Дайджест отчета Symantec ISTR по итогам 2016 года

The underground marketplace of cyber criminalSymantec ISTR это периодически публикуемый отчет с обширной статистикой и аналитикой в области информационной безопасности (ИБ). Для сбора данных используется разветвленная сеть датчиков, ловушек, систем сбора статистики, в том числе и встроенная в программное обеспечение (ПО), выпускаемое компанией Symantec.
Очередной, 22-й выпуск отчета посвящен итогам 2016 года и рассказывает о том, как простые тактики и новые изобретения позволили злоумышленникам поднять уровень угроз в интернете на новый уровень.
С полным вариантом отчета Symantec ISTR 22 на английском языке можно ознакомиться на официальном сайте Symantec.
Краткий обзор этого отчета подготовили специалисты IT-TEAM SERVICE Узбекистан А. Ан и А. Ракитский.

Основные тренды угроз ИБ в 2016 году это:
• Явное использование взломов и утечек в политической борьбе. Самый яркий пример - предвыборная кампания в США.
• Использование доступных, встроенных в операционные системы, механизмов для реализации атак. Поиск новых уязвимостей и разработка эксплоитов - весьма трудоёмкий процесс, поэтому злоумышленники всё чаще используют встроенные служебные утилиты (PowerShell) и макросы в документах для своих атак. Использование легальных служебных утилит и функций при грамотном использовании позволяет злоумышленникам долгое время оставаться незамеченными, а функционал таких инструментов практически не отличается от традиционных вирусов.
• Очередная волна использования электронной почты для начала атак. По статистике каждое 131-е письмо несло угрозу и это высший показатель за последние пять лет. Электронная почта - один из популярнейших каналов связи, при этом рассылка почты с вредоносными вложениями и ссылками не требует эксплуатации каких-то уязвимостей. Доступные для аренды ботнеты по рассылке таких писем позволяют злоумышленникам рассылать фишинговые письма сотнями тысяч в день и надеяться, что найдутся легкомысленные получатели, которые последуют инструкциям из письма и пройдут по ссылке, запустят у себя на компьютере прикрепленный файл или документ с опасным макросом. Отчасти снижение роли новых неизвестных уязвимостей (т.н. уязвимостей 0-го дня) и их эксплуатации связано с расширением программ Bug Bounty, когда производители ПО и сервисов выплачивают вознаграждение за обнаружение уязвимостей в их продуктах.
• Рост количества вирусов-вымогателей и сумм выкупа. Сформировалась целая бизнес модель, когда вирус попадает на компьютер жертвы, шифрует важные пользовательские данные и предлагает их расшифровать за выкуп. Расчет у создателей таких вирусов простой - кто-то из тысяч заразившихся наверняка заплатит выкуп за возможность доступа к своим данным. Эксперты отмечают и рост сумм выкупа в среднем до $1077 в 2016 году с $294 годом ранее. Успех этой модели приводит к тому, что её использует всё большее число злоумышленников.
•  Угрозы ИБ выходят на новые рубежи. Происходит полноценное вовлечение интернета вещейи облачных технологий в проблематику ИБ. Так в 2016 отмечено создание полноценных ботнетов на базе камер наблюдения и сетевых роутеров.

Электронная почта: вирусы, спам и фишинг
Как отмечалось выше, электронная почта остаётся важным каналом распространения угроз ИБ. Совершенствуются механизмы социальной инженерии, вредоносные письма, которые призывают совершить какие-то действия в системах, приходят в рабочее время и оформлены часто как обычная деловая переписка для того чтобы не вызвать подозрений у пользователей. Стабильно высокой остаётся и доля спама, в прошлом году этот показатель составил 53% от всех писем и удерживается на этом уровне уже в течение трех лет.
Для рассылки спама шире используются техники snowshoe и hailstorm (снегоступы и град). Техника snowshoe подразумевает использование для рассылки спама очень большого количества ip-адресов, с каждого из которых отправляется совсем небольшое количество спам-писем. Это позволяет частично обходить фильтры, а если они и срабатывают, то часть таких писем всё равно дойдет до получателя. Техника hailstorm является усовершенствованным вариантом snowshoe, только рассылки спама производится в очень короткий период. В результате традиционные спам-фильтры просто не успевают получить обновление и спам проходит до получателя.

