Эволюция архитектуры безопасности для эры...
TRANSCRIPT
Cisco 2015
Полугодовой отчет по ИБ
• Заблокированных угроз: 19,692,200,000 угроз в день
• Заблокировано спама: 2,557,767 сообщений/сек
• Web-запросов в день: 16.9 миллиардов
Что видит Cisco?
Изменение в поведении атак
Скорость Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов
Скорость означает новый уровень сложности.
Разработчики вредоносного
кода стали более
инновационными и быстрыми к
адаптациям
Ловкость нарушителей – их сила
Постоянные обновления увеличили уровень проникновения Angler до 40%
В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная
система
Уязвимости Flash
Смена цели
AnglerНепрерывное забрасывание
«крючков в воду» увеличивает
шанс на компрометацию
Социальный
инжиниринг
Сайты-
однодневки
TTD
Меры
защитыБлокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email
Патчи: окно воздействияЛюди не очень оперативно обновляются до последних версий Flash и тем
самым создают возможности для Angler и других угроз, использующих
непропатченные уязвимости
Web-атаки стабильны (исключая Flash)
Java PDF FlashSilverlight
Декабрь 2014 – Май 2015
RombertikВредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и
пытаются воздействовать на него, он может уничтожить зараженную систему.
Уничтожение если
обнаружено• Уничтожение MBR
• После перезагрузки
компьютер перестает
работать
Получение
доступа• Спам
• Фишинг
• Социальный
инжиниринг
Уход от
обнаружения• Записать случайные
данные в память 960
миллионов раз
• Засорение памяти в
песочнице
Украсть данные
пользователя• Доставка данных
пользователя обратно
злоумышленникам
• Кража любых данных, а
не только банковских
Анти-анализ Стойкость Вредоносное поведение
Обход «песочниц»Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где
вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они
стали применяться все чаще.
Основные категории уязвимостей повторяются из года в год
CWE-119
Ошибки
буфера
471
CWE-20
Проверка ввода
244CWE-399
Ошибки
управления
ресурсами
238
CWE-200
Раскрытие/уте
чки
информации
138
CWE-264
Права,
привилегии &
контроль
доступа
155
Если все знают про эти проблемы, то почему они повторяются? Возможно
разработчики недооценивают SDLC? Или они спешат выпустить продукт в ущерб ИБ?
Постоянная модификация вредоносного кодаAdware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем
самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных
пользователей:Новая схема URL vs. старая схема URL
Новая схема URL
драматически
опережает старую.
Изменение домена –
раз в 3 месяца (уже
500 доменов)
Непрерывное
изменение имен Add-
On для браузера (уже
4000 имен)
Формирование индустрии киберпреступности
От $450 миллиардов
к
$1 триллионуНомер SSN
$1
Мобильноевредоносное ПО
$150
$Информация о
банковском счете>$1000 зависит от
типа счета и суммына нем
Учетная записьFacebook
$1 за учетнуюзапись с
15 друзьями
Данныеплатежных карт
$0.25-$60
Разработкавредоносного ПО
$2500(коммерческое ПО)
DDoS
DDoS как сервис~$7/час
Спам$50/500K
emails Медицинские
записи>$50
Эксплойты$1000-$300K
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
“Версия”: число раз, когда Cisco обновляла оповещения, когда производители пытались выявить и устранить эти уязвимости в своих продуктах
9версий
Open SSL
(FREAK)
1версия
QEMU Virtual
Floppy Disk
Controller
(VENOM)
22версии
Open SSL
(Heartbleed)
25версий
GNU Bash
(Shellshock)
15версий
GNU C glibc
(Ghost)
Процесс управления патчами минимизирует ночные кошмары от
отслеживания, координации и внедрения обновлений
Патчи для open source: управление поставками ПО становится критичной задачей
32версии
SSL 3.0 Fallback
(POODLE)
Эволюция вымогателей: Цель – данные, а не системы
TORВымогатели теперь
полностью автоматизированы
и работают через анонимные
сети
$300-$500Злоумышленники
провели
собственное
исследование
идеальной точки
цены. Сумма
выкупа не
чрезмерна
Личные файлы
Финансовые
данные
Фото
Фокусировка
вымогателей –
редкие языки
(например,
исландский) или
группы
пользователей
(например,
онлайн-геймеры)
Dridex: воскрешение старых методовИспользование «старых» методов, краткосрочность и постоянная мутация
приводят к сложностям в блокировании макровирусов
Кампания
стартовала
Обнаружена с помощью
Outbreak Filters
Антивирусный движок
обнаруживает Dridex
Но злоумышленники все
равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex,
действующих не более нескольких часов
Риск поймать вредоносный код зависит от индустрииНикто не застрахован от нападения
Это только вопрос
времени, когда
злоумышленники
увидят потенциал в
отраслях, находящихся
«справа»
Карта отражает не объем активности в этих странах. Страны с высоким рейтингом имеют множество Web-
серверов и узлов с неисправленными уязвимостями в своих сетях.
