Полугодовой отчет cisco по информационной безопасности...

19 августа, 2015 Алексей Лукацкий, бизнес-консультант по ИБ

Cisco 2015 Полугодовой отчет по ИБ

2 © 2015 Cisco and/or its affiliates. All rights reserved.

•  Заблокированных угроз: 19,692,200,000 угроз в день

•  Заблокировано спама: 2,557,767 сообщений/сек

•  Web-запросов в день: 16.9 миллиардов

Что видит Cisco?


Изменение в поведении атак

Скорость Ловкость Адаптация Уничтожение

Инновации, использование старых приемов на новый лад и обход защитных механизмов


Скорость означает новый уровень сложности.

Разработчики вредоносного кода стали более инновационными и быстрыми к адаптациям


Ловкость нарушителей – их сила

Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014

Скомпрометированная система

Уязвимости Flash

Смена цели

Вымогатели

Angler Непрерывное забрасывание

«крючков в воду» увеличивает шанс на компрометацию

Шифрование тела ВПО Социальный инжиниринг

Смена IP Сайты-однодневки Ежедневн

ые

доработки

TTD

Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email


Знаете ли вы, кто это?


Патчи: окно воздействия Люди не очень оперативно обновляются до последних версий Flash и тем самым создают возможности для Angler и других угроз, использующих непропатченные уязвимости

Angler Exploit Vulnerability

User Activity

Update Published

Version

15.0.0.246

16.0.0.235

16.0.0.257

16.0.0.287

16.0.0.296

16.0.0.305

17.0.0.134

17.0.0.169

17.0.0.188

CVE-2015-0310

CVE-2015-0313

CVE-2015-0336

CVE-2015-0359

CVE-2015-0390

1 FEB 1 MAR 1 APR 1 MAY 1 JUN


Web-атаки стабильны (исключая Flash)

Java PDF Flash Silverlight

Декабрь 2014 – Май 2015


Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему.

Уничтожение если обнаружено •  Уничтожение MBR •  После перезагрузки компьютер перестает работать

Получение доступа •  Спам •  Фишинг •  Социальный инжиниринг

Уход от обнаружения •  Записать случайные данные в память 960 миллионов раз

•  Засорение памяти в песочнице

Украсть данные пользователя •  Доставка данных пользователя обратно злоумышленникам

•  Кража любых данных, а не только банковских

Анти-анализ Стойкость Вредоносное поведение


Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.


Основные категории уязвимостей повторяются из года в год

CWE-119 Ошибки буфера

471

CWE-20 Проверка ввода

244 CWE-399 Ошибки

управления ресурсами

238 CWE-200 Раскрытие/утечки

информации

138

CWE-264 Права,

привилегии & контроль доступа

155

Если все знают про эти проблемы, то почему они повторяются? Возможно разработчики недооценивают SDLC? Или они спешат выпустить продукт в ущерб ИБ?


76110

12/2014 1/2015 2/2015 3/2015 4/2015 5/2015

New URLScheme

Com

prom

ised

Use

rs

Old URLScheme

27425 2404018960 20863

47688

76110

736913163

9010 11958 14730 12008

Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям

Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL

Новая схема URL драматически опережает старую.

Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add-On для браузера (уже 4000 имен)


Формирование индустрии киберпреступности

От $450 миллиардов к

$1 триллиону Номер SSN

$1

Мобильное вредоносное ПО

$150

$ Информация о банковском счете >$1000 зависит от типа счета и суммы

на нем

Учетная запись Facebook

$1 за учетную запись с

15 друзьями

Данные платежных карт

$0.25-$60

Разработка вредоносного ПО

$2500 (коммерческое ПО)

DDoS

DDoS как сервис ~$7/час

Спам $50/500K

emails Медицинские

записи >$50

Эксплойты $1000- $300K

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13


“Версия”: число раз, когда Cisco обновляла оповещения, когда производители пытались выявить и устранить эти уязвимости в своих продуктах

9 версий

Open SSL (FREAK)

1 версия

QEMU Virtual Floppy Disk Controller (VENOM)

22 версии

Open SSL (Heartbleed)

25 версий

GNU Bash (Shellshock)

15 версий

GNU C glibc (Ghost)

Процесс управления патчами минимизирует ночные кошмары от отслеживания, координации и внедрения обновлений

Патчи для open source: управление поставками ПО становится критичной задачей

32 версии

SSL 3.0 Fallback (POODLE)


Эволюция вымогателей: Цель – данные, а не системы

TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети

$300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна

Личные файлы

Финансовые данные

Email

Фото

Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)


Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов

Кампания стартовала

Обнаружена с помощью Outbreak Filters

Антивирусный движок обнаруживает Dridex

Но злоумышленники все равно проникли в систему

Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов


0

1

2

3

4

Electr

onics

Indus

trial

Profes

siona

l Serv

ices

Clubs &

Organiz

ations

Transp

ortatio

n & Sh

ipping

Manufa

cturin

g

Energ

y, Oil, a

nd Gas

Utilities

IT & T

eleco

mmunica

tions

Retail

& Who

lesale

Trave

l & Le

isure

Insura

nce

Banki

ng &

Finan

ce

Food

& Be

verag

e

Charitie

s & NGO

Pharm

aceu

tical &

Chemica

l

Educ

ation

Autom

otive

Govern

ment

Engin

eerin

g & Con

struc

tion

Enter

tainmen

t

Real E

state

& Lan

d Mgm

t

Agric

ulture

& Minin

gLe

gal

Healthc

are

Риск поймать вредоносный код зависит от индустрии Никто не застрахован от нападения

Это только вопрос времени, когда злоумышленники увидят потенциал в отраслях, находящихся «справа»


Карта отражает не объем активности в этих странах. Страны с высоким рейтингом имеют множество Web-серверов и узлов с неисправленными уязвимостями в своих сетях.

Россия 0,936

Япония 1,134 Китай 4,126 Гонгконг 6,255

Франция 4,197 Германия 1,277

Польша 1,421 Канада 0,863

США 0,760

Бразилия 1,135

Вредоносный код в международном масштабе Злоумышленники не признают границ Malware Traffic

Expected Traffic


Спам в международном масштабе В России объемы спама только выросли. В два раза!


Время обнаружения Текущее значение TTD в индустрии - 200 дней, что недопустимо

46 200 VS ЧАСОВ ДНЕЙ

Индустрия Cisco

Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять

отпечатки каждого файла в облачный сервис Cisco


Время обнаружения меняется в ту или иную сторону

Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять

отпечатки каждого файла в облачный сервис Cisco


Анализ и наблюдения

Глобализация


Глобальное управления не готово к кибер-вызовам и геополитическим интересам Три примера усилий, которые, делая шаги в правильном направлении, могут создать трудности на практике:

Разработка эффективной нормативной базы требует идти в ногу с злоумышленниками. Однако на практике так происходит не всегда (например, поправки в Васенаарские соглашения)

Высота птичьего полета Разделяемый доступ Ужесточение контроля


Дилемма

Построить Купить Остаться позади


Зоопарк средств защиты создает сложное окружение для организаций

Большие, хорошо зарекомендовавшие себя

игроки

Только стандартизация и улучшение обмена информации в отрасли ИБ позволит лучше интегрировать решения от нишевых игроков и давно существующих компаний.

Организации, оказавшиеся

между

Нишевые игроки


Изменение бизнес-моделей

Сложность и фрагментация

Динамика ландшафта угроз

Производителей средств защиты

на RSA

Возросла потребность в кадрах ИБ

373 12x Среднее число вендоров

у корпоративного заказчика

50

Сложность Люди Фрагментация

Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют


Слабая прозрачность

Многовекторные и продвинутые угрозы

остаются незамеченными

Точечные продукты

Высокая сложность, меньшая

эффективность Ручные и статические механизмы

Медленный отклик, ручное управление, низкая результативность

Наличие обходных каналов

Мобильные устройства, Wi-Fi, флешки, ActiveSync,

CD/DVD и т.п.

75% CISO считают свои средства защиты «очень» или «всесторонне» эффективными

Традиционный индивидуалистичный подход не поспевает за угрозами


Заказчики должны требовать доверенные продукты от своих поставщиков Производители должны отвечать за уровень защищенности своих продуктов

Защищенная разработка Защищенное железо Защищенное внедрение Защищенная поставка


Внешние услуги закрывают разрыв

С ростом скорости появления и вариативности угроз и нехватки квалифицированных кадров, многие организации будут больше полагаться на внешних поставщиков услуг для управления рисками информационной безопасности

Персонал Оценка

Автоматизация/ Аналитика

Гибкие бизнес-модели Гибкость

Политика приватности


Точечные решения не могут идти в ногу с угрозами

Необходимость в интегрированной защите от угроз


Злоумышленники атакуют точечные решения с возрастающей скоростью

NGIPS

Malware Sandbox

IAM

Antivirus

IDS Firewall

VPN

Email

NGFW

Данные

Бездумная трата денег на новинки вместо того, чтобы сесть и подумать о целостной системе защиты


Данные

Злоумышленники атакуют точечные решения с возрастающей скоростью

NGIPS

Malware Sandbox

IAM

Antivirus

IDS Firewall

VPN

Email

NGFW

Время обнаружения:

200 дней

RansomwareNow targeting data

DomainShadowingOn the rise

Dridex850 unique mutations

identified first half 2015

SPAM

RombertikEvolves to evadeand destroy

AnglerConstantly upgradingand innovating

MalvertisingMutating to avoid detection


Только интегрированная защита может идти в ногу с угрозами

Данные

Systemic Response

Con

trol

Visibility Context Intelligence

Время обнаружения:

46 часов


Точечные и статичные решения


Фрагментация

Сложность

Требуют лишнего управления


Локализовать

Вылечить

Устранить причины

Непрерыв-ное

решение


Узнать

Применить политику

Усилить защиту

Идентифицировать

Блокировать

Отразить


Всепроникающий

Непрерывный

Всегда

Полное решение


CLUS: AMP

Data Center Закрыта сделка по Sourcefire

Security for ACI

AMP Everywhere OpenAppID

Managed Threat Defense

2014 MSR & Talos

2014 ASR

Global Security Sales Organization

Покупка Neohapsis

AMP Everywhere

Incident Response Service

Cisco ASA with FirePOWER Services

средних предприятий, удаленных офисов и

индустриального применения

Покупка ThreatGRID

Cisco ASA with FirePOWER Services

Security & Trust Organization

ISE 1.3 / AC 4.0 / CTD 2.0 Интеграция с EN

Инвестиции Cisco в ИБ в 2013-2015

40 © 2015 Cisco and/or its affiliates. All rights reserved. Сервисы

User

Endpoint

Филиалы

Service Provider

Edge

Data Center

Кампус

Операционные технологии

Экосистема

Cisco Hosted Identity Services

Cloud Web Security +

Intelligent WAN

AnyConnect featuring AMP for Endpoints

FirePOWER Threat Defense

for ISR

Threat-Centric Security for Service

Providers

ACI + FirePOWER Services Integration

Интеграция ACI с TrustSec

Развитие экосистемы

pxGrid

Индустриальная Cisco ASA with

FirePOWER Services

User


ПК

Интеграция AnyConnect с

AMP for Endpoints

Периметр

FirePOWER Threat Defense

for ISR

ЦОДы

Интеграция ACI + FirePOWER

Service

Операторы связи

FirePOWER 9300

User


Пользователи Cisco Hosted

Identity Services

Недавний анонс на CLUS


•  Злоумышленники быстро совершенствуют свои возможности с целью избегания обнаружения

•  Точечные решения создают слабые места в системе защиты

•  Интегрированная защита, построенная на доверенных продуктах и услугах, - лучшая защита

Выводы

2015 Midyear Security Report

cisco.com/go/msr2015

Полугодовой отчет cisco по информационной безопасности...

Technology