2017/01/28 16:16:46

Киберпреступность в мире

Состояние киберпреступности в различных регионах мира.

Содержание

Киберугроза

Киберугроза – это незаконное проникновение или угроза вредоносного проникновения в виртуальное пространство для достижения политических, социальных или иных, целей. Киберугроза может воздействовать на информационное пространство компьютера, в котором находятся сведения, хранятся материалы физического или виртуального устройства. Атака, обычно, поражает носитель данных, специально предназначенный для их хранения, обработки и передачи личной информации пользователя.

Кибервойны между странами

Информация о соглашениях об электронном ненападении, а также о киберконфликтах между странами, выделена в отдельную статью:

Киберпреступность в коммерческом секторе

Обзор событий киберпреступности в банковской сфере вынесен в отдельную статью:

Потери организаций

Обзор потерь мировой экономики от киберпреступности в статье:

Расценки пользовательских данных

Анализ условий работы хакеров в статье

Кибератаки

Виды кибератак и обзор ключевых событий.

2017

Positive Technologies: в 2017 году число кибератак на банки возрастет на треть

27 января 2017 года компания Positive Technologies опубликовала выводы о тенденциях 2016 года в сфере информационной безопасности, которые будут оказывать влияние на будущее всей индустрии. Основой для оценки послужила статистика атак и данные, полученные в результате проектов внедрения.

Топ 5 событий 2016, оказавших влияние на индустрию информационной безопасности, (2016)

2016 год

  • Потеря данных не лучше, чем потеря денег: результат большинства компьютерных атак 2016 года − утечки конфиденциальной информации.
  • Целевые атаки: 62% кибератак года были целевыми. Главный метод проникновения – таргетированный фишинг. Среднее время присутствия атакующих в системе составляет до 3 лет. Лишь 10% атак выявляются самими жертвами.
  • Финансовые системы: злоумышленники используют простые методы и легальное ПО для маскировки, а сами атаки готовятся более тщательно. Ожидается 30%-й рост атак на финансовые организации. Основная причина - реактивные подходы к ИБ и отказ от регулярного анализа защищенности. Хакеры, увидев «лёгкие деньги», начинают тиражировать успешные атаки.
  • Выкуп на высшем уровне: крупные компании подвергаются вымогательству с помощью троянов-шифровальщиков, DDoS-атак и уязвимостей веб-сайтов. Способ вымогательства, когда хакеры требуют выкуп за информацию об уязвимостях, найденных в веб-приложениях компаний (т.н. bug poaching), уже стал массовым. Перечисленные техники вымогательства будут развиваться и в 2017 году.
  • Под ударом энергетика: Среди промышленных систем управления, доступных через Интернет, лидируют системы автоматизации зданий и управления электроэнергией. Практически половина уязвимостей, найденных в 2016 году, имеет высокую степень риска.
  • Между АСУ и Интернетом вещей. Автоматизация управления стала доступна массовым пользователям без необходимых мер безопасности. Не исключено, что ситуация в сфере Интернета вещей может потребовать регулирования минимального уровня защищенности устройств — если производители сами не проявят сознательность в этом вопросе, то подключится государство, которое займется вопросами сертификации и стандартизации подобной продукции.
  • Государственные сайты – самая частая цель веб-атак. Наиболее популярны атаки «Внедрение операторов SQL» и «Выход за пределы назначенной директории (Path Traversal)».
  • Не верьте спутниковой навигации. Реализация атак с подменой GPS-сигнала стала доступной всем желающим.
  • Вами управляет Android. Поскольку смартфоны становятся основным «пультом управления» современной жизни, внимание злоумышленников к устройствам на базе ОС Android не ослабевает. «Сфера влияния» мобильных приложений расширяется: приложения для управления бытовыми приборами или для игр с дополненной реальностью дают злоумышленникам новые возможности вмешательства в жизнь своих жертв.
  • Атаки через уязвимости аппаратных платформ. Легальные аппаратные возможности, предусмотренные самими производителями, могут быть использованы не по назначению. Аппаратные атаки страшны тем, что зачастую они не зависят от ОС и не могут быть оперативно предотвращены.

Ожидаемый рост атак на финансовые системы, государственные сайты и корпорации с использованием несложных технологий (фишинг, легальное ПО) говорит о необходимости применения современных средств мониторинга событий и расследования инцидентов (SIEM), систем обнаружения атак на основе машинного обучения (WAF), а также требует повышения осведомленности сотрудников [1].

Слабая защищенность промышленных систем управления (АСУ ТП) в сочетании с ухудшением геополитической обстановки может привести в 2017 году к увеличению числа кибератак на промышленные объекты, особенно в энергетической сфере. Использование сложных паролей и отключение компонентов АСУ ТП от Интернета могут уменьшить риски, однако более серьезные меры включают регулярные аудиты безопасности, своевременное обновление уязвимого ПО и использование средств защиты, «заточенных» на специфику конкретных АСУ ТП.

Пользователям мобильных устройств рекомендуется уделять повышенное внимание безопасности приложений и использовать настройки для ограничения прав доступа к персональной информации и потенциально опасным действиям.

Атаки на Интернет вещей показали, что пользователи зачастую лишены возможности самостоятельно контролировать безопасность новых устройств. Для уменьшения рисков необходимо, чтобы сами вендоры или провайдеры услуг Интернета вещей проводили специальные тестирования защищенности устройств. Обязать их к этому могут либо дополнительные правила государственных регуляторов, либо саморегуляция на основе угрозы потери репутации после крупных атак. Кстати, эксперты прогнозируют, что в 2017 году злоумышленники расширят спектр используемых IoT-устройств: в зоне риска — «умные» бытовые приборы (вплоть до чайников и холодильников).

2016

Ernst & Young: готовность защищаться растет, а инвестировать - нет

23 декабря 2016 года компания EY сообщила о готовности компаний мирового уровня противостоять кибератакам и недостаточных инвестициях в развитие направлений по борьбе с киберпреступлениями, отсутствии планов устранения негативных последствий таких атак.

Эти выводы сделаны по результатам исследования в области информационной безопасности «Путь к киберустойчивости: прогноз, защита, реагирование» (Path to cyber resilience: Sense, resist, react) за 2016 год.

В опросе принимали участие 1 735 компаний из разных стран и отраслей индустрии. Согласно исследованию, половина опрошенных (50%) способны, по их мнению, обнаружить тщательно подготовленные кибератаки – наибольший уровень уверенности с 2013 года – за счет инвестиций в средства обнаружения киберугроз для прогнозирования последствий атаки, а также за счет создания механизмов непрерывного мониторинга, работы операционных центров информационной безопасности (Security Operation Center, SOC) и механизмов активной защиты.

Несмотря на упомянутые инвестиции 86% респондентов признают, что их служба кибербезопасности не соответствует в полной мере потребностям организации.

Почти две трети (64%) респондентов не имеют специальных программ сбора и анализа информации о киберугрозах, либо ограничиваются несистемными мероприятиями в этой области. Что касается выявления уязвимостей, более половины (55%) не располагают соответствующими техническими средствами и возможностями, или же такие средства используются нерегулярно, от случая к случаю. У 44% отсутствует операционный центр информационной безопасности для ведения непрерывного мониторинга кибератак и потенциальных угроз.

Более половины (57%) респондентов ответили положительно на вопрос об инцидентах в компании, в сфере кибербезопасности. Почти половина (48%) считают наибольшей уязвимостью своей организации устаревшие средства контроля, особенности архитектуры информационной безопасности. В 2015 году это заявили 34% опрошенных.

« Организации совершили большую работу по подготовке защиты от кибератак, но киберпреступники не менее оперативно придумывают новые уловки. В связи с этим организации должны уделять больше внимания развитию навыков и возможностей противодействия кибератакам. Им также стоит задуматься не только о защите и безопасности, но и об устойчивости к киберугрозам – подходе, который обеспечит подготовку и полноценное противодействие инцидентам в области кибербезопасности и устранение их последствий в рамках всей организации. Компаниям следует иметь план действий на случай кибератаки, быть готовыми оперативно ликвидировать последствия и восстановить нормальную работу организации. В противном случае они подвергают риску своих клиентов, сотрудников, поставщиков и в конечном итоге собственное будущее.

Пол ван Кессель, руководитель международного направления консультационных услуг EY в области кибербезопасности
»

Респондентов беспокоят вопросы кибербезопасности:

  • возросшие риски в результате действий сотрудников, совершенных по небрежности или незнанию (55% по сравнению с 44% в 2015 году),
  • несанкционированный доступ к данным (54% по сравнению с 32% в 2015 году).

Основные ограничения, препятствующие работе функции информационной безопасности:

  • недостаточное финансирование (61% по сравнению с 62% в 2015 году);
  • недостаток или отсутствие квалифицированных кадров (56% по сравнению с 57% в 2015 году);
  • недостаток понимания или поддержки со стороны руководства организации (32% без изменения к 2015 году).

Несмотря на всеобъемлющий характер современной цифровой экосистемы, исследование показало:

  • 62% организаций считают маловероятным увеличение расходов на кибербезопасность в результате атаки, не причинившей видимого ущерба операционной деятельности
  • 58% указали на низкую вероятность увеличения расходов на кибербезопасность в результате кибератаки конкурента
  • 68% считают маловероятным увеличение своих расходов на кибербезопасность в результате кибератаки поставщика
  • почти половина респондентов (48%) в течение первой недели после атаки не станет информировать клиентов, на деятельности которых атака могла бы отразиться, если кибератака явно привела к компрометации данных
  • 42% организаций не имют согласованной стратегии взаимодействия или плана действий на случай серьезной атаки.

Организации сталкиваются с ростом числа устройств, подключаемых к своим цифровым экосистемам. Почти три четверти (73%) опрошенных организаций обеспокоены несоблюдением владельцами мобильных устройств (планшеты, смартфоны, ноутбуки) правил их использования, недостаточной информированностью пользователей о возможных рисках и последствиях.

Половина респондентов (50%) увидели основной риск возрастающего использования мобильных устройств в возможности их утраты.

Интернет-пропаганда в составе значимых киберугроз 2017 года

19 декабря 2016 года компания Trend Micro публикуя свой прогноз на 2017, поставила интернет-пропаганду в число основных киберугроз, не умаляя при этом влияние уязвимостей интернета вещей и кибератак.

По мнению экспертов компании, в 2017 году с развитием технологий на другие рубежи выходят и киберпреступники. В 2016 году ИБ-эксперты отметили новый виток усовершенствования кибератак и появление разнообразных целей для них[2].

« Мы прогнозируем появление новых методов атак на крупные корпорации, расширение тактики онлайн-вымогательства, которое будет затрагивать все более широкий ассортимент устройств, а также применение методов киберпропаганды для манипуляции общественным мнением.

Раймунд Гинес, директор по технологиям японской компании Trend Micro
»

Интернет-пропаганда, (2016)

На декабрь 2016 года 46% населения разных стран получает информацию из интернет-источников. С ростом этого показателя растёт угроза воздействия киберпропаганды, под которой подразумевается автоматическая генерация информационного трафика, направленного на интернет-пользователей, появление большого числа ложных новостных материалов в соцсетях.

Примеры манипуляций такого рода - ложные новости, появившиеся в Facebook во время президентских выборов в США. Именно в соцсети пользователи узнали информацию о том, что папа римский Франциск поддержал Дональда Трампа, "новость" о смерти агента ФБР, который вел расследование в отношении кандидата от демократов Хиллари Клинтон. Президент США Барак Обама отметил вероятность влияния этих новостей на ход президентских выборов.

В конце ноября 2016 года Facebook заявила о начале действия плана борьбы с фальшивыми новостями. В ряду мер – усовершенствование алгоритма определения достоверности новостного материала, улучшение взаимодействия с пользователями, которые со своей стороны сообщают о недостоверной информации и обращение к третьим лицам и организациям за экспертной оценкой.

Panda Security: прогноз на 2017 год

15 декабря 2016 года Panda Security опубликовала прогноз вредоносной активности на 2017 год. Характерные особенности года грядущего: снижение количества новых вредоносных программ, более высокий профессиональный уровень атак.


Кибер-преступления

Кибер-преступники фокусируют свои усилия на тех атаках, которые могут дать им огромные прибыли, используя для этого наиболее эффективные техники и повышая профессиональный уровень своих операций так, чтобы быстрее и легче «зарабатывать» деньги.

Клавиатура, (2015)

Шифровальщики

Трояны будут в центре внимания при рассмотрении вопросов информационной безопасности. Они поглотят другие, ставшие традиционными атаки для кражи данных. Стремление к прибыли – это основная мотивация кибер-преступников, а шифровальщики – наиболее простой и эффективный способ в достижении этих целей. Кое-что останется без изменений: жертвам таких угроз придется решать, платить выкуп преступникам или нет, чтобы восстановить данные. Принимая решение, Panda Security призывает учитывать - оплата выкупа не гарантирует полного восстановления украденных данных.


Компании

Количество атак, направленных против компаний, будет расти, поскольку эти атаки все более совершенствуются. Компании уже стали первоочередной целью для кибер-преступников, т.к. хранящаяся у них информация более ценна по сравнению с той, что имеется у частных лиц.


Интернет вещей (IoT)

Компания видит Интернет вещей (IoT) очередным кошмаром для служб информационной безопасности. Технологическая революция привела к полной интеграции в сеть небольших устройств, которые могут превратиться в точки, позволяющие хакерам проникать в корпоративные сети.


DDoS-атаки

Наиболее крупные DDoS-атаки проведены в последние месяцы 2016 года, сообщила компания. Эти атаки выполнены бот-сетями из тысяч зараженных IoT-устройств (IP-камеры, роутеры и пр.). В 2017 году число подобных атак возрастет.


Мобильные телефоны

Киберпреступникам будет проще сфокусироваться на одной операционной системе для получения максимальных прибылей. Пользователей Android ожидают сложные и опасные 12 месяцев.


Кибервойны

Нестабильная ситуация в сфере международных отношений может привести к тяжелым и серьезным последствиям в сфере кибербезопасности. Правительства разных стран стремятся получить доступ к большим объемам информации (в то время, когда шифрование становится все более популярным), и спецслужбы будут еще более заинтересованы в получении информации, которая может принести пользу промышленности своих стран. Такая глобальная тенденция может препятствовать инициативам по обмену данными в 2018 году.

PandaLabs: Кибербезопасность. Прогнозы на 2017

Исследование IBM и Ponemon Institute: компании все еще не готовы противостоять кибератакам

Компания IBM и Ponemon Institute опубликовали в ноябре результаты глобального исследования устойчивости организаций к кибератакам под названием «Cyber Resilient Organization». Согласно результатам исследования, только 32% специалистов в сфере ИТ и безопасности считают, что их компании имеют высокий уровень киберзащиты. В 2015 году этот показатель составлял 35%. Помимо этого, 66% респондентов, участвовавших в исследовании в 2016 году, отмечают, что их организации не готовы к восстановлению после кибератак[3].

Проблемы, связанные с реагированием на инциденты (Incident Response), как показывает исследование второй год подряд, являются основным препятствием в обеспечении устойчивости организаций к угрозам кибербезопасности. 75% опрошенных заявили, что в их компаниях отсутствует план по реагированию на киберинциденты (Cyber Security Incident Response Plan). В тех организациях, где такой план есть, 52% респондентов не пересматривали или обновляли документ с момента его принятия, или, более того, такая процедура не предусмотрена в компании. Вместе с тем, 41% участников исследования отметили, что за последние 12 месяцев увеличилось время, которое требуется для разрешения киберинцидента. 31% респондентов ответили, что этот показатель уменьшился.

«Исследование устойчивости предприятий к угрозам кибербезопасности показывает, что в 2016 году организации во всем мире до сих пор не готовы к реагированию и нейтрализации инцидентов, – заявил Джон Брюс, глава и соучредитель Resilient, компании IBM. – Лидеры безопасности могут добиться значительных улучшений, сделав главным приоритетом реагирование на инциденты и сосредоточив внимание на планировании, подготовке и сборе информации».

По мнению респондентов, платформа реагирования на инциденты (Incident Response Platform) является одной из наиболее эффективных технологий безопасности, которая помогает организациям противостоять кибератакам, наряду с управлением идентификацией и аутентификацией, системами обнаружения и предотвращения взломов.

В ходе исследования также были выявлены типичные проблемы, препятствующие увеличению уровня кибербезопасности организаций. Большинство участников опроса (66%) считают, что недостаточное планирование и низкая готовность являются главными барьерами для повышения устойчивости предприятий к киберугрозам. Респонденты также указывают, что сложность ИТ и бизнес-процессов растет быстрее, чем способность предотвращать, обнаруживать и реагировать на кибератаки, что делает компании уязвимыми. В этом году 46% участников исследования указали повышенную сложность ИТ-процессов как главную помеху для выстраивания надежной информационной защиты бизнеса – показатель вырос с 36% по итогам исследования 2015 года. 52% респондентов заявили, что сложность бизнес-процессов является существенным барьером, по сравнению с 47% в 2015 году.

