Программы-вымогатели: платить или не платить?

Алексей Лукацкий: «Известные еще в 80-х программы-вымогатели выходят сегодня на новый виток развития»


11:41 13.09.2016   |   3203 |  Алексей Чернобровцев |  Computerworld Россия

Рубрика Индустрия



Согласно очередному отчету Cisco Midyear Cybersecurity Report, в первом полугодии 2016 года самой доходной категорией злонамеренного кода стали программы-вымогатели.

Компания Cisco Systems представила очередной отчет по информационной безопасности Midyear Cybersecurity Report за первое полугодие 2016 года, выпущенный по результатам исследования, проведенного подразделением Cisco Talos. Как пояснил Алексей Лукацкий, ведущий бизнес-консультант по безопасности российского офиса Cisco, подобные отчеты выпускаются в течение восьми последних лет: в компании относят кибербезопасность корпоративных информационных систем к приоритетным направлениям своей деятельности.

По данным отчета, самой доходной категорией злонамеренного кода стали программы-вымогатели, инфицирующие и шифрующие файлы, каталоги и содержимое жестких дисков. Распространению таких программ в значительной степени способствует готовность владельцев зараженных компьютеров платить за восстановление их работоспособности (в нашей стране, по данным Cisco, размер оплаты составляет в среднем 5 тыс. руб.). Авторы отчета предупреждают: выплата денег злоумышленникам не гарантирует расшифровки и восстановления данных, а ошибки, допущенные в программах вымогателей, делают в ряде случаев невозможным восстановление работоспособности информационных систем предприятий.

В Cisco прогнозируют дальнейшее развитие и совершенствование программ-вымогателей. Не исключено появление их новых модульных разновидностей, способных оперативно менять тактику атак, ожидается также повышение скорости распространения и возможность саморепликации в организациях до начала атак.

Дополнительную угрозу для многих организаций представляет их нежелание проводить обновления в инфраструктуре. К примеру, многие владельцы оборудования не хотят трогать свои маршрутизаторы, пока «все нормально работает». Среди других причин – отсутствие финансовых средств и чрезмерная загрузка ИТ-персонала. По данным Cisco, средний срок эксплуатации устройств с уже известными уязвимостями различается по регионам. Так, в Северной Америке он составляет 3,7 года, в странах Восточной Европы и России – 3,6 года, в Восточной Азии – 5,2 года.

Исследования Cisco свидетельствуют о расширении сферы действия злоумышленников, которые к объектам атак добавили и серверы. В программах-вымогателях теперь используются в числе прочих уязвимости подключенных к Интернету серверов приложений, значительная часть которых уже скомпрометирована, несмотря на выпуск обновлений, вполне способных предотвратить подобные атаки.

В отчете в очередной раз отмечаются уязвимости мультимедийной платформы Adobe Flash, широко используемой для создания сложного веб-контента; эти бреши остаются одной из главных целей вредоносной рекламы.

В первой половине 2016 года отмечено также появление новых методов атак, использующих недоработки в обозреваемости сетей предприятий (в среднем, по данным отчета, на выявление новых угроз требуется до 200 дней). На первое место среди веб-атак вышли эксплойты двоичных файлов Windows, затрудняющие обнаружение и устранение атак.

Для маскировки различных аспектов злонамеренной деятельности все чаще в атакующих программах применяется шифрование. Анонимности в Интернете способствует использование злоумышленниками протокола безопасности транспортного уровня Transport Layer Security и браузера Tor.

С декабря прошлого года по март 2016-го отмечено почти шестикратное увеличение применения вредоносных программ с шифрованием по протоколу HTTPS, которые остаются необнаруженными длительное время.

В отчете высказывается озабоченность геополитическими вопросами, среди которых сложность регламентирования и противоречивость политик кибербезопасности в разных странах, а также возможные ограничения международной торговли из-за регуляторных требований доступа к данным.

Целью злоумышленников, утверждают в Midyear Cybersecurity Report 2016, являются все вертикальные рынки, многие общественные организации, благотворительные и неправительственные учреждения, а не только наиболее привлекательные в финансовом отношении коммерческие предприятия.

Об опасности кибермошенничества свидетельствуют также прогнозы подразделения IBM Security, согласно которым мировые потери бизнеса от кибератак могут достичь в 2016 году 450 млрд долл.

В Сбербанке оценивают годовые потери российской экономики от кибертак в размере 600 млрд руб. и отмечают, что в текущем году было зафиксировано около 60 критичных для банка инцидентов в области информационной безопасности.

Для борьбы с киберпреступниками в Cisco рекомендуют обновить инфраструктуру и ПО, внедрить системы оперативного оповещения об угрозах, разработать планы реагирования на инциденты даже в случае успешных атак вымогателей и не доверять протоколам HTTPS/SSL/TLS. Кроме того, компания призывает организации уделять должное внимание резервному копированию, а также постоянно повышать осведомленность пользователей в вопросах информационной безопасности.

Рецепты Cisco

Cisco Systems представила ряд новых сервисов и облачных решений на базе ориентированной на угрозы архитектуры безопасности Cisco, которые упрощают, как утверждают в компании, формирование эффективных систем защиты информационных активов предприятий.

В их состав входят разработки, сделанные в рамках проекта Umbrella приобретенной в прошлом году компании OpenDNS. Эти технологии препятствуют перехвату трафика в сетях Wi-Fi и противодействуют угрозам, которые подстерегают посетителей «подставных» сайтов, отличающихся от оригинальных несколькими символами в доменных именах. Теперь эти продукты предоставляются под бредом Cisco Umbrella.

Централизованное облачное решение Cisco Umbrella Roaming обеспечивает, не требуя дополнительных агентов, защиту работающих в роуминге пользователей. Благодаря встроенному в VPN-решение Cisco AnyConnect модулю Umbrella Roaming осуществляется блокировка взаимодействия с вредоносными сайтами.

Облачное решение Cisco Umbrella Branch позволяет контролировать гостевое использование сетей Wi-Fi. Оно осуществляет фильтрацию контента (трафик как гостей предприятий, так и корпоративных пользователей), блокирование запросов к вредоносным доменам и IP-адресам, а также поддерживает обновление ПО маршрутизаторов с интегрированными сервисами Integrated Services Routers, которые обслуживают филиалы и удаленные офисы предприятий.

Защиту филиалов от вредоносного кода обеспечивает унифицированное решение управления угрозами Cisco Meraki MX на базе технологий Advanced Malware Protection и Threat Grid, которое осуществляет поверку файлов по облачной базе данных, выявляет вредоносный контент и блокирует файлы до их загрузки пользователями.

Кроме того, выпущено программное обеспечение Cisco Stealthwatch Learning Network License, которое наделяет маршрутизаторы Cisco ISR, установленные в филиалах, способностью обнаружения угроз и применения политик безопасности, помогает выявлять сетевые аномалии и идентифицировать вредоносный трафик, а также использует машинное обучение для обнаружения скрытных угроз.

Для управления инфраструктурой и политиками информационной безопасности в масштабных распределенных конфигурациях предлагается облачное решение с консольным интерфейсом Cisco Defense Orchestrator, действие которого распространяется на такие продукты, как межсетевые экраны ASA, ASAv, ASA с сервисами FirePOWER, а также на интегрированные экраны нового поколения Cisco Firepower.

 


Теги: Информационная безопасность Cisco Алексей Лукацкий
На ту же тему: