Embed Size (px)
Алексей Лукацкий, бизнес-консультант по ИБ
Информационная безопасность и фактор времени
2 © 2015 Cisco and/or its affiliates. All rights reserved.
Время не на нашей стороне
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
3 © 2015 Cisco and/or its affiliates. All rights reserved.
Скорость означает новый уровень сложности.
Злоумышленники и время
4 © 2015 Cisco and/or its affiliates. All rights reserved.
Изменение в поведении атак
Скорость Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад и обход защитных механизмов
5 © 2015 Cisco and/or its affiliates. All rights reserved.
Домены-однодневки и постоянное изменение
Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная система
Уязвимости Flash
Смена цели
Вымогатели
Angler Непрерывное забрасывание
«крючков в воду» увеличивает шанс на компрометацию
Шифрование тела ВПО Социальный инжиниринг
Смена IP Сайты-однодневки Ежедневн
ые
доработки
TTD
Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email
6 © 2015 Cisco and/or its affiliates. All rights reserved.
76110
12/2014 1/2015 2/2015 3/2015 4/2015 5/2015
New URLScheme
Com
prom
ised
Use
rs
Old URLScheme
27425 2404018960 20863
47688
76110
736913163
9010 11958 14730 12008
Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL
Новая схема URL драматически опережает старую.
Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add-On для браузера (уже 4000 имен)
7 © 2015 Cisco and/or its affiliates. All rights reserved.
Черные списки плохо помогают в борьбе с сайтами-однодневками
71% вредоносных сайтов существует всего 1 день и
меньше
8 © 2015 Cisco and/or its affiliates. All rights reserved.
Dridex: краткосрочность и мутация Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов
Кампания стартовала
Обнаружена с помощью Outbreak Filters
Антивирусный движок обнаруживает Dridex
Но злоумышленники все равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
9 © 2015 Cisco and/or its affiliates. All rights reserved.
Время обнаружения угрозы в индустрии Текущее значение TTD в индустрии - 200 дней, что недопустимо
46 200 VS ЧАСОВ ДНЕЙ
Индустрия Cisco
Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять
отпечатки каждого файла в облачный сервис Cisco
10 © 2015 Cisco and/or its affiliates. All rights reserved.
Чаще обновляйте свои средства защиты
Угрозы обновляются ежечасно
Обновляйте ежечасно и
средства защиты
11 © 2015 Cisco and/or its affiliates. All rights reserved.
Человеческая лень и самомнение увеличивают шансы злоумышленников
Время и вы
12 © 2015 Cisco and/or its affiliates. All rights reserved.
Дефицит обнаружения
2015 Data Breach Investigations Report by Verizon
• В 60% нападающие проникали в сети организаций за минуты
13 © 2015 Cisco and/or its affiliates. All rights reserved.
Время обнаружения вторжения
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – один из самых долгих инцидентов в 2014-м году
Ponemon
206
HP
416 Symantec
305
14 © 2015 Cisco and/or its affiliates. All rights reserved.
Пользователи и администраторы тоже «спят»
50% пользователей открывают e-mail и кликают по фишинговым ссылкам в
первый час
Для 99,9% использованных уязвимостей бюллетень CVE был опубликован больше чем
за год до атаки
2015 Data Breach Investigations Report by Verizon
15 © 2015 Cisco and/or its affiliates. All rights reserved.
Время на устранение уязвимостей
Финансы
176 Здравоохранение
97
Облачные провайдеры
50 Образование
176
2015 State of Vulnerability Risk Management by NopSec
16 © 2015 Cisco and/or its affiliates. All rights reserved.
Уязвимости на уровне сети устраняются очень медленно
Внешняя сеть
182 Внутренняя сеть
101
Web-приложения
20
2015 State of Vulnerability Risk Management by NopSec
17 © 2015 Cisco and/or its affiliates. All rights reserved.
Уязвимости в Web остаются открытыми годами
Ритейл
947 ИТ
654
Проф. услуги
1027
Финансы
739
Госорганы
1033
Здоровье
572
Производ
556
Пищевая
502
Транспорт
299
2015 Website Security Statistics Report by Whitehat Security
18 © 2015 Cisco and/or its affiliates. All rights reserved.
Службы ИБ/ИТ работают медленнее нападающих
100-120 дней на устранение уязвимостей
Вероятность эксплуатации уязвимостей в первые
40-60 дней достигает 90%
The Remediation Gap: Why Companies Are Losing the Battle Against Non-Targeted Attacks by Kenna
19 © 2015 Cisco and/or its affiliates. All rights reserved.
• Службы ИТ/ИБ работают медленнее нападающих
• Устраняться могут уязвимости, неинтересующие злоумышленников
• Своевременное обновление приложений остается одной из ключевых задач предприятий
А у вас есть стратегия обновлений?
Например, Heartbleed
56% открытых SSL-версий старше 50 месяцев
20 © 2015 Cisco and/or its affiliates. All rights reserved.
Обновляйтесь сами
Не почивайте на лаврах – постоянно совершенствуйтесь
Не кладите все яйца в одну корзину
21 © 2015 Cisco and/or its affiliates. All rights reserved.
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
22 © 2015 Cisco and/or its affiliates. All rights reserved.
Выводы
Не закрывать глаза на проблему
Увеличить частоту
обновления
Мониторить и реагировать, а не только защищать
Повышать собственные знания
Не зависеть от одного средства
23 © 2015 Cisco and/or its affiliates. All rights reserved.
Дополнительная информация
24 © 2015 Cisco and/or its affiliates. All rights reserved.
Дополнительная информация
25 © 2015 Cisco and/or its affiliates. All rights reserved.
Дополнительная информация
26 © 2015 Cisco and/or its affiliates. All rights reserved.