Киберпреступность и теневая экономика.
Начало 2016 года было ознаменовано одной из самых дерзких банковских краж в истории (инцидент Banswift). Преступники смогли украсть 81 миллион долларов США и только их собственные ошибки и бдительность сотрудников банка предотвратили дальнейшее хищение уже одного миллиарда долларов. Злоумышленники, используя слабости в системе защиты банка, смогли получить учетные данные банка для работы в системе SWIFT. Сами переводы средств они осуществили накануне длинных выходных и использовали специально разработанные вирусы для сокрытия следов и усложнения дальнейшего расследования. В итоге большая часть денег была переведена на счета казино на Филиппинах и дальнейшие следы их теряются.
В статистике количества утечек данных по странам с большим отрывом лидирует США, но, по мнению экспертов, это связано с тем, что офисы крупнейших IT-компаний располагаются там, сама страна весьма густо населена, а население широко использует информационные технологии во всех сферах жизни и существует строгое законодательство, обязывающее раскрывать данные о таких утечках. В тех странах, где законодательно не закреплена обязанность отчитываться об утечках, такие случаи чаще всего вообще не афишируются.
В отчете опубликованы приблизительные расценки на услуги киберкриминала. Так, данные одной кредитной карты международной платежной системы продаются в среднем за $20-60, скан-копии документов - $1-3 за штуку, организация DDoS атак - $5-20 за час и т.д.

 

Краткая памятка по WannaCry

1. Уязвимы для вируса WannaCry практически все версии Windows - от XP до Windows 10 и Server 2016.
2. Уязвимость существует не только в пиратских версиях ОС, но и в легально приобретённом, аутентичном ПО, если не установлен соответствующий патч (заплатка).
3. Обновление ПО для ликвидации этой уязвимости может быть получено через механизмы Windows Update или можно загрузить и установить патч вручную.
4. Выпущены патчи даже для уже снятых поддержки операционных систем (XP, Server 2003 и т.д.) Их нужно загрузить и установить вручную. Приводим ссылку на патчи для всех снятых с поддержки систем и прямая ссылку на патч для Windows XP SP3 x86.
5. Сделать резервные копии (бэкап) всех важных данных и хранить их независимо от основных рабочих мест. Иначе эти резервные копии будут подвержены тем же рискам.
6. Использовать механизмы поиска уязвимых систем. В том числе доступны пробные версии продуктов от Qualys или бесплатными инструментами Qualys FreeScan или Qualys BrowserCheck с установкой плагина для браузера.
7. Основной эффективный способ ликвидации уязвимости - установка патча. Современные антивирусные решения самостоятельно не способны полностью гарантированно защитить от этого вируса.

Справочные материалы:
1. Бюллетень по безопасности от Microsoft MS17-010 с описанием уязвимости
2. Рекомеднации от Microsoft по проблеме WannaCrypt (она же WannaCry)
3. Описание проблемы WannaCry и способов поиска уязвимых систем от Qualys
4. Описание проблемы WannaCry от Symantec

Также рекомендуем заказать и провести в своей организации экспертизу информационной безопасности - это наша работа.

 

Круглый стол в Центре обеспечения информационной безопасности

Meeting at Information Security Center5 мая 2017 сотрудник ITTS принял участие во встрече в формате «круглого стола», который был организован Центром обеспечения информационной безопасности. Основная тема встречи - упорядочивание процессов экспертизы объектов информатизации по требованиям информационной безопасности.
Высшее руководство и сотрудники центра подробно объяснили свою позицию и внимательно выслушали мнения представителей организаций, которые проводят экспертизы ИБ, среди них были и коммерческие структуры, и государственные предприятия (ГУП). В заключение встречи её участники признали эффективность подобной формы диалога

 

Победа в олимпиаде по ИБ

Начальник отдела ИБ Антон Ракитский стал победителем (дипломантом I степени) международной олимпиады 2017 г. для студентов и выпускников вузов по профилю «Управление информационной безопасностью». Олимпиада проводится российским национальным исследовательским университетом «Высшая школа экономики».
Постоянное образование, повышение квалификации очень важно и даже обязательно для многих профессий – учителя, врачи. Но, пожалуй, в области информационной безопасности тенденции, проблемы и угрозы меняются быстрее всего. С позиций университета участие в олимпиаде – отличная возможность заявить о себе как специалисте, имеющем потенциал развития и профессионального роста. Также считаем, что проблемные вопросы, с которыми не удалось справиться на олимпиаде в этом году, также задают направление для дополнительного обучения в будущем.
В прошлом, 2016 году, Антон смог стать дипломантом III степени этой же олимпиады, но год подготовки и постоянная практика в реальных проектах принесла свои плоды.
Текст олимпиадного задания и полный список победителей и призёров этого года уже доступны на сайте НИУ ВШЭ.