Ключевые выводы исследования:

Компании подвергаются частым и успешным кибератакам

  • Больше половины респондентов (53%) пострадали по меньшей мере от одной утечки данных за последние два года
  • 74% опрошенных заявили, что в течение последнего года они столкнулись с киберугрозами, причиной которых стал человеческий фактор
  • Оценивая последние два года, 74% респондентов сказали, что подвергались многочисленным хакерским атакам, а 64% были неоднократно скомпрометированы с помощью фишинга

Организации не могут обеспечивать непрерывную работу и быстро восстанавливаться после атак

  • 68% считают, что их организации не способны противостоять кибератакам
  • 66% не уверены, что их компания может эффективно восстановиться после атаки

Самым большим барьером является недостаток планирования и подготовки

  • Только 25% используют план по реагированию на инциденты. 23% вовсе не приняли такого плана
  • Лишь 14% респондентов осуществляют ревизию планов реагирования на инциденты чаще одного раза в год
  • 66% называют отсутствие планирования самым большим барьером, мешающим их организации стать устойчивой к кибератакам

Способность реагировать на кибератаки существенно не улучшилась

  • 48% считают, что устойчивость к кибератакам их организации уменьшилась (4%) или не улучшалась (44%) в течение последних 12 месяцев
  • 41% респондентов считают, что время устранения инцидента кибербезопасности увеличилось или значительно возросло, в то же время 31% заявили, что оно уменьшилось или существенно снизилось

Check Point отметил рост количества кибератак и вредоносных программ на 5%

Команда исследователей Check Point обнаружила, что и количество вредоносных семейств, и количество атак выросло на 5%. Объем атак на бизнес в октябре достиг своего пика, по сравнению со всеми предыдущими месяцами 2016 года. Продолжает расти число атак с вымогателем Locky, поэтому в октябре он перемещается с третьего на второе место среди наиболее часто используемых видов вредоносного ПО. Причина популярности Locky — постоянное появление его модификаций и механизм распространения преимущественно через спам-рассылку. Создатели Locky меняют тип файлов, используемых для загрузки вымогателя (doc, xls и wsf файлы), а также вносят значительные структурные изменения в спам-письма. Сам по себе вымогатель не является чем-то исключительным, но киберпреступники затрачивают много времени, чтобы заразить как можно больше компьютеров. В топ-3 также возвращается банковский троян Zeus.

1. ↔ Conficker — Использовался в 17% зарегистрированных атак. Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.

2. ↑ Locky — Вымогательское ПО, появившееся в феврале 2016 года. Распространяется в основном через спам-письма, содержащие инфицированный Word или Zip файл, который загружает и устанавливает вредоносное ПО, шифрующее пользовательские файлы. Зарегистрирован в октябре в 5% известных атак.

3. ↑ Zeus — Также отмечен в 5% обнаруженных атак. Троян, который атакует Windows-платформы и часто используется для кражи банковской информации посредством захвата введенных учетных данных (формграббера) и кейлоггинга

Количество атак на Россию в октябре значительно уменьшилось, что позволило ей опуститься с 52 на 101 место. Атаки на компании на территории страны проводились с использованием таких вредоносных программ, как InstalleRex, Conficker, Kometaur, Ramnit, Cryptoload, Dorkbot, Cryptowall, Locky, Bancos и Sality. Больше всех в прошлом месяце атаковали Ботсвану, Уганду и Замбию, а меньше всех зарегистрированных атак было на Уругвай, Аргентину и Доминиканскую Республику.

Мобильные зловреды продолжают подвергать бизнес значительной опасности: 15 из 200 видов вредоносного ПО атакуют именно мобильные устройства. Также в течение последних семи месяцев HummingBad, вредоносное ПО для Android, остается самым используемым для атак на мобильные устройства. Три наиболее часто используемых вида мобильных угроз в октябре:

1. ↔ HummingBad — Вредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активности, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.

2. ↔ Triada — Модульный бэкдор для Android, который дает повышенные привилегии загруженным зловредам, поскольку помогает им внедриться в системные процессы. Triada также была замечена в подмене URL-адресов, загруженных в браузере.

3. ↑ XcodeGhost — Компрометированная версия платформы разработчиков iOS Xcode. Эта неофициальная версия Xcode изменена так, что она может внедрять вредоносный код в приложение, которое разработано и скомпелировано с ее помощью. Внедренный код отправляет информацию о приложении на командный сервер, позволяя инфицированному приложению считывать данные из буфера обмена устройства.

«Тот факт, что топ-10 вредоносных программ остается без изменений с сентября, позволяет нам предполагать, что киберпреступники довольны их действием. А для компаний это сигнал, что им нужно реагировать проактивно, чтобы защищать свои критические бизнес-активы. Эффективность таких программ, как Conficker, говорит также о том, что пока компании не используют защиту необходимого уровня, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies. — Чтобы защитить себя, бизнесу необходим комплексный подход и меры продвинутой защиты сетей, конечных и мобильных устройств, чтобы остановить вредоносное ПО еще до заражения. Это возможно с такими решениями, как Check Point’s SandBlast™ Zero-Day Protection и Mobile Threat Prevention, которые способны противостоять новейшим угрозам».

Fortinet о тенденциях в сфере кибербезопасности

Fortinet обнародовала шесть прогнозов, проведенных специалистами отдела исследования угроз FortiGuard Labs и касающихся развития угроз в 2017 г. В этих прогнозах говорится о стратегиях и способах, которыми, по мнению исследователей Fortinet, киберпреступники будут пользоваться в ближайшем будущем. Также охарактеризован масштаб потенциальных негативных последствий кибератак для мировой виртуальной экономики.

1. От умных к еще более умным: автоматизированные и человекоподобные атаки потребуют разработки более интеллектуальных систем безопасности

Угрозы становятся все более изощренными и автономными. В следующем году ожидается появление вредоносного ПО с человекоподобным поведением, способного к адаптации и обучению на основе успешных действий. Это сделает атаки более эффективными и вредоносными.

2. Производители устройств IoT понесут ответственность за нарушения безопасности

Если производителям устройств IoT не удастся обеспечить безопасность своей продукции и удержать покупателей, интерес которых снизится вследствие опасений, связанных с рисками в сфере информационной безопасности, это приведет к значительным изменениям на мировом виртуальном рынке. Существенно возрастет заинтересованность потребителей, поставщиков и других групп в разработке и реализации стандартов безопасности, с помощью которых производителей устройств можно будет призвать к ответственности за ущерб, вызванный поведением их продуктов.

3. 20 миллиардов устройств IoT — слабое звено облачной инфраструктуры

Самое слабое звено системы безопасности облака — это далеко не ее архитектура. Главный источник угрозы — это миллионы удаленных устройств, которые получают доступ к ресурсам облака. Ожидается появление средств, разработанных специально для поражения конечных устройств. Это приведет к атакам на стороне клиента, которые смогут легко пробивать бреши в системах безопасности поставщиков облачных услуг. Возрастет количество организаций, внедряющих стратегии защиты и сегментации на основе систем безопасности. Такие системы позволяют создавать, настраивать и применять единые политики безопасности для физических, виртуальных и частных облачных сред — от IoT до облака.

4. Вследствие атак обстановка в «интеллектуальных городах» начнет накаляться

В следующем году целями злоумышленников станут быстро развивающиеся системы автоматизации зданий и управления. Если какая-либо из этих интегрированных систем, представляющих особый интерес для киберпреступников, попадет под удар, это может привести к серьезным нарушениям в сфере обслуживания граждан.

5. Программы-вымогатели — это только начало

Ожидается, что киберпреступники проведут направленные атаки, целями которых станут знаменитости, политические деятели и крупные организации. Автоматизированные атаки с применением программ-вымогателей позволят злоумышленникам воспользоваться эффектом масштаба и обогатиться за счет одновременного обмана множества жертв, каждая из которых предоставляет небольшую сумму. Чаще всего атакам будут подвергаться устройства IoT.

6. Возникнет необходимость в компенсации критической нехватки квалифицированных кадров в сфере безопасности за счет внедрения новых технологий

Ввиду наблюдающейся в настоящее время нехватки специалистов по информационной безопасности многие организации и страны, желающие выйти на мировой виртуальный рынок, подвергнутся значительной опасности. Персонал этих организаций не располагает опытом и подготовкой, необходимыми для решения таких задач, как разработка политики безопасности, защита важных ресурсов, которые свободно перемещаются между сетевыми средами, или выявление современных продвинутых атак и принятие мер реагирования.

Прогнозируемые тенденции развития угроз и выводы

Интернет вещей (IoT) и облачная технология по-прежнему часто фигурируют в прогнозах, однако с течением времени выявились некоторые тенденции. Степень интернет-активности как организаций, так и отдельных лиц значительно увеличилась, что способствует росту числа потенциальных направлений атак. Кроме того, в качестве цели может выступать все что угодно, и точно так же любое средство может стать оружием. Угрозы становятся все более изощренными, они могут функционировать автономно, и выявить их все труднее. И последняя тенденция: возвращаются старые угрозы, усовершенствованные с помощью новых технологий, что открывает новые горизонты в сфере выявления и анализа угроз.

3,2 млн ПК уязвимы, 0,002 млн имеют средства защиты

В октябре 2016 года инженерный департамент Talos (подразделение Cisco, занимающееся исследованием и анализом угроз для информационной безопасности) напомнил о традициях киберпреступников, адаптированных для цифровой эпохи.

Киберпреступность стала масштабной проблемой человечества, она затрагивает пользователей, компании, государства. Действия хакеров способны привести к материальному ущербу и парализовать работу корпораций, банков, государственных служб и систем.

« Мартин Ли (Martin Lee), руководитель инженерного департамента Talos
Модели, по которым ведут свою деятельность злоумышленники, не новы. Они используют традиционные схемы, адаптируя их к реалиям цифровой эпохи.

Классическая модель преступной деятельности – похищение с требованием выкупа, получила широкое распространение у кибермошенников. Если раньше гангстеров ограничивала территория, на которой они работали, то киберпреступники не знают границ. Первый случай похищения с требованием выкупа в цифровом пространстве зафиксирован в 1989 году в Таиланде. Мошенник разослал в медицинские учреждения электронные письма с требованием перевести деньги за похищенные данные на адрес в Панаме. Подобный вид вымогательства действовал 16 лет.

В 2005 году появились GP-кодеры. Посредством этих устройств преступники шифруют файлы на зараженном устройстве и требуют деньги у пользователя за расшифровку. Создание программных средств для шифрования ‒ очень сложный процесс, поэтому злоумышленники зачастую используют фальшивками. Отдав деньги, пользователь может и не получить обратно похищенные документы, поскольку они уже удалены, с высокой вероятностью. Этот вид вымогательства преступники используют до сих пор, только совершенствуют методы шифрования.

Следующий этап эволюции DDoS-атак начался в марте 2016 года, когда мы столкнулись с деятельностью банды SamSam. Эта группа проникает в серверную систему организации, добирается до ключевых данных, необходимых для повседневной операционной деятельности, шифрует их и требует выкупа. У взломанной компании существует большой соблазн заплатить преступникам, так как эти файлы важны для повседневной работы.

Мартин Ли (Martin Lee), руководитель инженерного департамента Talos
»

Киберпреступность стала бизнесом. Злоумышленники ведут свою деятельность как коммерческие компании. Они стремятся снизить издержки и максимизировать прибыль, выходят на другие рынки. Преступники тщательно просчитывают свою выгоду. Размер выкупа должен быть несколько ниже, чем ценность украденных документов у компании, он должен покрывать расходы на ведение преступной деятельности. В своей работе злоумышленники используют те же высокотехнологичные инструменты, что и коммерческие компании. Крупных игроков на этом черном рынке обслуживают сервисные организации, создана экосистема отдельных специалистов и преступных групп, которые осуществляют DDoS-атаки.

« Нужно помнить, что если у вас есть что-то, представляющее ценность, то обязательно найдется мошенник, который попытается это украсть. По нашим данным, в мире 3,2 миллиона компьютеров и систем уязвимы к хакерским атакам, и только на 2100 из них установлены необходимые средства защиты.

Мартин Ли (Martin Lee)
»

Europol назвал восемь основных тенденций киберпреступлений

  • Преступление-в-качестве-услуги: «подпольные цифровые услуги» подкрепляются моделью «преступление-в-качестве-услуги», которая становится все более популярной и востребованной. Она объединяет между собой специализированных поставщиков хакерских утилит и организованные преступные группировки. Террористы имеют очевидный потенциал для получения доступа к этому сектору в скором будущем.
  • Программы-вымогатели: вымогательство и банковские «трояны» остаются главными угрозами среди вредоносного программного обеспечения. И эта тенденция вряд ли изменится в обозримом будущем.
  • Преступное использование данных: данные остаются ключевым товаром для киберпреступников. Во многих случаях они используются для получения немедленной финансовой выгоды, но все чаще применяются для реализации более сложных схем мошенничества, зашифровываются с целью получения выкупа, либо используется непосредственно для вымогательства.
  • Платежное мошенничество: EMV (чип и PIN-код), гео-блокировка и другие промышленные меры безопасности продолжают помогать в эффективной борьбе с карточным мошенничеством, но, тем не менее, растет и число атак, направленных против банкоматов. Организованные преступные группы начинают компрометировать платежи, связанные с использованием бесконтактных карт (NFC).
  • Он-лайн сексуальное насилие над детьми: использование платформ со сквозным шифрованием для обмена медиа файлами, а также применение анонимных платежных систем способствует эскалации он-лайн трансляции жестокого обращения с детьми.
  • Злоупотребление «темной стороной сети»: «темная часть всемирной интернет-паутины» продолжает содействовать преступникам, участвующим в ряде незаконных видов деятельности, таких как, обмен файлами с записью сексуального насилия над детьми. Степень, в которой экстремистские группы используют кибертехнологии для осуществления атак, в настоящее время ограничены, но предложение в «темной сети» хакерских утилит и услуг, а также незаконных товаров, может быстро изменить сложившуюся ситуацию.
  • Социальная инженерия: правоохранительными органами был зарегистрирован рост числа фишинг-атак, направленных на цели, имеющие высокую значимость. Главной угрозой стали атаки против генеральных директоров предприятий и организаций.
  • Виртуальные валюты: Bitcoin остается той валютой, которую мошенники предпочитают для оплаты за приобретение незаконных товаров и услуг в «темной сети. Bitcoin также стал стандартным платежным решением притребовании выкупа и других форм вымогательства.

По-прежнему наблюдается рост объема, масштаба и стоимости киберпреступлений. За последнее время эти показатели достигли небывалого уровня. Некоторые государства, входящие в ЕС, говорят о том, что случаи преступлений в сфере кибербезопасности, возможно, уже превосходят численность традиционных преступлений[4].

Рост численности мошенников совместно с увеличением количества возможностей для участия в высокодоходной незаконной деятельности частично подпитывает подобную тенденцию, равно как и появление новых инструментов для совершения киберпреступлений в таких сферах, как мобильное вредоносное ПО и мошенничество, направленное против банкоматов. Тем не менее, главная часть проблемы состоит в недостаточном соблюдении стандартов цифровой безопасности юридическими и физическими лицами.

Значительная часть киберпреступной деятельности по-прежнему использует относительно старые технологии, обеспечение безопасности для которых доступны, но не пользуется широким распространением.

9-кратный рост неизвестных зловредов за десятилетие

22 сентября 2016 года Check Point Software Technologies Ltd. опубликовала результаты исследования, в котором отметила 9-кратный рост неизвестных зловредов, атакующих системы предприятий и сделала вывод о необходимости внедрения в компаниях лучшей в своем классе защитной архитектуры.

Эксперты компании провели анализ сведений, полученных от 31 тыс. шлюзов безопасности Check Point по всему миру, и описали - какие известные и неизвестные виды вредоносного ПО и атак воздействуют на ИТ-системы компаний, каковы последствия интеграции мобильных устройств в ИТ-инфраструктуры предприятий. Также дана оценка потерь компаний от взломов и расходы на устранение их последствий.

Картина среднего дня на предприятии согласно отчету Check Point 2016 Security Report, (2016)

В рамках исследования SANS 2016 Threat Landscape Study, проведенного вместе с исследователям института SANS, специалисты опросили более 300 профессионалов в сфере ИТ и безопасности по всему миру.

Цель опроса - выяснить:

  • с какими угрозами организации сталкиваются в реальности,
  • когда и как эти угрозы становятся инцидентами безопасности,
  • какие типы угроз имеют самые серьезные последствия,
  • какие критические задачи стоят перед компаниями, желающими себя защитить.

Оба отчета, Check Point Security Report и SANS 2016 Threat Landscape Study, дают представление о ландшафте происходящих киберугроз — от сети до конечного устройства.

Основные выводы исследования:

  • Число видов неизвестного вредоносного ПО продолжает расти. Исследователи обнаружили 9-кратное увеличение количества неизвестных программ, атакующих организации. Причина роста количества случаев проникновения в сеть - сотрудники, загружающие неизвестные зловреды каждые 4 секунды. Каждый месяц специалисты обнаруживают почти 12 млн неизвестных вариантов вредоносных программ. За последние два года таких «находок» больше, чем за все предыдущее десятилетие.
  • Безопасность не успевает за быстро развивающимися мобильными устройствами. На смартфоны и планшеты приходится 60% всего времени, потраченного на цифровые медиа. Для бизнеса мобильные устройства — ужас с точки зрения обеспечения безопасности доступа и удача с точки зрения повышения продуктивности. Несмотря на то, что сотрудники не хотят умышленно вредить безопасности компании, по вине каждого пятого из них происходит взлом — через мобильное вредоносное ПО или зараженную точку Wi-Fi.
  • Конечные устройства — отправная точка большинства атак. В исследованных компаниях пользовательские устройства являются самой частой причиной взломов и самым важным компонентом киберзащиты, причем в 75% случаев для совершения атак хакеры используют электронную почту. 39% атак на конечные устройства обходят защиту брандмауэров, а регулярные проверки обнаруживают 85% угроз уже после того, как они попали в сеть компании.

Оба отчета предупреждают: эффективная безопасность начинается с внедрения лучшей в своем классе защитной архитектуры, которая поможет решать нынешние и будущие задачи по защите ИТ-инфраструктуры. Продвинутое предотвращение угроз, защита мобильных устройств и сегментация сети — критические компоненты, необходимые для информационной безопасности современной компании.

Киберпреступники нацелились на добывающую промышленность

11 августа 2016 года Trend Micro Incorporated опубликовала отчет «Киберугрозы в горнодобывающей отрасли» (Cyber Threats to the Mining Industry), в котором сделан вывод о растущем уровне интереса киберпреступников к добывающей промышленности.

Ранее основными целями киберпреступников были банки, финансовые, медицинские учреждения, теперь они обратили внимание и на предприятия добывающей промышленности. Проблема кибератак в этой отрасли тесно связана с растущей степенью автоматизации ее процессов. На смену ручному труду и простым механизмам пришли устройства, контролируемые централизованно посредством специального программного обеспечения.

На подобных предприятиях используются операционные технологии (Operational Technology, OT) – аппаратное и программное обеспечение, фиксирующее изменения в производственном процессе и управляющее ими. При этом во многих организациях OT в лучшем случае слабо защищены от возможных кибератак. А все большее проникновение в отрасль облачных вычислений, систем бизнес-аналитики и Интернета вещей приводит к сращиванию IT и OT, что дает злоумышленникам широкий доступ к компонентам систем и критически важным процессам.

Большинство промышленных систем управления (Industrial Control Systems, ICS), используемых в 2016 году, разработаны десятилетия назад. В связи с новыми требованиями подключения к корпоративной сети и использования удаленного доступа, разработчики ICS, как правило, адаптируют соответствующие ИТ-решения для упрощения интеграции и снижения затрат на разработку. Однако это приводит к возникновению целого ряда новых уязвимостей.

Примеры крупных кибератак в добывающей промышленности:

В апреле и мае 2015 года канадская золотодобывающая компания Detour Gold Corp. подверглась атаке хакерской группировки, которая называла себя Angels_Of_Truth. В результате злоумышленниками было украдено более 100 Гб ценной информации. При этом 18 Гб из этих данных были размещены на торрент-трекере.

В феврале 2016 года Департамент промышленности, ресурсов и энергетики Нового Южного Уэльса также подвергся атаке хакеров. Злоумышленники безуспешно пытались получить доступ к конфиденциальной информации, касающейся разрешения на добычу полезных ископаемых.

В апреле 2016 года в канадской золотодобывающей компании Goldcorp произошла крупная утечка данных. Злоумышленники обнародовали 14.8 Гб данных, разместив соответствующий документ на Pastebin, популярном сайте для хранения и общего использования данных, с ссылкой на его скачивание. Архив содержал персональные данные работников и финансовую информацию.

Кибератаки в промышленности совершаются, в основном, для получения определенных технических знаний в достижении конкурентного преимущества, ослабления экономики другого государства, получения определённых данных (личную информацию (PII), финансовую составляющую или учетные записи) или даже с целью протеста против компаний в добывающей отрасли, как источника загрязнения окружающей среды.

Кибератаки действительно способны оказывать большое влияние на бизнес компании, например, приводить к ухудшению финансовых показателей, краже интеллектуальной собственности, потере конкурентного преимущества и т.д. Все это становится возможным из-за способности киберпреступников получить доступ к необходимой информации. В добывающей промышленности злоумышленникам интересны, прежде всего:

  • данные по ценообразованию на металлы и минералы;
  • интеллектуальная собственность, например, способ производства, обработки сырья, химических формул, программное обеспечение и т. д.;
  • информация о государственной политике, решениях и процессах принятия решений руководителями корпораций;
  • данные о новых потенциальных месторождениях;
  • информация о запасах руды и производственном процессе;
  • данные систем мониторинга шахт, которые используются для контроля производства, безопасности и мониторинга состояния окружающей среды в режиме реального времени.

Кибератаки в добывающей промышленности не только могут быть причиной потерь из-за простоев на производстве, но оказать негативное влияние на стоимость акций компании, нанести ущерб экономике страны или региона, если она зависит от подобного предприятия.

Наиболее часто используемыми методами совершения кибератак на сегодняшний являются:

  • фишинг и социальная инженерия;
  • эксплуатация уязвимостей;
  • заражение сайта, который сотрудники предприятия посещают чаще всего;
  • неправильная конфигурация системы эксплуатации;
  • скрытая загрузка;
  • вредоносная реклама;
  • компрометация сторонних вендоров;
  • атака «человек посередине» (MitM);
  • заражение оборудования;
  • инсайдеры.

В своем отчете компания делает вывод - большинство предприятий добывающей промышленности не осознают важность защиты от кибератак. А уязвимости, которыми могут воспользоваться злоумышленники, обнаруживаются постоянно.

Отдельное внимание специалистам по кибербезопасности стоит уделить крупным добывающим компаниям, чья деятельность напрямую связана с состоянием экономики отдельных регионов или стран. Им прежде всего необходимо внедрять передовые методы защиты на всех уровнях управления предприятием.

Cisco: программы-вымогатели наступают

28 июля 2016 года Cisco опубликовала отчёт по информационной безопасности за первое полугодие 2016 года, в котором указала на высокую вероятность появления следующего нового поколения программ-вымогателей. В свете этого заявления, основным решением задачи для организаций в деле защиты данных, компания видит необходимость закрыть «окно возможностей» перед злоумышленниками.

Согласно отчету Midyear Cybersecurity Report компании Cisco, организации не готовы к появлению разновидностей изощренных программ-вымогателей и среди основных причин, содействующих скрытной активности злоумышленников:

  • нестабильная инфраструктура,
  • плохая сетевая гигиена,
  • низкая скорость обнаружения.

Cisco 2016 Midyear Cybersecurity Report: Executive Perspectives, (2016)

Результаты исследования позволяют сделать вывод: основные трудности компании испытывают при попытках ограничить оперативное пространство атакующих, что ставит под угрозу всю базовую структуру, необходимую для цифровой трансформации. Злоумышленники расширили сферы активности атакуя серверы, возросла изощренность атак, участились случаи использования шифрования для маскировки злонамеренной деятельности.

По итогам первого полугодия 2016 года программы-вымогатели стали самым доходным типом злонамеренного ПО в истории, заявили эксперты Cisco. Они считают, эта тенденция сохранится, программы-вымогатели будут иметь еще более разрушительный функционал, получив способности распространяться самостоятельно. В этом случае "заложниками" могут стать сети и компании.

Cumulative Annual Alert Totals, (2016)

Модульные разновидности таких программ будут быстро менять тактику для достижения максимальной эффективности. Например, будущие программы-вымогатели смогут избегать обнаружения благодаря способности свести к минимуму использование центрального процессора и отсутствию управляющих команд. Такие версии программ-вымогателей будут распространяться быстрее своих предшественников и до начала атаки самореплицироваться в организациях.

Одна из основных проблем компаний и сетей, была и остается - плохая обозреваемость сети и конечных точек. В среднем на выявление новых угроз у организаций уходит до 200 дней. Сокращение времени обнаружения угроз чрезвычайно важно с точки зрения ограничения оперативного пространства злоумышленников и минимизации ущерба от вторжений.

Дополнительные удобства атакующим создают неподдерживаемые и необновляемые системы, которые позволяют им получать доступ, оставаться незамеченными, увеличивать свой доход и наносить максимальный ущерб. Отчет Cisco MCR 2016 свидетельствует о том, что проблема относится к общемировым. В течение нескольких месяцев рост атак отмечен в наиболее важных отраслях (например, в здравоохранении), при этом целью злоумышленников становятся все вертикальные рынки и мировые регионы. Общественные организации и предприятия, благотворительные и неправительственные организации, компании электронной коммерции — все они в первой половине 2016 года фиксировали рост количества атак.


Злоумышленники себя не ограничивают

Размеры прибыли атакующих прямо пропорциональны периоду времени скрытных действий. По данным Cisco, в первой половине 2016 года доходы злоумышленников возросли вследствие ряда факторов:

  • Расширение сферы действий. Атакующие расширяют сферу своих действий, переходя от клиентских эксплойтов к серверным, избегая обнаружения, максимизируя ущерб предприятиям и свои доходы.
    • уязвимости Adobe Flash остаются одной из главных целей вредоносной рекламы и наборов эксплойтов. В распространенном наборе Nuclear на долю Flash приходится 80% успешных попыток взлома.
    • Cisco отметила также тенденцию программ-вымогателей, эксплуатирующих серверные уязвимости, в особенности это касается серверов Jboss (скомпрометированы 10% всех подключенных к Интернету серверов). Многие из уязвимостей Jboss, используемые для компрометации систем, выявлены пять лет назад и базовые корректировки, обновления вендоров могли бы предотвратить подобные атаки.

  • Новые методы атак. В первой половине 2016 года киберпреступность разрабатывала методы, использующие недостаток обозреваемости сети.

    • эксплойты двоичных файлов Windows за прошедшие полгода вышли на первое место среди веб-атак. Этот метод обеспечивает прочное положение в сетевых инфраструктурах и затрудняет обнаружение и устранение атак.
    • мошеннический социальный инжиниринг в Facebook переместился с первого места (2015 год) на второе.

  • Заметание следов. В дополнение к проблемам обозреваемости злоумышленники стали чаще использовать шифрование как метод маскирования различных аспектов своей деятельности.

    • Cisco зафиксировала рост использования криптовалют, протокола безопасности транспортного уровня Transport Layer Security и браузера Tor, что позволяет анонимно общаться в Интернете.
    • В кампаниях вредоносной рекламы за период с декабря 2015 по март 2016 года отмечен 300% рост использования вредоносного ПО с шифрованием по протоколу HTTPS. Такое ПО позволяет атакующим длительное время скрывать свою веб-активность, увеличивая продолжительность неправомерных действий.


Действия защиты в попытках сократить уязвимости и закрыть бреши

При столкновении с изощренными атаками компаниям, имеющим ограниченные ресурсы и стареющую инфраструктуру, трудно угнаться за своими противниками. Полученные данные позволяют предположить - чем важнее технология для бизнес-операций, тем хуже обстоят дела с адекватностью сетевой гигиены, в том числе, с корректировкой ПО. Например:

  • применительно к браузерам, последнюю или предпоследнюю версию Google Chrome, поддерживающую автоматические обновления, используют 75 — 80% пользователей;
  • Java обновляется значительно медленнее: на одной трети исследованных систем установлено ПО Java SE 6, которое компания Oracle давно вывела из эксплуатации (действующая на 28 июля 2016 года версия — SE 10);
  • не более 10% пользователей Microsoft Office 2013 v.15x установили последнюю версию пакета исправлений.

Исследование Cisco выявило также - большая часть инфраструктуры потенциальных жертв не поддерживается или эксплуатируется при наличии известных уязвимостей. Это системная проблема, и для вендоров, и для конечных точек. Cisco, обследуя >103 тыс. устройств, подключенных к Интернету, обнаружила:

  • на каждом устройстве присутствовало в среднем 28 известных уязвимостей;
  • средний срок активности известных уязвимостей на устройствах ~5,64 года;
  • более 9% известных уязвимостей старше 10 лет.

Для сравнения специалисты Cisco обследовали более 3 млн программных инфраструктур, в основном на платформе Apache и OpenSSH. В них обнаружено в среднем 16 известных уязвимостей со средним сроком существования 5,05 года.

Обновить браузер на устройстве пользователя просто, сложнее — корпоративные приложения и серверные инфраструктуры, поскольку это может повлечь перебои в бизнес-процессах. Вывод, сделанный в исследовании: чем важнее роль приложения в бизнес-операциях компании, тем меньше вероятность его регулярного, частого обновления, что влечет за собой появление брешей в защите и возможностей для последующих атак.

Цены взлома аккаунтов соцсетей и почтовых сервисов

Взлом сервера, кража средств с банковских карт, утечка персональных данных – на эти и многие другие «услуги» появился прайс. Компания Dell SecureWorks, которая специализируется на оценке и анализе информационной безопасности компьютерных систем, опубликовала летом 2016 года «прейскурант» цен на услуги хакеров по всему миру. По мнению участников рынка, это один из сигналов процветания киберпреступности.

По данным специалистов, доступ к американскому аккаунту в социальных сетях стоит порядка 129$, а в российские «Одноклассники» и «ВКонтакте» - 194$. Взлом аккаунта Gmail, Hotmail или Yahoo обойдется в среднем 129$. И всего за 40-60 тыс.рублей можно «заказать» любую информацию об отечественном конкуренте: сведения о банковских счетах, ИНН, учредительные документы, сведения о сотрудниках и номера телефонов.

Новости о краже персональных данных или незаконном снятии денежных средств с банковской карты появляются в прессе с завидной регулярностью. Так, например, в мае личные данные 117 млн. пользователей социальной сети LinkedIn были выставлены на продажу в «теневом интернете». По подсчетам аналитиков, хакер под псевдонимом «Мир» мог на этом заработать порядка 2,5 тыс.$. А на днях женщина из Нижегородской области перевела злоумышленнику 85 тыс.руб., думая, что разговаривает с сотрудником банка.

Balabit: ТОП-10 самых популярных хакерских методов

1. Социальная инженерия (например, фишинг)

Большинство хакеров стремятся стать инсайдерами и повысить привилегии украденной учетной записи. Попытки найти существующий привилегированный аккаунт и взломать его пароль — процесс не самый быстрый, и он оставляет много следов (например, дополнительных логов, сгенерированных в результате попыток автоматизированных атак), которые значительно увеличивают риск обнаружения подозрительной активности. Именно поэтому хакеры предпочитают использовать приемы социальной инженерии, побуждая пользователей добровольно поделиться своим логином и паролем.

«Последнее хищение данных более 10 000 сотрудников министерств юстиции и национальной безопасности и взлом более 20 000 аккаунтов сотрудников Федерального бюро расследований (ФБР) еще раз доказывают, что сегодня хакерам намного проще стать «своим» в системе с помощью тактик социальной инженерии, чем писать эксплойты нулевого дня», — говорит Золтан Дъёрку, генеральный директор компании Balabit. Традиционные инструменты контроля доступа и антивирусные решения, безусловно, необходимы, но они защищают важнейшие активы компаний, только когда хакеры находятся за пределами сети. Стоит им один раз проникнуть в систему, даже через низкоуровневый доступ, они могут легко увеличить полномочия и получить уже привилегированный административный доступ в корпоративную сеть. Больший риск — это нахождение хакера внутри сети, когда он становится одним из привилегированных пользователей.

Взломанные учетные записи (когда законные логины и пароли используются в преступных целях) можно обнаружить, заметив изменения в поведении пользователей, например, во времени и места входа в систему, скорости печати на клавиатуре, используемых командах, подозрении на использование учетное записи в скриптах. Инструменты анализа пользовательского поведения, которые создают базовые профили действий реальных сотрудников, могут легко обнаружить аномалии в использовании учетных записей и предупредить об этом специалистов по безопасности или заблокировать пользователя до выяснения всех обстоятельств», — добавляет Золтан Дъёрку.

2. Скомпрометированные учетные записи (например, слабые пароли)

Взлом учетных записей, особенно слабозащищенных, представляют опасность, потому что пользователи обычно предпочитают использовать простые легко запоминающиеся пароли и часто одни и те же для корпоративных и личных учетных записей. Если хакер получит доступ к логину и паролю пользователя в менее защищенной системе (например, от личного аккаунта в социальной сети), он сможет использовать их для входа в сеть компании.

3. Web-атаки (например, инъекции SQL-кода)

Использование дыр безопасности онлайн-приложений (например, внедрение SQL-кода) по-прежнему является очень популярным методом взлома, главным образом, потому, что приложения являются важнейшим интерфейсом доступа к активам компании для большого количества внутренних и внешних пользователей, что делает их привлекательной целью для атак. К сожалению, качество кода приложений по-прежнему вызывает вопросы с точки зрения безопасности. Существует множество автоматических сканеров, которые злоумышленники могут использовать для обнаружения уязвимых приложений. Остальные методы взлома могут привести хакеров к тем же результатам, но оказаться более сложными в применении или более продолжительными. Например, написание эксплойта занимает больше времени и требует хороших навыков программирования.

Места среди остальных самых популярных хакерских методов распределились следующим образом: 4. Атаки на клиентскую часть (т.е. на программы просмотра документов, браузеры)
5. Использование эксплойтов для популярных серверных обновлений (например, OpenSSL, Heartbleed)
6. Неуправляемые личные устройства (например, при отсутствии политик BYOD в корпоративной среде)
7. Физическое вторжение
8. Теневые ИТ (например, применение пользователем личных облачных сервисов в рабочих целях)
9. Использование поставщиков услуг третьих сторон (например, аутсорсинг инфраструктуры)
10. Хищение данных, загруженных в облако (например, IaaS, PaaS)

2015 год

Gemalto: Breach Level Index 2015 Индекс критичности потери данных

Компания Gemalto опубликовала в феврале 2016 года результаты анализа своего индекса критичности утечек данных Breach Level Index[5], согласно которому в 2015 году в мире было зафиксировано 1673 инцидента, которые привели к компрометации 707 миллионов записей данных.

Breach Level Index 2015

Согласно результатам индекса критичности утечек данных, с 2013 года - когда компания начала составлять сравнительную базу данных публично освещаемых утечек - в мире было скомпрометировано в общей сложности более 3,6 млрд. записей данных. По источнику утечек в 2015 году наибольшее количество инцидентов пришлось на атаки сторонних злоумышленников – всего было зафиксировано 964 таких инцидента, или 58% от общего числа инцидентов и 38% от количества скомпрометированных записей данных. По типу скомпрометированных данных наиболее распространёнными утечками по-прежнему оставались утечки, направленные на хищение учетных записей, – 53% от общего числа инцидентов и 40% от количества всех скомпрометированных записей данных.

В разбивке по отраслям на долю утечек в государственном секторе пришлось 43% всех скомпрометированных записей данных, что на 476% выше по сравнению с 2014 годом (это обусловлено несколькими чрезвычайно крупными утечками данных, произошедшими в США и в Турции), и лишь 16% от общего числа утечек. На сектор здравоохранения пришлось 19% общего числа скомпрометированных записей и 23% от всех утечек данных. Количество скомпрометированных записей данных в секторе розничной торговли резко сократилось по сравнению с аналогичным периодом предыдущего года (на 93%): в 2015 году на их долю пришлось лишь 6% от всех похищенных записей данных и 10% от всех зафиксированных утечек. В секторе финансовых услуг количество скомпрометированных учетных записей сократилось почти на 99%, на их долю пришлось лишь 0,1% от всех скомпрометированных записей данных, или 15% от общего числа утечек.

