Ежегодный отчет Cisco по ИТ-безопасности: компании инвестируют в защиту, киберпреступники совершенствуют свои навыки

Российское представительство компании провело круглый стол, главной темой которого стал традиционный отчет Cisco по кибербезопасности за 2018 год. О положении дел в сфере мировой ИТ-безопасности рассказал в своей презентации заслуженный системный инженер Cisco Михаил Кадер.

М. Кадер отметил два ключевых момента, которые нашли отражение в отчете Cisco. Во-первых, руководители компаний и предприятий стали осознавать степень постоянно увеличивающихся цифровых угроз и инвестировать средства в современные средства защиты, автоматизацию бизнеса и т. д. Во-вторых, киберпреступники продолжают активно совершенствовать свои навыки и средства нападения.

По данным ряда исследований, на сегодняшний день владельцы и топ-менеджеры компаний стали уделять самое пристальное внимание опасностям, исходящим из сети. Так, например, 39% организаций активно внедряют автоматизацию производственных и бизнес-процессов, 34% используют машинное самообучение, 32% применяют искусственный интеллект.

 

Рис. 1. Злоумышленники для достижения своих целей активно используют  зашифрованный трафик.

Рис. 1. Злоумышленники для достижения своих целей активно используют  зашифрованный трафик

 

С другой стороны, киберпреступники также уделяют большое внимание развитию вредоносных технологий. Как отмечается в отчете Cisco, сегодня злоумышленники используют облачные сервисы и избегают обнаружения с помощью шифрования, которое помогает скрыть активность потока команд и управления. Все чаще они проводят полевые испытания вредоносного кода и методов его развертывания. К числу наиболее распространенных у преступников приемов можно отнести следующие:

  • Обфускация команд и управления;
  • Использование облака;
  • Сетевые программы-вымогатели;
  • Работа с уязвимостями и обновлениями ПО;
  • DDoS-атаки в Интернете вещей (IoT).

С развитием Интернета вещей атаки на связанные с ним системы будут только усиливаться. По словам Михаила Кадера, 69% опрошенных в рамках отчета Cisco организаций считают, что атаки на операционные технологии – это уже реальность. Еще 20% организаций полагают, что такие атаки рано или поздно произойдут. И лишь 10% думают, что киберугрозы не выйдут за рамки ИТ-технологий.

 

Рис. 2. Атаки на операционные технологии организации считают реальностью

Рис. 2. Атаки на операционные технологии организации считают реальностью

 

Чтобы сократить время обнаружения, специалисты по кибербезопасности начинают все больше применять средства, использующие искусственный интеллект (ИИ) и машинное самообучение (МС). Кроме того, для выявления атак и защиты от злоумышленников большинство организаций используют инструменты поведенческого анализа.

Как отмечают эксперты, с одной стороны, шифрование помогает усилить защиту, с другой стороны – само становится источником опасности, так как рост объемов как легитимного, так и вредоносного шифрованного трафика (50% по состоянию на октябрь 2017 г.) провоцирует увеличение проблем для защищающихся в процессе выявления потенциальных угроз и мониторинга их активности. За прошедшие 12 месяцев специалисты Cisco по информационной безопасности зафиксировали более чем трехкратный рост шифрованного сетевого трафика от инспектируемых образцов вредоносного ПО.  

Чтобы предотвращать атаки, совершаемые посредством зашифрованного вредоносного трафика, необходимо применять самые современные цифровые технологии. Например, использование машинного самообучения помогает повысить эффективность защиты сети  и, спустя некоторое время, позволит автоматически выявлять нестандартные паттерны в шифрованном веб-трафике, в облачных и IoT-средах. По сведениям Cisco, некоторые из 3600 директоров по информационной безопасности, опрошенных в ходе подготовки отчета Cisco 2018 Security Capabilities Benchmark Study, отметили, что доверяют как машинному обучению, так и искусственному интеллекту и хотели бы их использовать, однако они разочарованы большим количеством ложных срабатываний.  Но не стоит забывать о том, что данные технологии только начали развиваться и в перспективе будут с высокой точностью определять подозрительную и нормальную активность сетей.

Старший вице-президент Cisco, директор по информационной безопасности Джон Стюарт (John Stewart), отметил: «Эволюция вредоносного ПО за прошедший год показала, что злоумышленники с большей изобретательностью стали использовать незащищенные бреши в системах безопасности. Для отражения нападений и уменьшения подверженности нарастающим рискам как никогда ранее важно стратегически совершенствовать защиту, инвестировать в технологии и внедрять передовые методики».

Отчет Cisco показал, что финансовый ущерб от кибератак становится все более реальным и значительным. По данным респондентов, более половины всех атак нанесли финансовый ущерб в размере свыше 500 млн. долларов, включая, в том числе, потерю доходов, отток заказчиков, упущенную выгоду и прямые издержки.

Злоумышленников ищут любые пути входа в компанию на всех этапах ее деятельности. В частности, усложняются и набирают скорость атаки на цепочки поставок. В рамках данных атак происходит масштабное заражение компьютеров, которое может длиться довольно продолжительное время – от нескольких месяцев до нескольких лет. Поэтому эксперты рекомендуют уделять особое внимание тому, как партнеры компании относятся к обеспечению информационной безопасности.