Россия 0,936
Япония 1,134
Китай 4,126
Гонгконг 6,255
Франция 4,197
Германия 1,277
Польша 1,421
Канада 0,863
США 0,760
Бразилия 1,135
Вредоносный код в международном масштабеЗлоумышленники не признают границ Malware Traffic
Expected Traffic
Спам в международном масштабеВ России объемы спама только выросли. В два раза!
Время обнаруженияТекущее значение TTD в индустрии - 200 дней, что недопустимо
46200 VSЧАСОВДНЕЙ
Индустрия Cisco
Значение TTD вычисляется с помощью механизма ретроспективной
безопасности, встроенной в решения Cisco и позволяющей отправлять
отпечатки каждого файла в облачный сервис Cisco
Анализ и наблюдения
Глобализация
Глобальное управления не готово к кибер-вызовам и геополитическим интересамТри примера усилий, которые, делая шаги в правильном направлении, могут создать трудности на
практике:
Разработка эффективной нормативной базы требует идти в ногу с
злоумышленниками. Однако на практике так происходит не всегда (например,
поправки в Васенаарские соглашения)
Высота птичьего полета Разделяемый доступ Ужесточение контроля
Дилемма
Построить Купить Остаться позади
Зоопарк средств защиты создает сложное окружение для организаций
Большие, хорошо
зарекомендовавшие себя
игроки
Только стандартизация и улучшение обмена информации в отрасли ИБ позволит
лучше интегрировать решения от нишевых игроков и давно существующих
компаний.
Организации,
оказавшиеся
между
Нишевые игроки
Изменение
бизнес-моделей
Сложность и
фрагментация
Динамика
ландшафта угроз
Производителей
средств защиты
на RSA
Возросла
потребность в
кадрах ИБ
373 12x
Среднее число вендоров
у корпоративного
заказчика
50
Сложность ЛюдиФрагментаци
я
Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют
75%CISO считают свои
средства защиты
«очень» или
«всесторонне»
эффективными
Традиционный индивидуалистичный подход не поспевает за угрозами
Заказчики должны требовать доверенные продукты от своих поставщиковПроизводители должны отвечать за уровень защищенности своих продуктов
Защищенная разработка Защищенное железо Защищенное внедрение Защищенная поставка
Внешние услуги закрывают разрыв
С ростом скорости появления и вариативности угроз и нехватки
квалифицированных кадров, многие организации будут больше
полагаться на внешних поставщиков услуг для управления
рисками информационной безопасности
ПерсоналОценка
Автоматизация
/ Аналитика
Гибкие бизнес-
модели Гибкость
Политика приватности
Точечные решения не могут идти в ногу с угрозами
Необходимость в
интегрированной защите от
угроз
Злоумышленники атакуют точечные решения с возрастающей скоростью
NGIPS
MalwareSandbox
IAM
Antivirus
IDS
Firewall
VPN
NGFW
Данные
Бездумная трата
денег на новинки
вместо того,
чтобы сесть и
подумать о
целостной
системе защиты
Данные
Злоумышленники атакуют точечные решения с возрастающей скоростью
NGIPS
MalwareSandbox
IAM
Antivirus
IDSFirewall
VPN
NGFW
Время обнаружения:
200 дней
Только интегрированная защита может идти в ногу с угрозами
Данные
Systemic Response
Время обнаружения:
46 часов
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
Высокая мотивация
киберкриминала
Изменение
бизнес-моделей
Динамичность
ландшафта угроз
Думать как злоумышленник
© 2015 Cisco and/or its affiliates. All rights reserved. 34
Точечные
и
статичные
решения
© 2015 Cisco and/or its affiliates. All rights reserved. 35
Фрагментация
Сложность
Требуют лишнего
управления
Локализовать
Вылечить
Устранить причины
Непрерыв-
ное
решение
© 2015 Cisco and/or its affiliates. All rights reserved. 36
Узнать
Применить политику
Усилить защиту
Идентифицировать
Блокировать
Отразить
Всепроникающий
Непрерывный
Всегда
Полное
решение
Сервисы
User
Endpoint
Филиалы
Service
Provider
Edge
Data
Center
Кампус
Операционные
технологии
Экосистема
Cisco Hosted
Identity Services
Cloud Web
Security +
Intelligent WAN
AnyConnect
featuring AMP
for Endpoints
FirePOWER
Threat Defense
for ISR
Threat-Centric
Security for Service
Providers
ACI + FirePOWER
Services Integration
Интеграция ACI
с TrustSec
Развитие
экосистемы
pxGrid
Индустриальная
Cisco ASA with
FirePOWER
Services
User
Cisco Hosted
Identity ServicesПК
Интеграция
AnyConnect с
AMP for
Endpoints
Периметр
FirePOWER
Threat Defense
for ISR
ЦОДы
Интеграция ACI +
FirePOWER
Service
Операторы
связи
FirePOWER 9300
User
Cisco Hosted
Identity Services
Пользователи
Cisco Hosted
Identity Services
Недавний анонсна CLUS
• Злоумышленники быстро совершенствуют свои
возможности с целью избегания обнаружения
• Точечные решения создают слабые места в системе
защиты
• Интегрированная защита, построенная на доверенных
продуктах и услугах, - лучшая защита
Выводы
2015 Midyear Security Report
cisco.com/go/msr2015