14 января 2014 г.
Новые кибератаки, подозрения в кибершпионаже и призрак Большого брата в лице Агентства национальной безопасности США (NSA) еще больше заострили внимание на ИТ-безопасности в прошлом году. Снова и снова поднимались вопросы прайвеси, в том числе в соцсетях, защищенности облака и персональных данных, угроз от инсайдеров и т. д.В течение года можно было наблюдать дальнейшее совершенствование технологий анализа вредоносного ПО. Компании FireEye и Palo Alto Networks привлекли внимание своими платформами анализа подозрительных файлов, а публикации о кибершпионаже и заказном вредоносном ПО вызвали растущий интерес к технологиям детального анализа угроз, помогающим организациям целенаправленно управлять рисками.
Каждый год вендоры ИБ публикуют свои прогнозы - списки ожидаемых угроз, на основе которых продумывают предложение своих продуктов и услуг. CRN ежегодно изучает эти прогнозы, чтобы помочь VAR`ам лучше понимать тенденции рынка и быть готовыми предложить наиболее востребованные заказчиками технологии.
Ниже перечислены тенденции рынка ИТ-безопасности, которые CRN рассматривает как наиболее значимые в наступившем году.
10. «Возвращение к основам»
Вендоры средств ИТ-безопасности говорят, что киберпреступники постоянно используют уже известные уязвимости ПО и слабости конфигурации. Даже хорошо финансируемые преступные группы не пренебрегают самыми простыми и дешевыми способами проникновения в корпоративные системы. Проведение анализа с целью выявить уязвимости, приоритизировать установку заплат и поддерживать надлежащую конфигурацию систем будет растущей тенденцией для организаций в 2014 году, считает фирма Total Defense, разработчик технологий защиты точек подключения к сети.
Поставщики услуг управления ИТ и реселлеры-консультанты, нацеленные на ИБ, говорят, что заказчики проявляют всё больше интереса к анализу рисков, проводя апгрейд и перестройку своих систем защиты информации. Зачастую для этого достаточно самых простых мер: более тонкая настройка имеющихся устройств защиты сети для достижения большей производительности, внедрение действенных программ обучения пользователей основам кибербезопасности и др.
9. Упреждающий анализ, а не просто обнаружение
Многие вендоры ИБ прогнозируют растущую потребность организаций в том, чтобы специалисты по анализу угроз и отражению многоуровневых атак помогли им изучить подозрительные действия в сети и блокировать активные угрозы. Многие из новых технологий включают функции обнаружения угроз, но нужны хорошие специалисты, чтобы определить степень их воздействия.
Поставщики услуг управления ИТ помогают обеспечить активный мониторинг сети и сопровождение устройств защиты у своих клиентов, но всё большее значение приобретает упреждающий анализ угроз с изучением системных журналов. MSP часто помогают фирмам, не имеющим собственного персонала, способного обнаружить подозрительные действия, выявить и блокировать скрытые угрозы.
8: Активная оборона
Juniper Networks прогнозирует, что организации будут шире внедрять технологии активной обороны (active defense), помогающие ввести в заблуждение атакующих, заставляя их думать, что они действительно получили доступ к важным системам. Фальсификация проникновения (intrusion deception), утверждает Juniper, может серьезно затруднить попытки киберпреступников и увеличить их затраты на свои операции.
Фирмы ИТ-безопасности Crowdstrike и Cylance опираются на глубокий анализ угроз, помогая выстроить активную оборону. Но компания Websense в своем прогнозе предупреждает, что такая «наступательная» тактика защиты может направить «ответный удар» не по адресу - в прицел могут попасть невинные фирмы.
7. Анализ поведения
Фирма ИБ Trusteer, недавно купленная IBM, прогнозирует дальнейший рост технологий, которые отслеживают поведение пользователя, стремясь выявить подозрительные действия, которые могут означать атаку. Главный управляющий компании FireEye Дейв ДеУолт говорит, что организации проявляют интерес к продуктам, которые нацелены на анализ происходящего в сети, выявление вредоносного ПО и анализ поведения в точках внешнего подключения с целью ускорить обнаружение и блокировать попытку еще до утечки данных.
Forrester Research в своем недавнем отчете отмечает растущее внедрение технологий, помогающих предотвратить ошибки пользователей, ведущие к потере данных. Системы защиты от мошенничества, которые блокируют подозрительные действия на сайтах И-коммерции, могут быть направлены «вовнутрь», чтобы выявить вредоносные действия собственных сотрудников. Джейсон Кларк, директор по ИБ и стратегии компании Accuvant, недавно сказал в интервью CRN, что наблюдает быстрый рост анализа поведения и аналитики данных после скандала в связи методами работы NSA.
