Годовой отчет Cisco по безопасности за 2014 год

Годовой отчет Cisco по безопасности за 2014 год

2 Годовой отчет Cisco по безопасности за 2014 год

ОбзорПроблема доверия

Злоупотребление доверием — это стандартный способ поведения организаторов интернет-атак и других злоумышленников. Они используют доверие к системам, приложениям, людям и организациям, с которыми пользователи регулярно взаимодействуют. Эта стратегия работает. Существует множество доказательств того, что злоумышленники изобретают новые методы внедрения своего вредоносного ПО в сети, оставаясь необнаруженными в течение длительного времени. Они похищают данные или вызывают сбои критически важных систем.

С помощью разнообразных методов — от кражи паролей и учетных данных по принципу социальной инженерии до малозаметных, замаскированных проникновений в систему в течение нескольких минут — преступники продолжают злоупотреблять общественным доверием для достижения пагубных последствий. Однако проблема доверия выходит за рамки эксплуатации уязвимостей или обмана пользователей методами социальной инженерии: действия злоумышленников подрывают доверие к государственным и частным организациям.

Современные сети сталкиваются с двумя формами подрыва доверия. С одной стороны, заказчики все меньше уверены в неуязвимости продуктов. С другой стороны, растет уверенность в способности злоумышленников обходить механизмы проверки доверия. Это ставит под вопрос эффективность архитектур обеспечения качества, проверки подлинности и аутентификации для сетей и приложений.

В этом отчете компания Cisco представляет данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Кроме того, в отчете анализируются кампании, ориентированные на конкретные организации, группы и сферы деятельности. В нем также исследуется тот факт, что злоумышленники, пытающиеся похитить конфиденциальную информацию, становятся все более изощренными. В конце отчета приводятся рекомендации изучать модели безопасности во всей их полноте и получать всю доступную информацию на протяжении всего периода атаки — до атаки, во время и после нее.

Злоумышленники продолжают

совершенствовать способы использования

доверия общественности для достижения своих преступных целей.

http://www.cisco.com


Основные выводыНиже представлены три основных вывода, к которым пришли составители годового отчета Cisco по безопасности за 2014 г.

Целью атак на инфраструктуру являются значимые ресурсы Интернета.

• Злоумышленники получают доступ к серверам хостинга, серверам имен и центрам обработки данных. Это подразумевает создание «суперботов», занимающихся поиском информационно насыщенных ресурсов с безупречной репутацией.

• Основной угрозой являются ошибки буферизации — на них приходится 21 % категорий угроз из списка стандартных уязвимостей (Common Weakness Enumeration, CWE).

• Все чаще от вредоносного ПО страдают производители электроники, представители сельского хозяйства и предприятия горнодобычи — для них частота атак почти в 6 раз превышает средние по отраслям.

Злоумышленники используют доверенные приложения для проникновения через бреши в безопасности периметра.

• Объемы спама продолжают сокращаться, хотя доля злоумышленного спама остается неизменной.

• 91 % всех зараженных веб-страниц содержат Java; 76 % компаний, пользующихся услугами Cisco Web Security, работают с Java 6 — устаревшей и неподдерживаемой версией.

• В атаках типа watering hole для доставки вредоносного ПО используются конкретные отраслевые веб-сайты.

В ходе расследований, проведенных международными компаниями, были обнаружены многочисленные примеры компрометации со стороны внутренних ресурсов. Подозрительный трафик исходит из таких корпоративных сетей и пытается подключиться к сомнительным сайтам (100 % компаний обращаются к узлам с вредоносным ПО).

• Изучение индикаторов компрометации показывает, что проникновения в сеть могут оставаться необнаруженными в течение длительного времени.

• Количество оповещений об угрозах увеличивается на 14 % в годовом исчислении; растет и число новых (необновленных) оповещений.

• Девяносто девять процентов всего мобильного вредоносного ПО в 2013 году было направлено против устройств Android. Показатели встречаемости разного рода вредоносного ПО, передаваемого через Интернет, также наиболее высоки среди пользователей Android (71 %).



Материалы отчета В годовом отчете Cisco по безопасности за 2014 г. представлены аналитические сведения о безопасности в четырех ключевых областях.

Доверие

Всем организациям необходимо уделять больше внимания поиску оптимального соотношения между доверием, прозрачностью и конфиденциальностью, потому что на кону стоит немало. В этой области рассматриваются три фактора, из-за которых попытки специалистов по безопасности помочь своим организациям достичь такого баланса наталкиваются на еще большие сложности:

•увеличенная поверхность атаки;

•распространение и усложнение модели атаки;

•сложность угроз и решений.

Интеллектуальные средства мониторинга угроз

Компании Cisco и Sourcefire, используя широчайший набор доступных телеметрических средств обнаружения, проанализировали и собрали воедино сведения о безопасности за прошедший год:

•целью атак на инфраструктуру являются значимые ресурсы Интернета;

•злоумышленники используют доверенные приложения для проникновения через бреши в безопасности периметра;

•изучение индикаторов компрометации показывает, что проникновения в сеть могут оставаться необнаруженными в течение длительного времени.



Отраслевые факторы

В этом разделе специалисты подразделения Cisco Security Intelligence Operations (SIO) обсуждают отраслевые тенденции, которые выходят за рамки телеметрии Cisco, но тем не менее влияют на практические меры обеспечения безопасности: от перебора паролей, крупномасштабных DDoS-атак и программ-вымогателей до растущей значимости облака, нехватки умелых специалистов по безопасности и прочее.

Рекомендации

В организациях увеличивается поверхность атаки, модели атак становятся все более изощренными и сложными, растет сложность сетей. Многие стремятся к формированию единой концепции безопасности, в основе которой лежала бы эффективная стратегия, подразумевающая использование новых технологий, упрощающая их архитектуру и эксплуатацию и расширяющая возможности специалистов по обеспечению безопасности.

В этом разделе рассказывается о том, как основанная на защите от угроз модель безопасности позволяет специалистам бороться с атаками на всем пути распространения угроз, по всем векторам атак, последовательно реагируя на них в любое время — перед атакой, во время атаки и после нее.



Оценка компанией Cisco ландшафта угроз

Cisco играет критически важную роль в оценке угроз, учитывая распространенность решений компании и разнообразие аналитических механизмов обеспечения безопасности.

• 16 млрд веб-запросов ежедневно анализируется с использованием службы Cisco Cloud Web Security.

• 93 млрд сообщений эл. почты изучается каждый день с использованием размещенного решения Cisco для работы с электронной почтой.

• 200 000 IP-адресов оценивается ежедневно.

• 400 000 примеров вредоносного ПО оценивается ежедневно.

• 33 млн файлов на конечных устройствах ежедневно оценивается с помощью FireAMP

• 28 млн сетевых подключений ежедневно оценивается с помощью FireAMP.

В результате этой деятельности специалисты Cisco обнаруживают следующие угрозы:

• 4,5 млрд сообщений эл. почты блокируется ежедневно.

• 80 млн веб-запросов блокируется ежедневно.

• 6 450 угроз в файлах на конечных устройствах обнаруживается ежедневно в FireAMP.

• 3 186 сетевых угроз на конечных устройствах обнаруживается ежедневно в FireAMP.

• 50 000 сетевых вторжений обнаруживается ежедневно.



СодержаниеДоверие .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

Новые способы ведения бизнеса, новые пробелы в системе безопасности.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Подрыв доверия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Основные сложности в области безопасности на 2014 год . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Прозрачные системы, которым можно доверять . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

Интеллектуальные средства мониторинга угроз .. . . . . . . . . . . . . . . . . . . . . . . . . . 20Увеличение числа оповещений об угрозах . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21Уменьшение объемов спама, сохранение угроз, связанных со злоумышленным спамом . . . . . . . . . . . . . . . . . . . . .24Веб-эксплойты: Java возглавляет список . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28BYOD и мобильность: повышение зрелости устройств выгодно киберпреступности . . . . . . . . . . . . . . . . . . . . . . . . . 32Целенаправленные атаки: проблема изгнания настойчивых и вездесущих «посетителей» . . . . . . . . . . . . . . . . . . 36Вредоносное ПО: тенденции, отмеченные в 2013 году . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Основные цели: отраслевые вертикали . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Трещины в хрупкой экосистеме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Вредоносный трафик, распространенный признак целенаправленных атак, обнаружен во всех корпоративных сетях . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Отраслевые факторы ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Перебор паролей — одна из распространенных тактик компрометации веб-сайтов . . . . . . . . . . . . . . . . . . . . . . . . . . 53DDoS-атаки: новое — это хорошо забытое старое . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55DarkSeoul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Нехватка высококлассных специалистов по безопасности и отсутствие необходимых решений . . . . . . . . . . . 60Облако — это новый периметр . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61

Рекомендации .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Цели на 2014 год: проверка благонадежности и повышение прозрачности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Приложение .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Организациям по безопасности нужны специалисты по работе с данными . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Сведения о подразделении Cisco SIO .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Cisco SIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78

Об этом документе В этом документе содержатся доступные для поиска и распространения материалы.

С помощью следующего значка можно открыть функцию поиска в Adobe Acrobat.

Рекомендованное ПО Adobe Acrobat 7.0 и более поздних версий

С помощью этих значков вы сможете поделиться материалом.[ ]



ДовериеВсем организациям необходимо уделять больше внимания поиску оптимального соотношения между доверием, прозрачностью и конфиденциальностью, потому что на кону стоит немало.


9 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Доверие

Новые способы ведения бизнеса, новые пробелы в системе безопасностиСлабые звенья в цепочке поставки технологий — лишь один из аспектов современного комплексного ландшафта киберугроз и рисков. Среди других можно отметить появление инфраструктуры с произвольным составом компонентов, в которой каждое устройство, независимо от своего местоположения, может свободно переходить из одного экземпляра сети в другой1. Кроме того, появляется все больше устройств с поддержкой Интернета (смартфонов, планшетов и других), пользователи которых подключаются к приложениям, выполняющимся где угодно, включая общедоступное облако (ПО как услуга), частное или гибридное облако2. Даже базовые службы интернет-инфраструктуры становятся целью хакеров, которые желают воспользоваться репутацией, пропускной способностью, непрерывной работоспособностью и доступностью серверов веб-хостинга, серверов имен и центров обработки данных для реализации своих кампаний, масштабы которых непрерывно растут. (См. раздел «Трещины в хрупкой экосистеме», с. 43.)

Несмотря на то что современные тенденции, такие как облачные вычисления и мобильность, уменьшают прозрачность и увеличивают сложность задач по обеспечению безопасности, организации вынуждены принимать их, поскольку они являются важной составляющей их конкурентного преимущества и коммерческого успеха. Однако, по мере того как специалисты по безопасности пытаются привести традиционные решения в соответствие с новыми, быстро развивающимися подходами к ведению бизнеса, пробелы в системе безопасности растут и расширяются. С другой стороны, злоумышленники все быстрее и активнее используют эти пробелы, которые просто невозможно устранить с помощью неинтегрированных, точечных решений. Они добиваются своего, поскольку обладают ресурсами, чтобы действовать более гибко и быстро.

Сеть киберпреступности расширяется, усиливается, а ее деятельность все больше напоминает деятельность законной, разветвленной деловой сети. Современная иерархия киберпреступности напоминает пирамиду (см. рис. 1). Внизу этой пирамиды расположились не обладающие техническими ресурсами авантюристы

Целью хакеров становится

базовая интернет-инфраструктура.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfok&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=

https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fwww.cisco.com%2Fweb%2Foffers%2Flp%2F2014-annual-security-report%2Findex.html%3FPOSITION%3Dsocial%252bmedia%252bshare%26COUNTRY_SITE%3Dus%26CAMPAIGN%3Dasr2014%26CREATIVE%3Dpage%252b9%252bquote%26REFERRING_SITE%3Dfacebook&t

http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d79l&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%209%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20emerging%20security%20gaps.%0A%0Ahttp%3A//cs.co/9008d79s


и пользователи модели «криминальное ПО как услуга», которые желают нажиться, сделать какое-либо заявление или достичь обеих целей. В середине находятся реселлеры и специалисты по обслуживанию инфраструктуры — «посредники». Наверху — создатели технических инноваций, крупные игроки, представляющие наибольший интерес для правоохранительной системы, найти которых, однако, очень сложно.

Приступая к своим мошенническим проектам, современные киберпреступники, как правило, преследуют четкие коммерческие цели. Они знают, какую информацию они ищут и каких результатов хотят достичь, и хорошо понимают, что нужно сделать для достижения своих целей. Злоумышленники не жалеют времени, изучая свои цели для нападения (зачастую используя для этого общедоступную информацию в социальных сетях) и стратегически планируя достижение своих целей.

Многие деятели так называемой «теневой экономики» также засылают исследовательское вредоносное ПО для сбора информации о среде (в том числе и о том, какая технология безопасности в ней развернута), чтобы более точно нацелить свои атаки. Подобное зондирование до начала атаки позволяет некоторым создателям вредоносного ПО убедиться в эффективности последнего. После внедрения в сеть создаваемое ими современное вредоносное ПО может взаимодействовать с управляющими серверами за пределами корпоративной сети и распространяться «по флангам» инфраструктуры для реализации своей миссии, будь то кража жизненно важных данных или нарушение работы критически важных систем.

РИС. 1.

Иерархия киберпреступности

Создателитехн. инноваций

Реселлеры/спец. по обслуживанию инфраструктуры

Авантюристы без технических ресурсов и пользователи модели «Криминальное ПО как услуга»

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfo5&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d79a&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2010%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20read%20more%20about%20the%20%22Shadow%20Economy.%22%0A%0Ahttp%3A//cs.co/9004d7ir


Подрыв доверияУгрозы, основанные на злоупотреблении доверием пользователей к системам, приложениям, а также людям и компаниям, которых они знают, занимают важное место в кибермире.

Если разобрать практически любую схему, в основе ее лежит злоупотребление доверием в той или иной форме: вредоносное ПО попадает к пользователям в ходе вполне законного просмотра известных и популярных веб-сайтов. Электронные спам-сообщения, отправленные, на первый взгляд, хорошо известными компаниями, но содержащие ссылки на вредоносные сайты. Сторонние мобильные приложения, содержащие вредоносное ПО, которые загружаются с популярных интернет-ресурсов. Инсайдеры, использующие привилегии доступа к информации для хищения интеллектуальной собственности у своих работодателей.

Все пользователи должны, похоже, исходить из того, что в кибермире никому и ничему нельзя доверять. Специалисты по безопасности, в свою очередь, могут сделать своим организациям огромное одолжение, не доверяя никакому сетевому трафику3 и с подозрением относясь к мерам безопасности поставщиков или логистических цепочек, поставляющих технологии на предприятие. Тем не менее организации государственного и частного секторов, пользователи и даже целые государства хотят быть уверены в том, что базовым технологиям, которые они каждый день используют в своей работе, можно доверять.

Эта потребность в уверенности в безопасности способствовала разработке общих критериев оценки безопасности информационных технологий. В них определяется язык и концепции, чтобы государственные учреждения и другие группы могли устанавливать требования, которым должны соответствовать заслуживающие доверия технологические продукты. На сегодняшний день 26 стран, включая США, подписали многостороннее соглашение «О признании соответствия общим критериям» (Common Criteria Recognition Arrangement), согласно которому государства признают признавать безопасность продуктов, проверенные другими странами-участницами.

Однако в 2013 году с доверием в принципе не все было гладко. Катализатором этого стал Эдвард Сноуден (Edward Snowden). Бывший подрядчик правительства США раскрыл засекреченную информацию британской газете The Guardian. Эту информацию он получил, выполняя заказ Агентства национальной безопасности США (NSA)4.

Все пользователи должны исходить

из того, что в кибермире доверять никому и ничему нельзя.




На сегодняшний день Сноуден передал СМИ сведения о программе наблюдения с использованием электронных средств и сбора данных PRISM5, а также об отдельной программе NSA-GCHQ6, известной под названием MUSCULAR, в рамках которой, предположительно, взламывался трафик зарубежных ЦОД и крупных интернет-компаний, передаваемый по оптоволоконным сетям7.

Эти и другие откровения Сноудена о проводимой государством слежке разрушили доверие на многих уровнях: между государствами, между правительствами и частным сектором, между гражданами и их правительством, а также между частными лицами и организациями в государственном и частном секторе. Кроме того, возникла обеспокоенность наличием неумышленных уязвимостей и умышленных «лазеек» в технологических продуктах, а также связанными с этим рисками. Общественность интересует, достаточно ли усилий прикладывают поставщики, чтобы устранять эти недочеты и защищать конечных пользователей.

Основные сложности в области безопасности на 2014 годПо мере того как доверие разрушается, а определить, каким системам и отношениям можно доверять, а каким — нет, организации сталкиваются с несколькими ключевыми проблемами, лишающими их возможности обеспечить нужный уровень безопасности.

1 | Увеличенная поверхность атаки2 | Распространение и усложнение модели атаки3 | Сложность угроз и решений

Сочетание этих проблем создает и увеличивает пробелы в системе безопасности, из-за которых злоумышленникам удается совершать вторжения в ИТ-систему компании быстрее, чем та может устранить недочеты в системе безопасности.

