2020/07/17 22:45:49

Информационная безопасность в компании

Информационная безопасность — это всесторонняя защищённость информации и поддерживающей её инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Содержание

Основная статья: Информационная безопасность

2020

АльфаСтрахование: более половины российских компаний в период пандемии увеличили расходы на кибербезопасность

57% российских компаний в период пандемии сделали кибербезопасность одним из своих стратегических приоритетов. К такому выводу пришли эксперты проекта «HR Lab. – Лаборатория HR Инноваций» и платформы «Академия Здоровья», которые провели исследование для Аналитического центра «АльфаСтрахование. Медицина». Об этом «АльфаСтрахование» сообщила 17 июля 2020 года.

Специалисты опросили руководителей ИТ-отделов более 100 российских компаний (с оборотом от 100 млн руб. в год).

48% опрошенных рассказали о том, что их компания всегда уделяла внимание безопасности информационных процессов, однако переход сотрудников на дистанционный формат поставил перед ИТ-отделами особые задачи. 36% обратили внимание, что ведение электронного документооборота в условиях удаленной работы потребовало дополнительных мер защиты для домашних компьютеров пользователей.

27% респондентов отметили, что деятельность их сотрудников связана с расчетами с клиентами, поэтому компании пришлось выделять средства на установку дополнительного защитного ПО для обеспечения безопасности транзакций. 24% участников опроса обратили внимание на то, что их коллегам для работы из дома потребовался удаленный доступ к базам данных компаний, для чего также понадобилась установка на домашние компьютеры защитных программ.

Среди всех респондентов 70% обратили внимание, что их руководство было готово к дополнительным тратам на кибербезопасность. В то же время для 30% в условиях пандемии такие расходы стали неожиданностью и негативно сказались на экономических результатах компании.

«
Пандемия и перевод значительной доли рабочих процессов в онлайн создали дополнительную нагрузку на ИТ-подразделения российских компаний. Кибербезопасность – это не та область, на которой можно экономить, ведь информация и данные в современном мире лежат в основе бизнес-процессов. Большинство российских компаний смогли наладить защищенную работу для сотрудников, ушедших на удаленку, и это является хорошим показателем состояния бизнеса. Все это дало возможность не останавливать работу в самоизоляции. А тот факт, что больше половины компаний признали кибербезопасность своим стратегическим приоритетом, говорит о том, что в случае непредвиденных ситуаций в будущем переход на дистанционную работу станет менее болезненным, – говорит Алиса Безлюдова, директор департамента маркетинга «Медицина» Группы «АльфаСтрахование».

»

Проект «HR Lab. – Лаборатория HR Инноваций» в партнерстве с цифровым издательством «Альпина Диджитал», компанией HeadHunter и HBR-Россия работает с марта 2016 г. Проект ориентирован на HR-директоров, специалистов в области управления персоналом, собственников и генеральных директоров компании. Его главная задача – поиск и аккумуляция всех необходимых инструментов, компетенций и практик для успешной работы с персоналом в условиях турбулентного рынка.

40% представителей малого бизнеса зафиксировали кибератаки на персональные устройства работников

Согласно исследованию «Лаборатории Касперского», 85% сотрудников российских компаний, чей штат не превышает 50 человек, используют для удалённой работы в период пандемии личные устройства. Об этом Лаборатория сообщила 9 июня 2020 года.

При этом 19% работников начали применять собственные устройства в бизнес-целях после перехода на дистанционный режим работы, а 54% отметили, что делали это и раньше.

Как правило, микробизнесу сложно обеспечить весь штат необходимой техникой, поэтому в таких компаниях часто распространена политика Bring Your Own Device («принеси своё устройство», BYOD). Однако применение стороннего оборудования может быть сопряжено с определёнными киберрисками. Если устройство сотрудника, подключённое к корпоративной сети, защищено недостаточно хорошо, то злоумышленники без труда доберутся до непубличных данных.

Ещё до пандемии предприниматели сообщали, что становились жертвами атак зловредов на персональные устройства работников — в ходе исследования «Лаборатории Касперского» это подтвердили 40% респондентов. В связи с ростом использования личных устройств и всё более активным переходом бизнеса в цифровое пространство, эти показатели могут даже ухудшиться.

В сложившейся ситуации компаниям следует повышать цифровую грамотность сотрудников и информировать их о таких базовых требованиях информационной безопасности, как наличие защитного решения на рабочем устройстве, использование надёжных и уникальных паролей, регулярное обновление программ. Но подобные инструкции получали лишь 8% сотрудников малых организаций.

«
Небольшие компании оказались в трудных условиях, им приходится бороться за свой бизнес и сохранение рабочих мест. Поэтому нет ничего удивительного в том, что кибербезопасность заботит их в меньшей степени. Однако реализация даже базовых мер по защите от цифровых угроз может значительно снизить вероятность финансового ущерба или зашифровки документов в результате атаки программы-вымогателя, — комментирует Андрей Данкевич, эксперт «Лаборатории Касперского» по киберзащите для малого и среднего бизнеса. — Существует определённый набор важных правил цифровой гигиены бизнеса на удалёнке. И, конечно же, они должны соблюдаться не только во время самоизоляции, но и на постоянной основе.

»

Для эффективной защиты от киберугроз «Лаборатория Касперского» рекомендует небольшим компаниям:

  • использовать пароли для всех устройств, включая мобильные телефоны и Wi-Fi роутер. Если у роутера пароль стоит по умолчанию, его следует сменить на новый;
  • настроить тип шифрования в роутере. В идеале это должен быть самый защищённый тип — WPA2;
  • включить VPN, особенно если сотрудник использует общественные точки доступа Wi-Fi;
  • использовать надёжное защитное решение, специально созданное для обеспечения безопасности малого бизнеса и предпринимателей, например Kaspersky Small Office Security. Такая защита помогает безопасно проводить финансовые операции в интернете, создавать и надёжно хранить устойчивые к взлому пароли, блокировать атаки вредоносного ПО, создавать автоматические резервные копии всех файлов. ;
  • предоставить сотрудникам список надёжных облачных сервисов, которые они могут использовать для хранения или передачи корпоративных данных;
  • организовать тренинг по кибербезопасности для всех работников. Он должен включать как минимум базовые практики информационной безопасности и быть направлен на повышение киберграмотности в условиях оторванности от офиса.

У 70% компаний на «удалёнке» нет объективной картины внутренних инцидентов ИБ

22 апреля 2020 года компания «СерчИнформ» сообщила, что согласно проведенному исследованию, меньше половины компаний, перешедших на удаленный формат работы, контролируют действия сотрудников средствами специализированных программ. При этом 15% опрошенных используют ПО для оценки дисциплины, но не информационной безопасности. В результате в трети организаций не могут оценить, как меняется число инцидентов ИБ в связи с экстренным переходом на дистанционную работу. Об этом говорят данные анонимного опроса «СёрчИнформ». Подробнее здесь.

Злоумышленники могут получить доступ к каждому десятому открытому удаленному рабочему столу

27 марта 2020 года компания Positive Technologies сообщила о том, что в ходе мониторинга актуальных угроз (threat intelligence) эксперты компании выяснили, что число сетевых узлов в России, доступных по протоколу удаленного рабочего стола (RDP) всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 000. Уже сейчас свыше 10% таких ресурсов уязвимы для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows.

Для атаки достаточно отправить специальный RDP-запрос к уязвимым службам удаленного рабочего стола (RDS). Аутентификации при этом не требуется. В случае успеха злоумышленник сможет устанавливать и удалять программы в скомпрометированной системе, создавать учетные записи с максимальным уровнем доступа, читать и редактировать конфиденциальную информацию. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2.

Удаленная работа

По динамике роста числа открытых по RDP узлов по состоянию на март 2020 года лидирует Уральский федеральный округ: оно увеличилось на 21%, а общая доля узлов, уязвимых для BlueKeep, составляет 17%. Далее идут Сибирский (21% и 16% соответственно), Северо-Западный (19% и 13%), Северо-Кавказский (18% и 17%), Южный (11% и 14%), Приволжский (8% и 18%), Дальневосточный (5% и 14%) и Центральный федеральные округа (4% и 11%).

«
На сетевом периметре российских компаний начало увеличиваться число ресурсов, атака на которые позволит злоумышленникам получить контроль над сервером и проникнуть в локальную сеть. Мы связываем это, в первую очередь, с поспешным переводом части сотрудников на удаленную работу. Независимо от выбранного типа удаленного подключения разумно обеспечить удаленный доступ через специальный шлюз. Для RDP-подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать не рекомендуется,

— отметил Алексей Новиков, директор экспертного центра безопасности Positive Technologies
»

В Positive Technologies предупреждают, что открытие доступа к отдельным подсетям сразу всем пользователям VPN существенно снижает защищенность организации и не только дает широкие возможности внешнему атакующему, но и повышает риск атаки со стороны инсайдера. Поэтому IT-специалистам необходимо сохранять сегментацию сетей и выделять необходимое число VPN-пулов.

Эксперты Positive Technologies отдельно подчеркивают угрозу появления каналов удаленного доступа к критически важным для бизнеса сетям и системам (например, технологическим сетям на производстве и в энергетике, сетям управления банкоматами или карточным процессингом в банках, серверам «1C», конфиденциального документооборота). Службам ИБ рекомендуется строго контролировать попытки администраторов упростить себе задачи управления и конфигурации для таких сегментов с помощью отдельного незащищенного подключения. Обеспечить контроль можно с помощью постоянного мониторинга периметра сети организации, особенно ключевых ее сегментов. Кроме того, необходимо строго регламентировать использование ПО для удаленного администрирования (например, RAdmin или TeamViewer) и отслеживать случаи их нелегального применения (например, по артефактам в трафике с помощью NTA-решений). Также в условиях изменения традиционной модели поведения сотрудников организации (массового удаленного доступа) необходимо перенастроить и правила корреляций в используемых системах мониторинга и защиты от кибератак.