Хотя больше всего утечек данных было связано с деятельностью сторонних злоумышленников (58%), на долю случайных утечек приходится целых 36% всех скомпрометированных записей данных. Число атак, осуществленных по заказу правительств различных стран, составило лишь 2% от всех утечек данных, однако количество похищенных записей данных в результате подобных атак составило 15% от всего числа скомпрометированных записей. На долю атак, совершенных злоумышленниками изнутри сети, пришлось 14% всех утечек данных и лишь 7% скомпрометированных записей данных.

С точки зрения географии 77% всех утечек данных произошло в Северной Америке, при этом 59% из всех скомпрометированных записей пришлось на США. Количество утечек, совершенных в Европе, составило 12% от общего числа инцидентов, а на долю Азиатско-тихоокеанского региона пришлось лишь 8% от всего числа утечек.


Результаты полного анализа утечек данных, в том числе с разбивкой по отраслям, источникам, типу и географии доступны в отчете 2015 Breach Level Index Report.

Gemalto: только шифрование поможет защититься от потери данных

По сравнению с первой половиной 2014 года количество утечек данных увеличилось на 10%, при этом количество скомпрометированных записей данных за первые шесть месяцев этого года сократилось на 41%. Снижение числа скомпрометированных данных объясняется тем, что в этом году количество зафиксированных крупномасштабных утечек в отрасли розничной торговли оказалось меньше, чем за аналогичный период прошлого года.

Несмотря на снижение общего количества скомпрометированных записей, в результате крупных утечек по-прежнему похищаются большие объёмы персональной информации и учетных данных. Самой крупной утечкой данных в первой половине 2015 года стала атака с целью хищения идентификационных данных клиентов Anthem Insurance. В результате этой атаки, получившей 10 баллов по степени опасности по Индексу критичности утечек данных, было скомпрометировано 78,8 миллионов учетных записей, что составило почти одну треть (32%) от общего числа записей данных, похищенных за первое полугодие 2015 года. Среди других крупных инцидентов, произошедших в отчетный период, стала утечка 21 миллиона учетных записей из Управления кадрами США (U.S. Office of Personnel Management) со степенью опасности BLI: 9.7; утечка 50 миллионов учетных записей в Генеральной дирекции по делам населения и гражданства Турции (Turkey’s General Directorate of Population and Citizenship Affairs) со степенью опасности BLI: 9.3; и утечка 20 миллионов учетных записей в российском сервисе Topface со степенью опасности BLI:9.2. Фактически, на долю 10 крупнейших утечек данных приходится 81,4% всех скомпрометированных записей данных.


Утечки данных по источнику

На долю утечек, организованных государственными структурами, приходится всего лишь 2% от всех инцидентов, однако количество скомпрометированных данных в результате подобных атак составляет в общей сложности 41% от общего числа похищенных данных, что обусловлено масштабами инцидентов с Anthem Insurance и с Управлением кадрами в США. Хотя ни один из десяти крупнейших инцидентов в первой половине 2014 года не был атакой госструктур, в этом году три из десяти крупнейших утечек, в том числе две самых крупных, были профинансированы государством.

В то же время, наиболее распространённым источником утечек в первой половине 2015 года стали действия внешних злоумышленников внутри компании (malicious outsiders) – на долю подобных инцидентов пришлось 546 утечек или 62% от всех утечек, по сравнению с 465 утечками (58%) в первой половине прошлого года. В результате действий внешних злоумышленников было скомпрометировано 56% или 116 миллионов записей данных, тогда как в 2014 году результаты были выше - 71,8% или 298 миллионов записей данных.

Утечки данных по типу

Кража персональных и идентификационных данных остаётся основным видом утечек данных, на долю которых приходится 75% всех скомпрометированных записей, и чуть больше половины (53%) всех утечек данных, зафиксированных в 2015 году. Пять из десяти крупнейших утечек, в том числе три наиболее крупные, получившие статус катастрофических по Индексу Gemalto, представляли собой хищение именно таких данных. Для сравнения, за аналогичный период прошлого года на хищение персональных и идентификационных данных пришлось семь из десяти крупнейших инцидентов.

Утечки данных по отраслям

Что касается статистики по отраслям, то на утечки в правительственных учреждениях и в отрасли здравоохранения пришлось примерно две трети всех скомпрометированных записей (31% и 34% соответственно), несмотря на то, что в этом году на отрасль здравоохранения пришлось всего лишь 21% от общего числа утечек, по сравнению с 29% годом ранее. В секторе розничной торговли наблюдалось значительное снижение числа похищенных записей, на долю которых пришлось всего лишь 4% от общего числа скомпрометированных данных (по сравнению с 38% в прошлом году). В разбивке по регионам наибольшее число утечек – более трех четвертей (76%) произошло в США, где было скомпрометировано около половины (49%) всех данных. На долю Турции пришлось 26% всех скомпрометированных данных, что, главным образом, обусловлено крупномасштабной утечкой в GDPCA, где из-за злоумышленных действий сторонних лиц было скомпрометировано 50 миллионов записей.

Уровень шифрования, использованного для защиты вскрытых данных (и позволяющего радикально снизить возможный урон от утечек данных), увеличился незначительно - до 4% от числа всех инцидентов (в первой половине 2014 года этот показатель составлял 1%).

По мнению Forrester, злоумышленники используют всё более совершенные и сложные механизмы атак, в результате чего эффективность традиционных мер обеспечения периметра безопасности заметно снизилась. Постоянно меняющийся и развивающийся характер угроз требует внедрения новых мер безопасности, одной из которых является повсеместное использование технологий шифрования данных. В будущем организации будут автоматически шифровать данные – как те, которые перемещаются по сети, так и те, которые просто хранятся на носителях. Подход к обеспечению безопасности, направленный на обработку данных, является намного более эффективным с точки зрения противодействия хакерам. Шифруя конфиденциальные данные, организации делают их бесполезными для злоумышленников, в результате чего атаки на корпоративные сети станут невыгодными, и хакеры будут переключаться на менее защищенные объекты. Шифрование становится стратегическим фундаментом для руководителей служб безопасности и отделов управления рисками, которые отвечают за защиту данных и за конфиденциальность информации в своих организациях.

Trend Micro Security Predictions

Основные прогнозы на 2015 год от `Trend Micro Security Predictions for 2015and Beyond: The Invisible Becomes Visible`

  • Все больше киберпреступников будут обращаться к подпольным сетям и закрытым форумам для обмена и продажи программного обеспечения криминального профиля;
  • Повышение активности злоумышленников приведет к появлению более изощрённых инструментов взлома;
  • Все большую роль в заражении устройств будут играть мобильные уязвимости; получат распространение наборы эксплойтов, направленные на Android
  • Наиболее распространенным видом киберпреступности станут целенаправленные атаки
  • Новые методы мобильных платежей приведут к появлению новых угроз
  • Мы увидим новые попытки использования уязвимостей в приложениях с открытым кодом
  • Разнообразие технологий пока еще защищает устройства Интернета всего (Internet of Everything) от массовых атак, однако этого нельзя сказать о данных, которые они обрабатывают
  • Появятся новые, еще более опасные угрозы для онлайн-банкинга и других финансовых сервисов

Прогнозы в области целенаправленных атак

Согласно отчету, после того как киберпреступникам удалось достичь заметных результатов в США, количество новых целенаправленных атак в 2015 году будет расти. Эксперты ожидают, что хакеры во Вьетнаме, Великобритании и Индии будут продолжать использовать целенаправленные атаки, и мы также увидим атаки в тех странах, где они ранее не отмечались, как это произошло в Малайзии и Индонезии.

Прогнозы в области угроз для финансовых услуг

Значительное повышение уровня угроз ожидает банковскую сферу, прогнозируется увеличение числа уникальных кибератак, нацеленных на банки и другие финансовые организации. В связи с этим, финансовым учреждениям придется внедрять двухфакторную идентификацию для своих онлайн-сервисов.

Прогнозы в области угроз для «Интернета всего»

Отчет «Trend Micro Security Predictions for 2015» также прогнозирует увеличение использования уязвимостей «умных устройств», таких как камеры, различные бытовые системы и телевизоры, поскольку киберпреступники все более агрессивно атакуют эти платформы и организации, управляющими их данными.

Такие факторы, как давление рынка, стимулируют производителей устройств выпускать все больше умных систем, однако в погоне за спросом они не всегда успевают предусмотреть вопросы безопасности. Поэтому киберпреступники все чаще будут находить уязвимости и использовать их в своих целях.

HP Cyber Risk Report

24 февраля 2015 года HP опубликовала Cyber Risk Report — отчет о кибербезопасности за 2015 год, содержащий результаты анализа наиболее острых проблем, с которыми бизнес сталкивался в 2014 году[6].

Сотрудники подразделения HP Security Research изучили распространенные уязвимости, которые ставят под угрозу безопасность организаций. Согласно результатам исследования, основными причинами проблем в области кибербезопасности в 2014 году стали «старые», хорошо известные уязвимости и неверные конфигурации.

«Технологии киберзащиты непрерывно совершенствуются, однако мы не должны «терять из виду» старые уязвимости, — говорит Арт Гиллиланд (Art Gilliland), старший вице-президент и руководитель подразделения Enterprise Security Products, HP. — Мы обнаружили, что самые серьезные риски для безопасности связаны с уязвимостями, о которых мы уже давно знаем. И мы не можем двигаться вперед, забыв об этих проблемах».

Основные результаты исследования

  • 44% известных инцидентов безопасности связаны с уязвимостями, которым уже 2–4 года. Злоумышленники продолжают использовать «старые» методы для взлома систем и проникновения в сети. Самые крупные атаки 2014 года были проведены с использованием уязвимостей в коде, написанном несколько лет или даже десятилетий назад.
  • Неверные конфигурации серверов — это проблема номер один. Согласно результатам исследования, основной проблемой, связанной с неверной конфигурацией, является предоставление слишком широких прав доступа к файлам и папкам. Информация, которую получают злоумышленники, затем используется для совершения других атак.
  • В 2014 году киберпреступники активно использовали новые каналы для совершения атак, например физические устройства, подключенные к сети через «Интернет вещей». Кроме того, наблюдался рост числа вредоносных программ для мобильных устройств. Расширение вычислительной экосистемы играет на руку злоумышленникам, поскольку создает для них еще больше «точек входа» в системы.
  • Основными причинами возникновения уязвимостей в программном обеспечении являются неполадки и ошибки, в том числе логические. Большинство уязвимостей возникает из-за небольшого числа распространенных ошибок в коде. Киберпреступники оперативно «осваивают» старые и новые уязвимости в программном обеспечении.

Что нужно сделать, чтобы обезопасить себя?

  • Внедрите комплексную стратегию применения исправлений. Поддержание систем в актуальном состоянии существенно снижает вероятность успешной атаки.
  • Регулярное тестирование на проникновение и проверка конфигураций (своими силами или с помощью внешних организаций) позволят выявить ошибки в конфигурациях, до того как хакеры воспользуются ими.
  • Перед внедрением новых технологий полезно проанализировать, как они скажутся на общем уровне безопасности.
  • Эффективный обмен данными об угрозах поможет составить представление о тактике злоумышленников и принять меры для предотвращения проблем, усовершенствовать защитное ПО, чтобы укрепить безопасность в целом.

CyberEdge Group Cyberthreat Defense Report: Более половины компаний опасаются успешных кибератак против них в 2015 году

10 августа 2015 года опубликованы итоги ежегодного отчета Cyberthreat Defense Report компании CyberEdge Group, где содержится информация об определении профессионалами в сфере ИТ-безопасности киберугроз и способов борьбы с ними.

В формировании отчета приняли участие более 800 руководителей отделов ИТ-безопасности и практикующих специалистов - представителей 19 различных отраслей бизнеса.

Отчет о противодействии угрозам, 2015

Несколько цифр статистики:

  • более половины (52%) респондентов предполагают, что их компании станут жертвами успешных кибератак в 2015 году. В 2014 году на их долю пришлось 39% участников опроса.

  • в качестве ключевых киберугроз респонденты называют атаки на веб-приложения. Веб-приложения широко распространены в современных компаниях и зачастую находятся в центре внимания злоумышленников. Причин для этого очень много, не последняя из которых - возможность прямого доступа к конфиденциальным данным.

  • озабоченность у специалистов вызывает безопасность мобильных устройств. При оценке способностей компаний защититься от киберугроз в различных сферах интересов ИТ, респонденты дали самые низкие оценки мобильным устройствам.

Уровень тревоги по типу кибератаки, 2015

Затем в рейтинге идут ноутбуки и приложения для социальных сетей. Более 2/3 организаций, принявших участие в опросе, хотят заменить или модернизировать уже имеющиеся у них инструменты защиты конечных устройств. Респонденты отметили - применение подхода использования собственных устройств в рабочих целях (BYOD) увеличится практически в два раза– от 30% до 59% в течение этого года. Это указывает на необходимость дополнительного инвестирования в мобильную безопасность.

Положительное влияние на защиту от кибератак, по мнению участников опроса, может оказать технология SDN – 63% респондентов разделяют эту точку зрения. При вопросе о том, как SDN оказывает влияние на способность компании бороться с киберугрозами, количество респондентов, которое считают эту технологию полезным решением, значительно превышает количество участников опроса, которые не разделяют такую уверенность коллег (соотношение находится на уровне 10 к 1).

Уровень безопасности применительно к сфере ИТ, 2015

62% респондентов указали - в 2015 году бюджет на ИТ-защиту должен быть увеличен. Особое внимание при распределении средств эксперты советуют обращать на аспекты:

  • защита следующего поколения для конечных и мобильных устройств;
  • быстро развивающиеся сервисы разведки в отношении киберугроз;
  • программно-определяемые решения для защиты.

Positive Technologies: основные тенденции кибератак 2015 года

15 октября 2015 года представители компании Positive Technologies (Позитив Текнолоджиз) выступили на конференции «Тенденции развития преступлений в области высоких технологий — 2015».

Обсуждая высокотехнологичные преступления и киберугрозы, руководитель отдела мониторинга Positive Technologies (Позитив Текнолоджиз) Владимир Кропотов и ведущий аналитик Евгений Гнедин выступили с докладом «Статистика и тренды кибератак за год: смотрим снаружи, изнутри и сбоку». Эксперты отметили основные тенденции киберпреступлений текущего года:

  • массовый характер приняли атаки, при которых злоумышленники действуют в обход — например, взламывают партнеров атакуемой организации
  • выросло количество случаев, когда социальная инженерия используется совместно с технологическими методами. Киберпреступники получают доступ к почте партнера (или выясняют его электронный адрес и специально для атаки создают похожий домен) и вступают в переписку с жертвой, которая не догадывается о подмене
  • рост атак, направленных на взлом определенного лица, группы лиц или конкретных компаний. Но если раньше преступники, как правило, действовали через взлом рабочих станций, то в 2015 году 30% анализируемых атак совершено на корпоративные ресурсы (почтовые серверы, серверы баз данных, внутренние веб-сервисы). Исследуя целенаправленные атаки эксперты отметили продвинутые технологии, такие как Watering Hole, осложняющие выявление атак профильными организациями и позволяющие маскировать целевые атаки под массовые.

Подвергается атакам и разного рода техника, подключенная к интернету («интернет вещей»). Преступники пользуются тем, что пользователи редко устанавливают на такие устройства обновления, вследствие чего они становятся уязвимыми для угроз из интернета. Подобных устройств в сети достаточно много: роутеры, «умные» телевизоры, тепловые датчики и автомобили. Злоумышленники могут быстро получить доступ к сотне устройств с помощью компьютера, использовать их для DDoS-атак или создания ботнетов, при этом оставаясь незамеченными. Особенность этих устройств в том, что если их перезагрузить или отключить питание, то все следы атак будут стерты.

Специалисты Positive Technologies (Позитив Текнолоджиз) сообщили о результатах работ по аудиту инцидентов безопасности, исходных кодов приложений и мониторинга ИБ. Исследованию подверглись 16 систем крупных компаний и государственных организаций (российских и зарубежных), в отношении которых проведены работы по внешнему тестированию на проникновение в 2014—2015 годах.

Статистика компании свидетельствует о возможности в 44% случаев получить полный контроль извне над всеми системами корпоративной структуры, а привилегии администратора в критически важных системах (базы данных, электронная почты, рабочие станции руководителей) — в 33% случаев. При этом в 58% систем для получения злоумышленниками полного контроля над критически важными ресурсами достаточно низкой квалификации, в 26% — сложность доступа к ним была средней и только в 16% – им не удалось проникнуть внутрь корпоративной сети. В большинстве случаев (56%) киберпреступники пользовались существующими уязвимостями веб-приложений, в 26% действовали путем подбора словарного пароля.

«Наше исследование показало, что всего лишь 20% анализируемых атак использовали уязвимости нулевого дня, то есть ранее неизвестные. Это говорит о том, что в 80% случаев у жертв была возможность эффективно защищаться, но ею не воспользовались», — отметил Владимир Кропотов.
Телекомы

Эксперты Positive Technologies отмечают тенденцию к усложнению телекоммуникационных сетей. В связи с развитием сервисов Skype, WhatsApp, Google сократились доходы мобильных операторов. Актуальной проблемой для них стал поиск новых возможностей для получения прибыли: компании предлагают не только сотовую связь, но и домашний интернет, IP-телевидение и собственные приложения. Все это приводит к усложнению сети: раньше для телефонии, интернета и кабельного телевидения были свои отдельные сети — теперь они интегрированы в одну общую сеть. Из-за тесной интеграции возникают риски нарушения информационной безопасности.

Работы Positive Technologies по тестированию защиты сетей мобильной связи показали, что уязвимости сетей сотовой связи на основе технологии SS7 позволяют злоумышленнику даже с невысокой квалификацией реализовать атаки, такие как раскрытие местоположения абонента, нарушение доступности абонента, перехват SMS-сообщений, подделка USSD-запросов и перевод средств с их помощью, перенаправление голосовых вызовов, подслушивание разговоров, нарушение доступности мобильного коммутатора. По данным Positive Technologies, большинство телеком-операторов не защищены от подобных атак. Однако наметилась положительная динамика: теперь операторы связи заинтересованы в мониторинге безопасности своих сетей. В следующем году эксперты прогнозируют увеличение с их стороны спроса на ИБ-услуги.

