Информационная безопасность и фактор времени

Алексей Лукацкий, бизнес-консультант по ИБ

Информационная безопасность и фактор времени

2 © 2015 Cisco and/or its affiliates. All rights reserved.

Время не на нашей стороне

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы


Скорость означает новый уровень сложности.

Злоумышленники и время


Изменение в поведении атак

Скорость Ловкость Адаптация Уничтожение

Инновации, использование старых приемов на новый лад и обход защитных механизмов


Домены-однодневки и постоянное изменение

Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014

Скомпрометированная система

Уязвимости Flash

Смена цели

Вымогатели

Angler Непрерывное забрасывание

«крючков в воду» увеличивает шанс на компрометацию

Шифрование тела ВПО Социальный инжиниринг

Смена IP Сайты-однодневки Ежедневн

ые

доработки

TTD

Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПК Сканирование Email


76110

12/2014 1/2015 2/2015 3/2015 4/2015 5/2015

New URLScheme

Com

prom

ised

Use

rs

Old URLScheme

27425 2404018960 20863

47688

76110

736913163

9010 11958 14730 12008

Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям

Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL

Новая схема URL драматически опережает старую.

Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add-On для браузера (уже 4000 имен)


Черные списки плохо помогают в борьбе с сайтами-однодневками

71% вредоносных сайтов существует всего 1 день и

меньше


Dridex: краткосрочность и мутация Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов

Кампания стартовала

Обнаружена с помощью Outbreak Filters

Антивирусный движок обнаруживает Dridex

Но злоумышленники все равно проникли в систему

Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов


Время обнаружения угрозы в индустрии Текущее значение TTD в индустрии - 200 дней, что недопустимо

46 200 VS ЧАСОВ ДНЕЙ

Индустрия Cisco

Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять

отпечатки каждого файла в облачный сервис Cisco


Чаще обновляйте свои средства защиты

Угрозы обновляются ежечасно

Обновляйте ежечасно и

средства защиты


Человеческая лень и самомнение увеличивают шансы злоумышленников

Время и вы


Дефицит обнаружения

2015 Data Breach Investigations Report by Verizon

•  В 60% нападающие проникали в сети организаций за минуты


Время обнаружения вторжения

Bitglass

205

Trustwave

188

Mandiant

229

2287 дней – один из самых долгих инцидентов в 2014-м году

Ponemon

206

HP

416 Symantec

305


Пользователи и администраторы тоже «спят»

50% пользователей открывают e-mail и кликают по фишинговым ссылкам в

первый час

Для 99,9% использованных уязвимостей бюллетень CVE был опубликован больше чем

за год до атаки

2015 Data Breach Investigations Report by Verizon


Время на устранение уязвимостей

Финансы

176 Здравоохранение

97

Облачные провайдеры

50 Образование

176

2015 State of Vulnerability Risk Management by NopSec


Уязвимости на уровне сети устраняются очень медленно

Внешняя сеть

182 Внутренняя сеть

101

Web-приложения

20

2015 State of Vulnerability Risk Management by NopSec


Уязвимости в Web остаются открытыми годами

Ритейл

947 ИТ

654

Проф. услуги

1027

Финансы

739

Госорганы

1033

Здоровье

572

Производ

556

Пищевая

502

Транспорт

299

2015 Website Security Statistics Report by Whitehat Security


Службы ИБ/ИТ работают медленнее нападающих

100-120 дней на устранение уязвимостей

Вероятность эксплуатации уязвимостей в первые

40-60 дней достигает 90%

The Remediation Gap: Why Companies Are Losing the Battle Against Non-Targeted Attacks by Kenna


•  Службы ИТ/ИБ работают медленнее нападающих

•  Устраняться могут уязвимости, неинтересующие злоумышленников

•  Своевременное обновление приложений остается одной из ключевых задач предприятий

А у вас есть стратегия обновлений?

Например, Heartbleed

56% открытых SSL-версий старше 50 месяцев


Обновляйтесь сами

Не почивайте на лаврах – постоянно совершенствуйтесь

Не кладите все яйца в одну корзину


Пора задуматься о смене стратегии

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21


Выводы

Не закрывать глаза на проблему

Увеличить частоту

обновления

Мониторить и реагировать, а не только защищать

Повышать собственные знания

Не зависеть от одного средства


Дополнительная информация






Technology

Информационная безопасность и фактор времени