Помимо этого, Positive Technologies рекомендует обратить внимание на критически опасную уязвимость (CVE-2019-19781) в программном обеспечении Citrix, которое используется в корпоративных сетях, в том числе для организации терминального доступа сотрудников к внутренним приложениям компании с любого устройства через интернет. В случае эксплуатации этой уязвимости злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

Кроме того, к числу уязвимостей, требующих особого внимания в условиях увеличившегося числа открытых удаленных доступов, относятся уязвимость в протоколе рабочего стола CVE-2012-0002 (MS11-065) восьмилетней давности, которая до сих пор встречается на сетевых периметрах организаций, и уязвимости служб удаленного рабочего стола CVE-2019-1181/1182 в различных версиях операционной системы Microsoft (включая Windows 10). Следует устранить и уязвимость в PHP 7 (CVE-2019-11043), которая, по оценке Positive Technologies, вошла в список наиболее опасных по итогам 2019 года. Факт наличия перечисленных уязвимостей в инфраструктуре компании может быть оперативно выявлен посредством сканеров уязвимостей. Для устранения уязвимостей во всех случаях необходимо по меньшей мере выполнить соответствующие рекомендации производителя уязвимой версии ПО или оборудования.

Accenture: Лишь 17% компаний готовы эффективно сопротивляться кибератакам

19 февраля 2020 года компания Accenture подвела итоги исследования в области кибербезопасности. В нем приняло участие 4644 руководителей отделов информационной безопасности (ИБ) компаний с доходом более $1 млрд из 24 различных отраслей в 16 странах. Третий ежегодный отчет о киберустойчивости сфокусирован на выявлении ключевых факторов успеха компаний-лидеров по защите бизнеса от киберугроз.

Несмотря на многолетний рост уровня инвестиций в ИБ, только 17% компаний были способны построить на их фундаменте эффективные системы обеспечения безопасности («лидеры»), остальные компании были определены как «средние» (9%) и «отстающие» (74%). По результатам исследования выяснилось следующее:

  • «лидеры» способны предупреждать и останавливать в 4 раза больше атак – только 1 из 27 атак нарушает безопасность компании;
  • «лидеры» обнаруживают проникновения в 4 раза быстрее (88% нарушений обнаруживаются в течение одного дня), а устраняют их в 3 раза быстрее (96% «лидеров» устраняют проникновения в срок менее чем за 15 дней), «отстающим» требуется гораздо больше времени – от 16 дней и больше, а почти половина из них иногда тратит на это более одного месяца;
  • «лидеры» также способны существенно снижать урон от атак (58% проникновений не причиняют им какого-либо урона).

Кроме того, «лидеры» направляют большую часть своего бюджета на поддержку существующих систем безопасности, тогда как «отстающие» больше сосредоточены на пилотировании и запуске новых решений. Также «лидеры» в 3 раза чаще проводят обучение персонала и обеспечивают его необходимыми инструментами безопасности.

«
«Наш практический опыт подсказывает, что для России распределение «лидеров» и «средних» существенно меньше двадцати шести процентов из-за отсутствия у них базовых систем защиты и зрелых процессов ИБ, а также к сожалению, из-за значительного отставания финансирования ИБ»,
»

В качестве основных факторов киберустойчивости авторы исследования называют три ключевых показателя:

  • скорость обнаружения нарушений безопасности – для 58% «лидеров» это является основным критерием эффективности их программы безопасности в компании;
  • скорость восстановления после инцидента – второй по важности критерий для 53% компаний-лидеров;
  • скорость реагирования на инциденты – это третий основной критерий для 52% «лидеров».

Подход компаний-лидеров в применении технологий информационной безопасности отличает фокус на скорость обнаружения, реагирования и восстановления. Так, количество компаний, выделяющих более 6% бюджета на ИБ, увеличилось вдвое за последние 3 года.

При этом они четко понимают необходимость максимизировать ценность каждой отдельно взятой инвестиции. Для этого они применяют масштабирование технологий ИБ на всю организацию, развивают кооперацию с партнерами, профессиональными и отраслевыми сообществами и, разумеется, уделяют большое внимание полноценному обучению ИТ- и ИБ-специалистов, а также пользователей в обращении с принятыми на вооружение инструментами безопасности.

Однако в погоне за новыми инструментами безопасности нельзя забывать про уже внедренные в компании ИБ-решения. В отличие от «отстающих», «лидеры» видят преимущества инвестирования в поддержку и модернизацию внедренных инструментов защиты. Они распределяют бюджет в более-менее равных пропорциях между внедрением новых технологий, их масштабированием и улучшением работы уже имеющихся решений по ИБ. «Отстающие» же чаще тратят время на пилотирование и внедрение новых средств защиты в то время, как возможности уже существующих в компании ИБ-решений раскрыты не до конца.

«
«Этот подход актуален для российских компаний, в которых традиционно присутствует дисбаланс между финансированием таких направлений, как приобретение новых систем защиты, расширение штата специалистов по ИБ и поддержка и развитие существующих средств защиты. Часто при покупке нового современного средства защиты банально не хватает специалистов, способных выжать из него максимум пользы»,

отметил Андрей Тимошенко, руководитель практики Accenture Security в России
»

Также в отчете приводятся дополнительные различия между лидерами и отстающими:

  • у «лидеров» почти в 3 раза реже случались утечки более чем 500 000 записей о клиентах в результате кибератак за последние 12 месяцев (15% - против 44% у «отстающих»);
  • «лидеры» примерно в 3 раза чаще проводят необходимое обучение по использованию инструментов защиты информации для своих пользователей (30% - против 9% у отстающих).

Внедрив применяемый лидерами подход, компания может существенно повысить свою кибер-устойчивость и снизить стоимость инцидентов ИБ – с $380 тыс. до $107 тыс., утверждают в Accenture.

83% респондентов верят, что для полноценной защиты нужно обеспечить безопасность не только своей компании, но и экосистемы, в которой она работает. Необходимо принимать меры по снижению потенциальной опасности, исходящей от партнеров, поставщиков, вендоров и др., ведь около 40% угроз и нарушений ИБ, по мнению авторов исследования, связано именно с ними.

На основе данных исследования команда Accenture Security рекомендует три практических шага, которые каждая организация может сделать, чтобы стать ближе к «лидерам» в области кибербезопасности.

  1. Инвестировать в скорость – расставить приоритеты в применении технологий, направленных на ускорение процессов обнаружения, реагирования и восстановления.
  2. Инвестировать с умом – больше масштабировать, обучать и сотрудничать.
  3. Поддерживать то, что есть – повышать отдачу от внедренных решений и базовых инструментов защиты.

Positive Technologies: сети 97% компаний содержат следы возможной компрометации

10 февраля 2020 года Positive Technologies сообщила, что ее эксперты проанализировали сетевую активность крупных компаний (со штатом более тысячи человек) из ключевых отраслей экономики в России и СНГ. По результатам глубокого анализа сетевого трафика в 97% компаний была обнаружена подозрительная сетевая активность, а в 81% компаний — активность вредоносного ПО.

В ходе анализа главным признаком возможной компрометации эксперты назвали подозрительную активность в сетевом трафике исследуемых компаний (97%). В 64% случаев это сокрытие трафика (VPN-туннелирование, подключение к анонимной сети Tor или проксирование), а в каждой третьей компании выявлены следы сканирования внутренней сети, что может свидетельствовать о разведке злоумышленников внутри инфраструктуры.

«
Опасность сокрытия трафика в том, что пока сотрудники подключаются к Tor, поднимают прокси-серверы и настраивают VPN для обхода блокировки веб-ресурсов, злоумышленники могут использовать те же технологии для связи с управляющими серверами. С их помощью атакующие могут управлять вредоносным ПО и отправлять полезную нагрузку,
комментирует результаты исследования аналитик Positive Technologies Яна Авезова
»

Это опасение небезосновательно, поскольку в 81% компаний анализ сетевого трафика выявил активность вредоносного ПО — майнеров (55% от общей доли зараженных компаний), рекламного (28%), шпионского ПО (24%) и др. В 47% организаций выявлено вредоносное ПО сразу нескольких типов.

Как считают специалисты, нарушения регламентов ИБ (выявлены в 94% компаний) напрямую влияют на снижение уровня безопасности, практически открывают взломщикам двери организации. Так, в ИТ-инфраструктуре 81% компаний чувствительные данные передаются в открытом виде, что позволяет потенциальному злоумышленнику искать в трафике логины и пароли для перемещения по корпоративным ресурсам. В 67% компаний используется ПО для удаленного управления, такое как RAdmin, TeamViewer, Ammyy Admin. Проникнув в инфраструктуру, злоумышленник сможет использовать эти инструменты для перемещения по сети, оставаясь не замеченным средствами защиты.

В 44% компаний сотрудники используют протокол BitTorrent для передачи данных, например для скачивания фильмов. Как отмечают эксперты, это не только создает дополнительную нагрузку на канал связи и снижает его пропускную способность, но и повышает риск заражения вредоносным ПО.

Подавляющее большинство угроз (92%) были выявлены внутри периметра. По мнению экспертов, это свидетельствует о том, что важно не только предотвращать атаки на периметре, но и проводить мониторинг внутренней сети, в том числе анализируя сетевой трафик. Это позволит выявлять злоумышленников на первых этапах развития атаки.

2019

Dell Technologies: 82% компаний пострадали от кибератак и происшествий

Согласно исследованию Dell Technologies, Global Data Protection Index 2020 Snapshot, проведенному в 2020 году, на март 2020 года организации управляют 13,53 петабайтами (Пб) данных, что на 40% больше чем в среднем 2018 году (9,7 Пб) и на 831% больше чем в 2016 году (1,45Пб). Значительный рост данных порождает закономерные сложности. Абсолютное большинство (81%) респондентов отметило, что текущие решения для защиты данных, не отвечают будущим потребностям бизнеса. Этот обзор является продолжением исследования Global Data Protection Index, которое проводится раз в два года. Он представляет результаты опроса 1000 ИТ-руководителей из 15 стран, которые работают в государственных и частных организациях с более чем 250 сотрудниками, о влиянии этих проблем и передовых технологий на готовность компаний к защите данных. Результаты также показывают положительные изменения, так как большее число организаций — 80% в 2019 году против 74% в 2018 году — понимают ценность своих данных и извлекают или планируют извлекать из них выгоду.

Данные исследования Dell Technologies
«
«Данные — это жизненная энергия бизнеса и ключ к цифровому преобразованию организации. Мы вступаем в новое десятилетие цифровых данных, и нам необходимы надежные и современные стратегии защиты данных, которые помогут бизнесу принимать взвешенные и оперативные решения и бороться с последствиями дорогостоящих сбоев»,

отметила Бет Фален (Beth Phalen), президент подразделения по защите данных Dell Technologies
»

Согласно исследованию, наибольшую опасность для данных представляет растущее число инцидентов: от кибератак до потери данных и простоя систем. Большинство организаций (82% в 2019 году по сравнению с 76% в 2018 году) заявляет, что пострадало от таких происшествий в последний год. Еще 68% беспокоятся, что их организация столкнется с таким происшествием в течение следующих 12 месяцев.

Данные исследования Dell Technologies

Еще большую озабоченность вызывает то, что организации, использующие больше одного поставщика решений по защите данных, примерно в два раза больше подвержены риску кибератак (так процент подверженности риску кибератак составляет 39% для компаний с двумя или более поставщиками в сравнении с 20% для компаний с одним поставщиком). При этом использование услуг нескольких поставщиков становится все более популярным. Например, 80% организаций выбирают решения по защите данных от двух и более провайдеров, что на 20% выше, чем в 2016 году.

Стоимость восстановления после сбоев также быстро растет. Средняя стоимость простоя увеличилась с 2018 по 2019 года на 54%, таким образом, оценочная стоимость выросла с $526,845 в 2018 году до $810,018 в 2019 году. Оценочная стоимость утечки данных также повысилась с $995,613 в 2018 году до $1,013,075 в 2019 году. Эта стоимость значительно выше для организаций, которые используют более одного провайдера защиты данных — в среднем стоимость простоя выше в два раза, а стоимость утечки — в пять.

Данные исследования Dell Technologies

Развитие современных технологий и формирование цифровой среды заставляет организации учиться использовать эти технологии для достижения лучших результатов. Исследование показывает, что почти каждая организация инвестирует в развивающиеся технологии. Самые популярные из них — это облачные приложения (58%); искусственный интеллект (ИИ) и машинное обучение (МО) (53%); облачные услуги по программному обеспечению (SaaS) (51%); 5G и облачная Edge инфраструктура (49%); Интернет вещей/конечные точки (36%).

Однако почти три четверти (71%) респондентов полагают, что современные технологии создают больше сложностей для защиты данных, а 61 % отметили, что технологии представляют риск для нее. Более половины компаний, которые используют развивающиеся технологии, стараются найти эффективные решения защиты данных, которые бы соответствовали их нуждам, включая:

Данные исследования Dell Technologies

В ходе исследования 81% респондентов заявили, что решения для защиты данных, действующие в организации, не справятся с проблемами бизнеса в будущем. Респонденты испытывают неуверенность относительно следующих сфер:

  • восстановления данных после кибератак (69%),
  • восстановления данных после их утечки (64%),
  • соответствия требованиям местного законодательства по управлению данными (62%),
  • соответствия задачам служб резервного копирования и восстановления (62%).

При развертывании приложений для бизнеса и в рамках защиты рабочей нагрузки (включая контейнеры, облачные приложения и SaaS) компании используют сочетание различных облачных технологий. Исследования показывают, что организации предпочитают использовать публичное облако/SaaS (43%), гибридное облако (42%) и частное облако (39%) в качестве среды для размещения новых приложений. Кроме того, 85% опрошенных организаций заявили о чрезвычайной важности обеспечения сохранности облачных приложений со стороны поставщиков решений для защиты данных.

Данные исследования Dell Technologies

В связи с тем, что большое количество данных проходит через Edge среду, многие респонденты предпочитают использовать облачное резервное копирование для управления и защиты данных, созданных в Edge сетях. При этом 62% выбрали для размещения решений частное облако и 49% — публичное облако.

«
«Эти исследования доказывают, что защита данных должна быть ключевым элементом в бизнес-стратегии компании. Поскольку ландшафт данных становится более сложным, организациям нужны гибкие, устойчивый стратегии защиты данных, которые могут работать в многоплатформенном, многооблачном мире»,

отметила Бет Фален (Beth Phalen), президент подразделения по защите данных Dell Technologies
»

Исследование IBM X-Force: Кража учетных данных и уязвимости стали главными врагами бизнеса

11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.

Данные исследования IBM X-Force

Отчет IBM X-Force наглядно демонстрирует факторы, способствовавшие этому сдвигу, включая три основных вектора атак:

  • Фишинг успешно использовался в качестве первоначального метода проникновения менее чем в трети случаев (31%), в то время как в 2018 году эта цифра достигала половины.
  • Выявление и использование уязвимостей были причиной 30% взломов по сравнению с 8% в 2018 году. И даже давно известные уязвимости в Microsoft Office и Windows Server Message Block продолжают успешно и масштабно эксплуатироваться.
  • Использование ранее украденных учетных данных также набирает популярность в качестве точки входа: речь идет о 29% случаев. Только в 2019 году более 8,5 млрд записей было скомпрометировано — это на 200% больше по сравнению с предыдущим годом, а значит в руки преступников попало еще больше учетных данных, которыми в дальнейшем можно будет воспользоваться.

«
«То количество взломанных учетных записей, которое мы видим, говорит о том, что в руки киберпреступников попадает все больше ключей, открывающих доступ к нашей частной жизни и работе. Им больше не нужно тратить время на изобретение хитрых способов проникновения в компанию — преступники могут проникать в сеть и проводить атаки, просто используя известные методы, такие как вход в систему с украденными учетными данными. Усиленные меры защиты вроде многофакторной аутентификации или технологий single sign-on необходимы для обеспечения киберустойчивости организации и защиты пользовательских данных»,

отметила Венди Уитмор, вице-президент IBM X-Force Threat Intelligence
»

IBM X-Force составляет отчеты, анализируя ежедневно более 70 млрд событий из сферы информационной безопасности более чем в 130 странах мира. Используются и дополнительные источники данных: X-Force IRIS, X-Force Red, IBM Managed Security Services и официально опубликованные сообщения об утечках. Помимо этого, специалисты IBM X-Force используют тысячи спам-ловушек по всему миру и отслеживают десятки миллионов фишинговых и спам-атак ежедневно, а также анализируют миллиарды веб-страниц и изображений для выявления мошенничества или незаконного использования брендов, отметили в IBM.

Данные исследования IBM X-Force

Ключевые выводы, представленные в отчете:

  • Небрежная конфигурация. Анализ IBM показал, что из отчетов по более чем 8,5 млрд взломанных записей в 2019 году 7 млрд, то есть более 85%, были связаны с неправильной настройкой облачных серверов и других некорректно сконфигурированных систем. Это разительная перемена по сравнению с 2018 годом, когда соответствующая цифра не превышала половины всех взломанных записей.
  • Вирусы-шифровальщики в банковской сфере. Согласно отчету за 2019 год, некоторые из наиболее активных банковских троянов, такие как TrickBot, стали чаще использоваться в качестве плацдарма для проведения масштабных ransomware-атак. Фактически вирусы-шифровальщики и новые коды, которые используют банковские трояны, возглавили рейтинг рассмотренных в отчете вредоносных программ.
  • Фишинг на доверии. Технологические компании, социальные сети и стриминговые сервисы вошли в десятку брендов, за представителей которых чаще всего выдают себя мошенники с целью фишинга. Эти изменения могут говорить о том, что люди стали больше доверять технологическим провайдерам, а не розничным сетям и финансовым компаниям, как было раньше. В числе наиболее крупных брендов, используемых в мошеннических схемах, значатся Google, YouTube и Apple.

Отчет IBM X-Force выявил общемировые тренды в сфере атак с целью вымогательства, которые поражают как общественный, так и частный сектор. 2019 год продемонстрировал значительный рост активности вирусов-шифровальщиков — подразделение IBM X-Force усилило профильную службу реагирования, чтобы поддержать своих клиентов из 13 различных отраслей во всем мире, еще раз подтверждая, что подобные атаки не имеют привязки к индустрии.

Данные исследования IBM X-Force

Более 100 государственных служб в США подвергались атакам вирусов-шифровальщиков в прошлом году. Специалисты IBM X-Force также отметили масштабные атаки в адрес ритейлеров, производственных и транспортных компаний — все они, как известно, владеют большими объемами монетизируемых данных либо полагаются на устаревшие технологии и, как следствие, оказываются в зоне риска. В 80% атак преступники использовали уязвимости Windows Server Message Block. Та же тактика применялась для распространения вируса WannaCry, который нанес ущерб компаниям в 150 странах в 2017 году.