84 миллиона новых образцов вредоносных программ, на 9 миллионов больше, чем в 2014 году

PandaLabs, антивирусная лаборатория компании Panda Security, в течение всего 2015 года обнаружила и обезвредила свыше 84 миллионов новых образцов вредоносных программ, что на девять миллионов больше, чем за 2014 год. Такой уровень означает, что каждый день в течение 2015 года появлялось примерно 230 000 новых образцов вредоносных программ.

Прошедший год показал наибольшее количество кибер-атак, зафиксированных по всему миру, в рамках которых было использовано порядка 304 миллионов образцов угроз. Следовательно, более четверти всех образцов использованных вредоносных программ были произведены в 2015 году (27,63%).

Прошедший год также был сложным для целого ряда транснациональных компаний, которые пострадали от масштабных краж данных и негативного воздействия на свои ИТ-системы.

Самые мощные угрозы в 2015 году: трояны и ПНП

В 2015 году трояны, ПНП (потенциально нежелательные программы, PUP) и отдельные семейства Cryptolocker посеяли страх среди крупных компаний во всем мире посредством массированных атак и кражи тысяч конфиденциальных файлов.

Трояны продолжают оставаться основным источником вредоносных программ (51,45%), комфортно расположившись впереди остальных типов: вирусы (22,79%), черви (13,22%), ПНП (10,71%) и шпионское ПО (1,83%).

Помимо троянов, Cryptolocker (относится к программам-шифровальщикам, ransomware) был главным героем кибер-атак в течение всего года. По словам Корронса, «Cryptolocker – это лучший выбор для кибер-преступников, т.к. это один из самых простых способов заработка денег. Кроме того, он показал себя очень эффективным, особенно в случае с предприятиями, которые долго не думают при оплате выкупа за восстановление контроля над украденной информацией».

Самые крупные инфекции вызваны троянами

Среди всех типов вредоносных программ, которые привели к крупным заражениям во всем мире, трояны показали самый высокий уровень заражения (60,30%), но их показатель снизился на 5% по сравнению с 2014 годом.

ПНП также оказали достаточно негативное влияние: примерно треть случаев заражений использовали техники обмана для проникновения на ПК своих жертв. Далеко позади в данном «рейтинге» остались такие типы угроз, как рекламное и шпионское ПО (5,19%), черви (2,98%) и вирусы (2,55%).

Китай остается одной из самых зараженных стран мира

Прошлый год был примечателен тем, что показал самые высокие уровни заражений на компьютерах. В географическом плане Китай оказался страной с самым большим уровнем зараженных компьютеров (57,24%), и этот показатель был примерно на 30% выше, чем в 2014 году. Следом расположился Тайвань с уровнем заражения в 49,15%, а на третьем месте – Турция (42,52%). Эти три страны по-прежнему остаются на вершине данного рейтинга заражений, как это было в 2014 и 2013 годах.


В десятку самых зараженных стран мира не вошли следующие страны, которые показали уровень заражения выше среднемировых значений: Колумбия (33,17%), Уругвай (32,98%) и Испания (32,15%).

Скандинавский страны показали самый низкий уровень заражения

В десятке менее зараженных стран мира девять стран представляют Европу, и только Япония оказалась единственной страной с другого континента.

Скандинавские страны заняли все три верхние позиции: Финляндия показала самый низкий уровень заражения 20,32%, далее следуют Норвегия (20,51%) и Швеция (20,88).

2014 год

Gemalto: Обзор утечек и краж данных

Компания Gemalto опубликовала в феврале 2015 года результаты Индекса критичности утечек данных (SafeNet Breach Level Index, BLI), согласно которым более 1500 утечек данных, имевших место в 2014 году, привели к тому, что по всему миру было скомпрометировано порядка одного миллиарда записей данных. Эти данные означают, что количество утечек данных выросло на 49%, а количество украденных или пропавших данных увеличилось на 78% по сравнению с 2013 годом.

Продолжая этот сопоставительный анализ, который был разработан в компании SafeNet, приобретенной компанией Gemalto, Индекс критичности утечки данных (BLI) является глобальной базой данных о происходящих утечках данных, которая предоставляет специалистам в области безопасности методику, позволяющую оценить серьезность утечки и определить ее место среди утечек, информация о которых раскрыта публично. BLI оценивает тяжесть утечки данных по различным параметрам на основании информации, раскрытой об утечке.

Согласно данным в базе BLI, основной мотивацией для киберпреступников в 2014 году было воровство личных данных; этот вид хищения данных составил 54% всех утечек и превысил все остальные категории, включая доступ к финансовой информации. Кроме того, утечки данных, связанные с кражей личной информации, составили одну треть самых серьезных утечек, которые были охарактеризованы BLI либо как катастрофические (9,0-10 баллов по шкале BLI) либо как серьезные (7,0-8,9 балла). Количество нарушений безопасности, включая нарушения периметра безопасности, где скомпрометированные данные были зашифрованы полностью или частично, увеличилось с 1% до 4%.

В 2014 году не только произошел сдвиг в сторону учащения краж личных данных; утечки также стали более серьезными: две трети из 50 самых серьезных утечек согласно баллу BLI имели место в 2014 году. Кроме того, количество утечек данных, включая более 100 млн. скомпрометированных записей данных, по сравнению с 2013 годом выросло вдвое.

С точки зрения отраслей экономики, в 2014 году розничная торговля и финансовые услуги претерпели наиболее заметные изменения по сравнению с другими секторами. В розничной торговле количество утечек данных слегка увеличилось по сравнению с прошлым годом, составив 11% от всех утечек данных 2014 года. Однако если говорить о скомпрометированных записях данных, их доля в розничной торговле выросла до 55% по сравнению с 29% в прошлом году из-за увеличения количества атак, направленных на системы точек продаж. Для сектора финансовых услуг количество утечек данных остается относительно стабильным из года в год, но среднее количество записей, утерянных в результате каждой утечки, увеличилось в десять раз, с 112 000 до 1,1 миллиона.

Согласно BLI, в целом в 2014 году при осуществлении атак, персональные данные оставались основной целью киберпреступников. На долю таких инцидентов пришлось 54%. Чаще всего информацию крадут из предприятий розничной торговли. Хакеры, взломав ИТ-системы торговой сети, получают такие персональные данные, как:

  • данные о платежных картах,
  • информацию, указанную при оформлении дисконтной или клубной карты,
  • данные о месте жительства,
  • номер мобильного телефона и т.д.

В ежегодных обзорах информационной безопасности утверждается, что наиболее часто данные утекают благодаря сотрудникам компаний. Это происходит либо по злому умыслу, либо по неосторожности. Сторонние компании-конкуренты воруют информацию также часто, как хакеры.

Больше всего утечек информации в 2014 году фиксировалось в США. Это объясняется особой щепетильностью, с которой американцы относятся к своим персональным данным. Например, в одном из учреждений здравоохранения в США в марте 2014 года обнаружился инсайдер, который копировал персональные данные пациентов. Жертвами кражи информации могли стать только четыре пациента, но в итоге пострадало несколько тысяч пациентов, обращавшихся в медучреждение на протяжении нескольких лет, пока там работал инсайдер.

Индекс критичности утечек данных (BLI) включает в себя централизованную глобальную базу данных утечек и обеспечивает оценку уровня той или иной утечки данных по различным параметрам, в том числе по типу данных и количеству похищенных записей, источнику утечки, а также по тому, были ли утекшие данные зашифрованы. Каждая утечка получает определенный балл, таким образом, индекс BLI представляет собой сравнительную таблицу утечек, позволяющую отличить мелкие и незначительные инциденты от действительно крупных и значимых утечек. Сведения, вошедшие в базу данных BLI, основаны на публично доступной информации об утечках.

Global Cyber Executive Briefing «Делойт Туш Томацу Лимитед»

В отчете Global Cyber Executive Briefing «Делойт Туш Томацу Лимитед» говорится о том, что кибератакам будут подвержены практически все организации, поэтому топ-менеджерам необходимо как можно глубже вникнуть в суть ключевых угроз, а также определить наиболее уязвимые активы (как правило, это те из них, которые лежат в основе ведения бизнеса).

«Если раньше для получения выгоды злоумышленникам необходимо было физическое присутствие и непосредственный контакт с объектом, в адрес которого направлены противоправные действия, то сейчас все стало намного проще. В наше время, когда технологии развиваются с каждым годом все быстрее, крайне высокую ценность приобрела информация, ― отмечает Сергей Буханов, директор Отдела по управлению рисками организаций в компании «Делойт», СНГ. ― Подавляющее большинство наиболее «прибыльных» для злоумышленников преступлений сегодня совершаются удаленно, о чем красноречиво свидетельствуют новостные ленты последних месяцев: хищения денежных средств со счетов сотен клиентов популярной сети платежных терминалов; хищение персональных данных о платежных картах сотен тысяч граждан, которые осуществляли покупки билетов через сайт одной из крупнейших транспортных компаний мира, что вынудило некоторые банки блокировать или ограничивать функциональные возможности пластиковых карт нескольких тысяч своих клиентов. Помимо этого мы зачастую узнаем о разоблачении сотрудников банков, воспользовавшихся избыточными привилегиями для незаконного перевода средств клиентов на личные счета либо выдачи банковской гарантии посредством неавторизованного использования системы SWIFT. Учитывая все это, все больше руководителей различных компаний во всем мире приходят к пониманию существенности возникающих угроз и уделяют повышенное внимание вопросам информационной безопасности при использовании информационных технологий. Также важно отметить, что за прошедшие несколько лет было усовершенствованно законодательство Российской Федерации в областях, связанных с вопросами обеспечения безопасности использования информационных технологий и защиты персональных данных. Так, опубликованы новые стандарты Центрального банка РФ по обеспечению информационной безопасности банковских систем; обсуждаются вопросы усиления ответственности за преступления в банковской сфере, совершаемые в целях хищения денежных средств с использованием высоких технологий».

Согласно выводам отчета обеспечение надежности начинается с определения слабых сторон прикладных программ и усиления цифровой инфраструктуры. Соответственно, организации, которые хотят проявлять бдительность, должны быть готовы как можно раньше обнаружить любую атаку. Быстрая мобилизация включает в себя раннее определение направления действия угрозы, причины атаки и то, как она проявится. Быстрое выявление атаки может стать для организации сигналом к действию и таким образом помочь локализовать и устранить угрозу.

Основные выводы отчета, включая угрозы для компаний по отраслям:

  • Высокие технологии: такие компании постоянно являются целью атак, которые несут в себе угрозы крупнейших потерь интеллектуальной собственности, а также наиболее подвержены хактивизму. Угрозы также используются как средство атаки и заражения других компаний.
  • Онлайн-медиа: такие компании наиболее подвержены кибератакам с целью нанесения ущерба их репутации. Угрозы используются как средство атаки и заражения других компаний.
  • Телекоммуникации: данные компании сталкиваются с возросшим уровнем технически сложных атак, в том числе со стороны правительственных агентств, использующих целенаправленные устойчивые угрозы для установления скрытой слежки на длительный период. Другой существенной угрозой, присущей только сектору телекоммуникаций, является атака на арендуемое техническое оборудование, такое как домашние маршрутизаторы интернет-провайдеров.
  • Электронная коммерция: в данном случае имеет место преимущественно взлом базы данных (т. е. потеря данных клиентов, включая их имена, фактические адреса и номера телефонов). Зачастую атакуются такие уязвимые области, как системы проведения онлайн-платежей. Наиболее распространенным типом атаки является вызов ответа системы «Отказ в обслуживании». В частности, он используется хактивистами, которые хотят нарушить работу организации наиболее заметным способом.
  • Страхование: компании этого сектора, как правило, работают с большим объемом чувствительных данных, которые необходимо защищать. Частота кибератак в этом секторе растет в геометрической прогрессии в связи с тем, что страховые компании переходят на цифровые каналы обслуживания. Атаки становятся все более сложными технически, комбинируя усовершенствованное вредоносное программное обеспечение и другие технологии, такие как психологическая атака. В то время как текущие атаки представляются краткосрочными, в отчете прогнозируется возможный рост долгосрочных атак, пока не привлекающих большого внимания.
  • Обрабатывающая промышленность: в данном секторе наблюдается рост числа атак со стороны хакеров и киберпреступников, а также корпоративный шпионаж. Типы кибератак на компании обрабатывающей промышленности варьируются от фишинга до использования усовершенствованного вредоносного программного обеспечения и нацелены не только на IT-системы, но и на связанные с ними системы промышленного контроля.
  • Ретейл: в этом секторе данные кредитных карт фактически являются для хакеров и преступников новой валютой. В сфере ретейла возрастают угрозы утечки инсайдерской информации, что способствует формированию нового типа преступников. Их целью становится кража информации, в особенности ценных данных о держателях карты, которыми обмениваются потребители и ретейлеры.

2013 год

Zurich: 2013 год стал самым удачным для кибер-преступников

740 млн конфиденциальных файлов было украдено или незаконно просмотрено кибер-преступниками в 2013 году. 2013 год стал худшим по этому показателю за все время. Такие данные приводит исследование, подготовленное страховой компанией Zurich insurance Group совместно с аналитическим агентством Atlantic Council.

В исследовании говорится, что порядка 2,5 миллиарда человек - почти треть всего населения земли - регулярно пользуются Интернетом, и в среднем на каждого человека приходится по 6 гаджетов, подключенных к мировой сети. Каждую минуту отправляются 204 млн. электронных писем, передаются 640 терабайтов данных и публикуются 100 000 твитов.

При таком объеме циркуляции данных конфиденциальная информация находится в весьма уязвимом положении, которое может стать причиной серьезных экономических потрясений. На сегодняшний момент в мире нет достаточных технологий, способных защитить частных лиц и организаций от всех кибер-рисков. Если компания не способна смягчить эти сложные и взаимосвязанные риски, то возрастает вероятность внезапного потрясения, сопоставимого по масштабу с крахом Lehman Brothers на ипотечном рынке в 2008 году .

Проведенное исследование выделяет четыре источника кибер-рисков - это преступники, хакеры, шпионы и военные.

Преступники обычно используют похищенную информацию с целью ее продажи. Чаще других от них страдают организации, работающие с персональными данными своих клиентов. Хакеры действуют масштабнее – они нарушают работу сетей компаний или похищают информацию, которая может скомпрометировать организацию или человека.

Третьей традиционной кибер-угрозой является шпионаж, целью которого становятся исследования компаний, новейшие разработки, стратегии переговоров и бизнес-планы. Ярким примером может служить история прошлого года, когда китайские хакеры похитили чертежи нового здания разведывательного управления Австралии. Четвертая группа - военные. Они специализируются на обрушении целых сетей и систем, включая инфраструктурные и индустриальные. Такое, правда, случается довольно редко.

Перечень этих рисков уже завтра может дополниться новыми – вторжением в облачные технологии, в систему автомобилей «без водителей», медицинские аппараты и интеллектуальные энергосистемы (smart grid). Все более тесная связь Интернета с реальной экономикой и обществом может привести к широкомасштабному потрясению, даже более серьезному, чем готовы признать риск-менеджеры и интернет-специалисты. Подвергнуться атаке могут банки, системы водоснабжения, автомобили, медицинские устройства, плотины гидроэлектростанций.

Выходом в этой ситуации может стать создание альтернативных сетей на случай кибер-атак, а также повышенное внимание топ-менеджмента компаний к защите информации. На сегодняшний день в подавляющем большинстве компании не фиксируют факты кибер-атак, и зачастую даже не знают, что их конфиденциальные данные уже стали достоянием кибер-преступников.

При существующей динамике нарастания кибер-угроз страхование от кибер-рисков в самом ближайшем будущем может перейти из категории экзотики в категорию стандартных страховых опций, а область деятельности риск-инженеров пополнится мониторингом систем эффективной электронной информации.

  • Угрозы для финансов. В 2013 году значительное распространение по всему миру получило новое вредоносное ПО для взлома систем онлайн-банкинга; все более частыми стали атаки с использованием программ-вымогателей (достаточно вспомнить печально известную программу Cryptolocker, которая шифрует данные пользователя, а потом предлагает заплатить за расшифровку) (по данным отчёта Trend Micro Incorporated, посвященого ландшафту киберугроз в 2013 году «Cashing in on Digital Information» («Монетизация цифровой информации»)
  • Мобильные угрозы. Угрозы для мобильных платформ значительно эволюционировали в плане количества и уровня сложности. Это связано с тем, что все больше хакерских программ, изначально создававшихся для ПК, были «переориентированы» на мобильные платформы. К концу 2013 года общее количество обнаруженных вредоносных и опасных приложений для Android достигло отметки в 1,4 млн. Пользователи продукции Apple также не могут считать себя стопроцентно защищенными от этих опасностей. Киберпреступники стремятся «освоить» эту широкую, а потому привлекательную аудиторию потенциальных жертв. Неудивительно, что в 2013 году число фишинговых атак на пользователей платформ Apple выросло.
  • Защита персональной информации. Учетные записи пользователей в социальных сетях и облачных хранилищах данных становятся все более привлекательной мишенью для хакеров. Агрессивные фишинговые атаки, приуроченные к выходу разных знаковых платформ, например PS4 and Xbox One, поставили безопасность данных миллионов пользователей под угрозу.
  • Атаки на инфраструктуру. Резонансные кибератаки в Южной Корее показали, что сегодня хакерам «по плечу» организовать масштабные действия против критически важных элементов инфраструктуры.
  • Неподдерживаемое ПО. Одним из ключевых вопросов 2013 года стали опасения, связанные с прекращением поддержки некоторых версий Java и ОС Windows XP. Для последней выпуск обновлений и исправлений будет прекращен в апреле 2014 года.