Еще одна тенденция заключается в том, что осуществлять эффективную защиту от киберугроз становится все сложнее, так как уязвимости становятся разнообразнее. Организации, как правило, используют для защиты комплексные сочетания продуктов от различных вендоров, что усложняет процесс обнаружения и подавления атак и ведет, в том числе, к увеличению рисков финансовых потерь.

 

Рис. 3. Чем больше организация использует продуктов и решений от разных производителей для обеспечения кибербезопасности, тем сложнее становится процесс управления всей этой системой, а значит, растут риски успешных атак со стороны злоумышленников

Рис. 3. Чем больше организация использует продуктов и решений от разных производителей для обеспечения кибербезопасности, тем сложнее становится процесс управления всей этой системой, а значит, растут риски успешных атак со стороны злоумышленников

 

Тем не менее, специалистами по ИТ-безопасности уже используется ряд технологий, позволяющих эффективно выявлять вредоносные объекты. В их числе – средства поведенческого анализа. При этом 92% опрошенных ИТ-специалистов считают такие средства полезными.

По словам Михаила Кадера, существует также опасность игнорирования тревожных сообщений. Результаты опроса Cisco показали, что среди компаний-респондентов 92% получали тревожные сообщения безопасности. При этом расследуются только 56% тревожных сообщений, причем 34% расследованных сообщений информируют о реальной угрозе безопасности. Однако только 51% обоснованных сообщений обрабатываются, и по ним принимаются меры. Таким образом, риск пропустить кибератаку значительно возрастает.

 

Рис. 4. Облачные технологии обеспечивают более высокий уровень защиты данных, но и здесь киберпреступники пытаются осуществлять свою деятельность

Рис. 4. Облачные технологии обеспечивают более высокий уровень защиты данных, но и здесь киберпреступники пытаются осуществлять свою деятельность

 

С распространением облачных технологий злоумышленники научились наносить урон компаниям и в них. Преступники пользуются тем, что в облаках недостаточно продвинутых средств обеспечения безопасности. По данным исследования Cisco, в 2018 году 27% специалистов по информационной безопасности используют внешние частные облака. При этом 57% из них размещают в облаке сеть для лучшей защиты данных, 48% - ради масштабируемости, 46% - ради удобства эксплуатации. Однако, несмотря на повышенную безопасность данных в облаке, злоумышленники пользуются тем, что организации не очень хорошо справляются с защитой развивающихся и расширяющихся облачных конфигураций. Эффективность защиты таких конфигураций повышается с использованием сочетания передовых методик: таких продвинутых технологий безопасности, как машинное самообучение, и таких средств защиты первой линии, как облачные платформы информационной безопасности.

Еще одна тенденция, которая заслуживает пристального внимания со стороны любой компании, – это рост объемов вредоносного ПО и сокращение времени его обнаружения. Стоит отметить, что, по данным Cisco, медианное время обнаружения (time to detection, TTD) за период с ноября 2016 по октябрь 2017 годов составило около 4,6 часов. В ноябре 2015 года этот показатель достигал 39 часов. При этом, по данным Отчета Cisco по кибербезопасности за 2017 год, медианное время обнаружения за период с ноября 2015 по октябрь 2016 годов составило 14 часов. Ключевым фактором для Cisco в процессе сокращения времени обнаружения и поддержания его на низком уровне стали облачные технологии обеспечения информационной безопасности. Чем меньше время обнаружения, тем быстрее отражается атака.

 

Рис. 5. С каждым годом время, необходимое на обнаружение угроз, сокращается

Рис. 5. С каждым годом время, необходимое на обнаружение угроз, сокращается

 

Специалисты Cisco по результатам исследований, осуществлявшихся для ежегодного отчета по кибербезопасности, предложили ряд рекомендаций для подразделений информационной безопасности:

  • Осуществлять контроль за соблюдением корпоративных политик и практик для обновления приложений, систем и устройств;
  • Своевременно получать точные данные по угрозам и задействовать процессы, позволяющие использовать эти данные для контроля безопасности;
  • Проводить углубленный и продвинутый анализ;
  • Регулярно осуществлять резервное копирование данных и проверку процедур восстановления – критичные действия в условиях быстрой эволюции сетевых программ-вымогателей и разрушительного вредоносного ПО;
  • Проводить проверки безопасности микросервисов, облачных сервисов и систем администрирования приложений.

В заключение круглого стола Михаил Кадер озвучил данные о состоянии кибербезопасности в России. На сегодняшний день число российских компаний, использующих продукцию более 11 вендоров, значительно ниже, чем во всем мире, - всего 11%; 64% респондентов используют решения 1-5 вендоров ,25% – 6-10 вендоров. Специалисты по информационной безопасности сообщили, что 51% нарушений защиты затронул от 11 до 50% их систем. Только 8% нарушений защиты затронули более половины систем. Кроме того, 85% специалистов сообщили, что средства поведенческого анализа хорошо справляются со своей задачей, а 18% специалистов по ИБ заявили об использовании внешних частных облаков. Из них 47% объяснили использование облака лучшей защитой данных, 56% - простотой использования, 47% - масштабируемостью.

Рубрики: Безопасность

Ключевые слова: Cisco, информационная безопасность