Атаки вирусов-шифровальщиков стоили организациям более $7,5 млрд в 2019 году, при этом злоумышленники наслаждаются добычей и не планируют останавливаться в 2020. В отчете IBM, подготовленном совместно с компанией Intezer, говорится, что новый вредоносный код был замечен в 45% банковских троянов и в 36% вирусов-шифровальщиков. Это говорит о том, что, создавая новые коды, преступники продолжают работать над тем, чтобы избежать своего обнаружения.

Специалисты IBM X-Force отметили тесную связь между вирусами-шифровальщиками и банковскими троянами: трояны открывают двери для прицельных и высокодоходных вымогательских атак. Таким образом расширяются способы развертывания программ-вымогателей. Например, существуют подозрения, что наиболее активная финансовая вредоносная программа TrickBot была использована для развертывания вируса Ryuk в корпоративных сетях. Другие банковские трояны, такие как QakBot, GootKit, Dridex, также развиваются в этом направлении.

Данные исследования IBM X-Force

Чем больше пользователи узнают о фишинговых письмах, тем более таргетированными становятся атаки. Вместе с некоммерческой организацией Quad9 специалисты IBM выявили усиливающуюся тенденцию в сфере фишинга: преступники выдают себя за крупные потребительские технологические бренды (технологические компании, социальные сети, стриминговые сервисы) и подделывают ссылки на их сайты с целью фишинга.

Почти 6 из 10 наиболее часто используемых мошенниками брендов относились к доменам Google и YouTube. Бренды Apple (15%) и Amazon (12%) также использовались мошенниками с целью кражи монетизируемых данных пользователей. По мнению IBM X-Force, эти бренды были выбраны в первую очередь из-за того, что у них есть монетизируемые данные.

Facebook, Instagram и Netflix также вошли в десятку наиболее подделываемых брендов, но со значительно меньшей долей использования. Возможно, причина в том, что у них обычно нет данных, которые можно непосредственно монетизировать. Поскольку мошенники часто делают ставку на использование одинаковых паролей — и достигают успеха — специалисты IBM X-Force полагают, что частое применение одинаковых паролей как раз могло сделать эти бренды главной целью преступных атак. Исследование The Future of Identity, проведенное IBM, показало, что 41% опрошенных представителей поколения миллениалов используют один и тот же пароль множество раз, а у поколения Z в среднем всего пять разных паролей, то есть степень повторного использования очень высока.

Данные исследования IBM X-Force

Отличить поддельный домен от настоящего может быть очень сложно — именно этим и пользуются мошенники. Десять наиболее часто подделываемых брендов, указанных в отчете, на которые в сумме приходится около 10 млрд учетных записей, открывают преступникам широкое поле для деятельности. При таких масштабах высока вероятность, что ничего не подозревающий пользователь кликнет на поддельную ссылку.

Другие выводы, представленные в отчете:

  • Позиции ритейла растут в рейтингах целевых отраслей. Сфера розничной торговли стала второй наиболее атакуемой отраслью в 2019 году. С небольшой разницей в количестве атак первое место в этом списке четвертый год подряд занял финансовый сектор. Атаки Magecart, затронувшие 80 сайтов интернет-магазинов летом 2019 года, стали одними из наиболее значимых атак на сферу ритейла. Вероятно, целью киберпреступников были личные данные потребителей, данные платежных карт и даже ценная информация программ лояльности. Согласно данным подразделения IBM по реагированию на инциденты безопасности, ритейлеры также подверглись большому количеству атак вирусов-шифровальщиков.
  • Рост атак на промышленные системы управления (ICS) и операционные технологии (OT). В 2019 году число атак на OT-системы выросло в 21 раз по сравнению с прошлым годом. Это беспрецедентное количество атак на ICS и OT как минимум за последние три года. В наиболее крупных атаках использовались известные уязвимости в аппаратном обеспечении систем SCADA и ICS в сочетании с подбором паролей путем их «распыления».
  • Северная Америка и Азия — наиболее атакуемые регионы. В этих регионах в прошлом году наблюдалось наибольшее количество атак (более 5 млрд) и наиболее существенные утечки данных — более 2 млрд записей.

Данные исследования IBM X-Force

В отчете использовались данные, собранные IBM в 2019 году для анализа глобального ландшафта угроз и информирования специалистов в сфере кибербезопасности об опасностях, наиболее релевантных для той или иной организации.

Более половины российских компаний беспокоятся о защите ПДн сотрудников и клиентов

17 января 2020 года стало известно, что более половины российских компаний беспокоятся о за­щите пер­со­наль­ных дан­ных сотрудников и клиентов. Об этом сообщили в компании Eset по итогам своего исследования. Так, разные виды ки­беруг­роз затронули 90% предприятий. 60% российских ИТ-менеджеров всерь­ез оза­боче­ны сох­ранностью персональных дан­ных. Исследователи связывают тенденцию с ужесточением законодательства и усилением ответственности за нарушения.

Чаще всего российский бизнес сталкивается со спамом. Это отметили в опросе Eset 65% респондентов. На втором месте – вредоносное ПО, 47%. 22% опрошенных сообщили, что их компании становились жертвами фишинговых атак, 21% пострадали от DDoS-атак и 35% - от шифраторов.

Защита персональных данных вызывает беспокойство у бизнеса

По информации Eset, 54% опрошенных волнует безопасность баз контактов, сведений о клиентах и партнерах, 55% считают, что в особой защите нуждается финансовая информация.

Для обеспечения информационной безопасности компании в основном прибегают к антивирусам для защиты рабочих станций - 90% организаций; 53% устанавливают контроль за обновлением ПО; 45% следят за внешними носителями.

Eset выяснил, что 58% респондентов удовлетворены уровнем безопасности в их компаниях и считают, что принимаемых мер достаточно. 5% задумываются об увеличении бюджета на информационную безопасность.

Директор управления информационных технологий Eset Russia Руслан Сулейманов считает, что в 2020 году в целом ситуация в отрасли ИБ сильно не изменится. Основными способами проникновения вредоносного ПО в корпоративную сеть останутся спам и фишинг. Специалист ожидает рост объема используемых IoT-устройств в качестве возможного вектора атак на корпоративную инфраструктуру.

«
«Сыграет свою роль прекращение поддержки Windows 7. Многие российские компании, несмотря на риски, продолжат использовать операционную систему на рабочих местах. Это приведет к увеличению риска заражения новыми вирусами, компрометации и потере корпоративных данных»,

отметил Руслан Сулейманов, директор управления информационных технологий Eset Russia
»

Кроме того, 14 января 2020 года завершилась поддержка серверных систем Windows 2008 и Windows 2008 R2. Их использует множество компаний среднего и малого бизнеса. По словам Руслана Сулейманова, в 2020 году останется актуальным тренд на мощные и частые DDoS-атаки на корпоративный сектор, а также сохранится опасность дипфейков.

Консультант центра информационной безопасности «Инфосистемы Джет» Елена Агеева отмечает среди угроз, актуальных для российских компаний в прошлом году, социальную инженерию, атаки вирусов-вымогателей и криптомайнеров, а также утечки персональных данных.

«
«Мы ожидаем, что они сохранят актуальность и в 2020 году. Кроме того, развитие облачных технологий продолжит способствовать росту количества атак на облачные сервисы. Также будут актуальными атаки на цепи поставок, суть которых заключается в компрометации компаний со стороны их подрядных организаций»,

отметила Елена Агеева, консультант центра информационной безопасности «Инфосистемы Джет»
»

В 2019 году наблюдался заметный рост фишинговых атак и распространения вредоносного ПО, в том числе и вирусов-вымогателей. По данным InfoWatch, в России главной угрозой для личной информации клиентов компаний были и остаются рядовые сотрудники. На их долю приходится более 70% нарушений, приведших к утечкам.

Руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев полагает, что дальнейшее развитие в 2020 году получат фишинговые атаки. По мере развития технологий искусственного интеллекта возрастает риск использования методов deepfake для проведения атак на компании, в том числе с целью нанести серьезный удар по репутации бизнеса.

«
«Для получения персональных данных внешние злоумышленники будут широко использовать атаки на цепочку поставок программных продуктов»,

отметил Андрей Арсентьев, руководитель отдела аналитики и спецпроектов InfoWatch
»

Постепенно сфера безопасности личной информации в России приближается к западной практике. Как следствие, бизнес все острее начинает ощущать проблемы, связанные с утечками. Регуляторы ужесточают ответственность, потеря данных сказывается на лояльности клиентов, многие утечки приводят к прямым финансовым потерям и больно бьют по репутации. На это обращает внимание Андрей Арсентьев.

Согласно исследованию «Лаборатории Касперского», российские компании, действительно, очень озабочены необходимостью не допустить утечки данных, а также защищать инфраструктуру от целевых атак. В 2019 году организации сталкивались с заражениями вредоносным ПО корпоративных (43%) и BYOD-устройств (37%), а также проблемой утери сотрудниками их устройств (33%). В 2020 году компании планируют начать проводить обучение сотрудников правилам кибербезопасности, внедрять сервисы для реагирования на киберинциденты и защиты от целевых атак. О том, что такие решения используют в организациях, сообщила почти треть опрошенных.

По словам руководителя группы системных архитекторов «Лаборатории Касперского» Дмитрия Стеценко, все большую популярность набирают практически не выявляемые стандартными защитами атаки через цепочки поставщиков (supply chain) и BEC (Business Email Compromise). После заражения системы злоумышленники предпочитают использовать легальные ИТ-инструменты для развития атаки, что тоже усложняет защиту данных.