 

Сотрудник ITTS написал Тотальный диктант

ITTS на Тотальном диктанте в Ташкенте в 2017 годуУже второй год подряд коллектив ITTS принимает участие в международной образовательной акции «Тотальный диктант». В этом году в качестве диктанта в разных городах были представлены три текста Леонида Юзефовича, посвященные рекам Кама, Селенга и Нева. Сам диктант в Ташкенте прошел в большой лекционной аудитории в филиале Российского государственного университета нефти и газа имени И.М.Губкина в городе Ташкенте.
Организаторы подчеркивают, что готовность проверить себя и написать диктант - большое достижение, а каждый написавший может гордиться собой.
Участие в Тотальном диктанте бесплатное и вообще не предполагает каких-либо поощрений по результатам, но в этом году организаторы приняли решение вручить написавшим диктант на 4 и 5 словари и памятные сертификаты. По опыту прошлого года можем сказать, что написать диктанта на положительную оценку очень непросто.

 

ITTS на Oracle Technology Day

Oracle Technology Day in Tashkent 201715 марта 2017 сотрудник ITTS принял участие в ежегодном мероприятии Oracle Technology Day в Ташкенте.
Встреча началась с опроса, проведенного сотрудником Oracle Семёном Поповым, о том, кто из участников мероприятия так или иначе использует облачные хранилища в личных целях. Оказалось, что облачными технологиями пользуются все. Докладчик отметил, что, несмотря на ряд законодательных ограничений и проблемы с интернет-каналом в Узбекистане, облачные технологии уже начинают использоваться и в производственных процессах.
С приветственным словом к участникам конференции обратился директор Центра развития системы "Электронное правительство" Шерзод Хабибуллаев.
Директор Департамента Технологического Консалтинга Oracle Марк Ривкин заметил, что сейчас IT - черная дыра, которая потребляет всё больше средств на повышение производительности, обновление оборудования. В случае же облачных вычислений оплата ведется только за реально потребленные ресурсы и только на нужный период, т.е. простоя оборудования не будет. А использование облачных технологий переводит расходы на ИТ из разряда капитальных в операционные расходы.
IaaS - облачная инфраструктура, фактически виртуальный компьютер/сервер на котором всё остальное устанавливается и настраивается самими пользователями.
SaaS - облачное ПО, т.е. используемое ПО теперь расположено в облаке, офисные пакеты, бухгалтерское ПО устанавливается и поддерживается теперь поставщиком, заказчик только приобретает подписку.
PaaS - облачная платформа. Применяется, когда нужно перенести часть информационной системы в облако, самый яркий пример - облачная база данных.
Переход в облака - неизбежен, если не заняться этим сейчас, потом придется догонять.

 

Интервью начальника отдела ИБ ITTS для журнала ICTNEWS

ITTS CISO gave second interview to the ICTNEWS magazineНачальник отдела ИБ ITTS Антон Ракитский дал второе интервью для информационно-аналитического журнала ICTNEWS. Статья «Защита информации: что советуют эксперты» с интервью вышла в журнале №3 (125) за 2016 г. Ниже приводим текст оригинального интервью, данного журналисту издания ICTNEWS.

Беседовала Валентина Шатуновская

1. Какие тенденции в области информационной безопасности (ИБ) наблюдаются в последнее время в мире и в Узбекистане (в плане угроз и средств защиты)?
Тенденции в целом общие для всех участников информационного пространства. Это рост проникновения ИТ во все сферы жизни, повышение сложности информационных систем, и как следствие, повышение зависимости от таких систем. То есть одновременно с удобствами ИТ появились и неизвестные ранее риски. Особенно хорошо взрывной рост технологий заметен, если почитать публикации 10-15 летней давности - виден рост скоростей передачи данных, производительности, объемов хранения, сложности систем. Также стремительно возрастает и сложность обеспечения ИБ.

2. Какие новые разработки в этой сфере появились за последнее время?
Говорить о каких-то революционных изобретениях и открытиях в области ИБ за последнее время (3-5 лет) не приходится. Ранее изобретенные механизмы обеспечения ИБ эволюционируют, совершенствуются. Производители средств обеспечения ИБ внимательно следят за трендами - множество решений по ИБ теперь реализуется с использованием облачных технологий. Параллельно развивается и методология обеспечения безопасности - выходят новые версии стандартов и руководящих документов.

3. Какие услуги в обеспечении информационной безопасности наиболее востребованы?
Информационная безопасность - целая отрасль. В неё входят и технические, и организационные, и методические решения. Само собой, что логично вкладывать в решения, дающие максимальную отдачу на единицу вложений. Вся сложность управления ИБ как раз и заключается в правильном выборе приоритетов при ограниченном бюджете. Если говорить именно об услугах, то самыми востребованными являются консалтинг и проведение независимых экспертиз. Не каждая организация может позволить себе иметь в штате профильного высококлассного специалиста по ИБ в штате. Но даже если такие специалисты на предприятии есть, очень важно получать независимый взгляд на проблему, у штатных специалистов со временем «глаз замыливается».