Далее эти угрозы и риски рассматриваются более подробно.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfoU&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7ie&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2012%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20key%20issues%20undermining%20security.%0A%0Ahttp%3A//cs.co/9009d7i9


1 | Увеличенная поверхность атаки

Современная поверхность атаки предоставляет злоумышленникам бесчисленные возможности подорвать крупную и хрупкую экосистему безопасности. Поверхность атаки расширяется в геометрической прогрессии и даже сегодня продолжает увеличиваться: множество конечных точек, множество возможностей для вторжения и множество данных, которые предприятия не контролируют.

Одной из самых ценных валют в современном мире являются данные, поэтому именно они являются целью большинства кампаний злоумышленников. Если данные обладают какой-либо ценностью на «черном рынке», будь то интеллектуальная собственность крупной корпорации или данные о состоянии здоровья отдельного пациента, они нужны злоумышленникам, а значит, находятся под угрозой. Если ценность целевого объекта выше, чем риск при компрометации, он станет добычей хакеров. Под угрозой находятся даже небольшие организации. Большинство организаций, как крупных, так и мелких, уже скомпрометированы и даже не знают об этом: в 100 % проанализированных Cisco коммерческих сетей трафик направляется на веб-сайты, на которых размещено вредоносное ПО.

РИС. 2.

Анатомия современной угрозы

Интернет и облачные приложения

Сеть общего пользования

Кампус

Периметр

Корпоративный

Центр обработки данных

Точка попадания инфекции находится за пределами

предприятия.

Современная киберугроза обходит защиту периметра.

Угроза распространяется и пытается получить доступ

к ценным данным.




https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fwww.cisco.com%2Fweb%2Foffers%2Flp%2F2014-annual-security-report%2Findex.html%3FPOSITION%3Dsocial%252bmedia%252bshare%26COUNTRY_SITE%3Dus%26CAMPAIGN%3Dasr2014%26CREATIVE%3Dfigure%252b2%26REFERRING_SITE%3Dfacebook&t

http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9008d7cp&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2013%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20the%20anatomy%20of%20modern%20threat.%0A%0Ahttp%3A//cs.co/9001d7cX


Анатомия современной угрозы, представленная на рис. 2, наглядно показывает, что конечной целью многих кампаний в области киберпреступности является получение доступа к центру обработки данных и внедрение в ценные данные. В этом примере вредоносное действие осуществляется на устройстве за пределами корпоративной сети. В результате возникает инфекция, которая затем попадает в сеть кампуса. Эта сеть служит своеобразной стартовой площадкой для попадания в корпоративную сеть, после чего угроза попадает в настоящую сокровищницу — центр обработки данных.

Ввиду расширения площади поверхности атаки и охоты хакеров за исключительно ценными данными эксперты по безопасности Cisco рекомендуют предприятиям в 2014 году найти ответы на два важных вопроса: «Где хранятся критически важные для нас данные?» и «Как создать безопасную среду для защиты этих данных, особенно когда новые бизнес-модели, такие как облачные вычисления и мобильность, практически лишают нас контроля над происходящим?».

2 | Распространение и усложнение модели атаки

Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, вызывающие ограниченные убытки, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе организаций.

Компании стали объектами целенаправленных атак. Такие атаки очень сложно обнаружить, их результаты остаются в сетях в течение продолжительного времени и накапливают сетевые ресурсы для проведения атак в любой другой точке.

Для того чтобы охватить весь диапазон атак, организации должны уделять внимание всем векторам атак и применять решения, которые функционируют в любом месте возможного проявления угрозы: в сети, на конечных точках, мобильных устройствах и в виртуальных средах.

«Где расположены критически важные данные нашей организации?» и «Как создать безопасную среду для защиты этих данных, особенно когда новые бизнес-модели, такие как облачные вычисления и мобильность, практически лишают нас контроля над происходящим?»Специалисты Cisco по информационной безопасности

Конечной целью многих кампаний

в области киберпреступности является получение

доступа к центру обработки данных

и внедрение в ценные данные.




3 | Сложность угроз и решений

Прошло время, когда блокировщики спама и антивирусное ПО помогали защитить легко определяемый сетевой периметр от большинства угроз. Современные сети выходят за традиционные границы, в них постоянно появляются и развиваются новые векторы атак: мобильные устройства, веб-приложения и программы для мобильных устройств, гипервизоры, социальные сети, браузеры, домашние компьютеры и даже автомобили. Точечные решения не могут создать эффективный барьер на пути злоумышленников, работающих с тысячами разных технологий и стратегий. В результате задачи специалистов по безопасности в области мониторинга информационной безопасности и управления ею становятся еще сложнее.

Число уязвимостей организации растет, поскольку предприятия используют разрозненные точечные решения и многочисленные платформы управления. В результате мы имеем набор разрозненных и не предназначенных для взаимодействия технологий на контрольных точках. В результате повышается риск компрометации данных о клиентах, интеллектуальной собственности и другой конфиденциальной информации; это угрожает и репутации компании.

Нужна непрерывная защита, обеспечивающая оптимальное решение задач, которые ставят перед нами среды со сложными угрозами. Атаки происходят не в какой-то определенный момент; это длительный процесс. Точно так же должна действовать и система безопасности организации.

Учитывая беспрецедентную сложность угроз и соответствующих решений, организациям необходимо переосмыслить свою стратегию безопасности. Вместо того чтобы полагаться на точечные решения, можно уменьшить сложность поставленной задачи, непрерывно интегрируя механизмы безопасности в работу сети. Это позволит сети:

•непрерывно осуществлять мониторинг и анализ файлов и выявлять вредоносную активность на самых ранних этапах;

•помочь организациям определить масштабы мероприятий, расширив поверхность возможного размещения сетевых устройств;

•ускорить обнаружение проблем благодаря повышенной прозрачности трафика;

•обеспечить уникальную контекстную осведомленность организации, получить которую с использованием исключительно точечных устройств безопасности невозможно.

Точечные решения не могут создать

эффективный барьер на пути злоумышленников, работающих с тысячами

разных технологий и стратегий.




Переход к мобильности и облачным сервисам увеличивает нагрузку по обеспечению безопасности на конечные точки и мобильные устройства — некоторые из них могут вообще не подключаться к корпоративной сети. Дело в том, что мобильные устройства, используемые для доступа к корпоративным ресурсам, представляют риск безопасности. Их легко подключить к сторонним облачным сервисам и компьютерам, аспекты безопасности которых не всегда известны и не контролируются организацией. Кроме того, стремительно растет объем вредоносного мобильного ПО, что также способствует увеличению рисков. Ввиду отсутствия даже элементарной прозрачности, большинство специалистов по ИТ-безопасности не обладают возможностью идентифицировать возможные угрозы с этих устройств.

Усовершенствованные стратегии, например непрерывная защита от угроз, сыграют важную роль в борьбе с современным вредоносным ПО. Для этого будет использоваться аналитика «больших данных», собирающая данные и события в расширенной сети и обеспечивая повышенный контроль даже после перемещения файла в сеть или между конечными точками. Этим она отличается от одномоментной защиты конечных устройств, сканирующей файлы в начальный момент времени с целью определить расположение вредоносного ПО. Современное вредоносное ПО может обойти такое сканирование, быстро закрепиться на конечных точках и начать распространение по сети.

Прозрачные системы, которым можно доверятьВвиду увеличения площади поверхности атаки, растущей сложности и масштабности модели атаки, а также сложности угроз и решений мы вынуждены доверять потребляемой информации и системам, поставляющим эту информацию, независимо от способа доступа к сетевым службам.

Создание действительно безопасной сетевой среды превращается в еще более сложную задачу ввиду того, что правительства и частные организации инвестируют средства в мобильность, средства для совместной работы, облачные вычисления и другие формы виртуализации. Эти возможности повышают эластичность, эффективность системы,

Мобильные устройства,

используемые для доступа

к корпоративным ресурсам,

представляют риск безопасности.




способствуют снижению затрат, однако могут стать источниками дополнительных рисков. Безопасность производственных процессов, в результате которых создаются ИТ-продукты, также под угрозой. Наличие подделок и продуктов со злоумышленно измененным кодом становится все более актуальной проблемой. Как следствие этого, руководители правительств и корпораций сегодня все чаще относят кибербезопасность и связанные с ней вопросы доверия к числу основных проблем. Специалисты в области практического обеспечения безопасности должны задать себе вопрос: «Что бы мы сделали иначе, если бы знали, что компрометация неизбежна?».

Злоумышленники ищут и используют любые слабые с точки зрения безопасности места в цепочке поставки технологий. Используя уязвимости и намеренно созданные «лазейки» в технологических продуктах, злоумышленники рано или поздно получат в руки все карты. Подобные лазейки уже давно являются одной из проблем безопасности, требующих внимания организаций, поскольку они существуют исключительно для того, чтобы злоумышленники могли достигать своих тайных или преступных целей.

Создание систем, которым можно доверять, означает реализацию всех без исключения механизмов безопасности от начала до окончания жизненного цикла продукта. В жизненном цикле безопасной разработки Cisco Secure Development Lifecycle (CSDL)8 устанавливается воспроизводимая и измеряемая методика, которая позволяет встраивать средства обеспечения безопасности продуктов еще на этапе создания концепции, минимизировать уязвимости на этапе разработки и повышать гибкость программных продуктов перед лицом атаки.

Заслуживающие доверия системы становятся основой для такого подхода к безопасности, который подразумевает непрерывное совершенствование механизмов, а также предвосхищение и устранение новых угроз. Такие инфраструктуры не только защищают критически важную информацию, но и помогают достичь еще более важной цели предотвратить перерывы в работе критически важных служб. Надежные программные продукты, которые поддерживаются доверенными поставщиками, позволяют свести к минимуму затраты и ущерб для репутации из-за неправомерного использования информации, перебоев в обслуживании и искажения сведений.

Не следует считать, что если система заслуживает доверия, она обеспечивает иммунитет от внешних атак. ИТ-клиенты и пользователи играют важную роль в поддержании эффективности доверенных систем и защите этих систем от попыток взлома. В частности, они должны своевременно устанавливать обновления и исправления безопасности, бдительно относиться к аномальному поведению системы и принимать эффективные меры противодействия в случае атаки.

Злоумышленники ищут и используют

любые слабые с точки зрения безопасности

места в цепочке поставки

технологий.




Ни технологии, ни злоумышленники не стоят на месте. Обеспечение надежности системы должно охватывать полный жизненный цикл сети — от первоначального проектирования до производства, системной интеграции, повседневной работы, обслуживания и обновлений и, наконец, вывода решения из эксплуатации.

Потребность в надежных системах выходит за рамки собственной сети организации; она относится и к тем сетям, к которым компания подключается. Специалисты по изучению и эксплуатации систем безопасности Cisco Security Research and Operations в последние годы наблюдают растущую интенсивность использования «отправных точек». Техника отправных точек в киберпреступности подразумевает, что на определенном этапе цепочки атак используется «лазейка», уязвимость либо просто злоупотребление доверием, а затем взломанная система становится стартовой площадкой для более изощренной кампании против гораздо более масштабных целей, например сети крупной энергетической кампании или центра обработки данных финансового учреждения. Некоторые хакеры в качестве такой отправной точки используют доверие между организациями: проникают в сеть одного из деловых партнеров, чтобы совершить киберпреступление против другого, ничего не подозревающего, доверенного партнера по бизнесу или государственным делам.

В современном ландшафте угроз следует быть бдительным. Технологии безопасности должны адаптироваться ко всем переходным состояниям, являющимся частью корпоративной ИТ-среды. Необходимо объективно оценивать надежность системы, используя измеримые показатели, независимые данные с возможностью использования системы проверки достоверности и соответствующие процедуры. Надежнее всего использовать динамическую защиту, которая строится с учетом уникальной ИТ-среды организации и содержит средства управления безопасностью, которые непрерывно развиваются и, следовательно, сохраняют свою релевантность9.

Только в такой среде могут существовать системы, которым можно доверять, и прозрачность — одно из непременных условий их создания. «Надежная система должна основываться на прочном фундаменте: оптимальных практиках разработки программных

Основные проблемы современных руководителей по ИТ-безопасности на 2014 годПо мере изучения современного ландшафта угроз руководители по ИТ-безопасности испытывают растущее давление: они вынуждены обеспечить безопасность терабайтов данных, соблюдать жесткие нормативные требования и оценивать риски взаимодействия со сторонними поставщиками. Все эти задачи приходится решать в условиях сокращения бюджета и ИТ-кадров. Сегодня перед руководителями по ИТ-безопасности как никогда много задач, кроме того, они вынуждены контролировать сложные и изощренные угрозы безопасности. Ведущие стратеги в области безопасности, оказывающие услуги Cisco Security Services и помогающие руководителям по ИТ-безопасности выбрать оптимальный подход к обеспечению безопасности, составили список наиболее актуальных угроз и задач на 2014 год.

Управление соответствием нормативным требованиям Наиболее распространенной проблемой руководителей по ИТ-безопасности является необходимость обеспечить безопасность данных, размещенных во всех точках сети, которая становится все более неоднородной, и расходовать бесценные ресурсы на обеспечение соответствия. Соответствие нормативным требованиям автоматически не означает безопасность: это всего лишь минимум, начальный уровень, установленный с учетом потребностей конкретной, регулируемой среды. С другой стороны, безопасность — это целый комплекс мероприятий, охватывающий разные виды бизнес-операций.

Продолжение на следующей странице




продуктов, надежной цепочке поставок и архитектурном подходе, регулирующем разработку, внедрение сети и действующие в ней политики, — отмечает Джон Н. Стюарт (John N. Stewart), старший вице-президент и директор по информационной безопасности в Cisco. — Однако самым важным фактором по-прежнему остается прозрачность поставщиков».

Для повышения прозрачности приходится жертвовать конфиденциальностью, однако эффективное взаимодействие заинтересованных сторон позволит достичь равновесия, а оно, в свою очередь, откроет новые возможности, чтобы унифицировать средства анализа угроз и методы обеспечения безопасности. Всем организациям необходимо уделять больше внимания поиску оптимального соотношения между доверием, прозрачностью и конфиденциальностью, потому что на кону стоит немало.

В долгосрочной перспективе удастся обеспечить более высокий уровень кибербезопасности для всех пользователей и полностью реализовать экономический потенциал развивающейся модели «Всеобъемлющий Интернет»10. Однако достижение этих целей зависит от того, насколько эффективны политики конфиденциальности и системы сетевой защиты, которые интеллектуально распределяют нагрузку по обеспечению безопасности между конечными точками и сетью. В краткосрочной перспективе любой современный бизнес должен использовать наиболее эффективные методы и наиболее надежную информацию, чтобы защитить свои наиболее ценные активы и не порождать проблем, связанных с кибербезопасностью.

Современные организации должны проанализировать, какое влияние принимаемые ими меры могут оказать на растущую экосистему кибербезопасности, которая становится все более сложной и взаимосвязанной. Неспособность проанализировать общую картину может нанести урон репутации организации — ни один ведущий поставщик систем безопасности не позволит своим пользователям входить на ее сайт. Восстановить свою репутацию в этом случае очень сложно, а иногда практически невозможно.

Чтобы более подробно ознакомиться с практическими принципами надежных систем Cisco Trustworthy Systems, посетите веб-сайт www.cisco.com/go/trustworthy.

Доверие облаку Руководители по ИТ-безопасности должны принимать решения о безопасном управлении информацией, имея ограниченные бюджетные средства и время. Так, облако сегодня — это экономичный и маневренный способ управления непрерывно растущими хранилищами данных, но тем не менее у руководителей по ИТ-безопасности возникают в связи с этим новые проблемы. Исполнительному руководству и совету директоров облако представляется панацеей, позволяющей избежать покупки дорогостоящего аппаратного обеспечения. Они желают использовать преимущества выгрузки данных в облако и рассчитывают на то, что руководителям по ИТ-безопасности удастся быстро и безопасно это осуществить.

Доверие поставщикам Как и в случае с облаком, организации обращаются к поставщикам, чтобы те предоставили им специализированные решения. Модель затрат, составленная на случай взаимодействия со сторонними организациями, вполне имеет право на жизнь. Однако эти поставщики — «лакомые кусочки» для преступников, которые знают, что сторонние механизмы защиты могут оказаться неэффективными.

Восстановление после инцидентов безопасности Любая организация должна исходить из того, что стала объектом хакерской атаки, или хотя бы согласиться с тем, что вопрос не в том, будет ли она подвержена атаке, а когда это произойдет. Многие руководители по ИТ-безопасности до сих пор помнят атаки Operation Night Dragon (нарушение криптографического алгоритма RSA) и Shamoon, нацеленные против крупной нефтегазовой компании в 2012 году. (См. исследование Cisco о преобладании злоумышленной деятельности в корпоративной сети на странице 48).

Начало на предыдущей странице

[

]



www.cisco.com/go/trustworthy

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfoF&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7cj&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2019%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20cybersecurity%20and%20the%20Internet%20of%20Everything%20economy.%0A%0Ahttp%3A//cs.co/9001d7c9


Интеллектуальные средства мониторинга угрозКомпании Cisco и Sourcefire, используя широчайший ассортимент доступных телеметрических средств обнаружения, проанализировали и собрали воедино сведения о безопасности за прошедший год.


21 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 годИнтеллектуальные средства мониторинга угроз

Увеличение числа оповещений об угрозахКоличество уязвимостей и угроз, перечисленных в отчете Cisco IntelliShield®, стабильно увеличивалось в 2013 году: в октябре 2013 года совокупные показатели оповещений за год увеличились на 14 % в годовом исчислении по сравнению с 2012 годом (см. рис. 3).

Число оповещений в октябре 2013 года достигло максимума с мая 2000 года, когда система IntelliShield начала их фиксировать.

Обращает на себя внимание и существенное увеличение числа новых оповещений, зафиксированных IntelliShield, по сравнению с обновленными оповещениями (см. рис. 4). Поставщики технологий и исследователи находят все больше новых уязвимостей (см. рис. 5), что является результатом повышенного внимания к безопасности на протяжении всего жизненного цикла разработки и следствием повышения безопасности их собственных продуктов. Увеличение числа новых уязвимостей также может быть признаком того, что поставщики тщательно изучают код своих приложений и устраняют уязвимости еще до выпуска продуктов, когда указанными уязвимостями смогут воспользоваться злоумышленники.

РИС. 3.

Совокупные показатели оповещений за 2010—2013 гг.

0Янв ДекНояОктСенАвгИюлИюнМайАпрМарФев

1 000

2 000

3 000

4 000

5 000

6 000

7 000

Месяц

2013

2012

2011

2010



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfoN&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7cY&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2021%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20Cumulative%20Annual%20Alert%20Totals.%0A%0Ahttp%3A//cs.co/9007d7cW


РИС. 4.

Новые и обновленные оповещения, 2013 г.

Янв НояОктСенАвгИюлИюнМайАпрМарФев

Оповещение оновойугрозе

Обновленноеоповещение

Месяц

224

303

386

212

333

281

387

256

221

32436

629

1

293

391

215

286

278

437

320

517

0

400

200

800

600

1 000

211

347

Повышенное внимание к безопасной разработке программного обеспечения позволит завоевать доверие к решениям поставщиков. Жизненный цикл безопасной разработки не только способствует снижению рисков появления уязвимостей и позволяет поставщикам обнаруживать возможные дефекты еще на ранних стадиях разработки, но и говорит покупателям о том, что они могут положиться на эти решения.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfoA&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7ca&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2022%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20New%20and%20Updated%20Alerts%2C%202013.%0A%0Ahttp%3A//cs.co/9008d7cI


РИС. 5.

Стандартные категории угроз, выявленные системой Cisco IntelliShield ПРИМЕЧАНИЕ. Эти категории угроз из списка стандартных уязвимостей (CWE) Национальной базы данных уязвимостей (https://nvd.nist.gov/cwe.cfm) связаны с используемыми злоумышленниками методами атаки сетей.

1

1 5

2

3

4

6

7

8

2

34

5

6

7

8

9

CWE-119: ошибки буферизации

Прочие оповещения Intellishield (активность, проблемы, CRR, AMB)

CWE-399: ошибки управления ресурсами

CWE-20: проверка входных данных

9

CWE: ошибка проектирования

CWE-310: проблемы шифрования

CWE-287: проблемы аутентификации

CWE-352: подделка межсайтовых запросов (CSRF)

CWE-22: пересечение путей

CWE-78: внедрение команд ОС

CWE-89: внедрение SQL

CWE-362: условия конкуренции

CWE-255: управление учетными данными

CWE-59: переход по ссылкам

CWE-16: конфигурация

CWE: недостаток информации

CWE: другое

CWE-189: числовые ошибки

CWE-264: разрешения, привилегии и контроль доступа

CWE-200: утечка/разглашение информации

CWE-79: межсайтовый скриптинг (XSS)

CWE-94: внедрение кода



https://nvd.nist.gov/cwe.cfm


Уменьшение объемов спама, сохранение угроз, связанных со злоумышленным спамомВ целом в 2013 году объем спама в мире уменьшился. Тем не менее, несмотря на уменьшение общего объема спама, доля злоумышленного спама не изменилась. Спамеры прибегают к быстрым действиям как к средству обмануть доверие пользователей электронной почты, рассылая огромное количество спам-сообщений, когда события в новостях или текущие тенденции снижают сопротивляемость пользователей к спаму.

После взрывов в ходе проведения бостонского марафона 15 апреля 2013 года были запущены две крупномасштабные спам-кампании: одна — 16 апреля, а другая — 17 апреля. Целью этих кампаний было привлечение пользователей электронной почты, жаждущих получить новости о последствиях этого происшествия. Исследователи Cisco заметили, что уже в первые часы после инцидента были зарегистрированы сотни доменных имен, связанных со взрывом11.

В обоих случаях строка «тема» содержала новостные заголовки якобы о происшествии, а сообщения содержали ссылки якобы на видеозаписи о происшествии или новости из достоверных новостных источников. По ссылкам читатели переходили на веб-страницы, на которых присутствовали ссылки на реальные новостные статьи или видеозаписи — а также вредоносные плавающие фреймы, созданные для заражения компьютеров пользователей. В пиковый период кампании, 17 апреля 2013 года, спам, связанный с трагедией в Бостоне, составил 40 % всех спам-сообщений в мире.

На рис. 6 показана одна из спам-кампаний, проведенная ботнетом и замаскированная под рассылку сообщений CNN12. На рис. 7 показан исходный HTML-код спам-сообщения о взрывах во время бостонского марафона. Заключительный плавающий фрейм (путающий пользователя) ведет на вредоносный веб-сайт13.

Поскольку спам, замаскированный под рассылку экстренных новостей, начинает рассылаться так быстро после происшествия, пользователи электронной почты склонны верить, что эти сообщения — не спам. Спамеры злоупотребляют желанием людей получить больше информации о важном событии. Если спамеры дают интернет-пользователям то, что им нужно, то им гораздо проще заставить их совершить нужное действие, например открыть ссылку на зараженную страницу. Кроме того, в этом случае им проще сделать так, чтобы получатели не заподозрили, что с сообщением что-то не так.

Спамеры злоупотребляют желанием людей получить больше

информации о важном событии.




РИС. 6.

Спам о бостонском марафоне

РИС. 7.

Исходный HTML-код спам-сообщений о взрывах в ходе бостонского марафона

<iframe width="640" height="360"src="https://www.youtube.com/embed/H4Mx5qbgeNo"><iframe>

<iframe width="640" height="360"src="https://www.youtube.com/embed/JVU7rQ6wUcE"><iframe>

<iframe width="640" height="360"src="https://bostonmarathonbombing.html"><iframe>




Спам в числах

Согласно данным, собранным специалистами подразделений Cisco Threat Research Analysis and Communications (TRAC) и SIO (рис. 8), совокупный объем спама уменьшается, хотя тенденции по странам различаются (рис. 9).

РИС. 8.

Совокупный объем спама, 2013 г.Источник: Cisco TRAC/SIO

0Янв ОктСенАвгИюлИюнМайАпрМарФев

20

40

60

80

100

120

140

160

Месяц

Млр

д в

день

РИС. 9.

Тенденции изменения объема спама, 2013 г.Источник: Cisco TRAC/SIO


5

10

15

20

25

Месяц

Объ

ем в

про

цент

ах

США

Республика Корея

Китай

Италия

Испания





http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7cf&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2026%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Volume%20Trends%2C%202013.%0A%0Ahttp%3A//cs.co/9007d7c7


РИС. 10.

Основные темы спам-сообщений в мире

1.Уведомления о банковском депозите или оплатеУведомления о депозитах, переводах, платежах, возвращенных чеках, оповещение о мошенничестве.

2. Приобретение продукции в ИнтернетеПодтверждение заказа продукции, запрос заказа на покупку, предложение цены, пробное использование.

3. Прикрепленное фото Вредоносные прикрепленные фото.

4. Уведомления об отгрузкеСчета, доставка или получение товара, отслеживание.

5. ЗнакомстваСайты знакомств.

6. НалогообложениеНалоговая документация, возвраты, отчеты, сведения о задолженности, заполнение и отправка налоговых деклараций через Интернет.

7. FacebookСтатус счета, обновления, уведомления, программное обеспечение безопасности.

8. Подарочная карта или сертификатОповещения из разных магазинов (наиболее популярный — Apple).

9. PayPalОбновление учетной записи, подтверждение, уведомление об оплате, спор по оплате.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfUB&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d7YB&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2027%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20Top%20Themes%20for%20Spam%20Messages%20Worldwide.%0A%0Ahttp%3A//cs.co/9002d7Y8


Веб-эксплойты: Java возглавляет списокСогласно данным Cisco, из всех веб-угроз, подрывающих безопасность, интернет-преступники чаще всего используют уязвимости в языке программирования Java.

Количество злоумышленных действий с кодом Java намного выше, чем с документами Flash или Adobe PDF, которые также являются популярными векторами криминальной активности (см. рис. 11).

Данные компании Sourcefire, которая теперь является подразделением Cisco, также показывают, что злоумышленные действия с кодом Java составляют подавляющее большинство (91 %) индикаторов компрометации, отслеживанием которых занимается решение Sourcefire FireAMP, предназначенное для расширенного анализа вредоносного ПО и защиты от него (см. рис. 12). FireAMP обнаруживает компрометации на конечных устройствах, а затем фиксирует тип программного обеспечения, которое вызвало каждый из них.

РИС. 11.

Вредоносные атаки, реализованные с использованием PDF, Flash и Java, 2013 г.Источник: отчеты Cisco Cloud Web Security

НояОктСенАвгИюлИюнМайАпрМарФев

Flash

PDF

Месяц

Java

Янв0

2 %

4 %

6 %

10 %

8 %

14 %

12 %

16 %



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfUD&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9007d7Yl&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2028%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Malicious%20Attacks%20Generated%20Through%20PDF%2C%20Flash%20and%20Java%202013.%0A%0Ahttp%3A//cs.co/9004d7Ys


Что касается таких угроз, как эксплойты в Java, наиболее важным вопросом для специалистов по практическому обеспечению безопасности является следующий: как вредоносное ПО попадает в сетевую среду и на чем сконцентрировать свои усилия, чтобы свести к минимуму вероятность заражения. Отдельные действия могут и не выглядеть как злоумышленные, однако изучение цепочки событий позволит пролить свет на всю совокупность событий. Объединение событий в цепочки — это способность выполнить ретроспективный анализ данных и восстановить путь, пройденный злоумышленниками, чтобы обойти защиту периметра и проникнуть в сеть.

Сами по себе индикаторы взлома могут показать, что переход на определенный веб-сайт безопасен. Кроме того, запуск Java также может быть безопасным, как и открытие исполняемого файла. Риск для организации возникает, если пользователь посещает веб-сайт, зараженный плавающими фреймами, которые затем запускают Java-код. Этот код загружает исполняемый файл, и уже этот файл выполняет вредоносные действия.

РИС. 12.

Индикаторы компрометации по типамИсточник: Sourcefire (решение FireAMP)

3 %Microsoft Excel

1 %Microsoft PowerPoint

3 %Adobe Reader

2 %Microsoft Word

91 %Перехват Java



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUE&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7Yx&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2029%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Indicators%20of%20Compromise%2C%20by%20Type.%0A%0Ahttp%3A//cs.co/9002d7Y0


Повсеместное использование Java делает эту технологию излюбленным инструментом преступников. Именно из-за этого компрометация Java-кода стала наиболее распространенным типом вредоносной активности (среди выстроенных в виде цепочки событий) в 2013 году. Как сказано на веб-странице «Что такое Java?», эта технология используется на 97% корпоративных настольных ПК. В США этот показатель достигает 89 % среди настольных компьютеров в целом14.

Java — это настолько обширная поверхность атаки, что преступники просто не могут позволить себе ее проигнорировать. Обычно они создают решения, которые используют несколько эксплойтов по порядку — например, сначала они пытаются проникнуть в сеть или похитить данные, используя самые простые или самые известные уязвимости, и лишь в случае неудачи переходят к другим методам. В большинстве случаев они в первую очередь выбирают Java, поскольку рентабельность таких «инвестиций» для преступников наиболее высока.

Решение проблемы JavaНесмотря на то что использование уязвимостей Java очень распространено, а устранить их очень сложно, существуют методы снижения их негативного воздействия.

•Если это допустимо, можно отключить Java в браузерах по всей сети, чтобы не допустить запуска этих эксплойтов.

•Телеметрические средства, такие как Cisco NetFlow, интегрированные в многочисленные решения для обеспечения безопасности, могут осуществлять мониторинг трафика Java. В результате специалисты по безопасности получат более полное представление об источниках угроз.

•Многие пробелы в системе безопасности можно устранить путем комплексного управления исправлениями.

•Средства мониторинга и анализа конечных точек, которые продолжают отслеживать и анализировать файлы после попадания в сеть, могут ретроспективно обнаруживать и пресекать угрозы, попадающие в сеть как безопасные, однако впоследствии демонстрирующие вредоносное поведение.

•Приоритетный список устройств с риском компрометации можно создать, используя индикаторы компрометации для корреляции интеллектуальных средств мониторинга вредоносного ПО (включая вполне безобидные на первый взгляд события) и мгновенной идентификации заражения без использования существующих антивирусных сигнатур.

Обновление до последней версии Java также поможет устранить некоторые уязвимости. Согласно исследованиям, проведенным специалистами Cisco TRAC и SIO, 90 % клиентов Cisco используют наиболее актуальную версию программы — Java 7 Runtime Environment. С точки зрения безопасности это очень хорошо, поскольку эта версия обеспечивает максимальную защиту от уязвимостей.




Однако исследование, проведенное специалистами Cisco TRAC и SIO, также показывает, что 76 % предприятий, использующих решения Cisco, помимо Java 7 используют и Java 6 Runtime Environment. Java 6 — это предыдущая версия, срок эксплуатации и поддержки которой истек. Предприятия часто используют обе версии Java Runtime Environment, потому что в разных приложениях для исполнения Java-кода могут использоваться разные версии программы. Однако учитывая, что более 75 % предприятий, исследованных Cisco, используют решение с истекшим сроком эксплуатации, уязвимости которого вряд ли когда-либо удастся устранить, у преступников масса возможностей использовать эти слабости.

В апреле 2013 года число вредоносных действий в сети с использованием Java-кода достигло максимума — 14 % от всех киберпреступлений в сети. Минимума этот показатель достиг в мае и июне 2013 года — примерно 6 и 5 % всех киберпреступлений в сети соответственно (см. рис. 13).

(Ранее в этом году компания Oracle объявила, что больше не будет размещать обновления Java SE 6 на своем общедоступном сайте загрузки, хотя существующие обновления Java SE 6 будут доступны в архиве Java в сети Oracle Technology Network.)

Если специалисты по безопасности, у которых не так много времени для борьбы с веб-преступлениями, решат направить максимум своего внимания на Java, они поступят совершенно верно.

РИС. 13.

Java Web Malware Encounters, 2013 г.Источник: Cisco TRAC/SIO


Месяц

Янв

7,50

%

6,75

%

9,00

%

14,0

0 %

6,00

%

5,00

%

12,2

5 %

7,50

%

6,25

%

9,50

%

6,50

%

0

2 %

4 %

6 %

10 %

8 %

12 %

14 %




BYOD и мобильность: повышение зрелости устройств выгодно киберпреступности.Перед киберпреступниками и выбранными ими целями стоит одна и та же задача: и злоумышленники, и специалисты по безопасности пытаются выяснить, как лучше всего использовать концепцию BYOD («Принеси на работу свое устройство») и мобильность для извлечения коммерческих преимуществ.

Два фактора оказываются на руку преступникам. Во-первых, это повышение зрелости мобильных платформ. Эксперты по безопасности Cisco отмечают, что чем больше смартфоны, планшеты и другие устройства используются как традиционные настольные компьютеры и ноутбуки, тем проще разрабатывать для них вредоносное ПО.

Вторым таким фактором является растущая популярность мобильных приложений. Когда пользователи загружают мобильные приложения, они, по сути, размещают на конечной точке упрощенный клиент и загружают код. Еще одна проблема: многие пользователи регулярно загружают мобильные приложения, не задумываясь о безопасности.

С другой стороны, современные специалисты по обеспечению безопасности вынуждены решать так называемую проблему «произвольного состава»: как обеспечить безопасность любого пользователя, работающего с любым устройством, расположенного где угодно и осуществляющего доступ к любому приложению или ресурсу15. Тенденция BYOD только осложняет ситуацию. Управлять всеми этими типами оборудования довольно сложно, особенно если ИТ-бюджет ограничен. В среде поддержки личных устройств руководитель отдела информационной безопасности должен убедиться в том, что помещения для работы с информацией контролируются эффективно.

Мобильность открывает новые возможности компрометации пользователей и данных. Исследователи Cisco анализировали действия злоумышленников, которые используют каналы беспроводной связи, чтобы перехватывать передаваемые по ним данные. Мобильность является причиной целого ряда проблем информационной безопасности в организации, включая потерю

Многие пользователи регулярно загружают

мобильные приложения, не задумываясь о безопасности.




интеллектуальной собственности и других конфиденциальных данных в случае утраты, кражи или недостаточной защиты устройства сотрудника.

Реализация формальной программы управления мобильными устройствами позволит убедиться в защищенности устройства еще до подключения к сети. По мнению экспертов Cisco, это один из способов повышения безопасности предприятия. По меньшей мере аутентификация пользователей должна осуществляться по PIN-коду, а специалисты по безопасности организации пользователя должны иметь возможность немедленно выключить устройство в случае хищения или потери и стереть с него все данные.

Тенденции в сфере вредоносного мобильного ПО: 2013 г.

Специалисты подразделений Cisco TRAC и SIO и компании Sourcefire, которая теперь является подразделением Cisco, провели исследование тенденций в сфере вредоносного мобильного ПО за 2013 год.

Вредоносное мобильное ПО, предназначенное для конкретных устройств, составляет всего 1,2 % всех случаев размещения вредоносного ПО в Интернете в 2013 году. Этот показатель несущественен, однако его стоит отметить, поскольку вредоносное мобильное ПО — это новая область приложения усилий разработчиков вредоносного ПО и логичное продолжение их преступной деятельности.

Согласно исследователям подразделений Cisco TRAC и SIO, в 99 % случаев целью вредоносного мобильного ПО являются устройства Android. Второе место в 2013 году заняли трояны, поражающие устройства с поддержкой Java Micro Edition (J2ME). На их долю пришлось 0,84 % всех киберпреступлений.

Однако не все мобильные вредоносные программы ориентированы на конкретное устройство. Во многих случаях целью является фишинг, накрутка лайков и другие методы социальной инженерии, а также принудительные переходы на ненужные пользователю веб-сайты. Анализ информации об используемых программах, выполненных специалистами Cisco TRAC и SIO, показывает, что пользователи Android чаще других (71 % случаев) страдают от передаваемого по сети вредоносного ПО. За ними следуют пользователи Apple iPhone (14 %), (см. рис. 14).

Исследователи Cisco TRAC и SIO также отмечают признаки того, что в 2013 году злоумышленники пытались монетизировать компрометацию устройств с Android, в том числе запуская рекламное и шпионское ПО против предприятий малого и среднего бизнеса.

Согласно исследованию, проведенному специалистами Cisco TRAC и SIO, наиболее распространенным вредоносным мобильным ПО является вирус Andr/Qdplugin-A (43,8 %). Чаще всего он распространяется через перекомпонованные экземпляры законных приложений, распространяемые на «черном» рынке (см. рис. 15).

Вредоносное мобильное ПО,

предназначенное для конкретных

устройств, составляет всего 1,2 % всех

случаев размещения вредоносного ПО в сети в 2013 году.




РИС. 14.

Вредоносные веб-программы по мобильным устройствамИсточник: отчеты Cisco Cloud Web Security

Andr

oid

iPho

ne

iPad

Blac

kBer

ry

Noki

a

Sym

bian

iPod

Huaw

ei

Win

dow

sPh

one

Mot

orol

a

Play

stat

ion

Nook

Zune

WP

Kind

le

Win

dow

s CE

0

40 %

20 %

80 %

60 %

100 %

РИС. 15.

Десять наиболее распространенных вредоносных мобильных программ, 2013 г. Источник: отчеты Cisco Cloud Web Security

Andr

/Qdp

lugi

n-A

Andr

/New

year

L-B

Andr

/Sm

sSpy

-J

Andr

/SM

SSen

d-B

Andr

/Spy

-AAH

Troj

an.A

ndro

idO

S.Pl

angt

on.a

Andr

/Dro

idRt

-A

Andr

/Gm

aste

r-E

Andr

oidO

S.W

oobo

o.a

Troj

an-S

MS.

Andr

oidO

S.Ag

ent.a

o

Andr

/Dro

idRt

-C

0

20 %

10 %

40 %

30 %

50 %



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfUG&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7l6&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2034%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Web%20Malware%20Encounters%20by%20Mobile%20Device.%0A%0Ahttp%3A//cs.co/9006d7lE


РИС. 16.

Основные группы вредоносного ПО для Android в 2013 годуПРИМЕЧАНИЕ. Девяносто восемь процентов вредоносного ПО для Android составляет вирус SMSSend; остальные 2 % пропорционально распределены на рисунке. Источник: Sourcefire

16 %

14 %11 % 10 % 7 %

7 %

6 % 4 % 4 %4 %

4 %

Andr.T

rojan

DroidK

ungF

u

Andr

.Tro

jan.

Opfa

ke

Andr

.Tro

jan.

Anse

rver

Andr

.Exp

loit.

Gin

gerb

reak

Andr

.Exp

loit.

Ratc

BC.E

xplo

it.An

drAn

dr.E

xplo

it.Ex

ploi

dAn

dr.T

roja

n.St

els

Andr

.Tro

jan.

Gein

imi

Adnr

.Troj

an.D

roid

Drea

mLig

ht

(>1

%) A

ndr.T

roja

n.No

tCom

patib

le

(>1

%) A

ndr.T

roja

n.Ro

gueS

PPus

h

(>1

%) A

ndr.T

roja

n.TG

Load

er

(>1

%) A

ndr.T

roja

n.Ac

kpos

ts

(>1

%) A

ndr.T

roja

n.O

Bad

(>1

%) A

ndr.T

roja

n.C

huli

(>1

%) A

ndr.T

roja

n.G

inge

rMas

ter

(>1

%) A

ndr.T

roja

n.Ba

dnew

s

(>1

%) A

ndr.T

roja

n.Fa

keTi

mer

(1 %

) And

r.Tro

jan.

Gon

esix

ty(1

%) A

ndr.T

roja

n.Km

in(1

%) A

ndr.T

roja

n.Zs

one

(1 %

) And

r.Tro

jan.

Plan

kton

Andr

.Troj

an.A

drd

Andr.T

rojan

.Gold

drea

m

Andr.T

rojan

.And

rora

t

(2 %) A

ndr.T

rojan

.Pjap

ps

(2 %) A

ndr.T

rojan

.YZHC

3 %3 %

3 %

98 %Andr.SMSSend



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUy&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7lz&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2035%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Android%20Malware%20Families%20Observed%20in%202013.%0A%0Ahttp%3A//cs.co/9005d7lX


Целенаправленные атаки: проблема изгнания настойчивых и вездесущих «посетителей»Велика вероятность того, что ваши сети уже стали объектами целенаправленных атак.

Разместившись в сети, они надолго остаются в ней, занимаясь подпольным хищением данных или используя сетевые ресурсы в качестве «стартовой площадки» для атаки на другие объекты (дополнительные сведения о работе со «стартовыми площадками» см. на странице 18). Ущерб не ограничивается хищением данных или прерыванием работы предприятия: доверие между партнерами и клиентами исчезает, если угрозы своевременно не устраняются из сети.

Целенаправленные атаки угрожают безопасности интеллектуальной собственности, клиентских данных и конфиденциальной информации государственных органов. Организаторы таких атак используют сложные инструменты, позволяющие обойти инфраструктуру безопасности организации. Преступники делают все возможное, чтобы их деятельность как можно дольше оставалась необнаруженной. Из-за используемых ими методов индикаторы компрометации остаются практически незаметными. Методика получения злоумышленниками доступа к сети и реализации их преступной миссии заключается в создании «цепочки атак» — последовательности действий, составляющих разные этапы атаки.

После того как в сети будет найдено место, где эти целенаправленные атаки можно скрыть, злоумышленники приступают к решению своих задач и, как правило, им при этом удается остаться незамеченными.

Преступники делают

все возможное, чтобы их деятельность

как можно дольше оставалась

необнаруженной.




РИС. 17.

Цепочка атаки Для того чтобы разобраться в существующем многообразии угроз и эффективно защитить сеть, специалисты по ИТ-безопасности должны мыслить как злоумышленники. Глубокое понимание методики, используемой злоумышленниками для реализации своих задач, позволит организациям найти способы укрепления защиты. Цепочка атаки (упрощенная версия «цепочки киберубийства») характеризует происходящее на разных этапах атаки.

1. ИзучениеПолучить полное представление о среде: сеть, конечные точки (мобильные и виртуальные), включая технологии обеспечения безопасности среды.

2. СозданиеСоздать целевое вредоносное ПО с учетом контекста.

3. ТестированиеУбедиться в исправном функционировании вредоносного ПО и его способности обходить существующие механизмы защиты.

4. ИсполнениеОсуществить навигацию по расширенной сети с учетом особенностей среды, избегая обнаружения и перемещаясь «по флангам» до достижения цели.

5. Осуществление миссииВыполнить сбор данных, дестабилизировать или разрушить систему.




Вредоносное ПО: тенденции, отмеченные в 2013 годуЭксперты по безопасности Cisco регулярно изучают и анализируют вредоносный трафик и другие обнаруженные угрозы, что помогает собрать сведения о возможном поведении преступников в будущем и помочь в выявлении угроз.

РИС. 18.

Ведущие категории вредоносного ПО На этом рисунке показаны основные категории вредоносного ПО. Трояны являются наиболее распространенной разновидностью, за ними следует рекламное ПО. Источник: Sourcefire (решения ClamAV и FireAMP)

Прог

рамм

а-тр

оян

Рекл

амно

е ПО

Черв

ь

Виру

с

Загр

узчи

к

Уста

новщ

ик (0

%)

64 % 20 % 8 % 4 % 4 %

РИС. 19.

Основные группы вредоносного ПО Windows На этом рисунке показаны основные группы вредоносного ПО для операционной системы Windows. Самая крупная группа (Trojan.Onlinegames) представлена программами — похитителями паролей. Эту группу вредоносного ПО можно обнаружить с использованием антивирусного решения Sourcefire ClamAV. Источник: Sourcefire (решение ClamAV)

Онл

айн-

игры

Мул

ьтиз

аглу

шка

(рек

ламн

ое П

О)

Syfr

o

Meg

asea

rch

Zeus

bot

Gam

evan

ce

Blac

khol

e

Hupi

gon

Spye

ye (>

1%)

41 % 14 % 11 % 10 % 10 % 7 % 4 % 3 %



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfUJ&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7lg&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2038%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Malware%20Categories.%0A%0Ahttp%3A//cs.co/9005d7l9

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUK&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7ll&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2038%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Windows%20Malware%20Families.%0A%0Ahttp%3A//cs.co/9000d7lm


РИС. 20.

Десять основных категорий веб-узлов для размещения вредоносного ПО, 2013 г. На этом рисунке показаны наиболее часто используемые для размещения вредоносного ПО узлы по данным исследования Cisco TRAC и SIO. Источник: отчеты Cisco Cloud Web Security


5 %

10 %

15 %

20 %

25 %

30 %

35 %

40 %

Месяц

Рекламные объявления

Бизнес и промышленность

Интернет-сообщества

Компьютеры и Интернет

Инфраструктура

НовостиПокупки

Поисковые системы и порталы

Веб-хостинг

Без классификации

Другое

Ноя

45 %

РИС. 21.

Категории вредоносного ПО, в % от общего числа инцидентов, 2013 г.Источник: Cisco TRAC/SIO

Унив

ерса

льны

е п

рогр

аммы

-тро

яны

Плав

ающ

ие ф

рейм

ыи

эксп

лойт

ы

Прог

рамм

ы-тр

ояны

для

хищ

ения

дан

ных

Загр

узчи

ки

уста

новщ

ик

Прог

рамм

ы-вы

мога

тели

и по

ддел

ьны

е ан

тиви

русы

Черв

и и

виру

сы (1%

)SM

S, ф

ишин

ги

накр

утка

лай

ков

(1%

)Ко

нстр

укто

ры

и пр

огра

ммы

взло

ма

27 % 23 % 22 % 17 % 5 % 3 %



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUr&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d7lW&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2039%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Ten%20Categories%20of%20Web%20Malware%20Hosts%2C%202013.%0A%0Ahttp%3A//cs.co/9006d7mM

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfUT&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7mz&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2039%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Malware%20Categories%2C%20by%20Percentage%20of%20Total%20Encounters%2C%202013.%0A%0Ahttp%3A//cs.co/9002d7my


РИС. 22.

Уникальные узлы и IP-адреса для размещения вредоносного ПО, 2013 г. Источник: отчеты Cisco Cloud Web Security


УникальныйУзел

Месяц

УникальныйIP-адрес

Янв0

10 000

30 000

20 000

50 000

40 000

60 000

Исследование, проведенное специалистами подразделений Cisco TRAC и SIO в 2013 году, показывает, что чаще всего в качестве вредоносного ПО, доставляемого по сети, использовались универсальные трояны (27 % случаев). Вредоносные скрипты, такие как эксплойты и плавающие фреймы, занимают второе место в этой классификации (23 %). Трояны для хищения данных (похитители паролей и «лазейки») составляют 22 % всех инцидентов, связанных с распространением вредоносного ПО по сети; загрузчики и установщики занимают четвертое место в этом списке (17 % от случаев). См. рис. 21.

Стабильное уменьшение числа уникальных узлов и IP-адресов для размещения вредоносного ПО (этот показатель сократился на 30 % с января по сентябрь 2013 г.) говорит о том, что вредоносное ПО теперь концентрируется на меньшем количестве узлов и IP-адресов (рис. 22). (Примечание. Один IP-адрес может обслуживать веб-сайты, находящиеся в нескольких доменах.) По мере сокращения числа узлов (даже несмотря на сохранение прежних объемов вредоносного ПО) ценность и репутация этих узлов приобретают всю большую важность, потому что «хорошие» узлы помогают злоумышленникам достигать своих целей.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUp&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7mP&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2040%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Unique%20Malware%20Hosts%20and%20IP%20Addresses%2C%202013.%0A%0Ahttp%3A//cs.co/9001d7mR


Основные цели: отраслевые вертикалиВ отраслях с высоким уровнем прибыли, таких как фармацевтическая, химическая промышленность и производство электроники, наблюдаются высокие показатели внедрения вредоносного ПО через Интернет. Об этом говорят данные исследования Cisco TRAC и SIO. Эти показатели увеличиваются и уменьшаются, следуя динамике ценности товаров и услуг соответствующей отрасли.

Исследователи подразделений Cisco TRAC и SIO наблюдают существенное увеличение количества инцидентов, связанных с использованием вредоносного ПО, в сельском хозяйстве и горнодобывающей отрасли, хотя совсем недавно это были зоны низкого риска. Исследователи объясняют увеличение числа заражений вредоносным ПО в этом секторе тем, что киберпреступники следуют актуальным тенденциям в отрасли — истощению ресурсов драгоценных металлов и нарушению поставок продуктов питания из-за погодных условий.

Число преступлений, связанных с использованием вредоносного ПО, растет и в электронной отрасли. Эксперты по безопасности Cisco отмечают, что вредоносное ПО, нацеливаемое на представителей этой отрасли, в основном призвано помочь злоумышленникам получить доступ к интеллектуальной собственности, которую они, в свою очередь, будут использовать для извлечения конкурентных преимуществ или перепродажи покупателю, который предложит самую высокую цену.

Чтобы определить показатели встречаемости вредоносного ПО по секторам, исследователи Cisco TRAC и SIO сравнили медианные данные по всем

Атаки типа watering hole: предприятиям не укрыться от нападенияОдним из способов поставки вредоносного ПО злоумышленниками в организации по конкретным отраслевым вертикалям является применение атак watering hole. Словно огромный дикий зверь, высматривающий свою жертву, киберпреступники, целью которых является определенная группа пользователей (например, специалисты авиаотрасли), отслеживают, какими веб-сайтами они пользуются чаще всего, заражают один или несколько из них вредоносным ПО, а затем ждут, что хотя бы один пользователь из целевой группы посетит этот сайт и можно будет скомпрометировать данные.

Такие атаки, по сути, представляют собой злоупотребление доверием, поскольку их инструментом являются законные веб-сайты. Кроме того, это одна из форм целевого фишинга. Однако целевой фишинг направлен на избранных адресатов, в то время как атаки watering hole используются для компрометации данных групп людей с общими интересами. Целевой объект здесь не играет роли: любой посетивший зараженный сайт находится в зоне риска.

В конце апреля такая атака была инициирована с определенных страниц веб-сайта Американского департамента труда, на которых содержались материалы о ядерном оружии16. Затем, в первых числах мая 2013 года, исследователи подразделений Cisco TRAC и SIO обнаружили еще одну подобную атаку, осуществляемую с некоторых других сайтов энергетического и нефтяного секторов. Схожие аспекты двух





атак, в том числе структура использовавшегося в этих атаках эксплойта, подтверждает наличие связи между ними. Исследование Cisco TRAC и SIO также показало, что у нескольких использованных сайтов один и тот же веб-разработчик и поставщик услуг хостинга. Это может означать, что изначально компрометация стала возможной из-за фишинга или хищения учетных данных у этого поставщика17.

Защита пользователей от этих атак подразумевает установку всех доступных исправлений на компьютеры и для веб-браузеров. Только так можно свести к минимуму число уязвимостей, которыми могут воспользоваться злоумышленники. Важно также фильтровать и проверять на наличие вредоносного ПО веб-трафик, прежде чем он попадет в браузер пользователя.


организациям и по компаниям из определенного сектора. При этом учитывались только предприятия, которые используют Cisco Cloud Web Security в качестве прокси-сервера. Показатели встречаемости в отрасли более 100 % отражают повышенный риск внедрения вредоносного ПО по сети, в то время как показатели менее 100 % говорят о сниженном риске. Например, риск компании с показателем встречаемости 170 % на 70 % выше медианного. Напротив, риск компании с показателем встречаемости 70 % на 30 % ниже медианного (см. рис. 23).

РИС. 23.

Отраслевые риски и встречаемость вредоносного ПО в сети, 2013 г. Источник: отчеты Cisco Cloud Web Security

Бухгалтерский учет

Сельское хозяйство и горнодобыча

Автомобилестроение

Авиация

Банковское дело и финансы

Благотворительность и НГО

Клубы и организации

Образование

Электроника

Энергетика, нефтегазовая отрасль

Инженерное дело и строительство

Развлечения

Еда и напитки

Государственный сектор

Здравоохранение

Отопление, канализация и кондиционирование

ИТ и телекоммуникации

Промышленность

Страхование

Юриспруденция

Производство

СМИ и издательская деятельность

Фармацевтика и химическая промышленность

Профессиональные услуги

Недвижимость и землепользование

Розничная и оптовая торговля

Транспорт и перевозки

Путешествия и отдых

Коммунальные услуги

0 100% 200% 300% 400% 500% 600% 700%



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfUn&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7mn&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2042%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Industry%20Risk%20and%20Web%20Malware%20Encounters%2C%202013.%0A%0Ahttp%3A//cs.co/9006d7mq


Трещины в хрупкой экосистеме Киберпреступники начинают понимать, что использование потенциала интернет-инфраструктуры гораздо более выгодно, чем просто получение доступа к отдельным компьютерам.

Новой тенденцией в области вредоносных компьютерных вторжений является получение доступа к серверам веб-хостинга, серверам имен и центрам обработки данных — это позволяет обратить в свою пользу их впечатляющую вычислительную мощность и пропускную способность. Такой подход позволяет злоумышленникам добраться до гораздо большего числа ничего не подозревающих компьютерных пользователей и оказать гораздо более мощное влияние на организации-жертвы, независимо от преследуемой цели: сделать политическое заявление, подорвать ресурсы врага или получить прибыль.

РИС. 24.

Высокоэффективная стратегия инфицирования

Перехваченный хост-сервер

Перехваченныйвеб-сайт







https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfUX&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7ma&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2043%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20High-Efficiency%20Infection%20Strategy.%0A%0Ahttp%3A//cs.co/9006d7m0


Можно сказать, тенденция нацеливания хакерских атак на интернет-инфраструктуру означает, что нельзя доверять самому фундаменту Интернета. Методы, используемые для получения администраторского доступа к серверам веб-хостинга, варьируются и подразумевают использование троянов на рабочих станциях управления, которые крадут учетные данные для входа на сервер, уязвимостей в сторонних инструментах управления, используемых на этих серверах, и перебора паролей (см. страницу 53). Неизвестные уязвимости в серверном ПО также могут стать каналом заражения вирусом.

Один скомпрометированный сервер хостинга может заразить тысячи веб-сайтов и их владельцев из разных стран мира (см. рис. 24).

Веб-сайты, размещенные на скомпрометированных серверах, функционируют и в качестве средства переадресации (посредника в цепочке заражения), и в качестве репозитория вредоносного ПО. Вместо множества скомпрометированных сайтов, загружающих вредоносное ПО всего с нескольких вредоносных доменов (отношение «многие к немногим»), мы получаем множественную связь («многие ко многим»), что существенно усложняет усилия по ликвидации инфекции.

Серверы доменных имен — основные цели атак нового поколения, точные методики которых до сих пор изучаются. Все говорит о том, что помимо отдельных веб-сайтов и серверов хостинга, взламываются также серверы имен определенных поставщиков хостинга. Специалисты Cisco по информационной безопасности отмечают, что нацеливание на интернет-инфраструктуру меняет ландшафт угроз, поскольку киберпреступникам теперь подвластна значительная часть того, что можно назвать фундаментом Интернета.

«Киберпреступность стала столь прибыльной и общедоступной, что для удержания ее на плаву требуется мощная инфраструктура, — отмечает Гевин Рейд (Gavin Reid), руководитель подразделения интеллектуальных средств мониторинга угроз Cisco. — Взламывая серверы хостинга и центры обработки данных, злоумышленники не просто получают доступ к каналам невероятной пропускной способности, но и могут использовать непрерывную работоспособность этих ресурсов в своих преступных целях».

«Киберпреступность стала столь прибыльной и общедоступной, что для удержания ее на плаву требуется мощная инфраструктура», —Гевин Рейд (Gavin Reid), руководитель подразделения интеллектуальных средств мониторинга угроз Cisco.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUk&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7mN&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2044%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20cybercrime%20and%20its%20lucrative%20infrastructure.%0A%0Ahttp%3A//cs.co/9006d7W6


Соединяем точки: DarkLeech и Linux/CDorked

Вирусная кампания DarkLeech, обнаруженная и изученная Cisco в 2013 году18, показала, как компрометация серверов хостинга может стать отправной точкой еще более крупной кампании. По подсчетам специалистов, в результате атак DarkLeech за короткий период времени по всему миру было скомпрометировано не менее 20 00019 законных веб-сайтов, использующих HTTP-сервер Apache. Сайты были заражены лазейкой Secure Shell daemon (SSHD), что позволило удаленным злоумышленникам выгрузить в систему и настроить вредоносные модули Apache. В результате компрометации злоумышленники получили возможность динамического размещения плавающих фреймов (элементов HTML) на размещенных веб-сайтах в режиме реального времени. Код эксплойта и другое вредоносное содержимое попало в систему с помощью эксплойт-набора Blackhole.

Поскольку плавающие фреймы DarkLeech попадают в систему только во время посещения сайта, признаки заражения бывает трудно заметить. Кроме того, чтобы избежать обнаружения компрометации, злоумышленники используют сложный диапазон

РИС. 25.

Компрометации серверов DarkLeech по странам, 2013 г.Источник: Cisco TRAC/SIO

58 % США

2 % Италия

0,5 % Турция

0,5 % Кипр

1 % Швейцария

0,5 % Другие страны

2 % Испания

1 % Австралия

1 % Япония

0,5 % Малайзия

1 % Литва

0,5 % Дания

1 % Нидерланды

9 % Германия 1 % Бельгия

2 % Сингапур

2 % Таиланд

3 % Канада

10 % Соединенное Королевство

2 % Франция

0,5 % Ирландия



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9009dfUb&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9000d7WE&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2045%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20DarkLeech%20Server%20Compromises%20by%20Country%2C%202013.%0A%0Ahttp%3A//cs.co/9003d7WH


РИС. 26.

Отклики скомпрометированных DarkLeech серверовИсточник: Cisco TRAC/SIO

0,5 % Apache/CentOS

43 % Apache/2.2.3 CentOS

39 % Apache (не указано)

8 % Apache/2.2.3 RedHat

7 % Apache/2.2.22

2 % Apache/2.2.8

условных критериев: например, плавающий фрейм может вставляться лишь в том случае, если пользователь переходит со страницы результатов поисковой системы. Плавающие фреймы не вставляются, если IP-адрес посетителя совпадает с адресом владельца сайта или поставщика хостинга. Внедрение плавающих фреймов осуществляется один раз каждые 24 часа для каждого посетителя.

Исследование, проведенное специалистами Cisco TRAC и SIO, показывает, что компрометации DarkLeech осуществляются во всех странах мира. Естественно, больше всего страдают страны с наибольшим количеством поставщиков хостинга.

Кроме того, специалисты Cisco SIO и TRAC изучили тысячи скомпрометированных серверов, чтобы проверить распределение затронутого серверного ПО по версиям.

В апреле 2013 года была обнаружена другая лазейка, через которую были заражены сотни серверов, работающих под управлением HTTP-сервера Apache. Linux/CDorked20 заменил собой двоичный файл HTTPD на установленных через cPanel версиях Apache. Были обнаружены аналогичные лазейки, нацеленные на Nginx и Lighttpd. Методы атаки




DarkLeech весьма избирательны. Аналогично CDorked использует условные критерии для динамической интеграции плавающих фреймов в веб-сайты, размещенные на затронутом сервере. Любой посетитель, зашедший на затронутый веб-сайт, получает вредоносное содержимое, которое поставляется с другого вредоносного веб-сайта, а комплект инструментов в составе этого криминального ПО пытается выполнить дальнейшую компрометацию ПК пользователя21.

Уникальность Linux/CDorked в том, что обход доменов веб-сайтов осуществляется в среднем каждые 24 часа. Очень мало скомпрометированных сайтов используется в течение более длительного периода. Таким образом, даже если поступает сообщение о вредоносном домене, злоумышленники уже переместились на другой объект. Linux и CDorked часто меняют поставщиков хостинга (примерно раз в две недели), перемещаясь между скомпрометированными узлами так, чтобы избежать обнаружения. Скомпрометированные серверы имен, размещенные у тех же поставщиков хостинга, позволяют злоумышленникам переходить от узла к узлу, не теряя контроля над доменами даже во время переходов. Попав на новый узел, злоумышленники начинают обрабатывать новые домены, часто используя в доменных именах технику тайпсквоттинга22. Так они пытаются создать иллюзию законности своего сайта у обычных пользователей.

Анализ схем трафика с CDorked, выполненный специалистами Cisco TRAC и SIO, говорит о наличии связи с DarkLeech. Специально созданный URL-адрес ссылающегося домена, используемый CDorked, обозначает трафик от DarkLeech. Но это еще не все, что можно сказать об этом вредоносном ПО: и CDorked, и DarkLeech являются частью гораздо более крупной и сложной стратегии.

«Сложность этих компрометаций говорит о том, что киберпреступники получили контроль над тысячами веб-сайтов и множеством серверов хостинга, включая серверы имен, используемые этими узлами», — отмечает Гевин Рейд (Gavin Reid), руководитель подразделения интеллектуальных средств мониторинга угроз Cisco. — В сочетании с недавней вспышкой попыток входа на отдельные веб-сайты перебором паролей все это говорит о том, что направление ветра меняется: веб-инфраструктура используется для формирования очень крупного и очень мощного ботнета. Этот супербот можно использовать для рассылки спама, поставки вредоносного ПО и запуска DDoS-атак беспрецедентных масштабов».

Вирусы CDorked и DarkLeech, судя

по всему, являются составляющими гораздо

более масштабной и сложной стратегии.




Вредоносный трафик, распространенный признак целенаправленных атак, обнаружен во всех корпоративных сетяхСогласно проведенному Cisco анализу тенденций в области интеллектуальных средств мониторинга угроз, вредоносный трафик был обнаружен во всех (100 %) корпоративных сетях. Это доказывает, что изощренные злоумышленники или другие игроки такого рынка проникли в эти сети и, возможно, уже длительное время действуют незамеченными.

Любая организация должна исходить из того, что стала объектом хакерской атаки, или хотя бы согласиться с тем, что вопрос не в том, будет ли она подвержена атаке, а когда это произойдет и сколько продлится такая атака.

В ходе недавнего проекта, нацеленного на изучение поисковых запросов в системе доменных имен (DNS), исходящих из корпоративных сетей, эксперты по интеллектуальным средствам мониторинга угроз Cisco обнаружили, что в каждом случае организации демонстрировали признаки того, что их сети использовались не по назначению или взламывались (см. рис. 27). Например, из 100 % проанализированных Cisco коммерческих сетей трафик направлялся на веб-сайты, на которых размещено вредоносное ПО, в 92 % сетей обнаружился трафик на пустые веб-страницы, на которых обычно осуществляются вредоносные действия. Из девяноста шести процентов проанализированных сетей трафик направлялся на взломанные серверы.

Кроме того, специалисты Cisco обнаружили трафик на военные или правительственные веб-сайты, причем указанные компании не взаимодействовали ни с одной организацией из этого сектора, а также на веб-сайты географических областей высокого риска, например стран, от ведения бизнеса с которыми отказались США. По мнению специалистов Cisco, такие сайты могут использоваться злоумышленниками из-за хорошей репутации, которой обычно пользуются общественные организации и государственные инстанции. Трафик на эти сайты не всегда является однозначным

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUe&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7WJ&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2048%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20Cisco%27s%20findings%20on%20misused%20and%20compromised%20networks.%0A%0Ahttp%3A//cs.co/9000d7WO


признаком компрометации, однако в организациях, которые обычно не ведут бизнес с государственными или военными организациями, этот трафик может означать, что сети взламываются с целью дальнейшего использования злоумышленниками для вторжения в правительственные и военные веб-сайты и сети.

Несмотря на совместные усилия по защите сетей от вредоносных атак, во всех организациях, проанализированных Cisco в 2013 году, наблюдался подозрительный трафик. Анализ трафика поисковых запросов системы доменных имен (DNS) позволяет выделить очевидные индикаторы взлома. Этот трафик заслуживает более подробного изучения организациями, которые желают остановить в своей сети деятельность злоумышленников, которых практически невозможно обнаружить. Это метод повышения прозрачности криминальной активности, которую, как правило, очень сложно обнаружить.

РИС. 27.

Повсеместная распространенность вредоносного трафика

100 %

100 %

96 %

92 %

88 %

79 %

71 %

50 %

Вредоносное ПО с высоким уровнем угрозы

Подключения к доменам с высоким уровнем угрозы вредоносного ПО, известным как «векторы угроз».

Государственные и военные ресурсы

Подозрительный, чрезмерно объемный трафик направляется в места, активный публичный доступ для которых нетипичен.

Похищенная инфраструктура

Подключения к объектам похищенной инфраструктуры или перехваченным сайтам.

Сайты без содержимого Подключения к пустым сайтам, которые, возможно, содержат код для внедрения вредоносного ПО в системы.

Подозрительный FTP-протокол

Неожиданные подключения к нестандартным FTP-сайтам.

Подозрительная сеть VPN

Подключения к подозрительным VPN-сайтам из организации

Угрозы на образовательных ресурсах

Подключения к сайтам вузов в подозрительных местах, которые, возможно, являются отправными точками для распространения других видов вредоносного ПО

Порнография Большое число попыток подключиться к известным порносайтам.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfU5&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7WR&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2049%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20The%20Pervasiveness%20of%20Malicious%20Traffic.%0A%0Ahttp%3A//cs.co/9006d7Wp


СПЕЦИАЛЬНАЯ ПУБЛИКАЦИЯ CISCO SECURITY RESEARCH

Новые тенденции в области битсквоттинга и новые способы борьбы с атакамиКиберсквоттинг — это практика регистрации идентичных или практически идентичных известным ресурсам доменных имен, этот подход уже давно используется интернет-преступниками. Совсем недавно возникла технология «битсквоттинга» — регистрации доменных имен, которые одним битом отличаются от оригинала. Это позволяет злоумышленникам перенаправить интернет-трафик на сайты с вредоносным ПО или мошеннические сайты.

Битсквоттинг — это разновидность киберсквоттинга, которая нацелена на битовые ошибки в компьютерной памяти. Ошибка памяти происходит тогда, когда один или несколько битов, считываемых из памяти, меняют состояние, в котором они изначально были записаны. Подобные ошибки памяти могут происходить по многим причинам, включая космические лучи (высокоэнергичные частицы, попадающие на землю со скоростью 10 000 частиц на квадратный метр в секунду), использование устройства с нерекомендованными параметрами среды, производственные дефекты и даже маломощные ядерные взрывы.

В случае замены одного единственного бита домен twitter.com может стать битсквотным доменом twitte2.com. Злоумышленнику достаточно зарегистрировать битсквотный домен, дождаться ошибки памяти и взломать интернет-трафик.

Специалисты по безопасности уверены, что наиболее частым объектом атак битсквоттинга являются часто разрешаемые доменные имена, поскольку эти домены с наибольшей вероятностью появятся в памяти, когда произойдет разрядная ошибка. Однако недавние исследования показывают, что домены, которые ранее не считались достаточно популярными, чтобы стать объектом атаки, по сути, могут предоставить битсквотный трафик в достаточном объеме. Это объясняется тем, что объем памяти на устройство и число устройств, подключенных к Интернету, увеличивается. Согласно прогнозам Cisco, к 2020 году к Интернету будут подключаться 37 млрд интеллектуальных устройств23.

Векторы атак битсквоттингаСпециалисты Cisco TRAC и SIO обнаружили следующие векторы атак битсквоттинга.

• Битсквоттинг разделителя поддомена: согласно общепринятому синтаксису меток доменных имен, доменное имя может содержать только символы A—Z, a—z, 0—9 и дефис. Однако, если при проверке битсквоттинговых доменов ограничить поиск этими символами, можно упустить одну важную составляющую доменных имен — точку. Новая техника битсквоттинга основана на разрядных ошибках, в результате которых буква «n» (двоичное обозначение 01101110) может превратиться в точку «.» (двоичное обозначение 00101110), и наоборот.

• Поддоменные разделители, в которых символ «n» заменен точкой: если доменное имя второго уровня содержит букву «n», за которой следуют два символа или более, это значит, что речь идет о потенциальном битсквоттинге как разновидности вышеописанной техники. Например, windowsupdate.com может превратиться в dowsupdate.com.

• Битсквоттинг разделителей URL-адресов: доменные имена, как правило, используются в составе URL-адресов. Внутри стандартного URL-адреса прямая косая черта (/) используется в качестве разделителя. Она отделяет схему от имени хоста в URL-пути. Если заменить всего один бит, прямая косая черта (двоичное обозначение 00101111) может превратиться в букву «o» (двоичное обозначение 01101111), и наоборот.





Предотвращение битсквоттинговых атак: создание битсквоттинговой зоны с политикой откликов

В арсенале средств безопасности имеются две техники предотвращения битсквоттинга, однако ни один из методов не является оптимальным.

• Использование памяти с функцией коррекции ошибок: вся база установленного оборудования должна быть одновременно обновлена по всему миру. Только в этом случае решение будет эффективным.

• Регистрация битсквоттингового домена с целью не допустить регистрации такого домена сторонними лицами: это не всегда возможно, поскольку многие популярные битсквоттинговые домены уже зарегистрированы. В зависимости от длины доменного имени это может быть сопряжено со значительными затратами.