По данным отчета Positive Technologies, одним из ключевых трендов рынка кибербезопасности в 2019 году были утечки данных - наряду с целенаправленными атаками (APT-атаками) и поиском аппаратных уязвимостей.

«
«Новости об утечках в 2019 году стали особенно громкими. Это в том числе связано со сменой подходов злоумышленников. Киберпреступники начали объединять собранные в течение последних лет данные в единый массив для торговли на теневом рынке более полными цифровыми досье. В сегменте финансовых организаций в 74% атак применялся фишинг и в 80% атак - вредоносное ПО, в сегменте промышленных компаний в 83% атак использовался фишинг и в 89% атак - зараженное ПО, в сегменте государственных организаций в 49% атак применяли фишинг, а в 63% - вредоносное ПО»,
»

По его мнению, с точки зрения техник компрометации в 2019 году злоумышленники чаще всего использовали фишинг и вредоносное ПО.

Кибератаки с целью кражи информации преобладают над другими взломами. По информации Positive Technologies, в III квартале 2019 года 61% кибератак направлен именно на хищение данных. В каждой четвертой кибератаке украдены персональные данные сотрудников или клиентов компании. Эта тенденция отмечалась и в первом полугодии 2019 года. Например, во II квартале персональные данные утекли в 29% кибератак на организации.

«
«В 2020 году бизнес будет оставаться в зоне повышенного риска как массовых киберкампаний, так и целевых атак группировок. Хакерам придется прибегать не только к изощренному фишингу и созданию более совершенных образцов ВПО, но и к взлому менее защищенных компаний, аффилированных с целевыми для злоумышленников организациями. Атаки с целью кражи информации будут преобладать над атаками с целью непосредственных финансовых хищений. Причем, как предполагает он, целевые атаки будут преобладать над массовыми. Это связано с тем, что организации из любой отрасли стараются максимально обезопасить себя от финансовых потерь и продумывают такие риски в первую очередь. А инцидент с хищением данных может и вовсе остаться незамеченным длительное время, особенно если в компании не обеспечивается постоянный мониторинг событий ИБ и расследование киберинцидентов»[1],

отметил Евгений Гнедин, руководитель отдела аналитики Positive Technologies
»

Анализ «громких» инцидентов в сфере информационной безопасности в 2019 году

2019 год был богат на инциденты. Было отмечено много случаев неправильного хранения информации и несвоевременного устранения критических уязвимостей, приведших к крупным утечкам данных, а также много атак на финансовые организации, ритейл, устройства Интернета вещей. Несколько опасных по своим последствиям атак было проведено на промышленные предприятия. В статье описаны наиболее крупные и интересные атаки в условной сортировке по ключевой бреши в системе защиты или ключевому действию, производимому злоумышленником.

Positive Technologies: Бюджеты на кибербезопасность выросли на 20%, но компании не успевают их тратить

19 декабря 2019 года компания Positive Technologies сообщила, что в России в 2019 году запланированные бюджеты на кибербезопасность выросли в среднем на 20%, но компании не успели их израсходовать. Причина — необходимость проходить длительные конкурсные процедуры: компании просто не успевают закупить те средства защиты, которые им необходимы. Помимо этого, эксперты Positive Technologies отмечают, что среди топ-менеджмента отечественных компаний сформировался запрос на практическую информационную безопасность. Однако компании, которые ставят перед собой цель реально защитить себя в киберпространстве, сталкиваются с тотальным дефицитом кадров, имеющих достаточный уровень знаний и навыков. Все более востребованы становятся специалисты, обладающие сразу несколькими компетенциями, например совмещают знания в сфере кибербезопасности со знаниями в области data science или АСУ ТП. Бизнес осознает нехватку таких специалистов у себя в штате и приходит к аутсорсингу или аутстаффингу, а в некоторых случаях даже вынужден самостоятельно обучать такого рода кадры.

Positive Technologies: Компании не успевают тратить бюджеты на ИБ и сталкиваются с дефицитом кадров

В числе ключевых тенденций, сформировавшихся в 2019 году, эксперты Positive Technologies отметили следующие:

  • Безопасная разработка в тренде. Для производителей финансового ПО обязательное прохождение анализа уязвимостей становится конкурентным преимуществом. Многие разработчики банковского ПО говорят о заключении договоров с ведущими компаниями в сфере ИБ на работы по анализу исходного кода. В Positive Technologies ожидают, что в течение ближайших двух–трех лет выстраивание доказуемого цикла безопасной разработки для производителей банкового ПО станет мейнстримом.
  • Преимущество на стороне злоумышленников. Соотношение сил между преступниками и защитниками складывается не в пользу последних. Например, между использованием новейших техник взлома и внедрением новейших средств защиты может пройти до трех лет. А если сравнивать скорость использования новых уязвимостей и скорость выпуска исправлений, победа практически всегда на стороне злоумышленников, которые адаптируют новейшие эксплойты для своих атак иногда в течение суток.
  • Госсектор под ударом. Государственные учреждения по всему миру находятся под прицелом сложных целенаправленных атак. По данным Positive Technologies, 68% APT-группировок, исследованных специалистами экспертного центра безопасности Positive Technologies, атакуют государственные учреждения. В 2019 году эксперты PT ESC выявили группировку Calypso, специализирующуюся именно на атаках госучреждений в разных странах. На руку киберпреступникам играют применение базовых средств защиты, неграмотность сотрудников в вопросах ИБ, а также публичность информации о госзакупках защитного ПО.
  • Массовые атаки на финсектор теряют смысл. Общее число атак на финансовые организации снизилось. Это может объясняться существенным снижением доли массовых атак на такие учреждения. Большинство банков, особенно крупные, готовы эффективно отразить массовую атаку (например, рассылку шифровальщика), и хакеры сконцентрировали свое внимание на других, менее защищенных отраслях. При этом число целенаправленных атак остается на прежнем уровне. Эксперты также отмечают увеличение числа мошеннических операций с бесконтактной оплатой: в основном это связано с операциями ниже лимитов CVM (Cardholder Verification Method), при которых пользователю для подтверждения транзакций не нужно вводить PIN.
  • Преступники объединяют утечки разных лет и продают на теневом рынке оптом. Причем злоумышленникам, распространяющим за деньги такие полные цифровые досье, вовсе не нужно быть хакерами, достаточно просто грамотно переработать информацию об имеющихся в истории той или иной компании утечках. Подобные инциденты сказываются прежде всего на репутации компании, допустившей утечку.
  • Аппаратные уязвимости диктуют бизнесу смену модели угроз. Два последних года показали только верхушку айсберга аппаратных уязвимостей, их поиск стал настоящим трендом среди исследователей, которые переходят на все более низкий уровень, ищут (и находят!) уязвимости на уровне печатной платы, элементов аппаратной логики. Крупные компании осознают масштаб проблемы, закладывая такие уязвимости в свою модель угроз; в частности, инвестируют в разработку защитного оборудования и в обучение персонала.

Среди возможных негативных сценариев 2020 года эксперты Positive Technologies отмечают:

  • Схемы киберуслуг на продажу будут развиваться. Так, может приобрести большую популярность схема «доступ как услуга» (access as a service), при которой злоумышленники, взломавшие инфраструктуры компаний, продают или сдают такой доступ в аренду другим участникам теневого рынка.
  • Промышленный кибершпионаж продолжится. Атаки с целью шпионажа на промышленный и топливно-энергетический сектор могут стать продолжением тех атак, которые были успешно проведены ранее. При этом компании научатся их выявлять. Этому будут способствовать не только требования регуляторов к защите КИИ, но и осознание руководством промышленных и энергетических компаний необходимости строить действительно эффективную ИБ.
  • Под угрозой могут оказаться выборы в США. Как показало исследование умных урн для голосования, такие системы крайне слабо защищены и могут быть легко взломаны киберпреступниками. В преддверии президентских выборов в США стоит также ожидать резонансных кибератак, которые будут направлены на дефейс сайтов политических партий и кандидатов в президенты. Кроме того, можно ожидать попыток повлиять на общественное мнение через социальные сети, утверждают в Positive Technologies.
  • Внедрение сетей 5G сулит операторам новые риски. В современном мире в любой сети злоумышленник может вывести из строя элементы умного дома или промышленного IoT. С распространением сетей 5G и развитием интернета вещей увеличится и масштаб угрозы, жертвами кибератаки могут стать подключенные автомобили или системы жизнеобеспечения города. До тех пор, пока реальные сети 5G построены на базе сетей прошлых поколений, все недостатки их защиты будут актуальны и для абонентов 5G.
  • Вырастет число атак на пользователей интернет-ресурсов. Бурный рост рынка электронной коммерции будет провоцировать взломщиков на новые изощренные атаки на частных лиц с использованием веб-уязвимостей, в том числе обусловленных ошибками при разработке кода, которые в 2019 году составили 82% от общей доли уязвимостей веб-приложений.
  • Новостей об утечках станет больше. Участятся случаи продажи данных пользователей — не только украденных, но и скомпилированных из предыдущих утечек. В Positive Technologies предполагают, что утечки баз данных будут все чаще освещаться в СМИ.
  • Хакеры сосредоточатся на атаках мобильных финансовых приложений. Скорее всего, преступников будут интересовать уязвимости, связанные с раскрытием информации о пользователях, в связи с чем можно ожидать новостей об утечках персональных данных и данных банковских карт.

