Эволюция архитектуры безопасности для эры...

Cisco 2015

Полугодовой отчет по ИБ

• Заблокированных угроз: 19,692,200,000 угроз в день

• Заблокировано спама: 2,557,767 сообщений/сек

• Web-запросов в день: 16.9 миллиардов

Что видит Cisco?

Изменение в поведении атак

Скорость Ловкость Адаптация Уничтожение

Инновации, использование старых приемов на новый лад

и обход защитных механизмов

Скорость означает новый уровень сложности.

Разработчики вредоносного

кода стали более

инновационными и быстрыми к

адаптациям

Ловкость нарушителей – их сила

Постоянные обновления увеличили уровень проникновения Angler до 40%

В два раза эффективнее, чем другие exploit kits в 2014

Скомпрометированная

система

Уязвимости Flash

Смена цели

AnglerНепрерывное забрасывание

«крючков в воду» увеличивает

шанс на компрометацию

Социальный

инжиниринг

Сайты-

однодневки

TTD

Меры

защитыБлокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email

Патчи: окно воздействияЛюди не очень оперативно обновляются до последних версий Flash и тем

самым создают возможности для Angler и других угроз, использующих

непропатченные уязвимости

Web-атаки стабильны (исключая Flash)

Java PDF FlashSilverlight

Декабрь 2014 – Май 2015

RombertikВредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и

пытаются воздействовать на него, он может уничтожить зараженную систему.

Уничтожение если

обнаружено• Уничтожение MBR

• После перезагрузки

компьютер перестает

работать

Получение

доступа• Спам

• Фишинг

• Социальный

инжиниринг

Уход от

обнаружения• Записать случайные

данные в память 960

миллионов раз

• Засорение памяти в

песочнице

Украсть данные

пользователя• Доставка данных

пользователя обратно

злоумышленникам

• Кража любых данных, а

не только банковских

Анти-анализ Стойкость Вредоносное поведение

Обход «песочниц»Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где

вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они

стали применяться все чаще.

Основные категории уязвимостей повторяются из года в год

CWE-119

Ошибки

буфера

471

CWE-20

Проверка ввода

244CWE-399

Ошибки

управления

ресурсами

238

CWE-200

Раскрытие/уте

чки

информации

138

CWE-264

Права,

привилегии &

контроль

доступа

155

Если все знают про эти проблемы, то почему они повторяются? Возможно

разработчики недооценивают SDLC? Или они спешат выпустить продукт в ущерб ИБ?

Постоянная модификация вредоносного кодаAdware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем

самым увеличивая «эффективность» по отношению к скомпрометированным пользователям

Число скомпрометированных

пользователей:Новая схема URL vs. старая схема URL

Новая схема URL

драматически

опережает старую.

Изменение домена –

раз в 3 месяца (уже

500 доменов)

Непрерывное

изменение имен Add-

On для браузера (уже

4000 имен)

Формирование индустрии киберпреступности

От $450 миллиардов

к

$1 триллионуНомер SSN

$1

Мобильноевредоносное ПО

$150

$Информация о

банковском счете>$1000 зависит от

типа счета и суммына нем

Учетная записьFacebook

$1 за учетнуюзапись с

15 друзьями

Данныеплатежных карт

$0.25-$60

Разработкавредоносного ПО

$2500(коммерческое ПО)

DDoS

DDoS как сервис~$7/час

Спам$50/500K

emails Медицинские

записи>$50

Эксплойты$1000-$300K

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12

“Версия”: число раз, когда Cisco обновляла оповещения, когда производители пытались выявить и устранить эти уязвимости в своих продуктах

9версий

Open SSL

(FREAK)

1версия

QEMU Virtual

Floppy Disk

Controller

(VENOM)

22версии

Open SSL

(Heartbleed)

25версий

GNU Bash

(Shellshock)

15версий

GNU C glibc

(Ghost)

Процесс управления патчами минимизирует ночные кошмары от

отслеживания, координации и внедрения обновлений

Патчи для open source: управление поставками ПО становится критичной задачей

32версии

SSL 3.0 Fallback

(POODLE)

Эволюция вымогателей: Цель – данные, а не системы

TORВымогатели теперь

полностью автоматизированы

и работают через анонимные

сети

$300-$500Злоумышленники

провели

собственное

исследование

идеальной точки

цены. Сумма

выкупа не

чрезмерна

Личные файлы

Финансовые

данные

Email

Фото

Фокусировка

вымогателей –

редкие языки

(например,

исландский) или

группы

пользователей

(например,

онлайн-геймеры)

Dridex: воскрешение старых методовИспользование «старых» методов, краткосрочность и постоянная мутация

приводят к сложностям в блокировании макровирусов

Кампания

стартовала

Обнаружена с помощью

Outbreak Filters

Антивирусный движок

обнаруживает Dridex

Но злоумышленники все

равно проникли в систему

Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex,

действующих не более нескольких часов

Риск поймать вредоносный код зависит от индустрииНикто не застрахован от нападения

Это только вопрос

времени, когда

злоумышленники

увидят потенциал в

отраслях, находящихся

«справа»

Карта отражает не объем активности в этих странах. Страны с высоким рейтингом имеют множество Web-

серверов и узлов с неисправленными уязвимостями в своих сетях.

