Отчет Cisco по информационной безопасности за первое полугодие 2017 г. (Cisco 2017 Midyear Cybersecurity Report, MCR) указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. С появлением Интернета вещей (Internet of Things, IoT) все больше операций в ключевых отраслях переводится в режим online, что расширяет горизонт атак, увеличивает их масштабы и усугубляет последствия.
Недавние атаки WannaCry и Nyetya продемонстрировали скорость распространения и широту охвата вредоносного ПО, которое выглядит как программы-вымогатели, но на самом деле способно вызвать куда более существенные разрушения. Это предвещает появление угроз, которые Cisco назвала атаками типа «прерывание обслуживания» и которые могут наносить значительно больший, по сравнению с традиционными атаками, ущерб, не оставляя при этом бизнесу возможности восстановления.
Интернет вещей продолжает предоставлять злоумышленникам новые шансы, его уязвимости будут играть главную роль в запуске новых кампаний с нарастающим ущербом. Недавняя активность IoT-ботнета дает основания предполагать, что некие злоумышленники уже готовят почву для широкомасштабной атаки с катастрофическими последствиями, которая может уничтожить и сам Интернет.
Но есть и хорошие новости: с ноября 2015 г. Cisco уменьшила медианное время обнаружения с 39 до почти 3,5 часов (для периода с ноября 2016 г. по май 2017 г.). Такое сокращение времени обнаружения играет существенную роль в ограничении сферы действия атаки и ускорении восстановления для ограничения отрицательных последствий для бизнеса.
«Информационная безопасность становится ключевым фактором, определяющим стабильное функционирование бизнеса и успех цифровых преобразований. Недавние атаки, такие как WannaCry и Nyetya, демонстрируют, что злоумышленники становятся все более изобретательными. А сложность и разрозненность ИБ-решений позволяют преступникам находить новые бреши в системах защиты. Чтобы противостоять современным угрозам, необходим целостный архитектурный подход, обеспечивающий защиту до, во время и после атаки. Эффективная ИБ-стратегия начинается с ликвидации самых очевидных брешей в защите и с понимания, что безопасность – приоритет любого бизнеса», – говорит Джонатан Спарроу, вице-президент Cisco по работе в России/СНГ.
Текущий момент: чего стоит опасаться
Наблюдая в первой половине 2017 г. за эволюцией вредоносного ПО, специалисты Cisco по безопасности выявили новые методы, к которым злоумышленники прибегают для доставки и маскировки вредоносного ПО. В частности, по наблюдениям Cisco, злоумышленники все чаще подталкивают намеченную жертву к совершению тех или иных действий для активации атаки (нажатие на ссылку, открытие файла), а также все больше используют безфайловое вредоносное ПО, которое полностью располагается в памяти, что затрудняет его поиски и анализ, т.к. оно удаляется при перезагрузке устройства. Киберпреступники также пользуются анонимными и децентрализованными инфраструктурами, такими как Tor, чтобы замаскировать инфраструктуру управления своими продуктами и затруднить ее блокировку.
Cisco отмечает как уменьшение активности эксплойтов-китов, так и возрождение традиционных атак.
1. Значительно увеличиваются объемы спама, так как для рассылки вредоносного ПО и получения прибыли злоумышленники используют такие проверенные методы, как электронная почта. По прогнозам специалистов Cisco, объемы спама с вредоносными вложениями продолжат рост, тогда как в области эксплойт-китов наблюдаются разнонаправленные тенденции.
2. Тем временем шпионское и рекламное ПО, от которого специалисты по безопасности зачастую отмахиваются, считая, что оно больше досаждает, чем вредит, продолжает удерживать позиции и создавать риски для предприятий. При этом Cisco, обследовав в течение 4 месяцев 300 компаний, обнаружила у 20% из них наличие трех распространенных типов шпионского ПО. В корпоративной среде такое ПО способно похищать пользовательскую и бизнес-информацию, ослаблять защиту устройств и увеличивать риски заражения вредоносным ПО.
3. Эволюция программ-вымогателей, в частности, рост популярности подобных программ, предлагаемых как услуга (Ransomware-as-a-Service), облегчает преступникам проведение таких атак даже при отсутствии соответствующей квалификации. Последнее время программы-вымогатели не сходят с первых страниц новостей: как сообщается, в 2016 г. они «заработали» более 1 млрд долларов. Но это может отвлекать организации от других, менее известных, но куда более опасных атак. Компрометация бизнес-почты с помощью социального инжиниринга (атака, при которой в сообщении электронной почты предлагается под фальшивым предлогом перевести деньги злоумышленнику) начинает приносить немалые деньги: по данным Центра борьбы с интернет-преступностью (Internet Crime Complaint Center), с октября 2013 по декабрь 2016 только таким образом мошенники выманили 5,3 млрд долларов.
Разные отрасли — общие проблемы
Пока преступники продолжают наращивать интенсивность и изощренность своих атак, бизнес в разных отраслях испытывает проблемы даже с реализацией базовых требований безопасности. В результате происходящего в Интернете вещей сращивания информационных и операционных технологий организации начинают испытывать проблемы, связанные с полнотой обзора и усложнением структуры. В рамках сравнительного исследования решений безопасности (Security Capabilities Benchmark Study) Cisco опросила около 3000 экспертов из 13 стран, выявив, что в разных отраслях отделы информационной безопасности вынуждены отражать все больше и больше атак, что приводит к преобладанию ответных действий в защите.