Информационная безопасность и фактор времени

Алексей Лукацкий, бизнес-консультант по ИБ

Информационная безопасность и фактор времени

2 © 2015 Cisco and/or its affiliates. All rights reserved.

Время не на нашей стороне

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы

3 © 2015 Cisco and/or its affiliates. All rights reserved.

Скорость означает новый уровень сложности.

Злоумышленники и время

4 © 2015 Cisco and/or its affiliates. All rights reserved.

Изменение в поведении атак

Скорость Ловкость Адаптация Уничтожение

Инновации, использование старых приемов на новый лад и обход защитных механизмов

5 © 2015 Cisco and/or its affiliates. All rights reserved.

Домены-однодневки и постоянное изменение

Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014

Скомпрометированная система

Уязвимости Flash

Смена цели

Вымогатели

Angler Непрерывное забрасывание

«крючков в воду» увеличивает шанс на компрометацию

Шифрование тела ВПО Социальный инжиниринг

Смена IP Сайты-однодневки Ежедневн

ые

доработки

TTD

Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email

6 © 2015 Cisco and/or its affiliates. All rights reserved.

76110

12/2014 1/2015 2/2015 3/2015 4/2015 5/2015

New URLScheme

Com

prom

ised

Use

rs

Old URLScheme

27425 2404018960 20863

47688

76110

736913163

9010 11958 14730 12008

Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям

Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL

Новая схема URL драматически опережает старую.

Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add-On для браузера (уже 4000 имен)

7 © 2015 Cisco and/or its affiliates. All rights reserved.

Черные списки плохо помогают в борьбе с сайтами-однодневками

71% вредоносных сайтов существует всего 1 день и

меньше

8 © 2015 Cisco and/or its affiliates. All rights reserved.

Dridex: краткосрочность и мутация Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов

Кампания стартовала

Обнаружена с помощью Outbreak Filters

Антивирусный движок обнаруживает Dridex

Но злоумышленники все равно проникли в систему

Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов

9 © 2015 Cisco and/or its affiliates. All rights reserved.

Время обнаружения угрозы в индустрии Текущее значение TTD в индустрии - 200 дней, что недопустимо

46 200 VS ЧАСОВ ДНЕЙ

Индустрия Cisco

Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять

отпечатки каждого файла в облачный сервис Cisco

10 © 2015 Cisco and/or its affiliates. All rights reserved.

Чаще обновляйте свои средства защиты

Угрозы обновляются ежечасно

Обновляйте ежечасно и

средства защиты

11 © 2015 Cisco and/or its affiliates. All rights reserved.

Человеческая лень и самомнение увеличивают шансы злоумышленников

Время и вы

12 © 2015 Cisco and/or its affiliates. All rights reserved.

Дефицит обнаружения

2015 Data Breach Investigations Report by Verizon

•  В 60% нападающие проникали в сети организаций за минуты

13 © 2015 Cisco and/or its affiliates. All rights reserved.

Время обнаружения вторжения

Bitglass

205

Trustwave

188

Mandiant

229

2287 дней – один из самых долгих инцидентов в 2014-м году

Ponemon

206

HP

416 Symantec

305

14 © 2015 Cisco and/or its affiliates. All rights reserved.

Пользователи и администраторы тоже «спят»

50% пользователей открывают e-mail и кликают по фишинговым ссылкам в

первый час

Для 99,9% использованных уязвимостей бюллетень CVE был опубликован больше чем

за год до атаки

2015 Data Breach Investigations Report by Verizon

15 © 2015 Cisco and/or its affiliates. All rights reserved.

Время на устранение уязвимостей

Финансы

176 Здравоохранение

97

Облачные провайдеры

50 Образование

176

2015 State of Vulnerability Risk Management by NopSec

16 © 2015 Cisco and/or its affiliates. All rights reserved.

Уязвимости на уровне сети устраняются очень медленно

Внешняя сеть

182 Внутренняя сеть

101

Web-приложения

20

2015 State of Vulnerability Risk Management by NopSec

17 © 2015 Cisco and/or its affiliates. All rights reserved.

Уязвимости в Web остаются открытыми годами

Ритейл

947 ИТ

654

Проф. услуги

1027

Финансы

739

Госорганы

1033

Здоровье

572

Производ

556

Пищевая

502

Транспорт

299

2015 Website Security Statistics Report by Whitehat Security

18 © 2015 Cisco and/or its affiliates. All rights reserved.

Службы ИБ/ИТ работают медленнее нападающих

100-120 дней на устранение уязвимостей

Вероятность эксплуатации уязвимостей в первые

40-60 дней достигает 90%

The Remediation Gap: Why Companies Are Losing the Battle Against Non-Targeted Attacks by Kenna

19 © 2015 Cisco and/or its affiliates. All rights reserved.

•  Службы ИТ/ИБ работают медленнее нападающих

•  Устраняться могут уязвимости, неинтересующие злоумышленников

•  Своевременное обновление приложений остается одной из ключевых задач предприятий

А у вас есть стратегия обновлений?

Например, Heartbleed

56% открытых SSL-версий старше 50 месяцев

20 © 2015 Cisco and/or its affiliates. All rights reserved.

Обновляйтесь сами

Не почивайте на лаврах – постоянно совершенствуйтесь

Не кладите все яйца в одну корзину

21 © 2015 Cisco and/or its affiliates. All rights reserved.

Пора задуматься о смене стратегии

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21

22 © 2015 Cisco and/or its affiliates. All rights reserved.

Выводы

Не закрывать глаза на проблему

Увеличить частоту

обновления

Мониторить и реагировать, а не только защищать

Повышать собственные знания

Не зависеть от одного средства

23 © 2015 Cisco and/or its affiliates. All rights reserved.

Дополнительная информация

24 © 2015 Cisco and/or its affiliates. All rights reserved.

Дополнительная информация

25 © 2015 Cisco and/or its affiliates. All rights reserved.

Дополнительная информация

26 © 2015 Cisco and/or its affiliates. All rights reserved.