«СёрчИнформ»: 75% ИБ-специалистов считают, что их компания защищена недостаточно

11 ноября 2019 года компания «СёрчИнформ» представила результаты опроса представителей служб информационной безопасности о главных ИБ-угрозах и о том, как повысить уровень защищенности бизнеса.

Согласно опросу, мошеннические схемы ИБ-специалисты считают самой большой угрозой внутренней безопасности компании. 45% опрошенных сообщили, что откаты, боковые схемы и махинации с документами грозят наибольшим ущербом. На втором месте – сливы данных. О серьезности этой угрозы сообщили 19% опрошенных. Промышленный шпионаж, саботаж и нерациональное использование рабочего времени и ресурсов сотрудниками беспокоит 14,5% специалистов по безопасности.

Данные исследования «СёрчИнформ»

При этом только 15% представителей служб безопасности говорят о том, что в компании обеспечен достаточный уровень защищенности. Остальные опрошенные считают, что им не хватает «рук» – об этом сообщила почти половина опрошенных. 22% сказали, что нужны более продвинутые технические средства защиты. Еще 15% признали, что в компании не хватает ни «рук», ни технической оснащенности.

Данные исследования «СёрчИнформ»

Что касается обеспеченности кадрами, только 2% опрошенных считают, что на рынке ИБ в них нет недостатка. 12% обозначают ситуацию как «острый кадровый голод», большинство – 79% – говорят о том, что специалиста можно найти, но на это уходит много времени.

Данные исследования «СёрчИнформ»

В результате почти половина компаний вынуждены растить кадры самостоятельно, а 15% переманивают специалистов у конкурентов.

Данные исследования «СёрчИнформ»

53% считают, что не все российские компании пока готовы к тому, чтобы отдать вопрос внештатным специалистам. Но более трети опрошенных считают, что аутсорсинг информационной безопасности способствовал бы улучшению ситуации.

Данные исследования «СёрчИнформ»
«
«Две трети опрошенных считают, что их компании защищены недостаточно, и эти цифры, казалось бы, выглядят пугающими. Но для сферы информационной безопасности нормально и правильно исходить из пессимистичных оценок ситуации, потому что это позволяет предусмотреть по-настоящему эффективные меры защиты. Повышаются требования к мерам по обеспечению ИБ и к роли специалиста. Но на фоне этих оценок тревожно выглядит, что ИБ-службы фактически недофинансированы. Только 2% опрошенных не испытывает кадровый голод, а более 36% нуждается в дополнительном техническом инструментарии. При этом отношение к аутсорсингу как к альтернативному решению проблемы сохраняется скептическим. Хотя ситуация меняется: еще 2-3 года назад ИБ-специалисты были уверены, что анализ внутренних процессов категорически противопоказано передавать за штат. Со временем скопились примеры удачных практик, и аутсорсинг становится все более распространен»,

отметил Георгий Минасян, директор по безопасности «СёрчИнформ»
»

Исследование «Кода безопасности»: слабым звеном в защите конечных точек является персонал

Компания «Код безопасности» провела аналитическое исследование о защите конечных точек, выявив существующие проблемы и решения. Эксперты определили актуальные векторы атак, самые опасные последствия инцидентов для разных отраслей, а также распространенность различных типов средств защиты. Результаты исследования показали, что наиболее актуальными являются атаки, связанные с действиями персонала. Об этом 21 октября 2019 года сообщили в компании «Код безопасности».

Для оценки особенностей обеспечения ИБ на конечных точках аналитики «Кода безопасности» опросили 220 специалистов ИБ-подразделений организаций из 10 отраслей: госсектор, здравоохранение, ИТ и телеком, образование, промышленность, транспорт, топливно-энергетический комплекс, торговля и услуги, культура и финансы.

Цифровизация российской экономики – один из основных трендов развития информационных технологий. Повсеместно внедряются искусственный интеллект, машинное зрение и обучение, интернет вещей, виртуальная и дополненная реальности, облачные решения. Вместе с тем цифровизация приносит и новые поводы для беспокойства: количество векторов атак неизбежно увеличивается. По данным исследования «Защита корпоративных сетей», почти половина респондентов считают, что наибольшую опасность представляет атака на рабочие станции. Аналитики «Кода безопасности» выявили наиболее актуальные векторы атак в 2019 году.

Данные исследования компании «Код безопасности»

Как отметили респонденты, одной из самых больших угроз для ИТ-инфраструктуры является собственный персонал. Чтобы снизить риск, необходимо предпринимать меры организационного (разделение полномочий, принцип минимально необходимых прав) и обучающего (обучение основам цифровой гигиены, регулярные тестирования и проверки знаний) характера.

Высокая актуальность атак, связанных с наличием уязвимостей в операционной системе и прикладном программном обеспечении, вызвана развитием ИТ-инфраструктуры и неэффективными внутренними процессами управления уязвимостями. Для решения этих задач необходимо отладить процесс приоритизации обновлений и инвестировать в мониторинг безопасности и своевременную адаптацию политики безопасности средств защиты.

Каждый пятый респондент отметил актуальность атак с использованием закладок. Большая часть мер, которые помогут справиться с этим типом атак, находится в области управления поставщиками и управления цепочками поставок. Также целесообразными могут быть спецпроверки и специсследования критичных элементов ИТ-инфраструктуры.

Последствия любых атак и, соответственно, приоритет при выделении ресурсов на те или иные задачи обеспечения информационной безопасности значительно различаются в зависимости от отрасли. Эксперты «Кода безопасности» выделили наиболее актуальные виды последствий: штраф регуляторов, остановка бизнес-процессов, кража денег, репутационный ущерб и пр.

Штрафа со стороны регуляторов больше всего опасаются организации с жестким регулированием: государственные компании (62%), организации здравоохранения (62%), образовательные (41%) и финансовые организации (40%). Многие отрасли наиболее неприятным последствием ИБ-угроз считают остановку бизнес-процессов. Важным по значению стал репутационный ущерб: для транспортной отрасли (81%); компаний ИТ и телекома (79%); образовательных организаций (65%), финансового сектора (60%). Банки и другие финансовые компании отмечают повышенную озабоченность последствиями, связанными с кражей денежных средств.

Информационную безопасность можно обеспечить только комплексными мерами защиты, важную часть которых составляют технические средства. В свою очередь, большой «парк» средств защиты может создать сложности для ИТ-инфраструктуры компании, считают исследователи.

Данные исследования компании «Код безопасности»

Основной «киберболью» при использовании средств защиты конечных точек для пользователей стало снижение производительности системы – его отметили 66% респондентов. На второе место участники рынка поставили конфликты между различными СЗИ, установленными в системе, – 64%. И 49% ИБ-специалистов назвали ключевым неудобство, связанное с конфликтами эксплуатируемых СЗИ с прикладным ПО.

Государство продолжает активно стимулировать переход российских организаций на отечественные решения. В процессе импортозамещения ИТ-инфраструктуры выделилась группа лидеров с наиболее зрелыми предложениями. Среди операционных систем – это РусБИТех и Базальт СПО, среди телекоммуникационного оборудования – Eltex. Уровень готовности переходить на российские продукты постепенно растет.

Данные исследования компании «Код безопасности»

С 2018 года число российских организаций, планирующих использовать отечественные решения, увеличилось на 12%. Планируют заменить следующие ИТ-элементы: персональные компьютеры (21%); серверы (17%); сетевое оборудование (16%); системы хранения данных (7%); планшеты (4%). 2/3 участников опроса отметили, что не планируют ничего менять.

Сегментация или группирование компьютеров в отдельные группы по каким-либо признакам проводится для повышения доступности необходимых данных авторизованным сотрудникам и ограничения доступности данных неавторизованным сотрудникам. Большая часть российских компаний (68%) осознает важность организации сегментированной внутренней сети для предотвращения атак на критические ресурсы системы.

Данные исследования компании «Код безопасности»

Большинство респондентов (79%) отдают предпочтение аппаратным типам решений. Программные средства, позволяющие обеспечить сегментирование при меньших бюджетах в виртуальных инфраструктурах, а также в сетях сложной топологии, используют 17% опрошенных. Основная причина, по которой компании не используют решения для сегментации сети, – это отсутствие финансирования; на втором месте – нехватка специалистов для эксплуатации средств сегментации.

По мере развития ландшафта угроз и повышения требований к корпоративной системе информационной безопасности на рынке появляется все больше средств защиты.

Данные исследования компании «Код безопасности»

По результатам опроса исследователи выделили две большие группы используемых СЗИ: приоритетные и дополнительные. В число приоритетных входят межсетевой экран (86%), антивирус (82%), система обнаружения вторжений (67%) и средства защиты от несанкционированного доступа (65%). Вторая группа – дополнительные средства защиты, которые используются для защиты от специфических рисков ИБ. В их число входят системы защиты от утечек (DLP, 35%), системы управления событиями ИБ (SIEM, 30%), песочницы (Sandbox, 20%), межсетевые экраны уровня веб-приложений (WAF, 14%), системы глубокого анализа трафика (DPI, 10%) и системы обнаружения и реагирования на сложные угрозы (EDR, 6%).

В компании «Код безопасности» считают, что эффективная стратегия защиты конечных точек должна включать в себя ряд мер, которые условно можно разделить на организационные и технические.

В число технических мер входят:

  • Внедрение комбинации системы защиты от вредоносного ПО и системы защиты от несанкционированного доступа к данным. Причем на этапе выбора стоит отдавать предпочтение совместимым и простым в настройке средствам защиты. В случае с рабочими станциями приоритет нужно отдавать средствам защиты от вредоносного кода. Для серверов, в свою очередь, более подходящим является подход замкнутой программной среды, когда с помощью средства защиты запрещается запуск любого неавторизованного кода и осуществляется глубокий контроль целостности файлов, процессов и драйверов ОС.
  • Сегментация внутренней сети. Она позволит ограничить распространение злоумышленника, если он все же получил несанкционированный доступ к конечным точкам внутри сети. Сегментация может быть реализована как аппаратными средствами (межсетевым экраном), так и программным модулем, встроенным в СЗИ от НСД.

В число организационных мер входят:

  • Риск-ориентированное управление уязвимостями. Организация должна не просто вести список обнаруженных уязвимостей, она должна внедрить практику оценки опасности уязвимости для своей инфраструктуры.
  • Обучение пользователей. Необходима комбинация мер из очного и удаленного обучения, регулярной проверки знаний пользователей и тестирования их бдительности с помощью специальных инструментов, эмулирующих фишинг.

Accenture: основные угрозы информационной безопасности бизнеса

20 сентября 2019 года компания Accenture представила результаты исследования, в котором выявила основные угрозы информационной безопасности бизнеса в 2019 году.

По оценке Accenture, рынок сервисов кибербезопасности растет темпами, аналогичными рынкам Digital и ИТ. Accenture прогнозирует, что к 2021 году объем мирового рынка ИБ увеличится на 66% и составит $202 млрд. При этом совокупный мировой ущерб от кибератак может вырасти к 2021 году на 39% до $2,1 млрд.

В глобальном отчете Accenture приводит основные тренды в области кибербезопасности бизнеса в 2019 году.

Первый тренд связан с дезинформацией. Авторы отчета отмечают, что вслед за политической дезинформацией, цель которой - повлиять на общественное мнение, все активнее набирает обороты экономическая дезинформация. Финансовая сфера, и, в частности, высокочастотные торговые алгоритмы, основанные на быстрых текстовых источниках информации, в будущем будут подвергаться широкомасштабным атакам.

По мнению Андрея Тимошенко, менеджера по информационной безопасности Accenture в России, развитие методов машинного обучения, искусственного интеллекта (ИИ) и внедрение сетей связи на базе технологии 5G даст широкие возможности для производства и распространения дезинформации.

«
«Одним из примеров применения ИИ является создание высококачественных поддельных изображений или видео, которые можно использовать для дискредитации и шантажа политического оппонента, конкурирующей компании или создания массовой паники. Технология 5G также создает серьезные риски – контроль над оборудованием и программным обеспечением инфраструктуры 5G может позволить небольшой группе компаний или злоумышленников проводить информационные операции, подделывая или распространяя дезинформацию для больших групп пользователей 5G»,

отметил Андрей Тимошенко
»

Второй тренд – объединение киберпреступников в синдикаты и совместное использование продвинутых инструментов, автоматизирующих процесс массового производства и распространения вредоносного программного обеспечения, спама и приложений для рассылки вредоносных программ с использованием современных технологий, таких как облака, big data, ИИ. С синдикатами, работающими вместе, границы между группами- источниками угроз становятся еще более размытыми, что делает идентификацию киберпреступного агента еще более сложной.

Помимо заражения вирусами-шифровальщиками (программы вымогатели) с помощью организации крупномасштабных спам-кампаний, злоумышленники все чаще внедряют их непосредственно в сети организаций, приобретая удаленный доступ к скомпрометированным серверам в подпольных хакерских сообществах и маркетплейсах вредоносного ПО. Это значит, что «киберпреступники будут продолжать менять свою тактику, чтобы уменьшить риски обнаружения и неудач», – говорится в отчете.

«
«Применение методов машинного обучения и искусственного интеллекта в фишинговых атаках позволит киберпреступникам увеличивать их эффективность и приведет к еще более массовому распространению вирусов-шифровальщиков, которые могут стать главным орудием в кибервойнах»,

отметил Андрей Тимошенко
»

Еще один тренд связан с уязвимостью экосистем. Этот бизнес зависит от взаимосвязанности элементов системы, а связи увеличивают подверженность компаний риску. Появляющиеся в цепочках угрозы превращают друзей, партнеров и клиентов компании в источник опасности. «Организации могут попытаться улучшить защиту за счет обмена информацией о киберугрозах, с помощью включения ИБ-проверки и тестирования поставщиков и партнеров, а также внедрения отраслевых правил по безопасности и стандартов управления рисками», – говорится в отчете.

По словам Андрея Тимошенко, в России работают группы компаний, которые были сформированы в результате слияний и поглощений организаций с разным уровнем развития ИТ и разным уровнем обеспечения безопасности.

«
«Важной задачей групп компаний и экосистем является приведение системы защиты к общему знаменателю. Одним из вариантов ее решения может быть централизация системы защиты с использованием облачных технологий»,

отметил Андрей Тимошенко
»

По мнению авторов исследования, компании должны смотреть на вопрос кибербезопасности комплексно и учитывать слабые стороны и уязвимости партнеров и третьих лиц в своих киберстратегиях. Они должны научиться создавать центры безопасности, адаптируя применяющиеся подходы к последним требованиям.

«
«Тенденции, указанные в исследовании, в глобальных угрозах безопасности применимы и к России, возможно в меньших масштабах из-за размеров экономики. Но Россия является частью глобального ИТ-мира, использует зарубежные ИТ-платформы с их преимуществами и уязвимостями и не может изолироваться»,

отметил Андрей Тимошенко
»

По его словам, компьютерные инциденты последних двух-трех лет затронули и российские компании, что мотивирует владельцев и руководство инвестировать в устойчивое и безопасное развитие. При этом наблюдается нехватка квалифицированных специалистов по ИБ внутри компаний, а сфера безопасности является настолько обширной, что требует различных, не всегда легко совместимых компетенций. В связи с этим многие обращаются к внешним поставщикам услуг безопасности.

75% компаний не уверены в эффективности своей системы кибербезопасности

16 июля 2019 года стало известно, что только четверть (25%) ведущих компаний по региону EMEA (Европа, Ближний Восток, Африка) уверены в надежности своей системы информационной безопасности. Эти данные были получены VMware в рамках совместного исследования с Forbes Insights.

Почти три четверти (70%) лидеров российского рынка и специалистов по информационной безопасности считают, что решения, которые их организация применяет для защиты своих систем, устарели. При этом 42% опрошенных отмечают, что за 2018 год их компания приобрела более свежие инструменты, направленные на борьбу с потенциальными угрозами. 75% респондентов планируют увеличить расходы на обнаружение и идентификацию атак. При этом 20% участников исследования сообщили, что их организация уже применяет 26 и более решений для безопасности.

Всего 13% ИТ-специалистов утверждают, что разрешение проблем, связанных с кибербезопасностью, занимает менее одной недели. В современном мире, где обработка данных производится в режиме реального времени, число интернет-пользователей ежедневно увеличивается более чем на миллион человек, а большая часть операций проходит через приложения в считанные секунды, такой медленный отклик представляет серьезную опасность.

Особенно драматично то, что многие компании сталкиваются с парадоксом продуктивности, когда расходы на ИБ растут, а эффективность — нет. Так, в России 96% опрошенных планируют внедрить свежие ИБ решения в течение трех ближайших лет.

Исследование, в котором приняли участие 650 компаний Европы, Ближнего Востока и Африки, позволило выявить опасную тенденцию: для борьбы с последними киберугрозами предприятия используют медленные и неэффективные методы. При этом, по данным Европейского союза, масштабы экономических последствий киберпреступности увеличились в пять раз по сравнению с 2013 годом.

Сложившийся подход к безопасности привел к тому, что организации все чаще считают себя незащищенными перед лицом киберугроз. Только четверть (26,6%) респондентов заявили, что полностью уверены в надежности своих облачных развертываний. И лишь 23,3% опрошенных уверены в готовности своих сотрудников разрешать проблемы, связанные с безопасностью.

Руководители компаний и их команды по безопасности совершенно по-разному представляют себе прогресс и совместную работу в сфере борьбы с киберугрозами. Всего 36% ИТ-специалистов считают, что руководители высшего звена их предприятий достаточно отзывчивы и активно участвуют в разрешении проблем такого рода. В то же время 27% руководителей заявляют, что уделяют значительное внимание совместной работе в области обеспечения кибербезопасности. С этим утверждением согласно всего 16% опрошенных профессионалов в области информационной безопасности.

2018: Check Point: 97% компаний не готовы к кибератакам «Пятого поколения»

Согласно отчету 2018 Security Report, подготовленному компанией Check Point Software Technologies, более 300 мобильных приложений, распространяющихся через официальные магазины, содержат вредоносный код. Также специалисты Check Point отмечают, что количество облачных угроз, атак криптомайнеров, уязвимостей MacOS и IoT-устройств продолжает расти.

«
мы наблюдаем следующее поколение кибератак — это многовекторные, крупномасштабные и стремительно распространяющиеся атаки «Пятого поколения» (Gen V), — отметил Питер Александер, директор по маркетингу Check Point Software Technologies. — 77% ИБ-директоров выразили обеспокоенность тем, что организации не готовы к таким современным кибератакам, и что подавляющее большинство инфраструктур безопасности компаний безнадежно устарело.
»

Чтобы получить больше информации о современном ландшафте киберугроз, Check Point опросил 443 ИТ- и ИБ-специалистов по всему миру о вызовах, с которыми они сталкиваются, отражая атаки «Пятого поколения». Результаты исследования показали, что защита большинства компаний отстаёт на 10 лет и как минимум на два поколения от современных кибератак Gen V. Это говорит о глобальной повсеместной уязвимости перед атаками «Пятого поколения».

«
Согласно данным 2018 Security Report, кибератаки Gen V становятся все более частыми, — отметил Дуг Кахил, руководитель группы и старший аналитик по кибербезопасности Enterprise Strategy Group. — Риску подвержены все: медицинские учреждения, государственные сервисы, крупные корпорации и т.д. 97% компаний не обладают решениями, способными противостоять кибератакам Gen V, и это нужно менять.
»

По информации Check Point, 2018 Security Report опирается на данные многочисленных исследований среди ИТ-директоров и руководителей бизнеса, а также отчетов Check Point’s Threat Cloud и Threat Intelligence Report. Исследование охватывает все современные угрозы, направленные на различные отрасли, такие как здравоохранение, промышленность и государственные структуры.

2017

PwC: Большинство российских компаний не могут противостоять кибератакам

Большинство российских компаний не могут успешно противостоять кибератакам, говорится в исследовании международной консалтинговой компании PwC, выпущенном в ноябре 2017 года.[2].

В PwC считают, что компании должны инвестировать время и средства в технологии обеспечения кибербезопасности

Половина российских респондентов отмечает, что в их компаниях нет общей стратегии информационной безопасности, а в 48% компаний нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности.

Кроме того, 56% компаний признались, что у них не отработан процесс реагирования на кибератаки. В способности найти хакеров полностью уверены лишь 19% участников исследования PwC в России и 39% респондентов во всем мире.

Среди основных мер для обнаружения киберрисков российские участники опроса назвали оценку киберугроз (50%), постоянный мониторинг системы информационной безопасности (48%), оценку уровня уязвимости (44%) и тест на проникновение для проверки системы защиты (40%).

Почти четверть российских компаний утверждают, что к проблемам с информационной безопасностью привело использование мобильных устройств. Этот фактор занял второе место после фишинговых атак, которые лидируют среди называемых угроз.

«
Киберинциденты происходят каждый день, при этом бренду и репутации компании, ставшей объектом хакерской атаки, наносится серьезный ущерб. Компаниям необходимо защищать доверие со стороны клиентов путем инвестирования времени и средств в работу по внедрению надлежащих систем и технологий, направленных на обеспечение кибербезопасности, — отметил руководитель практики по оказанию услуг в области информационной безопасности PwC в России Роман Чаплыгин.
»

По его словам, еще одним эффективным инструментом в борьбе с киберпреступностью может стать регулярный обмен информацией между компаниями.

Реальные примеры незащищенности ИТ-систем крупных компаний

При проведении аудита информационной безопасности эксперты сталкиваются со множеством самых разных уязвимостей. Некоторые из них вызывают как минимум удивление, даже притом, что испытывать какие-либо иллюзии специалистам по ИБ уже давно не свойственно.

В октябре 2017 года TAdviser получил от экспертов обзор, в котором приводится несколько особо выдающихся примеров того, насколько небезопасны могут быть системы крупных и состоятельных коммерческих компаний.

Тут нужно оговориться, что все эти компании имеют более чем адекватное понимание необходимости защищать свои внутренние ресурсы. В этом отношении компании следуют установленным best practices и регламентированным стандартам в сфере информбезопасности.

Однако в ходе скрупулёзного тестирования внутренних систем «в ручном режиме» выявлялись различные архитектурные промахи, обеспечивавшие потенциальным хакерам широчайшие возможности для компрометации. Все приведённые примеры — совершенно реальны. По само собой разумеющимся причинам названия конкретных фирм и организаций приводиться не будут.

Эпизод I: Крупная страховая компания обращается с просьбой провести аудит её внутренних систем. Таковых сразу несколько. Отдельная система отвечает за учёт данных, другая — за генерацию отчётности, третья — за введение операционной деятельности и так далее.

В процессе исследования эксперты натыкаются на ряд уязвимостей, позволяющих проводить целый ряд мошеннических действий в обход действующих инструментов разграничения доступа и нанести немалый ущерб всему бизнесу компании.

Например, одна из таких архитектурных уязвимостей позволяла красть авторизационные токены и использовать их для проведения атаки типа межсайтовой подделки запроса, притом что эти токены как раз и нужны для защиты от подобных атак. Проблема была в том, что в старом Java-приложении, написанном ещё в прошлом десятилетии, отсутствовала защита от CSRF-атак; разработчики не захотели полностью отказываться от этого приложения, вместо этого в него интегрировали готовое стороннее решение для защиты от CSRF, однако несмотря на эти изменения система осталась порядком уязвимой.

Как следствие, злоумышленник мог либо скрытно создавать в системе аккаунты с администраторскими полномочиями, либо захватывать большое количество учетных записей и совершать из-под них реальную операционную деятельность.

В частности, существовала возможность обходить верхний лимит страхового возмещения: сумма компенсации проверялась только на стороне клиента, серверная часть спокойно принимала значения, посланные с приложения-клиента. Под контролем злоумышленника могло оказаться множество учётных записей, и мошеннические действия он мог совершать из-под любой из них или даже сразу нескольких, что заметно затрудняло бы расследование инцидента.

Потенциально всё вместе это могло означать огромный ущерб, причём не только финансовый, но и репутационный.

Эпизод II: Крупная сервисная компания, предоставляющая услуги швейцарским телекомам, запрашивает проверку интернет-приложения, написанного для своих сотрудников.

Это приложение оказалось весьма проблемным само по себе. Уязвимости носили преимущественно типичный характер; некоторые недочёты были связаны с использованием «умолчательных» настроек, которые надо было менять при каждом развёртывании приложения.

Например, по умолчанию пользователям был доступен не только функционал SCP (Secure Copy), но и shell-доступ. Его необходимо было отключать, однако этого сделано не было.

Однако в процессе дальнейших исследований выявилось немало проблем с настройками серверов, обеспечивавших злоумышленникам самые широкие возможности.

Например, на сервере настройки фаерволла отсутствовали, что означало возможность инициировать любые соединения, входящие и исходящие, без ограничений; сохранялась активной функция проброса портов (port forwading), а это, по сути, аналог VPN-канала внутрь сети всей организации.

В целом при наличии доступа к аккаунту рядового сотрудника злоумышленник мог бы авторизоваться по SSH на одном из серверов компании (при этом у него появлялась ещё и возможность повысить свои привилегии до уровня суперпользователя) и развивать атаку на внутренние системы фирмы. Со всеми вытекающими.

Эпизод III: Сеть гипермаркетов запросила тестирование своего приложения для программы лояльности. Как и у многих других крупных торговых сетей, у нашего клиента существует собственная программа лояльности, с мобильным приложением в качестве одного из основных инструментов, и собственная платёжная система. Инфраструктура использовала ресурсы облачного сервиса Azure, используя предлагаемые им инструменты защиты.

Как выяснилось, в этой программе лояльности существуют весьма серьёзные уязвимости, позволяющие, в частности, компрометировать пользовательские аккаунты, подбирать секретные коды защиты, используемые при аутентификации платежей.

Была выявлена также проблема с проверочными транзакциями, которые осуществляются при привязке кредитной карты пользователя к программе лояльности. Как оказалось, такие транзакции (объёмом в один евроцент) можно проводить многократно, причём единственным ограничением на такой вывод средств могут послужить лишь фрод-мониторинг на стороне платёжного процессинга владельца карты. Если антифрод-средств нет, то нет и ограничений на количество таких транзакций.

Эксплуатация этой уязвимости могла бы означать огромный репутационный ущерб для торговой сети.

Эпизод IV: Крупный банк поручил провести аудит своего специализированного приложения, предназначенного для управления инвестициями.

Приложение представляет собой «толстый клиент», то есть обычное десктоп-приложение, доступное через VPN. Приложение оказалось полно уязвимостей разного рода, причём некоторые из них были абсолютно критическими, обеспечивающими огромную «поверхность атаки» для потенциальных злоумышленников.

Например, для развертывания приложения использовалась технология виртуального окружения, развертываемая при помощи Citrix XenApp. Разработки Citrix снабжены довольно эффективными средствами защиты, и в данном случае они были надлежащим образом активированы.

Однако во время аудита безопасности приложения удалось обнаружить в нём возможность совершать так называемый «побег» (breakout) из защищённой среды и получать доступ к серверу, находящемуся в соответствующем сегменте сети, что само по себе открывает огромные возможности по развитию атаки.

При дальнейшем аудите приложения удалось узнать аутентификационные данные базы данных Oracle: приложение общалось с базой напрямую, минуя какие-либо программные интерфейсы — подобный подход нельзя назвать безопасным.

Нетрудно представить себе, что это может означать для банка — организации, работающей с личными данными и деньгами множества людей и организаций. Успешная эксплуатация выявленных уязвимостей означала бы огромные финансовые, и, что не менее существенно, репутационные потери.

Заключение

Вопрос не в том, есть ли в инфраструктуре той или иной компании уязвимые места. Критичные или некритичные, но уязвимости есть и будут, и это объективная данность.

Вопрос в том, как к этому относятся сами владельцы бизнеса и технические специалисты. Готовы ли они рассматривать это как некую «абстрактную данность», то есть, игнорировать и, как следствие, рисковать и деньгами, и репутацией ради малозначимой экономии, или же делают то, что и следует делать — регулярно проводят аудит своей защищённости, собственными силами или привлекая внешних экспертов.

Внешний аудит — куда более продуктивный подход, уже в силу того, что сторонние эксперты могут посвящать проверке максимум ресурсов, — отметил Георгий Лагода, генеральный директор компании SEC Consult Services, проводившей описываемые исследования. — А значит, очень маловероятно, что они упустят что-либо.

См. также

Примечания