Есть и хорошие новости: эти техники — не единственные инструменты в арсенале специалиста по безопасности, которые могут использоваться для защиты пользователей от внезапного изменения направления интернет-трафика. При условии эффективного освоения новые техники снижения рисков позволяют практически полностью решить проблему битсквоттинга.

Так, например, зоны с политикой откликов (RPZ) можно настроить, начиная с BIND 9.8.1, а наборы исправлений существуют и для более ранних версий BIND. (BIND — это популярное программное обеспечение для интернет-служб доменных имен.) Зоны с политикой откликов — это локальные файлы зон, позволяющие сопоставителю DNS реагировать на конкретные DNS-запросы, отвечая, что доменное имя не существует (NXDOMAIN), перенаправляя пользователя в закрытую экосистему (на защищенную платформу) или иначе.

Чтобы свести к минимуму негативное влияние отдельных разрядных ошибок сопоставителя DNS на пользователей, администратор сопоставителя может создать RPZ, защищающую от битсквотов часто разрешаемых доменных имен или доменных имен, предназначенных только для внутреннего использования. Например, можно настроить зону с политикой откликов так, чтобы любые запросы, адресованные сопоставителю DNS и касающиеся битсквоттинговых вариаций этих доменов, получали ответ NXDOMAIN, а разрядные ошибки исправлялись незаметно, не требуя каких-либо усилий со стороны клиента, в котором произошла разрядная ошибка24.





Отраслевые факторыВ этом разделе специалисты подразделения Cisco Security

Intelligence Operations (SIO) обсуждают отраслевые тенденции, которые выходят за рамки телеметрии Cisco.


53 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Отраслевые факторы

Перебор паролей — одна из распространенных тактик компрометации веб-сайтовХотя перебор паролей никак не назовешь новой тактикой киберпреступности, в первой половине 2013 года она стала использоваться в три раза чаще.

В ходе исследований специалисты Cisco TRAC и SIO обнаружили концентратор данных, используемый в качестве источника этих злоумышленных действий. Этот концентратор содержит 8,9 миллионов возможных сочетаний «имя пользователя — пароль», включая сложные пароли, а не легко разгадываемые сочетания вроде password123. Из-за регулярных хищений учетных данных пользователей этот список, равно как и другие аналогичные источники, регулярно пополняется.

РИС. 28.

Как подбирают пароли

ПК связывается с центром контроля и управления и загружает программу-троян.

Будущие жертвы доставляются загрузчику, цикл повторяется.

Затем затронутые веб-сайты становятся источниками рассылки спама.

После успешного завершения операции ПК отправляет PHP-бот и другие скрипты на только что перехваченный веб-сайт.

ПК атакует сайт с помощью различных CMS-эксплойтов и грубых попыток входа.

ПК выполняет поиск названий целевых сайтов из центра контроля и управления.




Основной целью недавних атак, организованных по принципу перебора пароля, являются популярные платформы систем управления контентом (CMS), такие как WordPress и Joomla. Успешные попытки получения несанкционированного доступа через CMS позволяют злоумышленникам выгружать на скомпрометированные веб-сайты PHP-лазейки (лазейки модуля предварительной обработки гипертекста) и другие вредоносные скрипты. В некоторых случаях компрометация позволяет злоумышленникам найти путь к серверу хостинга, который они затем могут захватить (см. рис. 28).

Учитывая, что в мире более 67 миллионов сайтов WordPress и что издатели используют эту платформу для создания блогов, новостных сайтов, корпоративных ресурсов, журналов, социальных сетей, спортивных сайтов и многого другого, неудивительно, что многие интернет-преступники пытаются получить доступ к этой CMS-системе25. Drupal, быстро развивающаяся платформа CMS, также в этом году стала объектом атак. Так, в мае пользователям порекомендовали изменить пароль, потому что «через стороннее программное обеспечение, установленное в серверной инфраструктуре Drupal.org, были осуществлены попытки несанкционированного доступа [к системе Drupal]»26.

Эти системы являются лакомыми кусочками для злоумышленников не только ввиду своей популярности. Многие из этих сайтов, по сути, были заброшены владельцами, несмотря на то что продолжают функционировать. Существуют миллионы заброшенных блогов и неиспользуемых купленных доменов, и многие из них теперь, вероятно, принадлежат киберпреступникам. Специалисты Cisco по информационной безопасности прогнозируют ухудшение ситуации, поскольку все больше людей на развивающихся интернет-рынках разных стран мира создают блог или веб-сайт и вскоре забрасывают его.

Повсеместное использование подключаемых модулей, расширяющих функциональность CMS и обеспечивающих воспроизведение видео, анимации и игр, открывает широкие возможности для получения злоумышленниками несанкционированного доступа к платформам, таким как WordPress и Joomla. Многие компрометации систем CMS, обнаруженные специалистами Cisco в 2013 году, уходят корнями в подключаемые модули, созданные на языке веб-скриптов PHP без учета требований безопасности.

Многие интернет-преступники жаждут

получить доступ к нужной информации

через CMS.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfUg&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9008d7Wn&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2054%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20key%20targets%20for%20recent%20brute-force%20login%20attempts.%0A%0Ahttp%3A//cs.co/9009d7WX


DDoS-атаки: новое — это хорошо забытое староеРастет распространенность и агрессивность распределенных атак типа «отказ в обслуживании» (DDoS-атак), нарушающих трафик целевых веб-сайтов и способных парализовать деятельность интернет-провайдеров.

Поскольку DDoS-атаки долгое время считались «старым трюком» в арсенале киберпреступников, многие организации не сомневались, что внедренные ими механизмы безопасности обеспечивают адекватную защиту. Эта уверенность была поколеблена крупномасштабными DDoS-атаками в 2012 и 2013 годах (включая атаку Operation Ababil), нацеленными на несколько финансовых учреждений. Имеются основания полагать, что эти атаки имели политическую подоплеку27.

«DDoS-атаки относятся к числу наиболее серьезных проблем безопасности для организаций в частном и государственном секторах в 2014 году, — отмечает Джон Н. Стюарт (John N. Stewart), старший вице-президент и директор по информационной безопасности в Cisco. — Будьте готовы к тому, что последующие кампании будут еще более масштабными и продолжительными. Организации, особенно работающие в сферах, которые уже стали основными мишенями преступников (финансовые услуги и энергетика) или имеющие в этих сферах какой-либо интерес, должны ответить на вопрос: "Способны ли наши системы противостоять DDoS-атакам?"».

Новая тенденция: некоторые DDoS-атаки используются для прикрытия других вредоносных действий, например, несанкционированного доступа в сеть по телефонной

DNS-УСИЛЕНИЕ:

техники борьбыАтаки, реализованные через DNS-усиление, сохранят свою актуальность в 2014 году, согласно сведениям, предоставленным экспертами по безопасности Cisco. Участники проекта Open Resolver Project (openresolverproject.org) сообщают, что по состоянию на октябрь 2013 года в Интернете существовало 28 миллионов открытых сопоставителей, что представляет собой «существенную угрозу» (для сравнения: в DDoS-атаке на Spamhaus (300 Гбит/с) использовалось всего 30 000 открытых сопоставителей).

Если сопоставитель открыт, это означает, что он не фильтрует место отправки ответов. DNS использует UDP-протокол, в котором не учитывается состояние, то есть запросы могут отправляться от другого лица. Затем это лицо получает увеличенный трафик. Вот почему идентификация открытых сопоставителей и принятие мер для их закрытия сохранят свою актуальность на протяжении еще долгого времени.

Предприятия могут снизить вероятность атаки, реализованной с использованием DNS-усиления, несколькими способами, включая реализацию передовых практик оперативной группы интернет-разработок (BCP) 38, позволяющих не стать источником атак. Оперативная группа рекомендует поставщикам IP-подключений от пользователя к узлу фильтровать пакеты, попадающие в сеть от нижестоящих потребителей, и удалять любые пакеты с адресом источника, который не был назначен такому клиенту30. В составлении упомянутых


[

]



http://www.openresolverproject.org

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUi&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9007d7W5&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2055%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20how%20attacks%20launched%20through%20DNS%20amplification%20will%20remain%20a%20concern%20in%202014.%0A%0Ahttp%3A//cs.co/9008d7Wq


передовых практик участвовали специалисты Cisco, в частности, они дали рекомендации по развертыванию и реализации uRPF31.

Еще одной техникой защиты является настройка ограничения скорости на всех заслуживающих доверия DNS-серверах. Как правило, заслуживающий доверия сервер имен, обслуживающий домен предприятия, открыт для любых запросов. Ограничение скорости отклика DNS (DNS RRL) — это функция, которую можно включить, чтобы не допустить многократного ответа DNS-сервера на один и тот же вопрос от одной и той же сущности. Это не позволит злоумышленникам использовать организацию в качестве посредника в DDoS-атаках. DNS RRL включается на DNS-серверах и является одним из способов предотвращения администратором серверов использования сервера злоумышленниками в атаках усиления. Ограничение скорости отклика DNS — это новая функция, которая пока не поддерживается всеми DNS-серверами. Тем не менее она поддерживается популярным сервером DNS ISC BIND.

Кроме того, все рекурсивные DNS-серверы необходимо настроить с помощью списка контроля доступа (ACL), чтобы они реагировали только на запросы узлов в собственной сети. Неэффективное управление списком контроля доступа является основным фактором DNS-атак, особенно на крупных серверах с большой пропускной способностью. Эта техника снижает вероятность того, что сервер будет использован в качестве посредника DDoS-атаки.



линии, до, во время и после кампании. (См. главу «DarkSeoul» на странице 57.) Эти атаки парализуют работу банковских специалистов, не позволяют отправлять клиентам уведомления о переводах, а клиенты, в свою очередь, никуда не могут сообщить о мошенничестве. К тому времени, когда финансовое учреждение восстановится после такой атаки, его финансовые убытки будут неисчислимы. Одна из таких атак произошла 24 декабря 2012 года. Мишенью стал веб-сайт регионального финансового учреждения штата Калифорния. Диверсия «помогла отвлечь внимание банковских служащих от захвата интернет-счета одного из клиентов банка и хищения более 900 000 долларов США с этого счета»28.

Быстрое накопление опыта и знаний в области компрометации серверов хостинга упрощает запуск DDoS-атак и хищение данных организаций-мишеней злоумышленниками (см. раздел «Трещины в хрупкой экосистеме» на странице 43). Захватив часть интернет-инфраструктуры, злоумышленники могут воспользоваться пропускной способностью ресурса и реализовать бесчисленное множество ресурсозатратных кампаний. Это уже имеет место: в августе 2013 года правительство Китая сообщило, что из-за крупнейшей в истории государства DDoS-атаки по всей стране примерно 4 часа не работал Интернет29.

Даже спамеры прибегают к DDoS-атакам, чтобы вывести из строя организации, которые, как кажется преступникам, мешают им получать желаемую прибыль. В марте 2013 года некоммерческая организация Spamhaus, которая отслеживает спамеров и ведет «черный список» Spamhaus (каталог подозрительных IP-адресов), подверглась DDoS-атаке, в результате чего веб-сайт временно прекратил работу, а интернет-трафик по всему миру замедлился. Предположительно, злоумышленники связаны с нидерландским поставщиком услуг хостинга CyberBunker c крайне свободными условиями использования и организацией STOPhaus, которая не раз явно выражала недовольство деятельностью Spamhaus. DDoS-атака последовала за включением CyberBunker в черный список Spamhaus,




«Поскольку в сфере безопасности обсуждается возможность разрешить заслуживающим доверия серверам имен прекращать обслуживание объектов, которые становятся посредниками DDoS-атак, всем организациям необходимо взять на вооружение простые технологии снижения рисков, описанные выше», — отмечает Гевин Рейд (Gavin Reid), руководитель интеллектуальных средств мониторинга угроз Cisco.

Дополнительные сведения о передовых практиках DNS см. в разделе «Передовые практики DNS, сетевая защита, идентификация атак» на веб-сайте http://www.cisco.com/web/about/security/intelligence/dns-bcp.html.


который широко используется по всему миру. В качестве возмездия спамеры попытались отключить Spamhaus от сети в результате DDoS-атаки.

Эта DDoS-атака была выстроена по принципу DNS-усиления с использованием открытых сопоставителей DNS, реагирующих даже на запросы вне своего диапазона IP-адресов. Отправляя открытому сопоставителю небольшой, составленный по специальному шаблону запрос с поддельным адресом источника целевого объекта, можно получить гораздо более масштабный отклик на предполагаемую мишень. После провала первоначальных попыток отключить Spamhaus от сети злоумышленники попытались реализовать атаку по принципу DNS-усиления против Tier 1 и других поставщиков исходящих сигналов для Spamhaus.

DarkSeoulКак упоминается в разделе «DDoS-атаки: новое — это хорошо забытое старое», концентрация внимания киберпреступников на компрометации серверов хостинга и расширение знаний и навыков в этой области упрощают реализацию DDoS-атак и хищение данных из организаций.

Специалисты Cisco в области информационной безопасности предупреждают, что в будущем, вероятно, DDoS-атаки смогут наносить существенный ущерб организациям, в том числе финансовые убытки в результате хищений.

Целенаправленные атаки DarkSeoul в марте 2013 года были реализованы с помощью вредоносного ПО, стирающего данные с жестких дисков на десятках тысяч ПК и серверов. Атака была нацелена против финансовых учреждений и СМИ Южной Кореи. Вредоносное



http://www.cisco.com/web/about/security/intelligence/dns-bcp.html

http://www.cisco.com/web/about/security/intelligence/dns-bcp.html


приложение было запущено синхронно на всех машинах. Тем не менее вредоносное ПО для стирания данных — это лишь одна сторона атаки. Одновременно с запуском вредоносного ПО веб-сайт корейского сетевого провайдера LG U+ был взломан, а сети других организаций-целей перестали функционировать. Получить такой результат с использованием одного только ПО для удаления данных невозможно32.

Некоторые считают, что атаки стали результатом кибервойны, начатой Северной Кореей для подрыва экономических устоев Южной Кореи или просто в качестве саботажа на международном уровне. Существует также вероятность, что атаки DarkSeoul были призваны завуалировать незаконное обогащение33.

Специалисты по безопасности все еще пытаются разобраться в этих атаках и найти ответственных лиц, однако существуют доказательства, что план атаки DarkSeoul начал реализовываться еще в 2011 году. В том году Федеральное бюро расследований США впервые предупредило о появлении банковских троянов, призванных скрыть незаконный перевод средств со счетов жертв34. Затем, в 2012 году, компания RSA, занимающаяся вопросами информационной безопасности, сообщила о новом поколении киберпреступников, реализующих изощренные троянские кампании, смысл которых заключается в атаке на банковскую систему в выбранный день и попытке вывести средства с максимального количества скомпрометированных счетов, прежде чем система безопасности обнаружит неладное и остановит атаку»35. В рождественскую ночь 2012 года интернет-мошенники использовали DDoS-атаку для того, чтобы скрыть кражу средств из регионального финансового учреждения Калифорнии36.

Согласно данным исследователей Cisco TRAC и SIO, в атаке DarkSeoul против СМИ и финансовых учреждений был обнаружен один вредоносный двоичный файл, представляющий собой банковский троян, нацеленный на поражение систем клиентов упомянутых корейских банков. Этот факт, а также хронология киберпреступлений, ведущих к атаке DarkSeoul, говорит о том, что это могло быть хищение, замаскированное под что-либо другое.

Программы-вымогатели

На протяжении всего 2013 года наблюдался уход от традиционной стратегии заражения ПК с использованием ботнетов. Одной из отличительных особенностей этой тенденции является более активное использование программ-вымогателей в отношении скомпрометированных веб-сайтов, вредоносных электронных сообщений и троянов-загрузчиков. Программы-вымогатели — это разновидность вредоносного ПО, не позволяющая зараженной системе нормально функционировать до уплаты указанного «выкупа».

На протяжении всего 2013 года

наблюдался уход от традиционной

стратегии заражения ПК с использованием

ботнетов.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfUY&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9000d7Ws&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2058%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20attacks%20are%20moving%20away%20from%20traditional%20botnet-driven%20infections%20on%20PCs.%0A%0Ahttp%3A//cs.co/9001d7Wt


Программы-вымогатели создают практически неотслеживаемый, но в то же время достаточно простой и удобный поток доходов для злоумышленников, которым, к тому же не требуется прибегать к промежуточным арендуемым службам, например предоставляемым традиционными ботнетами. Злоумышленники копируют законную локальную экономику, в которой наблюдается существенный рост ИП как результат безработицы и экономического спада, однако мотивацией для киберпреступников является нехватка ботнетов и доступных наборов эксплойтов.

Осенью 2013 года появилась новая разновидность программ-вымогателей, дублированный вирус CryptoLocker, который начал шифровать файлы жертв с использованием комбинации пар 2048-битных ключей RSA и AES-256, расшифровать которую, как считается, невозможно. CryptoLocker перемещает файлы за пределы локального компьютера, чтобы поместить на любой сопоставляемый диск с возможностью записи сопоставимые типы файлов. По окончании шифрования жертвам представляется ряд диалоговых окон с подробными инструкциями по совершению «выкупного» платежа (см. рис. 29). Устанавливается счетчик, и жертва должна совершить платеж в течение установленного времени (от 30 до 100 часов). В диалоговом окне появляется предупреждение, что если указанная сумма не будет уплачена в указанное время, закрытый ключ будет удален с управляющего сервера, после чего расшифровать файлы будет невозможно.

