он внедряется в уязвимые роутеры и препятствует их заражению более опасными бэкдорами, предупреждая пользователя о небезопасных настройках.

9

Безопасность «интернета вещей»

Масса подключённых к интернету устройств стала критической. На современном этапе она сформировала феномен IoT (Internet of Things) – отдельной цифровой вселенной, расширяющейся быстрее нашей собственной. В уходящем году были предприняты ключевые шаги, направленные на разработку единых механизмов взаимодействиях в мире «интернета вещей». Появились специализированные ОС – открытая Wind River Pulsar Linux и Google Brillo. Были выпущены универсальные микроконтроллеры и однокристальные чипы для IoT. Стандартизация закладывает фундамент для обеспечения безопасного взаимодействия и позволяет лучше понимать, какие данные куда отправляются в конкретный момент времени. Иначе даже фитнес-браслет может стать электронным свидетелем против своей хозяйки, как это уже случилось в Пенсильвании.

10

Угон

дронов

В этом году появились качественно новые мультикоптеры, способные нести полезную нагрузку и летать достаточно долго. Из дорогих игрушек они превратились в универсальный инструмент. Малые дроны всё чаще используются для видеосъёмки и охранного наблюдения. Сразу несколько фирм стали применять компактные беспилотники для доставки товаров. Между тем, вопрос их защищённости остаётся открытым. На конференции Virus Bulletin было показано, как можно взломать популярные модули автопилота. Поскольку они используются практически во всех моделях, сценарий угона будет одинаков для любой из них. С другой стороны, отдельные БПЛА теперь сами используются в качестве средств шпионажа. Они выполняют атаки на беспроводные сети и даже способны перехватывать другие дроны.

Топ-10 событий по версии «Инфосистемы Джет»

1

Новые типы сетевых атак
и защита от них

При расследовании реальных инцидентов в сфере ИБ, их стало трудно отнести к какому-то определённому типу. На практике часто стали встречаться гибридные атаки. В них сочетаются различные методы – от социального инжиниринга до использования уязвимостей нулевого дня. Сегодня злоумышленник может тщательно подготовиться к атаке с минимальными затратами и обойти классические меры защиты (FW, IPS, AV и т.д). Основными технологическими направлениями защиты на сегодня являются: изоляция потенциально опасного кода для его анализа
в «песочнице»,  поиск, аномалий в сетевом трафике, поведенческий анализ активности пользователей, а также выявление ботов
в корпоративных сетях. Все эти механизмы
не исключают использования привычных средств сетевой безопасности, дополняют
их и друг друга.

2

Платежные системы

За прошедший год качественно изменились атаки, проводимые с целью кражи денежных средств с банковских счетов. Раньше преступники пытались получить PIN и CVV коды у держателей карт. Обычно эти данные добывались методами социального инжиниринга или с помощью троянских программ. Однако в последнее время были успешно атакованы платежные системы, процессинговые центры и платежные шлюзы кредитных организаций.  «Электронные грабители» продемонстрировали глубокое знание внутренних механизмов работы банков и обошли средства защиты. Разовые списания крупных сумм в новых схемах стали встречаться всё реже. Вместо них счета опустошали множеством мелких переводов, долгое время не вызывая подозрений. Уже сегодня банки объединяют усилия по борьбе с новыми угрозами, а не только противодействуют им самостоятельно. До 2017 года планируется выработать общие стандарты для систем дистанционного банковского обслуживания. Все инциденты будет контролировать Центр по борьбе с киберугрозами при Центробанке РФ.

3

Глобальные уязвимости (социальная инженерия)

Эксперты по безопасности отметили парадоксальную тенденцию: несмотря на появление более сложных средств защиты, многие атаки эффективно выполняются из-за банальных проблем, которые должны решаться на уровне сисадмина. Например, таких, как слабые пароли или так называемая «файловая помойка», в которой зачастую можно найти сведения для доступа к аккаунтам сотрудников или непосредственно данные, представляющие коммерческую тайну. Происходит это еще и потому, что все чаще вектор атак становится направлен не на программы и оборудование, а на работающих с ними людей. По статистике 55% от общего объема убытков, связанных с нарушениями информационной безопасности, наносят ошибки сотрудников. При этом сами они могут и не иметь злого умысла. Сотрудники любого уровня могут стать жертвой, которую мошенники выбрали среди персонала. Сегодня слабости человека легко узнаются из соцсетей и другой открытой информации, после чего выполняется атака.

4

Безопасность АСУ ТП

За последнее время в технологическом сегменте изменились подходы к обеспечению безопасности. У промышленных предприятий главным направлением стала защита не столько данных, сколько контроллеров. Предотвращение несанкционированного вмешательства в работу SCADA и других автоматизированных систем управления техпроцессами (АСУ ТП) – новая задача для российских предприятий.. Многие объекты инфраструктуры, включая атомные электростанции, частично управляются через веб-интерфейс и слабо защищены. Каждый год на них регистрируется две-три сотни внешних атак только в США, но это лишь малая часть от общего числа. Большинство инцидентов остаются без внимания или рассматриваются как внутренние по разным причинам. Антивирус, МСЭ, IDS, IPS и другие отдельные средства защиты сегодня генерируют слишком много данных, чтобы оперативно анализировать их вручную.

5

От защиты информации
к безопасности бизнеса

В 2015 году изменилось само восприятие информационной безопасности. ИБ сместилась
в сторону информационных технологий, обеспечивающих безопасность бизнеса в целом.  Поэтому задачей работы в сфере безопасности все чаще становится общий контроль корпоративных коммуникаций и выявление лиц, ведущих недобросовестную работу в отношении работодателя, будь то воровство или переговоры с контрагентами, заведомо приносящие убыток компании.  Перспективным направлением по этой части является интеграция DLP с другими ИТ-системами для создания комплекса систем проверки и контроля контрагентов. Если раньше каждая подозрительная операция проверялась вручную, то сейчас анализируется совокупность происходящих коммуникаций. Аналитические системы, обеспечивающие безопасность в целом перестали служить только специалистам по ИБ. Теперь их напрямую использует отдел экономической безопасности или, например,
HR-специалисты.

6

Услуги SECaaS

Развитие облачных платформ затронуло и сферу ИБ. Сегодня все чаще говорят и уже применяют на практике концепцию SECaaS (Security as a Service). Условно по типу потребителя сервисы безопасности разделяют на два типа: «в облаке» и «из облака». В первом случае во внешней интернет-платформе частично размещаются компоненты собственной инфраструктуры предприятия. Туда переносятся антивирусы, IDS, WAF и прочие сервисы. Перенос инфраструктуры в облако сложнее на первоначальном этапе, но обычно эффективнее с точки зрения управления.  Во втором случае к существующей инфраструктуре просто добавляют облачные сервисы: анти-DDoS, антиспам, прокси и другие. Готовые облачные сервисы часто могут подключатся «на лету» – даже во время атаки на сеть предприятия с переносом рабочих нагрузок и фильтрацией трафика.

7

DLP: на пути к искусственному интеллекту

Важную роль в упомянутом выше процессе интеграции всех видов безопасности играют системы предотвращения утечек информации (DLP, Data Leak Prevention), внедрение которых уже выходит за рамки чисто технологических решений. Современные системы DLP обладают большим набором отлаженных инструментов анализа перехваченной информации – это проверка ключевых слов, контроль идентификаторов, определение шаблонов данных, сравнение цифровых отпечатков, и прочее. Однако на сегодняшний день все DLP так или иначе зависят от человека и не могут работать автономно со стопроцентной точностью. Решением этой проблемы становится интеграция DLP с основными ИТ-системами конкретной компании. Они должны учитывать специфику бизнеса и обеспечивать эффективный симбиоз.

8

Антикризисная безопасность

В кризисное время бюджет на ИБ одним из первых попал под сокращение. Для многих стало критично выработать стратегию оптимизации затрат и повышения эффективности в этой сфере. Существует несколько основных способов, которые в прошлом году уже начали активно использовать заказчики. Первый – это переход на открытое ПО. Вторым способом является передача задач ИБ на аутсорсинг и третьим – оптимизация и рациональное использование имеющихся средств защиты. Любой из этих способов в условиях кризиса должен быть взвешен именно с точки зрения бизнес-показателей – вопрос не простой, часто вызывающий много споров.. Эксперты компаний, предоставляющих ИБ-услуги,  активно привлекались в качестве «третейских судей”. Они  помогаюли объективно  и правильно рассчитать KPI применения того или иного метода снижения затра на ИБ с точки зрения оправданности для конкретной организации и особенностей её деловых процессов.

9

Централизованная защита

Сливаясь с корпоративной, информационная безопасность переходит на новый уровень. Каждый защитный модуль ежедневно формирует отчёты и рассылает экстренные уведомления. Анализировать вручную их уже неэффективно, поскольку за частностями теряется общая картина. Увидеть её и вовремя распознать начало атаки помогают SIEM (Security information and event management) – платформы управления событиями и сведениями о безопасности. Их главная задача обнаружение корреляции между разными событиями и раннее распознавание инцидентов. Внедрение SIEM – это первый шаг на пути создания отлаженного механизма SOC – Security Operation Center. Практика создания и использования SOC только начинает формироваться, но уже есть возможность учесть ценный опыт крупных компаний.

10

Антифрод

В 2015 году у большинства российских компаний отмечался рост потерь от мошенничества. Наиболее частыми мишенями мошенников становились кредитно-финансовые организации, компании из сферы ритейла и телекома. Число внешних атак в прошлом году существенно выросло, но среди них стало гораздо меньше успешных – общий уровень противодействия объективно вырос. При этом всё острее встаёт вопрос внутреннего мошенничества. Обезопасить клиентскую часть интернет-сервисов в целом оказалось проще, чем разработать меры, защищающие внутренние бизнес-процессы. Период выявления внутренних схем хищений может оказаться довольно продолжительным - год и более. Противодействовать внутреннему фроду помогают DLP, SIEM и другие системы, проводящие комплексный анализ событий в корпоративной сети.

«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"
© ООО "Компьютерра-Онлайн", 1997-2016
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.