Кибератаки на IT-корпорации и СМИ

2013 год запомнился целым рядом знаковых событий, одним из которых стала серия кибератак на ведущие СМИ и IT-корпорации, расположенные преимущественно в США – в разное время атакам подверглись издания New York Times, Wall Street Journal, Washington Post, а также Twitter, Facebook, Evernote, Apple и Microsoft. Эти атаки в той или иной степени привели к утечке персональных данных работников компаний и пользователей сервисов.

Так, итогом кибератаки на Adobe Systems стала компрометация десятков миллионов аккаунтов клиентов компании, а также утечка исходных кодов таких распространенных продуктов, как Adobe Acrobat, ColdFusion и Photoshop.

Социальные сети под ударом

Впрочем, активность хакеров была направлена не только на IT-компании, но и на рядовых пользователей. Так, в феврале эксперты ESET обнаружили вредоносный код PokerAgent, который заражал игроков в Facebook-приложение Zynga Poker. Целью хакеров были личные данные пользователей, а также информация о привязанных к их аккаунтам банковских картах. Для получения искомых данных был создан ботнет из нескольких сотен зараженных устройств, выполнявших инструкции командного центра. В итоге PokerAgent похитил данные более 16 000 аккаунтов Facebook.

Еще одна примечательная вредоносная программа, угрожающая завсегдатаям социальных сетей, была направлена исключительно на российских пользователей – троян Win32/Bicololo.A распространялся с помощью фишинговых сообщений под видом ссылок на безобидные графические файлы. При активации подобной ссылки вместо изображения загружалось вредоносное ПО.

Попав на компьютер, Bicololo модифицировал системные файлы, чтобы при попытке пользователя зайти на сайт Вконтакте, Одноклассники или проверить почту на Mail.ru он бы вводил свои данные на фальшивой странице, принадлежащей злоумышленникам.

Фишинговые атаки на интернет-мессенджеры

В 2013 году под ударом находились не только пользователи соцсетей, но и поклонники общения через интернет-мессенджеры. Так, обнаруженная экспертами ESET масштабная спам-кампания в Skype, Gtalk, QIP и ряде других мессенджеров подвергла опасности более полумиллиона пользователей во всем мире (включая 40 000 пользователей из России). При помощи фишинговых сообщений преступники заражали систему вредоносным ПО, получая доступ к персональным и аутентификационным данным жертв.

Другой крупной атакой стало распространение шпионского ПО среди польских пользователей. Аналитики вирусной лаборатории ESET в Кракове зафиксировали атаку на пользователей Skype, MSN Messenger, Jabber, GTalk, ICQ и др мессенджеров. Программа Spy.Agent собирала информацию о посещаемых сайтах, установленных приложениях, паролях к Wi-Fi, а также записывала вводимые с клавиатуры сообщения и даже прослушивала звонки.

Поимка киберпреступников

Но действия киберпреступников не остались без ответа – так, благодаря активности компании Microsoft, в 2013 году был ликвидирован ботнет Citadel. При поддержке правоохранительных органов, провайдеров и спецслужб корпорация провела операцию по нарушению работы одного из крупнейших в мире ботнетов. Ущерб от его активности на тот момент превышал полмиллиарда долларов.

Кроме того, не повезло и Уильямсу Ульбрихту, основателю сайта для торговли запрещенными препаратами Silk Road – он был арестован в США. На другом конце света, в России, был задержан и «коллега» Ульбрихта – хакер, известный под ником Paunch. Он прославился как владелец известного набора взломщиков-эксплойтов Blackhole, который активно использовался киберпреступниками всего мира для скрытого проникновения в системы пользователей.

Угрозы для TOR

Тренд на анонимность киберпреступники подхватили еще в середине года – именно тогда экспертами ESET был обнаружен ботнет Atrax, технически самый сложный и интересный ботнет для анонимной сети TOR. Поскольку передача данных в этой сети – процесс небыстрый, то ботнет не использовался для кражи больших объемов данных. Вместо этого он собирал информацию, вводимую в формы авторизации на различных порталах, а также загружал на ПК дополнительные вредоносные файлы. Atrax попадает на ПК через специальную вредоносную страницу, замаскированную под сайт службы поддержки клиентов PayPal.

Обнаружить и уничтожить командный центр этого ботнета – непростая задача, поскольку в данном случае анонимность TOR защищает не пользователей, а самих киберпреступников. Можно предположить, что с ростом миграции в «скрытый интернет» мы увидим новые, технологически еще более совершенные угрозы для TOR.

Мобильные угрозы

Еще одной, пока сравнительно экзотичной разновидностью ботнетов, стали ботнеты для мобильных устройств. Впервые зафиксированные в 2012 году, сегодня большая часть вредоносных программ для Android содержит функционал по объединению зараженных смартфонов и планшетов в ботнеты.

Если говорить о мобильных угрозах в целом, то, по сравнению с аналогичным периодом прошлого года, количество новых семейств вредоносных программ для Android (которые по-прежнему составляют до 99% всех мобильных угроз) в 2013 году выросло на 43,6%, причем речь не только о росте активности известных угроз, но о появлении новых категорий ПО.

  • Загрузчик: пытается загрузить из интернета файлы других вредоносных программ и установить их на устройство.
  • Дроппер: устанавливает другие угрозы на устройство при запуске; угрозы находятся в теле самого дроппера.
  • Кликер: предназначен для генерации трафика на сайты через искусственное увеличение количества кликов.
  • Банковское вредоносное ПО: специализируется на краже конфиденциальной информации пользователя, которая используется для проведения операций, связанных с онлайн-банкингом.

Одной из самых активных мобильных угроз стал SMS-троян, детектируемый продуктами ESET как TrojanSMS.Agent (его модификации демонстрируют особенно высокую активность в России и странах бывшего СССР). В 2011 году была обнаружена 31 модификация этой программы, а в 2013 году их зафиксировано уже 324. Такие трояны могут тайком от пользователя отправлять сообщения на платные номера, опустошая мобильный счет.

За 2013 год общее количество вредоносных программ для платформы Android выросло на 63%. Наибольшие темпы роста Android-угроз продемонстрировали Иран, Китай и Россия.

Аналогичные темпы роста сохранятся и в 2014 году; новые мобильные угрозы продемонстрируют не только количественный, но и качественный рост – в частности, будут все более активно использовать уязвимости мобильных платформ и их компонентов.

Программы-вымогатели

Активность вымогателей в 2013 году тоже демонстрировала значительный рост – так, эксперты ESET детектировали в России стремительный рост активности трояна-шифровальщика FileCoder, который требует выкуп за расшифровку личных файлов пользователя. По сравнению со средним уровнем, зафиксированным в первой половине 2013 года, активность FileCoder возросла более чем на 200%. По данным ESET, на российских пользователей пришлось более 44% обнаружений этой программы.

Другой распространенный в 2013 шифровальщик, CryptoLocker, в качестве психологической атаки использовал обратный отсчет – зараженному пользователю давалось всего 70 часов на то, чтобы заплатить выкуп и получить доступ к зашифрованным личным данным. В противном случае он прощался с ними навсегда.

Обнаруженный экспертами ESET троян Nymaim также может блокировать компьютер пользователя с целью получения выкупа. Раньше заражение этим ПО осуществлялось при помощи уже упомянутого комплекта эксплойтов BlackHole, однако позднее киберпреступники переориентировались на распространение через поиск Google. Кликнув на вредоносную ссылку в поисковой выдаче, пользователь вместо искомой информации инициировал загрузку вредоносного архива,

В 2014 году также не стоит ждать снижения активности вымогателей – в частности, появление новых модификаций подстегнет популярность виртуальной валюты Bitcoin. Благодаря ее анонимности и высокому курсу, киберпреступники все чаще будут требовать выкуп именно в биткоинах. Впрочем, некоторые киберпреступники решили не вымогать биткоины у пользователей, а красть их напрямую – так, на кражу электронной валюты теперь нацелена новая модификация известного банковского трояна Hesperbot, широко распространенного в Европе. Хищение реализуется через получение доступа к электронному кошельку, содержащему секретные ключи.

2012 год

WatchGuard: Поставщики облачных сервисов пострадают от масштабных сетевых атак

2012 год для сферы информационной безопасности будет непростым и в то же время интересным с точки зрения развития технологий. Представляем новый прогноз WatchGuard на 2012-й с точки зрения угроз в области сетевой и информационной безопасности[7].

В 2012-м ожидается масштабная волна организованных сетевых атак на облачные сервисы и взлом крупных поставщиков облачных технологий. В то же время защита сетевых активов поставщиков облачных услуг выйдет на новый уровень развития.

Почему облака являются чрезвычайно интересными мишенями для взлома?

  • Множество клиентов хранят свои конфиденциальные данные в облаках, где они легко могут быть доступны для злоумышленников.
  • При разработке облачных сервисов используются сложные информационные технологии, которые могут иметь серьезные уязвимости.
  • Большинство поставщиков облачных сервисов используют сложные, изготовленные на заказ Web-приложения и технологии виртуализации, которые при некорректных настройках могут представлять значительную угрозу безопасности данных в облаках.

Для организации атак на корпоративные сети злоумышленники будут использовать новые технологии и вредоносное программное обеспечение APT

В 2012 г. будет активно развиваться сложное и стойкое к обнаружению вредоносное ПО — Advanced Persistent Threats (APT).

В 2011-м от APT-угроз пострадали правительства многих стран, системы управления производственным процессом и крупные мировые компании. С помощью этого ПО были взломаны RSA SecureID, `Операция ShadyRat`. Кроме того, появился преемник сетевого червя Stuxnet — червь Duqu.

Ожидается, что в нынешнем году вредоносное ПО APT будет усовершенствовано и APT-угрозы будут нацелены не только на корпоративный сектор, но и на рядовых пользователей.

Ожидаются крупные утечки конфиденциальных данных

В связи с появлением сложного вредоносного ПО APT, новых авторов вредоносного ПО и групп профессиональных хакеров, таких как Anonymous и LulzSec, в 2011-м произошло значительно больше инцидентов, связанных с крупными сетевыми атаками, чем в предыдущие годы.

Трудно сказать точно, что в большей мере повлияло на столь значительный рост количества сетевых атак. Возможно, злоумышленники стали более организованными, появилось немало профессиональных групп хакеров или были введены новые нормативные акты, требующие, чтобы компании сообщали обо всех произошедших атаках и утечках данных. В любом случае ожидается, что тенденция к увеличению числа утечек сохранится и в 2012-м.

Возрастет спрос на решения по обеспечению виртуальной безопасности

В 2012 г. значительно повысится интерес к решениям по обеспечению безопасности систем виртуализации среди небольших и средних компаний.

До недавнего времени многие ИТ-специалисты, работающие в малом и среднем бизнесе, до конца не осознавали, насколько серьезным может быть риск потери данных при недостаточном внимании к вопросам правильного внедрения виртуальных сред.

Теперь ситуация изменится: в новом году вырастет спрос не только на технологии виртуализации, но и на средства обеспечения информационной безопасности виртуальных сред.

Онлайновые магазины мобильных приложений для смартфонов и коммуникаторов `помогут` быстрому распространению мобильного вредоносного ПО

Злоумышленники по-прежнему будут концентрировать внимание на мобильных устройствах, а точнее на онлайн-магазинах мобильного программного обеспечения. Чтобы избежать угрозы заражения мобильным вредоносным ПО, необходимо проявить определенную осторожность при загрузке мобильных приложений из онлайновых магазинов, а также обязательно учитывать репутацию продавца и разработчика приложения.

Проблема, связанная с BYOD, приведет к большему количеству утечек данных

Использование сотрудниками личных мобильных устройств в рабочих сетях компаний (Bring Your Own Device, BYOD) может привести к серьезным утечкам данных.

Специалисты, выступающие за то, чтобы разрешать сотрудникам использовать свои мобильные устройства в корпоративной сети, говорят, что BYOD поможет компаниям существенно уменьшить затраты, связанные с ИТ-сектором, повысить производительность труда, уменьшить нагрузку на службы технической поддержки и просто сделать работу персонала более удобной и комфортной.

Но кроме очевидных выгод, которые приносит BYOD, стоит учитывать, что при этом есть риск утечки важной информации и возникновения проблем, связанных с централизованным управлением этими устройствами.

Сеть Facebook останется главной целью для злоумышленников (сетевые атаки, взломы с использованием методов социальной инженерии, вредоносное программное обеспечение)

В 2011 г. сеть Facebook стала самым крупным источником вредоносных ссылок, обогнавшим по популярности такую угрозу, как вредоносные вложения в электронной почте.

В 2012 г. значительно возрастет количество сетевых атак как на отдельных пользователей Facebook, так и на сеть в целом. В связи с этим ожидается, что в нынешнем году появится большое количество обновлений системы безопасности Facebook и будут внедрены новые эффективные решения, обеспечивающие сетевую защиту.

Злоумышленники начнут организовывать атаки, направленные на физическое оборудование сетевых инфраструктур

В этом году произойдет по крайней мере одна крупная сетевая атака, направленная на то, чтобы вывести из строя физическое оборудование сетевой инфраструктуры.

Теоретически возможность проведения подобных атак, например, на системы энергоснабжения была известна давно, но никто не слышал об их реализации до тех пор, пока не произошёл взлом с использованием сетевого червя Stuxnet. Этот червь может заражать оборудование SCADA и вносить в систему изменения, напрямую влияющие на работу физического оборудования.

На данный момент SCADA-системы представляют основную цель исследований как для злоумышленников, так и для специалистов служб безопасности, поскольку современное вредоносное ПО имеет широчайший функционал и может эффективно заражать системы управления производственным процессом.

Злоумышленники встроят во вредоносное ПО функции определения местоположения пользователей, что позволит более точно управлять атаками

Геолокация является одной из основных тем обсуждения среди специалистов по безопасности, поскольку подобный функционал программного обеспечения потенциально нарушает право человека на неприкосновенность частной жизни. Такая информация может использоваться для слежения за людьми и их привычками.

В 2012 г. появится множество вредоносных программ с возможностями геолокации, благодаря которым атаки станут более целенаправленными. Простые возможности геолокации во вредоносных программах используются уже сейчас, позволяя злоумышленникам выбирать цели исходя из местоположения пользователей и выбирая, таким образом, наиболее действенные методы атаки для разных регионов мира. Ожидается, что в нынешнем году злоумышленники будут активнее использовать возможности геолокации, чтобы усилить вредоносное воздействие сетевых атак.

Стандарт HTML5 даст злоумышленникам множество возможностей для взлома Web-сайтов

На протяжении уже многих лет Интернет представляет собой поле битвы между хакерами и пользователями. В 2011 г. большинство сетевых атак были нацелены на Web-приложения, в результате чего злоумышленники смогли украсть терабайты данных.

Использование динамических Web-технологий, таких как Web 2.0 и HTML 5, является одним из основных факторов увеличения количества атак на Web-приложения. Динамические Web-технологии чрезвычайно мощны и, несомненно, очень полезны, но они имеют и ряд недостатков, связанных с уязвимостью в системе безопасности. Их используют почти все крупные Web-сайты, а также крупнейшие поставщики облачных технологий. Однако если при разработке Web-приложений неправильно использовать Web-технологии и методики защищенного кодирования, злоумышленники получат множество возможностей для взлома и обхода защиты корпоративных сетей. В 2012 г. число сетевых атак на Web-приложения возрастет в десятки раз.

Symantec: Киберконфликты станут нормой

Корпорация Symantec опубликовала в декабре 2012 года прогноз тенденций в мире кибербезопасности на 2013 год. Согласно данным экспертов корпорации, в 2013 году атаки станут агрессивнее и будут проводиться не только с целью заработка или шпионажа, но и с целью демонстрации силы атакующих. Кроме того, увеличится количество угроз для пользователей мобильных и облачных технологий, а также для аудитории социальных сетей.

Киберконфликты станут нормой

Начиная с 2013 года, конфликты между государствами, организациями и отдельными лицами в значительной степени перейдут в киберпространство. Онлайн-шпионаж отличается высокой успешностью при крайне низкой степени доказуемости. Правительства, как и различные организованные группы лиц, продолжат использовать кибератаки, чтобы повредить или уничтожить конфиденциальную информацию или финансовые ресурсы своих противников. В 2013 году мы станем свидетелями виртуального «потрясания оружием», когда правительства, организации или даже группы лиц будут использовать кибератаки, с целью продемонстрировать свою мощь или заявить о себе.

Эксперты Symantec ожидают также роста числа направленных атак, целью которых является отдельное лицо или неправительственная организация, отстаивающая, например, определенные политические взгляды или являющаяся представителем меньшинства в том или ином конфликте. В последнее время мы встречаем такого рода атаки в ситуациях, когда поведение отдельных людей или организаций становится предметом недовольства той или иной группы «хактивистов».

Программы-вымогатели приходят на смену лжеантивирусам

В то время, как распространенность лжеантивирусов медленно сходит на нет, на просторах киберпространства появляются еще более жесткие типы угроз. Во всем мире набирают популярность, так называемые, ransomware (от англ. ransom – выкуп), программы-вымогатели, довольно популярные в России.

Несмотря на то, что такая «бизнес-модель» уже использовалась и ранее, она страдала теми же недостатками, что и настоящее похищение: отсутствовал удобный способ забирать деньги. Но благодаря развитию систем онлайн-платежей злоумышленники решили эту проблему.

Блокираторы выйдут за рамки простого вымогательства и будут направлено на устрашение, то есть кибер-буллинг (кибер-нападение с целью нанесения психологического вреда). В следующем году преступники выйдут на новый уровень, воздействуя на эмоции жертв, используя способы, после которых станет гораздо сложнее восстановить систему.

