19 июля 2013 г.
Кибер-преступность в России, в отличие от рынка технологий, развивается теми же темпами, что и на Западе. Корпоративные сети подвергаются различного рода атакам ежедневно, причем киберугрозы постоянно совершенствуются и традиционные антивирусные решения и средства обнаружения атак не всегда в состоянии оперативно идентифицировать подавляющее большинство вредоносных программ. Последние исследования подтвердили, что компании обеспокоены проблемой хакерских атак, которые могут нанести серьезный вред не только отдельным организациям, но и безопасности целых стран.IT-cпециалисты выделяют несколько тенденций в киберугрозах. Во-первых, медленно, но стабильно растет сложность атак, вторжений, вредоносного ПО - многие компании и не знают, что их систему взломали, пока атака не будет раскрыта третьей стороной. Причем иногда в роли разоблачителей выступают сами хакеры. Во-вторых, становится все больше специально обученных и изобретательных злоумышленников, которые готовы инвестировать время и ресурсы, необходимые для преодоления традиционных мер безопасности. Зачастую их целью являются рыночные данные, которые они затем с большой выгодой продают заинтересованным лицам.
Сетевой безопасностью в современных компаниях занимаются целые отделы специалистов. При этом им приходится бороться как с уязвимостями бизнес-приложений, с которыми сотрудникам приходится работать по долгу службы, так и с угрозами, исходящими от использования личных мобильных устройств, файлообменных и социальных сетей и неблагонадежных веб-ресурсов.
Компания Palo Alto Networks™, специализирующаяся на сетевой безопасности, проанализировала ранее не обнаруженные вредоносные программы в реальных корпоративных сетях по всему миру. За 3 месяца исследований было обнаружено 26 тысяч различных образцов новых сетевых вредоносов, ранее не известных ни одному антивирусному продукту на рынке. Выяснилось, что традиционные антивирусные решения не в состоянии идентифицировать подавляющее большинство вредоносных программ, инфицирующих сети через приложения реального времени, в том числе веб-браузинг. 94% полностью не детектируемых образцов вредоносного ПО доставляется через веб-браузеры или через веб-прокси. Самым эффективным методом для внедрения вредоносного ПО аналитики признали сервис FTP, через который в сеть проникает 95% вредоносных программ. Причем они могут оставаться там незамеченными антивирусным программным обеспечением более месяца. При этом 40% вредоносных программ являются версиями одного и того же кода.
Аналитики обнаружили 30 различных методов уклонения от систем безопасности и более половины всех методов были нацелены на то, чтобы вредоносы оставались незамеченными. Вредоносные программы, незаметно скачиваемые во время работы в Интернет, получают доступ к корпоративной сети предприятия. 70% вредоносных программ при этом оставляет после себя идентификаторы, для локализации которых необходимо вмешательство IT специалиста.
Использование UTM-решений позволяет повысить уровень защищенности, но при этом ведет к существенной потере производительности. Это происходит потому, что отдельные модули приходится интегрировать между собой, организовывать централизованное управление зачастую не связанных между собой решений, а сам трафик проходит через несколько отдельных модулей последовательно. Межсетевые экраны нового поколения работают по другому принципу. Next-generation Firewalls (NGFW) обеспечивает одновременное выполнение сразу нескольких функций «за один проход», в том числе функционал собственно сетевого экрана, функционал обнаружения и предотвращения атак, функционал URL-фильтрации и антивирусного сканирования, включая обнаружение угроз «нулевого дня». Причем современные разработки позволяют применять политику безопасности не к портам и IP-адресам, а к конкретным пользователям и приложениям.
Все это сводится в единую концепцию, которая включает в себя три технологии: User-ID, App-ID и Content-ID. App-ID идентифицирует порядка 900 приложений в сети, независимо от используемого порта и протокола. User-ID позволяет обеспечить интеграцию с LDAP и идентифицировать конкретных пользователей, а Content-ID обеспечивает защиту от вирусов и шпионских программ, в том числе и внутри SSL-туннелей, а также блокирует неавторизованную передачу файлов по сети и контролирует web-серфинг.
Чтобы гарантировать безопасность вызывающих подозрение исполняемых файлов, для которых пока не существует сигнатур, их необходимо запустить в тестовой зоне и посмотреть, как они будут себя вести. Компания Palo Alto Networks™ предлагает для этого два сервиса: публичное облако и частное облако. В качестве публичного облака выступает сервис WildFire. Для конкретного заказчика может быть конкретная специфическая угроза. Можно взять готовый вирус и модифицировать его или написать новый с нуля, направив против конкретной компании. WildFire позволяет перехватить файл и выявить его признаки. Если файл отнесен к категории «вредоносное программное обеспечение», то для него разрабатывается сигнатура и рассылается подписчикам.
Анализ поведения вредоносных программ показал, насколько искусны киберпреступники в сокрытии своих действий, маскируя их под видом трафика, который обычно не может быть заблокирован, например, UDP или трафик серверов DNS. Чаще всего, хакеры атакуют важные бизнес-приложения и ресурсы, обходя хрупкую периметральную систему безопасности. Последнее исследование Palo Alto Networks «Использование приложений и угрозы» показало, что всего десять приложений ответственны за более чем 97% угроз. Из этих десяти, девять – широко используемые бизнес-приложения, которые формируют основу бизнес-процессов большинства организаций.
Кроме того, большое количество рисков и уязвимостей связано с программным обеспечением, которое не было точно идентифицировано. В каждой сети всегда обнаруживается некое количество неизвестного трафика. Этот трафик, если он идет от вредоносного ПО, стремится либо минимизировать свою видимость, либо использует различные техники, чтобы скрыть свое присутствие. Если этот трафик не опознан, и он не является редким приложением клиента, то он чаще всего вредоносный. Этот неизвестный трафик является предметом пристального разбирательства администраторами безопасности.
А вот объем угроз, обнаруженных в файлообменных и социальных сетях, вопреки распространенному мнению, не высок. Социальные сети, видео и файлообменные приложения составляют около 25% всех приложений. Хотя они и занимают до 20% пропускной способности корпоративных сетей, в них обнаружили только 0,4% от общего количества выявленных угроз. Это не означает, что риска нет совсем, просто он более низкий по сравнению с объемом и частотой использования таких приложений, а также угрозами, найденных в других приложениях.
Источник: Ercan Aydin, Director Emerging Markets, Palo Alto