Вирус CryptoLocker появился в середине октября, возможно, в ответ на исчезновение наборов эксплойтов Blackhole и Cool после ареста предполагаемого создателя этих платформ.

РИС. 29.

Инструкции по оплате от CryptoLocker




Нехватка высококлассных специалистов по безопасности и отсутствие необходимых решенийСложность технологий и тактик, используемых интернет-преступниками, а также их непрерывные попытки нарушить безопасность сети и похитить данные перевешивают возможности ИТ-специалистов и специалистов по безопасности бороться с угрозами. В большинстве организаций нет ни кадров, ни систем, необходимых для непрерывного последовательного мониторинга сетей и определения путей инфицирования.

Отсутствие высококвалифицированных специалистов по безопасности осложняет ситуацию: даже если средства позволяют, нанять специалиста с соответствующими современным требованиям навыками очень непросто. По прогнозам, в 2014 году в отрасли по-прежнему будет наблюдаться нехватка более миллиона специалистов по безопасности в разных странах мира. Наблюдается огромный дефицит специалистов по безопасности, умеющих действительно грамотно анализировать данные, в то время как понимание и грамотный анализ данных безопасности могли бы способствовать достижению бизнес-задач организации. (См. приложение на странице 68, «Организациям по безопасности нужны специалисты по работе с данными: инструменты анализа данных начального уровня для специалистов по практическому обеспечению безопасности»).

Руководители по ИТ-безопасности

стремятся нанимать кадры

с соответствующими требованиям

современности навыками в области

безопасности.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9009dfUl&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7Wa&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2060%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20organizations%20cope%20with%20consistently%20monitoring%20their%20networks%20for%20attack.%0A%0Ahttp%3A//cs.co/9009d7WF


Облако — это новый периметрРуководители по ИТ-безопасности рассказали специалистам Cisco по информационной безопасности (см. страницу 18), что перенос огромного множества критически важных бизнес-данных в облако сопряжен с серьезными проблемами в области безопасности.

Облачная революция, по словам Майкла Фурмана (Michael Fuhrman), вице-президента по проектированию систем компании Cisco, сравнима со стремительным развитием интернет-решений в конце 1990-х.

«Радикально поменялись способы применения новых технологий в бизнесе, и в то же время мы могли наблюдать всплеск интернет-атак со стороны злоумышленников, — рассказывает Майкл. — Сегодня источником таких радикальных перемен является облако. Компании не просто размещают в облаке множество критически важных приложений, но и используют облако для потребления и анализа критически важной коммерческой информации».

Развитие облачных вычислений уже невозможно не замечать, нельзя и остановить этот процесс. Специалисты Cisco прогнозируют, что к 2017 году сетевой трафик к облачным системам увеличится более чем в три раза37.

Начиная с 2014 года специалисты по безопасности могут рассчитывать на перемещение в облако всех корпоративных периметров безопасности. Границы и определения этих сетевых сущностей за последние годы сильно размылись. Однако ввиду наличия в облаке такого большого количества приложений и данных организации быстро утрачивают способность контролировать, кто и что перемещается за границы корпоративной сети, а кто и что остается внутри этих границ, и какие действия предпринимают пользователи.

Переход к облаку меняет правила игры, поскольку переопределяет места хранения, перемещения данных и доступа к ним и открывает огромные возможности для злоумышленников.

Беспокойство по поводу передачи контроля данных облаку усиливается ввиду нехватки информации о том, как поставщики облачных служб обеспечивают безопасность своих продуктов. Зачастую организации не интересуются (или интересуются недостаточно)

Развитие облачных вычислений уже

невозможно не замечать, нельзя и остановить этот

процесс.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUm&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7W4&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2061%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20entire%20corporate%20perimeters%20could%20move%20to%20the%20cloud%20in%202014.%0A%0Ahttp%3A//cs.co/9005d7W7


содержанием заключаемого с поставщиком соглашения об уровне обслуживания, периодичностью обновления ПО системы безопасности или устранения уязвимостей.

Организациям нужна уверенность в том, что поставщик облачной среды использует наиболее совершенные инструменты и стратегии предотвращения атак, а также их обнаружения и ликвидации. Часто специалистам по информационной безопасности для принятия решения необходимо ответить всего на один вопрос: «Какими средствами управления должен владеть поставщик, чтобы мы могли доверить ему защиту данных и управление ими?».

С другой стороны, поставщики облачных сред делают все возможное для выявления и внедрения управляемого набора элементов управления, соответствующего непрерывно растущим регулятивным требованиям международных организаций и позволяющего решать проблемы все более враждебной среды угроз.

«При выборе поставщиков средств безопасности и критически важной инфраструктуры мы учитываем технические характеристики и репутацию, — говорит Джон Н. Стюарт (John N. Stewart), старший вице-президент и директор по информационной безопасности в Cisco. — В последнее время приобретают важность такие факторы, как используемые поставщиком процедуры и подход к обеспечению безопасности».

По случайному совпадению все то, что превращает облако в угрозу (расположение за пределами периметра сети и все более активное использование облаков для работы с критически важными для бизнеса данными), поможет организациям в принятии более точных решений по безопасности практически в режиме реального времени. Чем больше трафика проходит через облако, тем быстрее и проще облачные решения для обеспечения безопасности могут проанализировать этот трафик и извлечь из этого дополнительные сведения. Кроме того, если речь идет о небольших организациях или организациях с ограниченным бюджетом, хорошо защищенная и эффективно управляемая облачная служба предоставит больше средств обеспечения безопасности, чем собственные серверы и брандмауэры компании.

«При выборе поставщиков средств безопасности и критически важной инфраструктуры мы основываемся на технических характеристиках и репутации. В последнее время приобретают важность такие факторы, как используемые поставщиком процедуры и подход к обеспечению безопасности»,

— Джон Н. Стюарт (John N. Stewart), старший вице-президент и директор по информационной безопасности в Cisco.




РекомендацииМногие организации стремятся сформировать единую концепцию безопасности, в основе которой лежала бы эффективная стратегия, подразумевающая использование новых технологий, упрощающая их архитектуру и эксплуатацию и расширяющая возможности специалистов по обеспечению безопасности.


64 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Рекомендации

Цели на 2014 год: проверка благонадежности и повышение прозрачностиСегодня в среде, где необходимо быстро оценивать уровень доверия к сети или устройству, организации вынуждены работать с фрагментарными моделями безопасности, не обеспечивающими последовательную реализацию политик, подразумевающими использование изолированных интеллектуальных средств мониторинга угроз и включающими необходимость управления растущим числом поставщиков и продуктов.

Связи между организациями, данными и современными атаками, инициируемыми злоумышленниками, слишком сложны и многообразны для обработки с помощью одного устройства. В большинстве организаций нет специалистов по безопасности, обладающих достаточными опытом и знаниями для адаптации существующих моделей безопасности к указанным условиям и возможностям, которые сегодня открывают технологии облачных вычислений, мобильность и новые способы ведения бизнеса, которые становятся возможными благодаря прогрессу технологий.

В прошлом году организации всех типов пытались понять, как реализовать инновации, не создав новые пробелы в системе безопасности и не усугубив уже существующие. В 2013 году на передний план вышла проблема доверия. Пользователи всех типов теперь еще больше сомневаются в надежности технологий, которыми они пользуются в повседневной работе и жизни. Следовательно, сегодня поставщикам как никогда важно убедить клиентов, что безопасность является для них приоритетом на всех этапах производственного процесса, и быть готовыми подтвердить это заявление.

«Мы стали свидетелями рыночной трансформации, где важнее всего доверие, а процессы и технологии должны стать неотъемлемыми компонентами разработки продукции. Только в этом случае поставщик сможет достойно отреагировать на современные угрозы, — отмечает Джон Н. Стюарт (John N. Stewart), директор по информационной безопасности в Cisco. — Одного обещания недостаточно. Компании обязаны подтвердить свои слова, выпуская сертифицированные продукты, реализуя интегрированные процедуры разработки, инновационные технологии и укрепляя свое положение в отрасли. Кроме того, проверка надежности используемых технологических продуктов и предоставляющих их поставщиков должна стать постоянным приоритетом таких организаций».

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUo&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7oG&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2064%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20read%20Cisco%27s%20chief%20security%20officer%20John%20N.%20Stewart%20discuss%20trust%20in%20a%20transitioning%20market.%0A%0Ahttp%3A//cs.co/9008d7oK


Приведение мер по обеспечению безопасности в соответствие с коммерческими целями также является важным шагом на пути укрепления корпоративной безопасности. В условиях ограниченных ресурсов и недостатка средств это поможет руководителям по ИТ-безопасности и другим руководителям по безопасности идентифицировать ключевые риски и разработать соответствующие стратегии их снижения. В рамках этого процесса необходимо принять тот факт, что не все корпоративные ресурсы можно полностью защитить в любое время. «Определите, что является для вас самым важным с точки зрения кибербезопасности, — советует Гевин Рейд (Gavin Raid), руководитель подразделения интеллектуальных средств мониторинга угроз Cisco. — Это гораздо более продуктивный подход, нежели попытки найти «волшебную таблетку», которая решит все проблемы».

Для того чтобы заблаговременно реагировать на современные проблемы безопасности, организации должны в комплексе изучить свою модель безопасности и обеспечить прозрачность всего континуума атаки.

•Передатакой. Чтобы защитить свою сеть, организации должны знать, что в нее входит: операционные системы, службы, приложения, пользователи и многое другое. Кроме того, необходимо реализовать элементы управления доступом, политики безопасности и блокировать доступ приложений и общий доступ к критически важным ресурсам. Тем не менее эти политики и элементы управления являются лишь небольшими фрагментами более крупной картины. Эти меры помогут уменьшить поверхность атаки, однако всегда останутся пробелы, которые злоумышленники смогут обнаружить и использовать для достижения своих преступных целей.

•Вовремяатаки. Организации вынуждены работать с множеством разнообразных векторов атак, используя решения, функционирующие в любой точке возможного проявления угрозы: в сети, на конечных точках, с мобильных устройств и в виртуальных средах. Внедрив в систему эффективные решения, специалисты по безопасности смогут более грамотно блокировать угрозы и защищать свою среду.

•Послеатаки. При всем при этом множество атак будут успешны, и это неизбежно. Это означает, что организациям нужен формальный план, который позволит им определить объем убытков, ограничить негативные последствия события, восстановить поврежденные компоненты и нормальное функционирование системы как можно скорее.

«Злоумышленники и используемые ими инструменты действуют настолько эффективно, что с легкостью обходят традиционные механизмы защиты. Сегодня вопрос, состоится ли атака, неактуален, актуален вопрос, когда это случится, — отмечает Марти Рёш (Marty Roesch), главный архитектор систем безопасности Группы безопасности Cisco. — Для защиты пользователей на протяжении всего континуума атак (до, во время и после) нужен основанный на полной прозрачности и сконцентрированный на угрозах подход к обеспечению безопасности».

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfUU&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7oP&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2065%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20how%20attackers%20and%20their%20tools%20have%20advanced%20to%20evade%20traditional%20defenses.%0A%0Ahttp%3A//cs.co/9007d7oT


Как решить проблемы безопасности, воспользовавшись профессиональными услугамиУвеличение поверхности атаки, повышение распространенности и сложности моделей атаки, а также растущая сложность компонентов сети осложняет формирование единой концепции безопасности в организациях — концепции, которая должна быть основана на использовании новых технологий, упрощении архитектуры и эксплуатации, а также расширении возможностей рабочих групп.

Ситуация осложняется отсутствием высококлассных специалистов по безопасности (см. страницу 60). Кроме того, сфера безопасности стремительно развивается, постоянно появляются новые разработки, которые организации просто не в состоянии освоить.

Найти нужные высококвалифицированные кадры для эффективной работы в непрерывно развивающемся ландшафте безопасности отнюдь не легко. Привлечение ресурсов извне позволяет не только сократить расходы, но и освободить ресурсы для работы над приоритетными задачами.

Укрепление наиболее слабых звеньев цепиЕстественно, основной составляющей поддержания кибербезопасности является предотвращение угроз. Вот почему в условиях, когда все больше интернет-преступников стремятся скомпрометировать интернет-инфраструктуру, а не отдельные компьютеры, специалисты Cisco по информационной безопасности рекомендуют, чтобы независимые поставщики программного обеспечения и хостинговые компании играли более активную роль в защите целостности Интернета.

Идентификация сложно обнаруживаемых угроз, таких как DarkLeech и Linux/CDorked (см. страницу 45) требует гораздо больше «человеческого участия» со стороны поставщиков услуг хостинга. Это участие включает полноценное изучение отчетов пользователей и серьезное отношение к полученной информации. Кроме того, поставщикам необходимо реализовать эффективные инструменты управления, которые позволят проверить целостность установленных серверных ОС. Исследователи Cisco отмечают, что в случае с такими сложно обнаруживаемыми вредоносными программами, как CDorked, специалисты по безопасности организации даже не узнают, что двоичный файл был заменен, если только в системе не были изначально реализованы элементы управления для проверки целостности установки.

Системы отдельных пользователей особенно подвержены компрометации, однако цепочка зачастую начинает ослабевать гораздо раньше, чем в нее попадает угроза. Все чаще и чаще атака происходит в середине цепочки. Вот почему поставщикам нужна более полная осведомленность о потенциальных угрозах интернет-инфраструктуре.




Приложение


68 Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год Приложение

Организациям по безопасности нужны специалисты по работе с данными Инструменты вводного анализа данных для специалистов по практическому обеспечению безопасности

Команды специалистов под управлением руководителя по информационной безопасности собирают беспрецедентно большие объемы данных, а содержащиеся в этих данных аналитические сведения слишком ценны, чтобы не воспользоваться ими. Анализ данных о безопасности позволяет получить представление о действиях злоумышленников и предоставляет практически ценные сведения о том, как противостоять атакам.

Анализ данных не является чем-то новым для специалиста по безопасности. Кроме того, специалисты рассчитывают на то, что в ходе изучения данных будут созданы и помечены соответствующие записи. Специалисты по тестированию проникновения создают запись о проведенном расследовании по окончании работ. Разработчики операционных систем реализуют подсистемы аудита. Разработчики приложений создают приложения, которые генерируют журналы.

Независимо от названия этих записей очевидно одно: в распоряжении специалистов по безопасности — огромные массивы данных, и анализ этих данных позволит сделать ценные выводы.

Несмотря на то что анализ данных сам по себе не нов, эволюция ландшафта безопасности повлияла на процедуру анализа данных.

•Объем генерируемых данных колеблется.

•Увеличивается частота возникновения потребности в оперативном анализе данных.

•Стандартные отчеты полезны, но их не всегда достаточно.

Специалисты по практическому

обеспечению безопасности владеют огромными массивами данных, и анализ этих

данных позволит сделать массу

важных открытий.




К счастью, препятствия на пути специалистов по безопасности, желающих выполнить анализ данных, легко устраняются, даже в самой сложной среде, а экосистема доступных им средств анализа данных достаточно обширна. Ниже представлен обзор лишь нескольких бесплатных инструментов, которые специалисты по безопасности могут использовать для запуска анализа данных.

Анализ трафика с использованием средств Wireshark и Scapy

Wireshark и Scapy отлично справляются с анализом трафика. Wireshark не требует представления. Scapy — это инструмент на базе технологий Python, который можно использовать в качестве модуля Python или интерактивно для создания или изучения трафика.

Широкий набор инструментов командной строки в составе Wireshark и рассекатели протоколов делают это средство незаменимым. Так, используя поле фильтрации дисплея tcp.stream в составе Wireshark, можно разбить pcap-файл, содержащий несколько TCP-потоков, на несколько небольших файлов, каждый из которых будет содержать все пакеты, относящиеся к одному TCP-потоку.

На рис. А1 показана команда, печатающая индекс TCP-потока первых пяти TCP-пакетов в файле traffic_sample.pcap.

Рис. A1

Команда tshark для извлечения индекса tcp.stream

tshark -r tra�c_sample.pcap -T �elds -e tcp.stream tcp | head -n 5

tshark — это один из инструментов командной строки Wireshark.

tcp.stream относится к полю индексации потоков фильтров TCP-дисплея.




Зная это, можно создать скрипт, разделяющий файл traffic_sample.pcap на отдельные pcap-файлы:

$ cat ~/bin/uniq_stream.sh #!/bin/bash

function getfile_name() {

orig_name=$1 stream=$2 file_name=”$(echo $orig_name | cut -d’.’ -f1)” file_name+=”-${stream}.pcap”

echo “${file_name}”

return 0 }

streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘\n’ ‘ ‘)

for x in ${streams} do file_name=$(getfile_name ${1} ${x}) echo “Creating ${file_name}...” tshark -r ${1} -w $file_name tcp.stream eq ${x} done $

Скрипт создает единственный pcap-файл для каждого из потоков 147 TCP в файле traffic_sample.pcap. Теперь проанализировать каждый TCP-поток гораздо проще. Обратите внимание, что отличные от TCP пакеты из traffic_sample.pcap не включаются ни в один из новых pcap-файлов:

$ /bin/uniq_stream.sh traffic_sample.pcap Creating traffic_sample-1.pcap... Creating traffic_sample-2.pcap... … … Creating traffic_sample-146.pcap... Creating traffic_sample-147.pcap...