Мобильная реклама усложнит ситуацию

Мобильное рекламное ПО (madware, mobile advertising software) – это мелочь, которая может не только сильно помешать процессу использования устройства, но и выдать злоумышленникам детали вашего местоположения, контактные данные, а также идентификационные данные устройства. Программа типа madware, незаметно попадающая на устройство при установке стороннего приложения, часто начинает заваливать пользователя всплывающими окнами, создает ярлыки, меняет настройки браузера и собирает его личные данные. Только за последние девять месяцев число приложений, включающих в себя наиболее агрессивные типы madware-программ, увеличилось на 210%. Данные о местонахождении и характеристиках устройства могут быть законным образом приобретены агрегаторами интернет-рекламы, чтобы предоставлять более релевантную рекламу. Эксперты Symantec ожидают увидеть рост использования программ такого типа в связи с желанием компаний увеличивать доходы за счет мобильной рекламы. Сюда входит также более агрессивный и потенциально вредоносный метод монетизации «бесплатных» мобильных приложений.

Монетизация социальных сетей создаст новые опасности

Специалисты ИБ отмечают, что пользователи с большим доверием относятся к социальным сетям, начиная от обмена личными данными и заканчивая покупкой игровой валюты и виртуальных подарков друзьям. По мере того, как с целью повышения уровня монетизации, социальные сети дают пользователям возможность дарить друг другу настоящие подарки, рост денежного оборота в социальных сетях дает злоумышленникам новые возможности для осуществления атак.

Эксперты ИБ Symantec ожидают роста числа атак, направленных на кражу платежных данных в социальных сетях и обман пользователей с целью заставить их сообщить эти и другие данные поддельным соцсетям. Сюда могут входить фальшивые извещения о подарках и электронные письма, требующие от пользователя указать свой домашний адрес и иную личную информацию. И хотя предоставление нефинансовой информации может показаться делом безобидным, злоумышленники торгуют и обмениваются ей, объединяя данные с уже имеющимися, что зачастую позволяет им получать доступ к по-настоящему ценной информации.

Злоумышленники последуют за пользователями к мобильным и облачным технологиям

Злоумышленники пойдут туда же, куда пользователи, и на данный момент это облачные и мобильные технологии. Именно облачные и мобильные платформы станут целью злоумышленников в 2013 году. Стремительный рост числа вредоносных программ для ОС Android в 2012 году подкрепляет этот прогноз.

Кроме того, включение в корпоративные сети незащищенных устройств, собирающих информацию, которая после этого оседает на других облачных носителях, значительно повышает риск утечки или целенаправленного захвата данных. Установка пользователями всё новых приложений, в конечном счете, неизбежно приводит к заражению.

Некоторые вредоносные мобильные программы дублируют функционал уже ранее существовавших угроз, например тех, что крадут информацию с устройств. Однако иногда появляется и что-то новое. Например, во времена dial-up модемов существовали программы, которые звонили на 900 номеров, принадлежащих хакерам. Сегодня вредоносные программы отправляют платные смс-сообщения, и вырученные средства достаются злоумышленникам. В 2013 году можно будет наблюдать дальнейшее развитие мобильных технологий, что создаст новые возможности для киберприступников.

Набирающая популярность технология электронных кошельков eWallet неизбежно станет еще одной платформой, которую злоумышленники попытаются использовать в своих целях. А по мере повсеместного внедрения технологий мобильных платежей, мобильные устройства станут представлять еще большую ценность. По аналогии с угрозой Firesheep для перехвата чужих Wi-Fi-сессий, стоит ожидать появления программ, которые будут перехватывать платежную информацию пользователей. Некоторые платежные системы широко популярны среди технически неискушенных пользователей и могут иметь уязвимости, потенциально ведущие к краже информации.

2011 год

Увеличение числа утечек данных, потери устройств и как позаботиться о будущем

Персональные данные примерно 1,1 миллиона человек - средний результат каждой успешной атаки в 2011 году. Тут наблюдается резкий рост в сравнении с предыдущими годами. Такие инциденты оказались серьёзной угрозой, в 2011 году были похищены данные о 187 миллионах человек. Однако наиболее частая причина утечек данных - кража или утеря ноутбука или другого носителя данных, например, смартфона, флеш-диска или носителя с резервной копией. В результате подобных утечек были раскрыты данные около 18,5 миллионов человек.

По мере того как продажи планшетных компьютеров и смартфонов продолжают обгонять продажи ПК, с каждым годом они будут нести всё больше конфиденциальной информации. Сотрудники приносят собственные смартфоны и планшеты и подключают их к корпоративным системам ещё до того, как организация успела внедрить средства защиты и управления данными устройствами. Это может привести к увеличению числа утечек данных, поскольку при отсутствии должной защиты утеря мобильных устройств представляет риск для хранимой на них информации. Недавнее исследование компании Symantec показывает, что 50% потерянных телефонов не будут возвращены владельцам и в 96% случаев (в том числе и на возвращённых) произойдет утечка данных.

Мобильные угрозы подвергают удару бизнес и индивидуальных пользователей

В 2011 году число мобильных уязвимостей выросло на 93%. В то же время замечен рост угроз для системы Android. С ростом числа уязвимостей для мобильных устройств злоумышленники не только приспосабливают существующие вредоносные программы для мобильных устройств, но и создают специализированное вредоносное ПО, использующее все возможности мобильной платформы. В 2011 году мобильные вирусы впервые представили реальную угрозу для бизнеса и индивидуальных пользователей. Эти угрозы предназначены для сбора данных, передачи контента и отслеживания пользователей.

2011: Рейтинг стран по уровню безопасности интернет-серфинга

Эксперты «Лаборатории Касперского» ранее подготовили традиционный годовой отчет по киберугрозам - Kaspersky Security Bulletin 2011. Среди самых показательных цифр – степень риска заражения, которому подвергаются компьютеры при веб-серфинге в разных странах мира, указывалось в отчете.

Аналитики составили рейтинг самых опасных для интернет-серфинга государств, лидером которого по итогам 2011 года стала Россия: более 55% уникальных интернет-пользователей в стране подвергались веб-атакам.

Рейтинг самых опасных для интернет-серфинга стран 

Источник: «Лаборатория Касперского», 2012

Юрий Наместников, автор статистического отчета, отмечал, что статистика столкновения с киберугрозами при веб-серфинге «показывает уровень агрессивности среды, в которой работает компьютер». В 2011 году этот показатель вырос в целом по миру на 2% и составил 32,3%.

Эксперты отмечали, что в 2011 году произошли значительные изменения в тройке лидеров. С третьего на первое место поднялась Россия (+2,2%). Второе место осталось за Оманом с показателем 54,8%. На третье место с пятой позиции поднялись США с 50,1%. За год значительно снизился уровень риска при веб-серфинге в Ираке — с 61,8% до 45,4%. Эта страна опустилась с первой строчки рейтинга на восьмую.

После третьего места в «десятке» наиболее опасных для интернет-серфинга стран распределились следующим образом: Армения, Белоруссия, Азербайджан, Казахстан, Ирак, Украина, Гвинея-Бисау.

Все страны, попавшие в рейтинг, «Лаборатория Касперского» ранжирует по степени риска заражения при серфинге в интернете. К «Группе повышенного риска» с результатом 41-60% относятся 22 страны во главе с Россией. В «Группу риска» с показателями 21-40% попали 118 стран, в том числе Италия (38,9%), ОАЭ (38,2%), Франция (37%).

К «Группе самых безопасных при серфинге в интернете стран» (0 - 20%) можно причислить 9 стран: Эфиопия (20,5%), Гаити (20,2%), Дания (19,9%), Нигер (19,9%), Того (19,6%), Бурунди (18,6%), Зимбабве (18,6%), Бенин (18,0%), Мьянма (17,8%). Германия, Япония, Люксембург, Австрия и Норвегия, чьи показатели в 2010 году варьировали от 19% до 20%, перешли в группу риска.

За исключением Дании, группа безопасных стран почти полностью состоит из новичков рейтинга – развивающихся стран Африки и Азии. Их попадание в эту группу объяснялось характером распространения файлов в этих странах: интернет там пока еще не очень хорошо развит, и для обмена файлами активно используются различные съемные носители.

Топ-20 стран по количеству размещенного на ресурсах вредоносного ПО

По данным «Лаборатории Касперского», в 2011 году для проведения 946 393 693 атак через интернет злоумышленники воспользовались 4 073 646 доменами. Серверы, на которых был размещен вредоносный код, были обнаружены в 198 странах мира. 86,4% всех зафиксированных в Сети вредоносных хостингов были размещены в интернет-пространстве двадцати стран. Из них на Россию пришлось 14,6% всех атак: это второе место после США. Далее по числу исходящих атак следуют Нидерланды, Германия, Украина, Китай, Великобритания и другие.


Источник: «Лаборатория Касперского», 2012

Исследователи отмечали, что несмотря на то, что первые две позиции тогда занимали те же страны, что и год назад, активный рост доли вредоносных хостингов, который фиксировался в этих странах в предыдущие годы, прекратился. Этому способствовали активные действия правоохранительных органов по закрытию ботнетов. Однако несмотря на то что процент вредоносных хостингов в этих странах немного снизился, он все еще остается на очень высоком уровне, говорили эксперты.

Рейтинг стран по готовности к кибер угрозам

Наиболее подготовленными к кибератакам странами в мире названы Швеция, Финляндия и Израиль. Об этом говорилось в исследовании Intel Security (McAfee) Security & Defence Agenda (SDA).

В отечете приводится рейтинг 23 стран с точки зрения их готовности отражать кибер угрозы, максимальная оценка рейтинга – 5 звезд – в этом году не досталась никому. На втором месте после лидеров оказались восемь стран, включая США, Великобританию, Францию и Германию, они получили 4 звезды.

Оценка в 3,5 звезды досталась Австралии, Канаде, Японии и Австрии, 3 звезды получили Италия, Китай, Польша и Россия. По 2,5 звезды – Бразилия, Индия и Румыния. Мексика оказалась последней – только 2 звезды.

Топ-23 мировых стран по уровню кибер безопасности

Источник: McAfee, январь 2012 года 

По словам Филлиса Шнека (Phyllis Schneck), технического директора McAfee, «зло гораздо проворнее добра», и именно поэтому высшую оценку не удалось получить ни одной из стран.

Что касается России, то большинству экспертов очень трудно абстрагироваться от ёё репутации «страны, которая занимается кибер шпионажем». В октябре 2011 года чиновники контр террористического комитета США, выступая перед Конгрессом, заявили, что Россия представляет собой «перманентную угрозу экономической безопасности США». По выражению одного из экспертов, «Россия это страна головорезов с великими хакерами».

Владимир Чижов, постоянный представитель России при Евросоюзе, тогда выступил с критикой этой позиции. «Этот тип угроз может успешно осуществляться только на базе международной кооперации», - заявил он.

Между тем, в отчете говорилось, что некоторые усилия России по регулированию сферы кибер безопасности имеют позитивный эффект. Это новые законодательные акты в защиту персональных данных, развитии цифровой подписи, а также изменение процедуры регистрации доменных имен (раньше она осуществлялась без какой бы то ни было верификации).

Лучше платить, чем защищать?

Половина финансовых организаций в России возмещает своим клиентам потери, понесенные ими в результате интернет-мошенничества, без проведения расследования. 31% компаний, готовы рассматривать возможность компенсации после внутреннего расследования инцидента, а 8% для этого требуется внешнее расследование. Такие данные были получены в ходе специального исследования об отношении коммерческих компаний к киберугрозам, проведенного «Лабораторией Касперского» совместно с независимым агентством B2B International в 2014 году.

Как выяснили эксперты, многие организации, работающие с онлайн-платежами, готовы допустить неизбежные денежные риски лишь бы не инвестировать в специализированную ИТ-защиту. Так, четверть компаний все еще уверена, что спровоцированные киберугрозами расходы меньше, чем затраты на защитные решения. Удивительно, что среди финансовых организаций, имеющих самое непосредственное отношение к онлайн-операциям с деньгами, доля придерживающихся той же позиции даже выше – 33%.

По данным, полученным с помощью облачной инфраструктуры Kaspersky Security Network, в 2013 году почти 4 миллиона пользователей продуктов «Лаборатории Касперского» столкнулись с попыткой кражи их денег с помощью специальных вредоносных программ (по сравнению с 2012 годом показатель вырос на 18,6%). Этот факт свидетельствует о возрастающем интересе злоумышленников к электронным платежам, и подобная тенденция неизбежно приведет к тому, что расходы, которые компании будут нести в связи с компенсационными выплатами, окажутся существенно больше, чем инвестиции в защиту от подобных киберугроз.

«Помимо того, что финансовые компании закладывают в бюджет отдельные фонды на возмещение украденного, они также несут расходы на обработку клиентских жалоб. Но самое главное, даже если пострадавшему оперативно вернут деньги, он задумается, а стоит ли пользоваться услугами банка, который не может обеспечить безопасность его онлайн-счета? Потери лучше предотвращать, а не компенсировать», — комментирует ситуацию Александр Иванюк, старший менеджер по развитию направления бизнес-решений «Лаборатории Касперского» для финансовых компаний.

Меры против киберпреступников

Чтобы эффективно противостоять этой угрозе, масштабы которой столь разительно выросли за последние годы, компаниям необходимо рассматривать информационную безопасность в качестве одного из ключевых компонентов своей операционной деятельности. Наиболее приоритетным должен стать вопрос ответственности. Коль скоро проблема информационной безопасности приобрела стратегическую важность, членам правления компании следует уделить первостепенное внимание решению этой трудной задачи.

Одним из первых важных шагов должно стать введение в организационную структуру компании должности директора по информационной безопасности. Директор по информационной безопасности или руководитель службы безопасности, как правило, не входят в состав правления, но они должны иметь право прямого доступа и отчитываться либо непосредственно перед правлением, либо перед должностным лицом, которое в иерархии подчиненности находится максимум на одну ступеньку ниже правления. Директор по информационной безопасности обязан информировать руководителей высшего звена о важности мер по обеспечению информационной безопасности и добиваться выделения необходимых ресурсов. Следующее решение, принимаемое на уровне правления компании – это составление перечня данных и систем, защита которых имеет первостепенное значение. После определения подразделений и систем, нуждающихся в защите, разрабатываются сценарии противодействия атакам с учетом перечня потенциальных злоумышленников, их целей, временных и финансовых ресурсов. Наряду с этим, после оценки рисков следует внедрить систему управления информационной безопасностью.

Важно, чтобы в работу на всех перечисленных этапах были надлежащим образом вовлечены все отделы. Еще один существенный момент – информационная работа среди персонала организации. Необходимо, чтобы каждый сотрудник владел базовыми знаниями в области информационной безопасности – в этом случае можно будет противодействовать хотя бы самым простым уловкам, которые часто используются злоумышленниками, таким, например, как рассылка вредоносных программ в приложениях к электронным письмам. Одних лишь технологий еще недостаточно; их роль заключается только в том, чтобы помогать людям в принятии правильных решений и совершении правильных действий.

Установите межсетевой экран

Каждая (в том числе мелкая) фирма должна иметь межсетевой экран, ограничивающий доступ в ее сеть. Это - ваша первая линия обороны.[8]

Обеспечьте контроль доступа

Использование Интернета служащими офиса должно тщательно контролироваться. Кроме того, организации должны иметь шлюз антивирусной защиты и фильтрации контента, который станет их второй линией обороны.

Проводите регулярные проверки

Администраторы сети либо менеджеры должны ежемесячно или хотя бы раз в квартал заново проверять все пользовательские аккаунты и права доступа к данным.

Не забывайте о физической защите

Защита не ограничивается лишь данными внутри компьютера. Организации должны также обеспечить физическую защиту своего оборудования. Всех посетителей вашего офиса должен сопровождать кто-то из персонала, и экраны мониторов не должны быть доступны обозрению из коридора.

Пароли должны быть надежны

Организации должны обеспечить выбор надежных паролей; это означает определенный уровень их сложности и периодическую смену. Пароль из девичьей фамилии матери никуда не годится.

Не скупитесь!

Если вы можете себе это позволить, наймите в штат специалиста(ов) по защите данных. Кроме того, в бюджете следует предусмотреть деньги на оборудование и ПО для защиты от киберпреступников.

Учите персонал бдительности

Персонал офиса нужно учить быть бдительным. Несколько простых правил могут существенно повысить безопасность в вашей компании: никогда не отправляйтесь прямо на неизвестный вебсайт, адрес которого прислан вам в почте, удаляйте любые сомнительные письма и никогда не щелкайте присланные вам ссылки. Вместо этого следует провести поиск через Google по данной теме и уже оттуда постараться найти нужный вам сайт.

Комплексный подход

Многие методики, применяемые раньше при атаках на домашних пользователей, теперь стали использоваться и в отношении бизнеса. Это и модифицированные банковские троянцы, которые нацелены на сотрудников финансовых отделов и бухгалтерий, и различные программы-шифровальщики, которые стали работать в рамках корпоративных информационных сетей. Кроме того, популярность получили сетевые черви, для удаления которых требуется остановка работы всей корпоративной сети. Когда с подобной проблемой сталкиваются компании, имеющие много филиалов, расположенных в различных часовых поясах, остановка работы сети неизбежно ведет к финансовым потерям[9].

Согласно результатам исследования, проведенного «Лабораторией Касперского» в 2014 г., среди ИБ-специалистов, чаще всего российские компании сталкиваются с вредоносным ПО, спамом, фишингом. Отдельно стоит отметить внутренние угрозы, среди которых наиболее серьезные проблемы вызывают уязвимости в установленном ПО, а также случайные утечки данных по вине сотрудников и работа инсайдеров.

Не доверяйте «королям» социальной инженерии

От использования методов социальной инженерии не защитят никакие технические средства. Взломщики собирают данные, вооружившись знаниями о человеческой психологии. Они присылают в социальных сетях вредоносные ссылки на новую композицию любимой музыкальной группы или отправляют бухгалтеру письмо с приложением «акт сверки», в котором на самом деле скрыт вирус.