4. Какая сфера деятельности, на ваш взгляд, больше всего нуждается в обеспечении информационной безопасности?
Насколько важен для потребителя какой-то конкретный сервис, услуга, продукт - настолько же важна и его безопасности. Например, пользуясь услугами связи и интернета, мы рассчитываем, что услуги эти будут доступны нам в любое время дня и ночи и с должным качеством. Для этого операторы связи должны позаботиться о доступности сервиса, а это как раз один из критериев ИБ. Обращаясь за справочной информацией, мы надеемся, что она будет точной, без искажений - будет обеспечена её целостность. Сообщая свои персональные данные в банке, мы ожидаем, что доступ к ним получат только уполномоченные лица, то есть будет обеспечена конфиденциальность. Нельзя сказать, что что-то важнее. Задача предприятия - обеспечить приемлемый уровень ИБ, удовлетворяющий клиента и требованиям нормативов.

5. Ваша компания предоставляет услуги по ИБ в разных организациях. В чём основные отличия обеспечения ИБ в государственных учреждениях, финансовой сфере и коммерческих организациях?
Для государственных структур в большей степени характерна зависимость от требований нормативных документов, стандартов, инструкций. Многие слышали про различные грифы секретности, уровни допуска. Всё это элементы обеспечения безопасности. Бывает, что подобные строгие меры осложняют жизнь сотрудников, но такова плата за высокие требования уровня безопасности. Ведь информация, циркулирующая в таких организациях важна для страны в целом. Для коммерческих организаций важна в первую очередь финансовая составляющая обеспечения ИБ. Если затраты на ИБ превышают доходы - существование предприятия теряет смысл, вряд ли предприниматель будет работать себе в убыток. В то же время, если не тратиться на ИБ разбегутся клиенты, недовольные сервисом, а производственные секреты утекут к конкурентам. Тут важен баланс между уровнем ИБ и затратами на её поддержание. Для финансовых организаций (банки), операторов связи и подобных им организаций действуют оба фактора. С одной стороны, вопросы рентабельности, с другой требования регуляторов. Хочешь, не хочешь, а нужно в обязательном порядке обеспечивать режим банковской тайны, уровень доступности, качество сервиса - за этим следят уполномоченные органы и в случае нарушений можно понести убытки в виде штрафов, а то и вовсе - отзовут лицензию.

6. Что, на ваш взгляд, лучше – содержать в штате организации сотрудников по ИБ или обратиться за помощью к сторонней фирме?
В идеале на предприятии должно быть отдельное, максимально независимое подразделение по обеспечению ИБ, которое ещё и пользуется услугами внешних специалистов-аудиторов, экспертов для получения беспристрастной оценки своего труда. В условиях ограниченности штата разумным компромиссом может быть выделение группы сотрудников для обеспечения ИБ, которые будут привлекать внешних экспертов для периодических консультаций. Передать вопросы обеспечения ИБ полностью внешним исполнителям - вряд ли возможно. Вопросы ИБ в любом случае должны курироваться, поддерживаться, контролироваться высшим руководством самой организации.

7. Если информационной безопасностью занимается сторонняя организация, какие существуют риски, и как их избежать?
Пожалуй, основным риском в данном случае является утечка критичной для предприятия информации "на сторону". Также есть риск купить не то что заказывали, когда недостатки продукта или услуги выявляются слишком поздно. Единого простого решения этой проблемы нет. Как и при выборе других поставщиков и исполнителей - важен тщательный их отбор. И уж точно единственным критерием выбора не должна быть цена. Само собой, желательно подстраховаться и подписать соответствующие соглашения о неразглашении с исполнителями. Но полной гарантии не даёт и это. В качестве дополнительной меры по снижению рисков ИБ можно предложить привлечение третьей, независимой стороны при проведении выбора поставщиков. Внешние независимые эксперты должны быть достаточно компетентными, чтобы защитить интересы заказчика и не зависеть от поставщиков или исполнителей. Когда одна и та же компания и занимается консалтингом и продаёт профильные решения, очень сложно удержаться от соблазна советовать покупать у себя же.

8. Можете привести примеры из зарубежного опыта по эффективному обеспечению ИБ или же наоборот провальные решения в этой области?
Гарантировать полное обеспечение ИБ практически невозможно, всегда есть некоторый остаточный риск. Пример тому - многие громкие случаи, связанные с нарушение ИБ в крупных организациях, имеющих огромные бюджеты на ИБ. Информационная безопасность как отрасль вообще формируется на наших глазах, единых решений, дающих гарантированный результат тоже нет. Но, пожалуй, основным мотивом будущего ИБ становится понимание того, что информационная безопасность не удел только "узких специалистов", а всех нас. Должен будет повышаться общий уровень грамотности, технической культуры.

 

Страница 1 из 10

<< В начало < Назад 1 2 3 4 5 6 7 8 9 10 Вперёд > В конец >>