Аналитики Cisco изучили актуальные киберугрозы и подготовили рекомендации по противостоянию им. Итоги исследований представил бизнес-консультант компании по безопасности Алексей Лукацкий.
Email Security Report
Согласно Email Security Report, электронная почта остается каналом номер один для злоумышленником при атаках как на обычных пользователей, так и на компании. Это самый популярный инструмент для распространения вредоносного кода (92,4% атак) и фишинга (96% атак). К наиболее частым видам угроз относятся фишинг в Office 365, утечка деловой переписки, цифровое вымогательство и мошенничество с фиктивными авансовыми платежами.
Большинство вредоносных вложений – регулярно используемые типы документов, такие как .doc (41,8%), .zip (26,3%) и .js (14%). Поэтому совет не открывать подозрительные файлы фактически не применим, отметил Лукацкий. Для запуска спам-кампаний хакеры используют два основных метода — ботнеты (Necurs, Emotet, Gamut) и инструменты массовой рассылки электронной почты. К явным признакам фишинговых писем относятся несовпадения адреса из поля «Кому» с адресом электронной почты, грамматические ошибки, нечеткие логотипы; требования незамедлительных действий; запросы личной или конфиденциальной информации; URL-адреса необычного вида и пр.
Несмотря на эти признаки, с фишингом бороться сложно, посетовал Лукацкий, поскольку есть целые компании, работающие над усовершенствованием этой угрозы. По данным Cisco, ежеквартально появляется 500 тыс. новых фишинговых доменов. В рамках противодействия угрозе компания советует использовать технологии для обеспечения своей компании, обновлять ПО и проводить регулярные учения для сотрудников.
Threat Hunting Report
Хакерские атаки становятся все изощреннее. Так, злоумышленники научились незаметно перенаправлять трафик информации с оборудования компании на свои подставные узлы, нападать на мобильные устройства, менее защищенные, чем стационарные, и атаковать жертв через ее контрагентов. Заражение пользователей часто происходит по легальным каналам или с использованием легальных программ. Например, вредосный код Olympic destroyer использует части Windows.
Скрытые, то есть те, с которыми ранее не приходилось сталкиваться, угрозы информационной безопасности – одна из наибольших опасностей для компаний по всему миру. Их трудно выявить и еще труднее им противостоять. Поэтому в этом процессе важно применять проактивный подход к информационной безопасности вместо традиционного реагирования на атаки. К нему относятся анализ журналов (проверка системных журналов на наличие индикаторов компрометации), проверка теории (сравнение журналов с известными индикаторами компрометации) и поиск источника (кто атакует, какую инфраструктуру использует).
CISO Benchmark Study
Участники опроса отметили большое число утечек. Интересно, что 44% российских директоров указали стоимость потерь данных, не превышающую 100 долл. В большей степени в российских компаниях пострадали рабочие операции (45%), уровень лояльности клиентов (35%) и репутация бренда (31%).
Для защиты в огромном числе компаний используется до 50 решений, у каждого из которых свой формат. Управлять такой системой сложно: 65% опрошенных отметили, что при использовании подобных сред трудно определить масштаб компрометации данных, сдержать ее, а также справиться с последствиями действия эксплойта. Однако исследование показало, что специалисты уже все больше склоняются к консолидации вендоров, сотрудничеству команд специалистов по сетевому администрированию и информационной безопасности, а также повышению осведомленности о проблемах кибербезопасности. Для того чтобы ответить на вызовы, 44% респондентов увеличили расходы на технологии киберзащиты, 39% проводят тренинги в сфере информационной безопасности для сотрудников, еще 39% внедряют практики смягчения рисков.
Не все умеют компании пользоваться машинным обучением, отметил Лукацкий. Его популярность в этой области упала с 77% в 2018 году до 67% в 2019 году. Помимо этого часто организациям не хватает денег на обеспечение безопасности: 84% респондентов сказали, что не могут позволить все минимально необходимые защитные решения для своей инфраструктуры. Однако такие простые и эффективные действия, как обновление, сегментация и ограничение административного доступа не требуют вложений. Заказчики же до сих пор предпочитают покупать инструменты извне, потому что так хотят их специалисты по информационной безопасности, в то время как можно было бы оптимизировать расходы и направить деньги на инновации, констатировал Лукацкий.
Нет у компаний денег и на обучение персонала, что ведет к развитию аутсорсинга, машинного обучения, роботизации и GDPR. Последний, кстати, по мнению эксперта, не гарантирует полной защиты, но здорово уменьшает риски.
Несмотря на «достижения» киберпреступников и растущие риски информационной безопасности, Лукацкий завершил презентацию на позитивной ноте. По его словам, разочарование в неспособности противостоять на должном уровне злоумышленникам — своего рода киберусталость — снизилась с 46% в 2018 году до 30% в 2019 году.