Cisco выпустила очередной ежегодный отчет об информационной безопасности, в каком рассказала о новых тенденциях в киберпреступлениях и о борьбе с ними.
Первый тренд — это использование хостинг-сервисов крупных провайдеров, такое как Google, Amazon или Dropbox для размещения управляющих серверов. Это затрудняет идентификацию вредоносного трафика, посколько соединение идет не с каким-то незнакомым узлом, а с сервером, на который вообще в принципе генерируется много трафика у всех и какое-то «нестандартное» поведение заметить трудно.
Второй тренд — это массовое использание шифрования. В финале 2017 года 70% зловредов приходилось на вредоносные двоичные файлы с шифрованием в «песочницах» напротив 19% в финале 2016 года — то бишь, анализировать их становится все труднее. 80% вредоносного ПО по-прежнему идентифицируется путем запуска в песочнице за 3-4 минуты, но для остальных 20% время идентификации достигает 72 часов (3 суток) — на практике ни одна собака пользователь не готов ожидать так долго. Вообще же продемонстрированное Cisco медианное время обнаружения (time to detection, TTD) за данный период с ноября 2016 по октябрь 2017 г. составило около 4,6 часов. В начале ноября 2015 г. данный показатель составил 39 часов, а по информации отчета Cisco по кибербезопасности за 2017 г., медианное время обнаружения за данный период с ноября 2015 по октябрь 2016 г. составило 14 часов.
Третий — есть то, что программы-вымогатели теперь не непременно вымогают денежные средства; при корпоративных атаках они нацелены именно на повреждение (шифрование) данных, появилось большое количество клонов общеизвестных троянов-шифровальщиков типа Wannacry и Netya, задача которых — парализовать работу организации.
Изменились и сами способы заражения, в частности, одной из излюбленных схем стало инфицирование обновлений для популярных приложений — впоследствии при автоматическом обновлении удается незаметно заразить большое количество компьютеров единовременно. Также стали популярны схемы заражения серверов разработчиков ПО (DevOps): из-за того, что программисты работают удаленно, к ним всегда организован доступ из интернета, а специфические требования разработчиков (администраторы обычно не вникают — вдруг что-то нужно для разработки) снижают бдительность при контроле за подозрительными действиями.
Растет также интерес преступников к системам управления бизнес-процессами: здесь пока даже встречаются такие «детские» уязвимости, как атака за счет флешки или DVD-диска при легком физическом доступе к портам или дисководам — например, это касается банкоматов.
В методах защиты все чаще используются облачные решения, например, в России свой межсетевой экран есть у «Ростелекома», а Positive Technologies разрабатывает облачные фаерволлы для Microsoft Azure. В 2017 году 27% профессионалов по информационной безопасности сообщили об использовании наружных приватных облаков (показатель 2016 г. — 20%). Также пециалисты по кибербезопасности начинают все больше применять (и закупать) средства, использующие искусственный интеллект и машинное самообучение. Применение машинного самообучения помогает повысить эффективность защиты сети и с течением времени позволит автоматически выявлять нестандартные паттерны в шифрованном веб-трафике, в облачных и IoT-средах.
Для своей защиты организации неоднократно используют мультивендорные решения. Неотвратимое усложнение оркестрации при расширяющемся разнообразии уязвимостей отрицательно сказывается на способность организаций к отражению атаки. Так, в 2017 г. 25% профессионалов по информационной безопасности сообщили, что используют продукты от 11—20 вендоров, в 2016 г. так ответили 18%, при этом 32% уязвимостей затронули более половины систем, в 2016 г. так ответили 15%.