Россия 0,936

Япония 1,134

Китай 4,126

Гонгконг 6,255

Франция 4,197

Германия 1,277

Польша 1,421

Канада 0,863

США 0,760

Бразилия 1,135

Вредоносный код в международном масштабеЗлоумышленники не признают границ Malware Traffic

Expected Traffic

Спам в международном масштабеВ России объемы спама только выросли. В два раза!

Время обнаруженияТекущее значение TTD в индустрии - 200 дней, что недопустимо

46200 VSЧАСОВДНЕЙ

Индустрия Cisco

Значение TTD вычисляется с помощью механизма ретроспективной

безопасности, встроенной в решения Cisco и позволяющей отправлять

отпечатки каждого файла в облачный сервис Cisco

Анализ и наблюдения

Глобализация

Глобальное управления не готово к кибер-вызовам и геополитическим интересамТри примера усилий, которые, делая шаги в правильном направлении, могут создать трудности на

практике:

Разработка эффективной нормативной базы требует идти в ногу с

злоумышленниками. Однако на практике так происходит не всегда (например,

поправки в Васенаарские соглашения)

Высота птичьего полета Разделяемый доступ Ужесточение контроля

Дилемма

Построить Купить Остаться позади

Зоопарк средств защиты создает сложное окружение для организаций

Большие, хорошо

зарекомендовавшие себя

игроки

Только стандартизация и улучшение обмена информации в отрасли ИБ позволит

лучше интегрировать решения от нишевых игроков и давно существующих

компаний.

Организации,

оказавшиеся

между

Нишевые игроки

Изменение

бизнес-моделей

Сложность и

фрагментация

Динамика

ландшафта угроз

Производителей

средств защиты

на RSA

Возросла

потребность в

кадрах ИБ

373 12x

Среднее число вендоров

у корпоративного

заказчика

50

Сложность ЛюдиФрагментаци

я

Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют

75%CISO считают свои

средства защиты

«очень» или

«всесторонне»

эффективными

Традиционный индивидуалистичный подход не поспевает за угрозами

Заказчики должны требовать доверенные продукты от своих поставщиковПроизводители должны отвечать за уровень защищенности своих продуктов

Защищенная разработка Защищенное железо Защищенное внедрение Защищенная поставка

Внешние услуги закрывают разрыв

С ростом скорости появления и вариативности угроз и нехватки

квалифицированных кадров, многие организации будут больше

полагаться на внешних поставщиков услуг для управления

рисками информационной безопасности

ПерсоналОценка

Автоматизация

/ Аналитика

Гибкие бизнес-

модели Гибкость

Политика приватности

Точечные решения не могут идти в ногу с угрозами

Необходимость в

интегрированной защите от

угроз

Злоумышленники атакуют точечные решения с возрастающей скоростью

NGIPS

MalwareSandbox

IAM

Antivirus

IDS

Firewall

VPN

Email

NGFW

Данные

Бездумная трата

денег на новинки

вместо того,

чтобы сесть и

подумать о

целостной

системе защиты

Данные

Злоумышленники атакуют точечные решения с возрастающей скоростью

NGIPS

MalwareSandbox

IAM

Antivirus

IDSFirewall

VPN

Email

NGFW

Время обнаружения:

200 дней

Только интегрированная защита может идти в ногу с угрозами

Данные

Systemic Response

Время обнаружения:

46 часов

Пора задуматься о смене стратегии

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33

Высокая мотивация

киберкриминала

Изменение

бизнес-моделей

Динамичность

ландшафта угроз

Думать как злоумышленник

© 2015 Cisco and/or its affiliates. All rights reserved. 34

Точечные

и

статичные

решения

© 2015 Cisco and/or its affiliates. All rights reserved. 35

Фрагментация

Сложность

Требуют лишнего

управления

Локализовать

Вылечить

Устранить причины

Непрерыв-

ное

решение

© 2015 Cisco and/or its affiliates. All rights reserved. 36

Узнать

Применить политику

Усилить защиту

Идентифицировать

Блокировать

Отразить

Всепроникающий

Непрерывный

Всегда

Полное

решение

Сервисы

User

Endpoint

Филиалы

Service

Provider

Edge

Data

Center

Кампус

Операционные

технологии

Экосистема

Cisco Hosted

Identity Services

Cloud Web

Security +

Intelligent WAN

AnyConnect

featuring AMP

for Endpoints

FirePOWER

Threat Defense

for ISR

Threat-Centric

Security for Service

Providers

ACI + FirePOWER

Services Integration

Интеграция ACI

с TrustSec

Развитие

экосистемы

pxGrid

Индустриальная

Cisco ASA with

FirePOWER

Services

User

Cisco Hosted

Identity ServicesПК

Интеграция

AnyConnect с

AMP for

Endpoints

Периметр

FirePOWER

Threat Defense

for ISR

ЦОДы

Интеграция ACI +

FirePOWER

Service

Операторы

связи

FirePOWER 9300

User

Cisco Hosted

Identity Services

Пользователи

Cisco Hosted

Identity Services

Недавний анонсна CLUS

• Злоумышленники быстро совершенствуют свои

возможности с целью избегания обнаружения

• Точечные решения создают слабые места в системе

защиты

• Интегрированная защита, построенная на доверенных

продуктах и услугах, - лучшая защита

Выводы

2015 Midyear Security Report

cisco.com/go/msr2015