Средство Scapy обладает собственными преимуществами. Поскольку она разработана компанией Python, можно использовать все функции языка и других инструментов Python. В следующем фрагменте кода показано, как Scapy использует перегрузку операторов для быстрого и интуитивно понятного создания трафика:

# scapy

>>> dns_query = IP()/UDP()/DNS()

>>> from socket import gethostbyname,gethostname

>>> dns_query[IP].src = gethostbyname(gethostname())

>>> dns_query[IP].dst = “8.8.8.8”

>>> import random

>>> random.seed()

>>> dns_query[UDP].sport = random.randint(0, 2**16)

>>> dns_query[DNS].id = random.randint(0, 2**16)

>>> dns_query[DNS].qdcount = 1

>>> dns_query[DNS].qd = DNSQR(qname=“www.cisco.com”)

>>> scapy.sendrecv.sr1(dns_query)

>>> response = scapy.sendrecv.sr1(dns_query)

Begin emission:

............Finished to send 1 packets.

.*

Received 14 packets, got 1 answers, remaining 0 packets

>>> response[DNS].ar[DNSRR].rdata

‘64.102.255.44’

>>>

В этом примере показано, как сконструировать пакеты и проанализировать динамичный трафик. Тем не менее для столь же простого и удобного анализа pcap-файлов можно использовать и средство Scapy.




Анализ CSV-данных

Значения, разделенные запятыми (CSV), — популярный формат обмена данными. Многие инструменты (включая tshark) позволяют экспортировать данные в формат CSV. Как правило, для анализа CSV-данных специалисты по практическому обеспечению безопасности используют программы для работы с электронными таблицами, такие как Excel. Нередко используются и инструменты командной строки, такие как grep, cut, sed, awk, uniq и sort.

В качестве альтернативы можно использовать csvkit. Csvkit предоставляет несколько средств, облегчающих обработку CSV-данных из командной строки. Изучите следующий CSV-файл и обратите внимание, как легко найти все строки, содержащие узел tty.example.org в столбце src:

$ head -n 3 tcp_data.csv src,srcport,dst,dstport “tty.example.org”,“51816”,”vex.example.org”,”443” “vex.example.org”,”443”,”tty.example.org”,”51816”

$ csvgrep -n tcp_data.csv 1: src 2: srcport 3: dst 4: dstport

$ csvgrep -c 1 -r ‘tty\.example\.org’ tcp_data.csv | head -n 5 src,srcport,dst,dstport tty.example.org,51816,vex.example.org,443 tty.example.org,51816,vex.example.org,443 tty.example.org,51427,paz.example.org,5222 tty.example.org,51767,bid.example.org,80




Csvkit включает целый ряд средств. Csvstat особенно полезна, потому что это средство автоматически вычисляет разнообразную статистику. Например, можно с легкостью вычислить частоту пяти основных узлов src:

$ csvstat -c 1 tcp_data.csv 1. src <type ‘unicode’> Nulls: False Unique values: 55 5 most frequent values:

tty.example.org: 2866 lad.example.org: 1242 bin.example.org: 531 trw.example.org: 443 met.example.org: 363 Max length: 15

Row count: 6896

Matplotlib, Pandas, IPython и прочие

Доступен широкий ассортимент средств анализа и визуализации данных на базе технологий Python. Удобно искать эти инструменты на сайте SciPy (http://www.scipy.org). Особый интерес представляют пакеты инструментов Matplotlib, pandas и IPython:

•Matplotlib — это удобное и гибкое средство визуализации данных.

•Pandas предоставляет инструменты для изучения необработанных данных и выполнения манипуляций с ними.

•IPython расширяет функциональные возможности переводчика Python, что позволяет выполнять интерактивный анализ данных.



http://www.scipy.org


Ниже показано, как специалисты по практическому обеспечению безопасности могут использовать эти три инструмента для создания диаграмм ведущих узлов src в файле tcp_data.csv:

In [3]: df = read_csv(“/Users/shiva/tmp/data_analysis/tcp_data.csv”)In [4]: dfOut[4]: <class ‘pandas.core.frame.DataFrame’>Int64Index: 6896 entries, 0 to 6895Data columns (total 4 columns):src 6896 non-null valuessrcport 6896 non-null valuesdst 6896 non-null valuesdstport 6896 non-null valuesdtypes: int64(2), object(2)In [5]: df[‘src’].value_counts()[0:10]Out[5]: tty.example.org 2866lad.example.org 1242bin.example.org 531trw.example.org 443met.example.org 363gee.example.org 240gag.example.org 126and.example.org 107cup.example.org 95chi.example.org 93dtype: int64In [6]: df[‘src’].value_counts()[0:10].plot(kind=“bar”)Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>




Рис. A2

Диаграмма, созданная с использованием эскиза ()

0

1 000

500

1 500

2 000

2 500

3 000

tty.

exam

ple.

org

lad.

exam

ple.

org

bin.

exam

ple.

org

trw

.exa

mpl

e.or

g

met

.exa

mpl

e.or

g

gee.

exam

ple.

org

gag.

exam

ple.

org

and.

exam

ple.

org

cup.

exam

ple.

org

chi.e

xam

ple.

org

Вся прелесть этой программы в том, как с ее помощью пользователи могут изучать данные. Например, можно с легкостью установить количество уникальных портов srcport, из которых tty.example.org подключается к каждой из уникальных комбинаций dst и dstport, с которыми файл осуществляет обмен данными:

In [229]: tty_df = df[df.src == “tty.example.org”] In [230]: num_ports = lambda x: len(set(x)) In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports) Out[231]: dst dstport add.example.org 80 2 ala.example.org 80 3 and.example.org 80 1 auk.example.org 80 2 bid.example.org 80 1 …




Начало анализа данных

Примеры на предыдущих страницах — это всего лишь капля в море, они не позволяют должным образом оценить упоминаемые инструменты. Тем не менее специалистам по практическому обеспечению безопасности этого достаточно для того, чтобы начать осмысленный анализ данных.

Руководители по кибербезопасности хотят облачить своих подчиненных в мантии ученых, изучающих данных. Только глубокое и детальное изучение данных позволит сделать выводы, прийти к которым иначе невозможно. Со временем они начнут интуитивно понимать, какие данные действительно стоят подробного изучения. Некоторые организации даже смогут извлечь выгоду из наличия в штате специальных сотрудников по работе с данными.




Сведения о подразделении Cisco SIO


78 Годовой отчет Cisco по безопасности за 2014 год Сведения о подразделении Cisco SIO

Cisco SIOСложность задач по управлению и защите сегодняшних распределенных и быстродействующих сетей непрерывно возрастает.

Сетевые преступники продолжают эксплуатировать то доверие, которое пользователи оказывают потребительским приложениям и устройствам, что увеличивает риск для организаций и сотрудников. Традиционной защиты, которая опирается на многоуровневую организацию продуктов и использование многочисленных фильтров, недостаточно для того, чтобы защититься от вредоносных программ последних поколений, которые распространяются быстро, с глобальными целями и с разных направлений.

Cisco опережает самые последние угрозы, используя данные в режиме реального времени от отдела информационной безопасности компании Cisco (Cisco Security Intelligence Operations, SIO). Отдел Cisco SIO — крупнейшая в мире облачная экосистема безопасности, в которой ежедневно анализируется более 75 терабайт данных от развернутых решений Cisco для электронной почты, веб-сервисов, межсетевых экранов и систем предотвращения вторжений.

Cisco SIO взвешивает и обрабатывает данные, автоматически классифицируя угрозы и создавая правила с использованием более 200 параметров. Исследователи проблем безопасности также анализируют информацию о событиях, которые могут потенциально масштабно повлиять на работу сетей, приложений и устройств. Правила в динамическом режиме передаются на устройства безопасности Cisco с интервалом от трех до пяти минут.

Отдел Cisco SIO также публикует практические рекомендации и оперативные инструкции для борьбы с угрозами. Cisco стремится предоставлять завершенные решения безопасности, которые целостны, своевременны, универсальны и эффективны, с целью создания единой структуры компьютерной безопасности для организаций во всех странах. Благодаря Cisco компании могут сократить время исследования угроз и уязвимостей, чтобы сосредоточиться на упреждающих действиях по обеспечению безопасности.

Для получения данных раннего предупреждения, анализа угроз и уязвимостей и ознакомления с проверенными решениями для смягчения последствий, предлагаемых компанией Cisco, посетите веб-сайт по адресу http://www.cisco.com/security.

Традиционных механизмов

безопасности не достаточно

для защиты от вредоносного ПО последнего

поколения.



www.cisco.com/go/sio


Примечания 1 Дополнительные сведения об эволюции проблемы «произвольного состава» см. в разделе «Взаимозависимость

устройств, облаков и приложений» (The Nexus of Devices, Clouds, and Applications) в годовом отчете Cisco по безопасности за 2013 г.: https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.

2 Там же

3 Хватит размазывать кашу ложкой по столу: внедрение модели информационной безопасности по принципу «нулевого доверия» (No More Chewy Centers: Introducing The Zero Trust Model Of Information Security), Джон Киндерваг (John Kindervag), агентство Forrester, 12 ноября 2012 г.

4 Хронология сенсационных откровений Эдварда Сноудена (Timeline of Edward Snowden’s Revelations), Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html.

5 Агентство национальной безопасности США собирает записи телефонных разговоров миллионов клиентов Verizon ежедневно (NSA collecting phone records of millions of Verizon customers daily), Гленн Гринвальд (Glenn Greenwald), The Guardian, 5 июня 2013 г.: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.

6 GCHQ: Центр правительственной связи (Government Communications Headquarters), относится к числу спецслужб Великобритании.

7 По данным Сноудена, Агентство национальной безопасности США фильтрует ссылки на центры обработки данных Yahoo и Google во всем мире (NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say), Бартон Гелльман (Barton Gellman) и Ашкан Солтани (Ashkan Soltani), 30 октября 2013 г., The Washington Post: http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.

8 Дополнительные сведения см. в статье «Жизненный цикл безопасной разработки Cisco» (Cisco Secure Development Life cycle (CSDL)): http://www.cisco.com/web/about/security/cspo/csdl/index.html.

9 Там же

10 Cisco определяет «всеобъемлющий Интернет» как «следующую волну стремительного развития Интернета, реализуемого во многом благодаря тесному слиянию пользователей, процессов, данных и прочих компонентов».

11 Статья «Крупномасштабная кампания по распространению спама и вредоносного ПО после бостонской трагедии» (Massive Spam and Malware Campaign Following the Boston Tragedy), блог специалистов Cisco по информационной безопасности, 17 апреля 2013 г.: http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.

12 Там же

13 Там же

14 Страница «О программе» веб-сайта Java: http://www.java.com/en/about/.

15 Дополнительные сведения об эволюции проблемы «произвольного состава» см. в годовом отчете Cisco по безопасности за 2013 г: http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.

16 Атаку типа watering hole на Департамент труда удалось ликвидировать в тот же день благодаря усовершенствованным функциональным возможностям зондирования (Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities), Крейг Вильямс (Craig Williams), блог специалистов Cisco по информационной безопасности, 04.05.2013: http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.

17 Целью атак типа watering hole является энергетический сектор (Watering-Hole Attacks Target Energy Sector), Эммануэль Тако (Emmanuel Tacheau), блог специалистов Cisco по информационной безопасности, 18 сентября 2013 г.: http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.

18 Компрометации Apache DarkLeech (Apache DarkLeech Compromises), Мэри Ландсман (Mary Landesman), блог специалистов Cisco по информационной безопасности, 2 апреля 2013 г.: http://blogs.cisco.com/security/apache-DarkLeech-compromises/.

19 Длительная вредоносная атака, нацеленная на систему Apache, заражает 20 000 сайтов (Ongoing malware attack targeting Apache hijacks 20,000 sites), Дэн Гудин (Dan Goodin), Ars Technica, 2 апреля 2013 г.: http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.


https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order

http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html



http://www.cisco.com/web/about/security/cspo/csdl/index.html

http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/

http://www.java.com/en/about/

http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/



http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/

http://blogs.cisco.com/security/apache-DarkLeech-compromises/

http://blogs.cisco.com/security/apache-DarkLeech-compromises/

http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/


20 Часто задаваемые вопросы о Linux и CDorked (Linux/CDorked FAQS), Мэри Лэндсман (Mary Landesman), блог специалистов Ciisco по информационной безопасности, 01.05.2013: http://blogs.cisco.com/security/linuxcdorked-faqs/.

21 Атаки DarkLeech Apache усиливаются (DarkLeech Apache Attacks Intensify), Мэттью Дж. Шварц (Matthew J. Schwartz), InformationWeek, 30 апреля 2013 г.: http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.

22 Тайпсквоттинг — это регистрация доменных имен, которые на один знак отличаются от популярных доменных имен.

23 Благодаря «Всеобъемлющему Интернету» следующее десятилетие обещает быть достаточно сумасшедшим (Thanks to IoE, the next decade looks positively ‘nutty), Дэйв Эванс (Dave Evans), блог разработчиков платформы Cisco, 12 февраля. 2013 г.: http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.

24 Дополнительные сведения о стратегиях борьбы с битсквоттингом см. в информационном документе Cisco Изучение поверхности атак битсквоттинга (Examining the Bitsquatting Attack Surface), 2013 г.: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf.

25 Сайты WordPress в мире (WordPress Sites in the World) и Анализ активности на WordPress.com (A Look at Activity Across WordPress.com), WordPress.com: http://en.wordpress.com/stats/.

26 Важное обновление системы безопасности: сброс пароля Drupal.org (Important Security Update: Reset Your Drupal.org Password), Drupal.org, 29.05.2013: https://drupal.org/news/130529SecurityUpdate.

27 Подробный отчет о шаблонах и полезной нагрузке кампании Operation Ababil см. в статье «Реагирование на события Cisco: DDoS-атаки на финансовые учреждения» (Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions): http://www.cisco.com/web/about/security/intelligence/ ERP-financial-DDoS.html.

28 DDoS-атака на банк позволила скрыть крупный куш киберпреступников — 900 тыс. долларов США (DDoS Attack on Bank Hid $900,000 Cyberheist), Брайан Кребс (Brian Krebs), блог KrebsonSecurity, 19 февраля 2013 г.: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.

29 Атака на китайский Интернет на выходных (Chinese Internet Hit by Attack Over Weekend), Пол Мозер (Paul Mozer), China Real Time Report, WSJ.com, 26 августа 2013 г.: http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.

30 Источник: Wikipedia: статья «Фильтрация входа» (Ingress Filtering): http://en.wikipedia.org/wiki/Ingress_filtering.

31 Принципы одноадресной пересылки обратного пути (Understanding Unicast Reverse Path Forwarding) на веб-сайте Cisco: http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html.

32 Саморазрушение вашего жесткого диска произойдет в 14:00: внутри южнокорейской кибератаки (Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack), Шон Галлахер (Sean Gallagher), Ars Technica, 20 марта 2013 г.: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean- cyber-attack/.

33 Размышления о DarkSeoul: обмен данными и действующие целенаправленно злоумышленники (Thoughts on DarkSeoul: Data Sharing and Targeted Attackers), Сет Хэнфорд (Seth Hanford), блог специалистов Cisco по информационной безопасности, 27 марта 2013 г.: http://blogs.cisco.com/tag/darkseoul/.

34 Там же

35 Группировка киберпреступников ищет ботмастеров для проведения крупномасштабных троянских атак на банки США (Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks), Мор Айувия (Mor Ahuvia), RSA, 4 октября 2012 г.: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/.

36 DDoS-атака на банк позволила скрыть крупный куш киберпреступников — 900 тыс. долларов США (DDoS Attack on Bank Hid $900,000 Cyberheist), Брайан Кребс (Brian Krebs), блог KrebsonSecurity, 19 февраля 2013 г.: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.

37 По прогнозам Cisco, облачный трафик центров обработки данных утроится к 2017 году (Cisco projects data center-cloud traffic to triple by 2017), ZDNet, 15 октября 2013 г.: http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.


http://blogs.cisco.com/security/linuxcdorked-faqs/

http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922

http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/

http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf

http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf

http://en.wordpress.com/stats/

https://drupal.org/news/130529SecurityUpdate

http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html

http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html

http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/

http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend

http://en.wikipedia.org/wiki/Ingress_filtering

http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-cyber-attack/

http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-cyber-attack/

http://blogs.cisco.com/tag/darkseoul/

https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/

https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/

http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985

http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985

Корпорация Cisco насчитывает более 200 офисов и представительств по всему миру. Адреса, номера телефонов и факсов приведены на веб-сайте Cisco по адресу: www.cisco.com/go/offices.

© Корпорация Cisco Systems, 2011—2014. Содержание документа является собственностью корпорации Cisco. Все права защищены. В данном документе содержится общедоступная информация корпорации Cisco. Cisco и логотип Cisco являются товарными знаками корпорации Cisco Systems и/или ее дочерних компаний в США и других странах. Перечень товарных знаков Cisco приведен на странице www.cisco.com/go/trademarks. Товарные знаки сторонних организаций, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. Использование слова «партнер» не подразумевает наличия партнерских взаимоотношений между Cisco и любой другой компанией. (012114 v1)

Штаб-квартира в Северной и Южной Америке Корпорация Cisco Systems Сан-Хосе, Калифорния

Штаб-квартира в Азиатско-Тихоокеанском регионе Cisco Systems (USA) Pte. Ltd. Сингапур

Штаб-квартира в Европе Cisco Systems International BV Amsterdam, Нидерланды

www.cisco.com/go/offices

http://www.cisco.com/