Отдельным направлением в этой области можно отметить так называемых «нигерийских спамеров». Они отправляют письма с просьбой о помощи в банковских операциях, связанных с переводом денег, якобы облагаемых большим налогом, сообщают о недавней смерти очень богатого человека «с такой же фамилией», как у получателя письма, и предлагают содействовать в получении денег с банковского счета усопшего.

Единственное противодействие таким атакам – полное игнорирование сообщение. Даже если пользователь вступает в переписку с такого рода хакером, чтобы всего лишь написать отказ, то тем самым он подтверждает адрес своей электронной почты. Впоследствии злоумышленники могут использовать его для других, более хитроумных рассылок.

Для противостояния атакам методами социальной инженерии помогает регулярное обучение всех сотрудников компании безопасной работе в интернете и информирование их о существующих видах угроз.

Защита от DDoS-атак, вирусов, троянов и фишинга

Число мощных DDoS-атак стремительно растет. Подобные хакерские нападения могут «положить» сайт компании на долгое время и лишить его владельца дохода. Так, в исследовании компании Arbor Networks говорится, что в первой половине 2014 г. зафиксировано свыше 100 инцидентов мощностью более 100 Гб/с. Количество атак диапазона более 20 Гб/с во II кв. в два раза превысило показатель за весь прошлый год.

Это же подтверждают данные «Лаборатории Касперского», которая весной 2014 г. зафиксировала новый скачок мощности DDoS-атак в Рунете. Весной группа злоумышленников организовала серьезную атаку, выбрав своими целями сразу несколько сайтов ведущих российских банков, крупных компаний и государственных учреждений. Тогда средняя мощность атаки составляла 70–80 Гб/с, а в пиковые моменты превышала 100 Гб/с. Эти показатели стали рекордом для рунета — всего год назад самая мощная DDoS-атака в российском сегменте сети не превышала порога в 60 Гб/с.

Значительное увеличение мощности DDoS-атак произошло благодаря распространению среди злоумышленников нового метода – NTP Amplification. Его преимуществом является существенный коэффициент усиления (до 556 раз), что позволяет хакерам быстро достичь высокой мощности атаки при минимальных усилиях. Для сравнения, нашумевшие год назад атаки совершались методом DNS Amplification, коэффициент усиления которого в 10 раз меньше – до 54 раз. Кроме того, Amplification позволяет злоумышленникам скрыть свой настоящий адрес, что затрудняет их идентификацию.

Обеспечение защиты от DDoS-атак собственными силами – сложная задача для крупного бизнеса и практически неподъемная для сектора СМБ. Компания должна обладать необходимыми ресурсами, как человеческими, так и материальными: два профильных специалиста для посменной работы, дорогостоящее оборудование и подключение к высокоскоростным каналам связи. При этом следует учитывать, что DDoS – не постоянная угроза, надо быть готовыми к тому, что оборудование будет простаивать, а работа специалистов будет не востребована. Поэтому зачастую становится выгоднее воспользоваться услугами сторонних компаний, специализирующихся на защите от подобных атак, подключившись к облачным сервисам.

Владельцам PHP-сайтов

Для защиты ресурсов своих компаний бизнесменам важно помнить, что, самые небезопасные сайты, согласно свежему исследованию компании Positive Technologies (Позитив Текнолоджиз), написаны на языке PHP, так как 76% из них содержат критические уязвимости. Менее уязвимыми оказались веб-ресурсы на Java (70%) и ASP.NET (55%).

Соответственно, сайтам, наиболее подверженным атакам, следует внимательнее относиться к уровню своей безопасности. Например, стоит усилить защищенность от подбора идентификаторов или паролей пользователей (атака методом Brute Force).

Подписанные сертификаты

Администраторы корпоративной сети должны контролировать, какими приложениями пользуются сотрудники и на какие сайты они заходят – у них должны быть действительные (валидные или подписанные) сертификаты SSL. Эти сертификаты делятся на три типа валидации – подтверждающие только доменное имя, домен и организацию, а также сертификаты с расширенной проверкой. Самый лучший вариант – это сертификат с расширенной проверкой, у которого есть так называемый «green bar». При входе на сайт, где установлен такой сертификат, в адресной строке браузера посетителя появится зеленая строка с названием организации, получившей сертификат.

В последний раз угроза пользователям ИТ-продуктов с невалидными SSL возникла, когда в онлайн-магазинах Google Play и Amazon было обнаружено как минимум 350 мобильных приложений с уязвимостью к атаке man-in-the-middle («человек посередине»). Во время такой атаки взломщик, подключившись к каналу между контрагентами, может заполучить передаваемую информацию. Например, хакер может перехватить данные кредитных карт пользователей, которые пользуются мобильными приложениями, предполагающими электронные платежи.

Быть начеку

Хотя технологии и повышают уровень безопасности компьютера, нельзя забывать о бдительности, например, при получении писем по электронной почте. Хакеры часто прикрываются сообщениями от туристических сервисов, вроде Airbnb, Booking.com, пишут от лица авиакомпаний, информируют пользователя, что его кредитной картой был оплачен билет на самолет, и предлагают ссылку на фишинговый сайт, где якобы можно узнать информацию о предстоящем полете.

В сентябре 2014 года в сюжетах «нигерийских» писем «Лаборатория Касперского» отметила упоминания больных вирусом Эбола жителей Африки и необычные приглашения на конференцию Всемирной Организации Здравоохранения (ВОЗ). Целью мошенников, как обычно, было выманивание денежных средств у доверчивых получателей, вступивших в переписку с авторами писем.

В октябре 2014 года пришел черед киберпреступников, которые использовали шумиху вокруг вируса Эбола для рассылки вредоносных писем. И снова в качестве отправителя была указана ВОЗ. В тексте обнаруженных экспертами писем злоумышленники пытались убедить получателя, что ВОЗ подготовила файл с общей информацией и мерами предосторожности, которые помогут обезопасить пользователя и окружающих от смертельного вируса и других болезней.

Помимо эксплуатации актуальных для общества тем, спамеры отправляют и фальшивые квитанции от интернет-магазинов, выставляющие счет за совершенную покупку, которую получится отменить лишь на фишинговом сайте. Статистика попыток фишинга не утешает: по данным системы «Антифишинг», разработанной «Лабораторией Касперского», количество срабатываний составило почти 19 млн по итогам одного только сентября 2014 года.

В современных условиях компаниям необходимо использовать комплекс программных и аппаратных средств, которые бы позволили обеспечить приемлемый уровень защищенности инфраструктуры с сохранением достаточной эффективности бизнес-процессов. Среди этих инструментов: антивирусное ПО, системы предотвращения вторжений, межсетевые экраны, модули контроля устройств и доступа в Интернет, системы шифрования данных, управления мобильными устройствами, средства для защиты почтовых серверов и систем коллективной работы и так далее.

Кроме того, важно помнить, что обеспечение ИБ не заканчивается лишь внедрением средств защиты, также необходимо вести регулярное обучение сотрудников правилам безопасной работы с информацией в электронной форме, внедрять корректные политики и правила при работе с конфиденциальными данными. Пользователям важно помнить о золотых правилах: не ходить по сомнительным ссылкам, придумывать сложные пароли для аккаунтов, не открывать вложений в письмах и, разумеется, ставить комплексную защиту на компьютер.

Основные виды интернет-угроз

Темпы инновационного развития при таком соревновании «наступательных» и «оборонительных» технологий очень высоки. Каждый день разрабатывается более 100 тысяч новых образцов вредоносного программного обеспечения. За некоторые вредоносные программные модули сейчас платятся суммы, превышающие миллион долларов. Такие деньги киберпреступники готовы платить, потому что уверены: вложенные средства смогут окупиться очень быстро.

Еще одну угрозу информационной безопасности несет развернувшаяся в киберпространстве новая гонка вооружений, в ходе которой проводятся, в частности, и диверсионные акты, и кибератаки. Ставшая недавно достоянием гласности информация о крупнейшей в мире разведывательной программе PRISM существенно подорвала доверие к крупным провайдерам облачных сервисов, базирующимся в США. Особенно снизилось доверие в странах Европы, где традиционно уделяется большое внимание защите данных. По оценке экспертно-аналитической организации InformationTechnologyandInnovationFoundation (Вашингтон, округ Колумбия), базирующиеся в США провайдеры облачных сервисов могут в результате за период с 2014 по 2016 г. недополучить выручку на сумму от 22 до 35 млрд долларов США.

Спам — наряду с традиционными рекламными рассылками, существует вредоносный спам, например, содержащий шпионское ПО или спам, заманивающий пользователей на сайты с вредоносным контентом.

Целевой фишинг — в отличие от спама, целевой фишинг напрямую нацелен на узкие группы пользователей и содержит сообщения с социальным контекстом, призывающие потенциальную жертву открыть исполняемый файл или перейти на сайт содержащий вредоносный код..

PDF-атаки — за последнее время в документах формата PDF было обнаружено множество серьезных уязвимостей.

Отравление SEO (Search Engine Optimization) — угрозы оптимизации поискового движка приводят к тому, что сайты, содержащие вредоносный код, подставляются на высокие места в рейтингах поисковых систем при вводе запроса, связанного с мировым чемпионатом. Защититься от таких угроз можно, используя актуальные версии шлюзового антивируса и системы предотвращения, вторжений.

Потеря производительности — администраторы могут задействовать системы управления трафиком или контентной фильтрации, чтобы ограничить или перекрыть доступ к онлайн-ресурсам.

Социальные сети — аналитики предупреждают о вредоносном ПО, которое может распространяться через популярные социальные сети. Решения контентной фильтрации и блокирования файлов должны быть настроены так, чтобы минимизировать угрозы.

Согласно сведениям IBM X-Force, основным источником угроз по-прежнему является такое популярное ПО как интернет-браузеры. Новинкой атак последних лет стал перенос усилий хакеров с браузеров на веб-приложения, через которые можно получить доступ непосредственно к базам данных компаний, имеющим особую ценность. Стабильно невысок процент устранения уязвимостей, — до 60% обнаруженных ежегодно уязвимостей не имеют на конец года специальных заплат (патчей) от производителей ПО.

Наибольшей опасности подвержены учетные записи привилегированных пользователей, то есть системных администраторов. Сегодня контроль действий привилегированных пользователей — это обязательное требование со стороны различных стандартов и регулирующих органов. Неправомерные действия в их отношении могут производиться как извне компании, так и самими недобросовестными сотрудниками. Рост количества угроз, связанных с привилегированными пользователями, — это в том числе инсайдерские угрозы, когда сотрудники либо осознанно воруют данные у своей компании, либо по неосторожности позволяют это сделать другим.

Схема мошенничества №419 возрождается под именем «ФБР» (по данным компании Trend Micro).

Компьютерные преступники придумали еще один способ привлечь внимание пользователей. На сей раз они выдают себя за сотрудников Федерального бюро расследований (США) из Вашингтона и предпринимают попытки мошенничества через спам.

Как при любых других попытках мошенничества, в данной схеме отправитель сообщения электронной почты выдает себя за иное лицо. Отправитель утверждает, что он пишет из ФБР. В самом сообщении содержится информация о том, что его получателю положена выплата в размере $10,5 млн. Затем мошенник, выдающий себя за сотрудника ФБР, дает получателю сообщения инструкцию обратиться к начальнику «управления интернет-переводов» банка United Trust Bank London. В сообщении указано, что упомянутый начальник — единственное лицо, принимающее решение о выплате этой многомиллионной суммы. Более того, в сообщении указано, что все получатели должны четко следовать инструкциям по оформлению заявки на выплату. Разумеется, в сообщении содержится ложная информация. Примечание в конце сообщения выглядит особо иронично и свидетельствует о том, что киберпреступники способны пойти на крайние меры в попытках добиться успеха. В нем получателю рекомендуется остерегаться мошенников, которые могут попытаться связаться с ним. Чтобы не стать жертвой подобного мошенничества, необходимо всегда уделять внимание мельчайшим деталям в получаемых сообщениях. Одного пристального взгляда достаточно для того, чтобы отличить настоящее сообщение от подделки. Нужно всего лишь приглядеться.

Троян SASFIS пользуется новым трюком (по данным компании Trend Micro).

В начале 2010 года дурную славу заслужила троянская программа SASFIS, рассылавшаяся в поддельных сообщениях электронной почты, якобы отправляемых с сайта Facebook. Заражение SASFIS влечет за собой установку огромного количества других вредоносных программ, потому что это семейство вредоносного ПО делает системы уязвимыми к атакам ботнетов, особенно ZeuS и BREDOLAB, и связано с различными вариантами поддельных антивирусов, как правило, с теми, что относятся к порнографическим сайтам.

Инженерами TrendLabsSM был обнаружен новый вариант SASFIS, где используется метод right- to-left override (RLO), представляющий собой инвертирование Unicode текста, который раньше был популярен среди спамеров, но теперь стал применяться в качестве новой тактики социальной инженерии.

Троянская программа SASFIS распространяется через спам в виде приложения .RAR с файлом .XLS внутри. После извлечения файл .XLS выглядит как типичный документ MS Excel. На самом деле, он является экранной заставкой, которая идентифицируется как TROJ_SASFIS.HBC. Эта троянская программа активирует программу BKDR_SASFIS.AC, которая позволяет внедрять вредоносные ветви в нормальный процесс svchost.exe. Хотя файл и выглядит как документ Excel, в нем содержится двоичный заголовок Win32, который есть только у исполняемых файлов. Настоящее имя файла (за исключением китайских символов) выглядит так: phone&mail).[U+202e}slx.scr, где U+202e ― управляющий символ Unicode, который дает системе команду интерпретировать последующие символы справа налево. Таким образом, для пользователей имя файла будет выглядеть так: phone&mail).xls.scr. Это заставит их поверить, что это действительно файл Excel, и поэтому его «безопасно» открывать. Хотя в реальности это исполняемый файл .SCR.

Этот метод позволяет для тех же целей использовать и другие имена файлов, например BACKS[U+2020e]FWS.BAT и I-LOVE-YOU-XOX[U+2020e]TXT.EXE, которое маскируется под BACKSTAB.SWF и I-LOVE-YOU-XOXEXE.TXT. В первом случае пакетный файл маскируется под файл Adobe Flash; во втором случае ― исполняемый файл маскируется под текстовый файл.

Для предотвращения этой атаки пользователи могут применять проверенные методы защиты: не открывать подозрительные сообщения электронной почты и не загружать приложения с исполняемыми файлами.

История крупных инцидентов

  • Сентябрь 2003 года. На Тайвань обрушились трояны, отправленные из китайских провинций, и повредили сети десяти частных компаний.

  • В апреле 2007 года министр иностранных дел Эстонии Урмас Пает (Urmas Paet) обвинил российские власти в хакерских атаках, которые парализовали работу биржи, больниц, сайтов государственных учреждений и средств массовой информации.

  • С тех же самых сетевых адресов, которые использовались против Эстонии, были совершены атаки на компьютерные системы нефтепроводов Грузии в августе 2009 года.

  • В январе 2010 года Google обвинила Китай в шпионаже через почтовые аккаунты журналистов и диссидентов.

  • Как сообщают британские СМИ (февраль 2012года), российские хакеры продают номера счетов и пароли от платежных карт большого количества жителей Великобритании. Данные британцев продаются на российских WEB-сайтах за 30 долл.

Информация жителей Великобритании стала доступна после того, как российские злоумышленники создали в сети Интернет базу данных. За сумму в 300 долл. хакеры также предлагают доступ к действующему банковскому счету в Великобритании с кредитным лимитом до 13 тыс. долл. Хищение конфиденциальной информации злоумышленники осуществляют при помощи рассылки вредоносных программ на компьютеры пользователей. Помимо этого, мошенники также подсоединяют специальные аппараты, которые считывают информацию с кредитных карт жертв в магазинах и ресторанах. После хищения данные переносятся на пустые карты, которыми можно расплачиваться в тех странах, которые не используют новую технологию идентификации подлинности платежного средства через встроенный микрочип, а также в магазинах электронной торговли.

Примечания

  1. Кибербезопасность 2016-2017: от итогов к прогнозам
  2. Интернет-пропаганда – одна из главных киберугроз 2017 года
  3. Исследование «2016 Cyber Resilient Organization», проведенное Ponemon Institute при поддержке Resilient, представляет собой обзор передового опыта по противостоянию киберугрозам, а именно, способности предприятий поддерживать бесперебойную работу и сохранять свою целостность перед лицом кибератак. В глобальном исследовании приводятся инсайты, полученные в ходе опроса более 2,4 тысяч специалистов в сфере ИТ и безопасности со всего мира, в том числе из США, Великобритании, Франции, Германии, ОАЭ, Бразилии и Австралии.
  4. Club.CNews: Основные 8 тенденций в сфере киберпреступлений (по оценке полиции Евросоюза по состоянию на 2016 год)
  5. Индекс BLI представляет собой централизованную глобальную базу данных, в которой накапливается информация обо всех зафиксированных в мире утечках данных и анализируется уровень угрозы каждой из таких утечек по нескольким различным критериям, в том числе по типу данных и по количеству скомпрометированных записей данных, по источнику утечки, а также по тому, была ли скомпрометированная информация зашифрована. Каждая утечка дается оценка, таким образом, индекс BLI представляет собой сравнительную таблицу утечек, позволяющую отличить мелкие и незначительные инциденты от действительно крупных и значимых. Сведения, вошедшие в базу данных BLI, основаны на публично доступной информации об утечках. Более подробная информация представлена по адресу www.breachlevelindex.com.
  6. Отчет HP Cyber Risk Report публикуется с 2009 года. При его подготовке специалисты HP Security Research используют ряд внутренних и внешних источников, в том числе HP Zero Day Initiative, оценки HP Fortify on Demand, HP Fortify Software Security Research, Reversing Labs и базу данных National Vulnerability Database. Подробное описание методологии приведено в отчете.
  7. Источник
  8. CRN
  9. Методы защиты: решения, которые позволяют противостоять кибератакам


TAdviser рекомендует

26 февраля, Вс.

Бета
Лидеры по внедрениям ИТ в корпоративном секторе

Добавить: