Полугодовой отчет cisco по информационной безопасности...
TRANSCRIPT
19 августа, 2015 Алексей Лукацкий, бизнес-консультант по ИБ
Cisco 2015 Полугодовой отчет по ИБ
2 © 2015 Cisco and/or its affiliates. All rights reserved.
• Заблокированных угроз: 19,692,200,000 угроз в день
• Заблокировано спама: 2,557,767 сообщений/сек
• Web-запросов в день: 16.9 миллиардов
Что видит Cisco?
3 © 2015 Cisco and/or its affiliates. All rights reserved.
Изменение в поведении атак
Скорость Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад и обход защитных механизмов
4 © 2015 Cisco and/or its affiliates. All rights reserved.
Скорость означает новый уровень сложности.
Разработчики вредоносного кода стали более инновационными и быстрыми к адаптациям
5 © 2015 Cisco and/or its affiliates. All rights reserved.
Ловкость нарушителей – их сила
Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная система
Уязвимости Flash
Смена цели
Вымогатели
Angler Непрерывное забрасывание
«крючков в воду» увеличивает шанс на компрометацию
Шифрование тела ВПО Социальный инжиниринг
Смена IP Сайты-однодневки Ежедневн
ые
доработки
TTD
Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email
6 © 2015 Cisco and/or its affiliates. All rights reserved.
Знаете ли вы, кто это?
7 © 2015 Cisco and/or its affiliates. All rights reserved.
Патчи: окно воздействия Люди не очень оперативно обновляются до последних версий Flash и тем самым создают возможности для Angler и других угроз, использующих непропатченные уязвимости
Angler Exploit Vulnerability
User Activity
Update Published
Version
15.0.0.246
16.0.0.235
16.0.0.257
16.0.0.287
16.0.0.296
16.0.0.305
17.0.0.134
17.0.0.169
17.0.0.188
CVE-2015-0310
CVE-2015-0313
CVE-2015-0336
CVE-2015-0359
CVE-2015-0390
1 FEB 1 MAR 1 APR 1 MAY 1 JUN
8 © 2015 Cisco and/or its affiliates. All rights reserved.
Web-атаки стабильны (исключая Flash)
Java PDF Flash Silverlight
Декабрь 2014 – Май 2015
9 © 2015 Cisco and/or its affiliates. All rights reserved.
Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему.
Уничтожение если обнаружено • Уничтожение MBR • После перезагрузки компьютер перестает работать
Получение доступа • Спам • Фишинг • Социальный инжиниринг
Уход от обнаружения • Записать случайные данные в память 960 миллионов раз
• Засорение памяти в песочнице
Украсть данные пользователя • Доставка данных пользователя обратно злоумышленникам
• Кража любых данных, а не только банковских
Анти-анализ Стойкость Вредоносное поведение
10 © 2015 Cisco and/or its affiliates. All rights reserved.
Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.
11 © 2015 Cisco and/or its affiliates. All rights reserved.
Основные категории уязвимостей повторяются из года в год
CWE-119 Ошибки буфера
471
CWE-20 Проверка ввода
244 CWE-399 Ошибки
управления ресурсами
238 CWE-200 Раскрытие/утечки
информации
138
CWE-264 Права,
привилегии & контроль доступа
155
Если все знают про эти проблемы, то почему они повторяются? Возможно разработчики недооценивают SDLC? Или они спешат выпустить продукт в ущерб ИБ?
12 © 2015 Cisco and/or its affiliates. All rights reserved.
76110
12/2014 1/2015 2/2015 3/2015 4/2015 5/2015
New URLScheme
Com
prom
ised
Use
rs
Old URLScheme
27425 2404018960 20863
47688
76110
736913163
9010 11958 14730 12008
Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL
Новая схема URL драматически опережает старую.
Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add-On для браузера (уже 4000 имен)
13 © 2015 Cisco and/or its affiliates. All rights reserved.
Формирование индустрии киберпреступности
От $450 миллиардов к
$1 триллиону Номер SSN
$1
Мобильное вредоносное ПО
$150
$ Информация о банковском счете >$1000 зависит от типа счета и суммы
на нем
Учетная запись Facebook
$1 за учетную запись с
15 друзьями
Данные платежных карт
$0.25-$60
Разработка вредоносного ПО
$2500 (коммерческое ПО)
DDoS
DDoS как сервис ~$7/час
Спам $50/500K
emails Медицинские
записи >$50
Эксплойты $1000- $300K
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
14 © 2015 Cisco and/or its affiliates. All rights reserved.
“Версия”: число раз, когда Cisco обновляла оповещения, когда производители пытались выявить и устранить эти уязвимости в своих продуктах
9 версий
Open SSL (FREAK)
1 версия
QEMU Virtual Floppy Disk Controller (VENOM)
22 версии
Open SSL (Heartbleed)
25 версий
GNU Bash (Shellshock)
15 версий
GNU C glibc (Ghost)
Процесс управления патчами минимизирует ночные кошмары от отслеживания, координации и внедрения обновлений
Патчи для open source: управление поставками ПО становится критичной задачей
32 версии
SSL 3.0 Fallback (POODLE)
15 © 2015 Cisco and/or its affiliates. All rights reserved.
Эволюция вымогателей: Цель – данные, а не системы
TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети
$300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна
Личные файлы
Финансовые данные
Фото
Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)
16 © 2015 Cisco and/or its affiliates. All rights reserved.
Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов
Кампания стартовала
Обнаружена с помощью Outbreak Filters
Антивирусный движок обнаруживает Dridex
Но злоумышленники все равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
17 © 2015 Cisco and/or its affiliates. All rights reserved.
0
1
2
3
4
Electr
onics
Indus
trial
Profes
siona
l Serv
ices
Clubs &
Organiz
ations
Transp
ortatio
n & Sh
ipping
Manufa
cturin
g
Energ
y, Oil, a
nd Gas
Utilities
IT & T
eleco
mmunica
tions
Retail
& Who
lesale
Trave
l & Le
isure
Insura
nce
Banki
ng &
Finan
ce
Food
& Be
verag
e
Charitie
s & NGO
Pharm
aceu
tical &
Chemica
l
Educ
ation
Autom
otive
Govern
ment
Engin
eerin
g & Con
struc
tion
Enter
tainmen
t
Real E
state
& Lan
d Mgm
t
Agric
ulture
& Minin
gLe
gal
Healthc
are
Риск поймать вредоносный код зависит от индустрии Никто не застрахован от нападения
Это только вопрос времени, когда злоумышленники увидят потенциал в отраслях, находящихся «справа»
18 © 2015 Cisco and/or its affiliates. All rights reserved.
Карта отражает не объем активности в этих странах. Страны с высоким рейтингом имеют множество Web-серверов и узлов с неисправленными уязвимостями в своих сетях.
Россия 0,936
Япония 1,134 Китай 4,126 Гонгконг 6,255
Франция 4,197 Германия 1,277
Польша 1,421 Канада 0,863
США 0,760
Бразилия 1,135
Вредоносный код в международном масштабе Злоумышленники не признают границ Malware Traffic
Expected Traffic
19 © 2015 Cisco and/or its affiliates. All rights reserved.
Спам в международном масштабе В России объемы спама только выросли. В два раза!
20 © 2015 Cisco and/or its affiliates. All rights reserved.
Время обнаружения Текущее значение TTD в индустрии - 200 дней, что недопустимо
46 200 VS ЧАСОВ ДНЕЙ
Индустрия Cisco
Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять
отпечатки каждого файла в облачный сервис Cisco
21 © 2015 Cisco and/or its affiliates. All rights reserved.
Время обнаружения меняется в ту или иную сторону
Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять
отпечатки каждого файла в облачный сервис Cisco
22 © 2015 Cisco and/or its affiliates. All rights reserved.
Анализ и наблюдения
Глобализация
23 © 2015 Cisco and/or its affiliates. All rights reserved.
Глобальное управления не готово к кибер-вызовам и геополитическим интересам Три примера усилий, которые, делая шаги в правильном направлении, могут создать трудности на практике:
Разработка эффективной нормативной базы требует идти в ногу с злоумышленниками. Однако на практике так происходит не всегда (например, поправки в Васенаарские соглашения)
Высота птичьего полета Разделяемый доступ Ужесточение контроля
24 © 2015 Cisco and/or its affiliates. All rights reserved.
Дилемма
Построить Купить Остаться позади
25 © 2015 Cisco and/or its affiliates. All rights reserved.
Зоопарк средств защиты создает сложное окружение для организаций
Большие, хорошо зарекомендовавшие себя
игроки
Только стандартизация и улучшение обмена информации в отрасли ИБ позволит лучше интегрировать решения от нишевых игроков и давно существующих компаний.
Организации, оказавшиеся
между
Нишевые игроки
26 © 2015 Cisco and/or its affiliates. All rights reserved.
Изменение бизнес-моделей
Сложность и фрагментация
Динамика ландшафта угроз
Производителей средств защиты
на RSA
Возросла потребность в кадрах ИБ
373 12x Среднее число вендоров
у корпоративного заказчика
50
Сложность Люди Фрагментация
Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют
27 © 2015 Cisco and/or its affiliates. All rights reserved.
Слабая прозрачность
Многовекторные и продвинутые угрозы
остаются незамеченными
Точечные продукты
Высокая сложность, меньшая
эффективность Ручные и статические механизмы
Медленный отклик, ручное управление, низкая результативность
Наличие обходных каналов
Мобильные устройства, Wi-Fi, флешки, ActiveSync,
CD/DVD и т.п.
75% CISO считают свои средства защиты «очень» или «всесторонне» эффективными
Традиционный индивидуалистичный подход не поспевает за угрозами
28 © 2015 Cisco and/or its affiliates. All rights reserved.
Заказчики должны требовать доверенные продукты от своих поставщиков Производители должны отвечать за уровень защищенности своих продуктов
Защищенная разработка Защищенное железо Защищенное внедрение Защищенная поставка
29 © 2015 Cisco and/or its affiliates. All rights reserved.
Внешние услуги закрывают разрыв
С ростом скорости появления и вариативности угроз и нехватки квалифицированных кадров, многие организации будут больше полагаться на внешних поставщиков услуг для управления рисками информационной безопасности
Персонал Оценка
Автоматизация/ Аналитика
Гибкие бизнес-модели Гибкость
Политика приватности
30 © 2015 Cisco and/or its affiliates. All rights reserved.
Точечные решения не могут идти в ногу с угрозами
Необходимость в интегрированной защите от угроз
31 © 2015 Cisco and/or its affiliates. All rights reserved.
Злоумышленники атакуют точечные решения с возрастающей скоростью
NGIPS
Malware Sandbox
IAM
Antivirus
IDS Firewall
VPN
NGFW
Данные
Бездумная трата денег на новинки вместо того, чтобы сесть и подумать о целостной системе защиты
32 © 2015 Cisco and/or its affiliates. All rights reserved.
Данные
Злоумышленники атакуют точечные решения с возрастающей скоростью
NGIPS
Malware Sandbox
IAM
Antivirus
IDS Firewall
VPN
NGFW
Время обнаружения:
200 дней
RansomwareNow targeting data
DomainShadowingOn the rise
Dridex850 unique mutations
identified first half 2015
SPAM
RombertikEvolves to evadeand destroy
AnglerConstantly upgradingand innovating
MalvertisingMutating to avoid detection
33 © 2015 Cisco and/or its affiliates. All rights reserved.
Только интегрированная защита может идти в ногу с угрозами
Данные
Systemic Response
Con
trol
Visibility Context Intelligence
Время обнаружения:
46 часов
34 © 2015 Cisco and/or its affiliates. All rights reserved.
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
35 © 2015 Cisco and/or its affiliates. All rights reserved.
Высокая мотивация киберкриминала
Изменение бизнес-моделей
Динамичность ландшафта угроз
Думать как злоумышленник
© 2015 Cisco and/or its affiliates. All rights reserved. 35
36 © 2015 Cisco and/or its affiliates. All rights reserved.
Точечные и статичные решения
© 2015 Cisco and/or its affiliates. All rights reserved. 36
Фрагментация
Сложность
Требуют лишнего управления
37 © 2015 Cisco and/or its affiliates. All rights reserved.
Локализовать
Вылечить
Устранить причины
Непрерыв-ное
решение
© 2015 Cisco and/or its affiliates. All rights reserved. 37
Узнать
Применить политику
Усилить защиту
Идентифицировать
Блокировать
Отразить
38 © 2015 Cisco and/or its affiliates. All rights reserved.
Всепроникающий
Непрерывный
Всегда
Полное решение
39 © 2015 Cisco and/or its affiliates. All rights reserved.
CLUS: AMP
Data Center Закрыта сделка по Sourcefire
Security for ACI
AMP Everywhere OpenAppID
Managed Threat Defense
2014 MSR & Talos
2014 ASR
Global Security Sales Organization
Покупка Neohapsis
AMP Everywhere
Incident Response Service
Cisco ASA with FirePOWER Services
средних предприятий, удаленных офисов и
индустриального применения
Покупка ThreatGRID
Cisco ASA with FirePOWER Services
Security & Trust Organization
ISE 1.3 / AC 4.0 / CTD 2.0 Интеграция с EN
Инвестиции Cisco в ИБ в 2013-2015
40 © 2015 Cisco and/or its affiliates. All rights reserved. Сервисы
User
Endpoint
Филиалы
Service Provider
Edge
Data Center
Кампус
Операционные технологии
Экосистема
Cisco Hosted Identity Services
Cloud Web Security +
Intelligent WAN
AnyConnect featuring AMP for Endpoints
FirePOWER Threat Defense
for ISR
Threat-Centric Security for Service
Providers
ACI + FirePOWER Services Integration
Интеграция ACI с TrustSec
Развитие экосистемы
pxGrid
Индустриальная Cisco ASA with
FirePOWER Services
User
Cisco Hosted Identity Services
ПК
Интеграция AnyConnect с
AMP for Endpoints
Периметр
FirePOWER Threat Defense
for ISR
ЦОДы
Интеграция ACI + FirePOWER
Service
Операторы связи
FirePOWER 9300
User
Cisco Hosted Identity Services
Пользователи Cisco Hosted
Identity Services
Недавний анонс на CLUS
41 © 2015 Cisco and/or its affiliates. All rights reserved.
• Злоумышленники быстро совершенствуют свои возможности с целью избегания обнаружения
• Точечные решения создают слабые места в системе защиты
• Интегрированная защита, построенная на доверенных продуктах и услугах, - лучшая защита
Выводы
2015 Midyear Security Report
cisco.com/go/msr2015