6. Внимание к прайвеси и угрозам инсайдеров
Компания Trend Micro считает, что потеря общественного доверия после публикаций о практике слежения за гражданами с санкции государства будет иметь своим результатом всевозможные действия с целью обеспечить прайвеси. Другие фирмы ИБ предсказывают по-прежнему слабое распространение облачных вычислений и приостановку проектов миграции. Ожидается также, что организации уделят больше внимания угрозам инсайдеров, внедряя процессы, отслеживающие вредоносные действия, равно как и ошибки пользователей, ведущие к утечке данных.
Cisco Systems, Juniper Networks, McAfee и Symantec отмечают более широкое распространение шифрования. Специалисты в данной области отмечают, что организациям следует заново оценить надежность своей практики шифрования, правильность конфигурации и наличие должного сопровождения. Атакующие часто находят способы воспользоваться слабостью схемы шифрования.
5. Вредоносное ПО становится изощреннее
Фирмы ИТ-безопасности прогнозируют также, что создатели вредоносного ПО будут стремиться повторить успех троянца Cryptolocker, организуя новые атаки, требующие выкупа за снятие блокированного доступа к файлам.
Ожидается также дальнейшее распространение атак с использованием всё более сложного вредоносного ПО. Фирма Sophos ожидает новую волну готовых мощных «наборов хакера», помогающих начинающим киберпреступникам достигать своей цели. В частности, называются Redkit и Neutrino - два мощных автоматизированных инструментария атак, приходящих на смену печально известному набору эксплойтов Black Hole, как знак того, что атаки будут только множиться и усложняться.
Вендоры отмечают, что современное вредоносное ПО всё шире использует более сильное шифрование и другие способы обмана защиты. Используются специальные методы уклонения от обнаружения, когда имитируются системные процессы или выполнение кода запускается после щелчка мыши. Вредоносная программа может также обнаружить присутствие среды анализа файлов от FireEye, Lastline, Palo Alto и др. и оставаться скрытой, чтобы ее обмануть.
4. Простые, но прицельные атаки
Компания Websense не ожидает резкого увеличения количества сложных атак. Ее исследование показывает, что некоторые группы киберпреступников меньше используют массированные, усложненные атаки, поскольку при большей продолжительности возрастает риск обнаружения. Websense прогнозирует рост мелких, прицельных атак с целью украсть регистрационные данные и получить доступ к нужной информации. Фирма ИТ-безопасности Trusteer указывает, что умные хакеры будут возвращаться к старым, проверенным методам взлома, тем самым обходя многие из новейших систем обнаружения. Trend Micro и другие вендоры предупреждают о грядущей волне прицельного «фишинга» и атак «у водопоя» (watering hole), так как большинство киберпреступников стремятся украсть именно данные учетной записи. Прицел на разработку защищенного ПО, обеспечение безопасности точек подключения (своевременной установкой заплат в сети и на устройства) и устранение слабых конфигураций могут помочь значительно снизить риск серьезного вторжения, подчеркивают специалисты.
3. Опасное мобильное ПО
Многие фирмы указывают на дальнейшее нарастание вредоносного ПО для Android и атак на смартфоны и планшеты. Чтобы защититься от мобильных угроз, организации будут внедрять новые технологии для защиты корпоративных данных на самих устройствах. Главным принципом станет не защита всего устройства, а прицел на управление доступом, шифрование и другие меры, призванные обеспечить контроль за тем, что могут делать сотрудники с корпоративными данными в популярных мобильных приложениях.
Ожидается также рост атак типа «человек посередине» (man-in-the-middle) с целью перехвата банковских транзакций и мобильных платежей. ИБ-фирмы предсказывают также новую разновидность атакующих (weaponized) мобильных приложений, которые маскируются под обычные программы, но нацелены на конкретные процессы корпоративных систем. И еще. Полностью удалить вредоносное ПО будет трудно: речь идет не просто о деинсталляции.
2. Тяжелые последствия атак
Поставщики услуг управления ИТ говорят, что порой приходится полностью стирать жесткий диск (особенно в мелких фирмах) после атак типа Cryptolocker. Некоторые фирмы ИБ предсказывают, что 2014 год принесет новую волну опустошительных атак - не на критически важную инфраструктуру (энергосистемы или нефтеперерабатывающие заводы), как указывали некоторые, а атаки хактивистских групп, имеющие целью быстро распространиться в корпоративной сети и уничтожить данные. Вредоносное ПО может быть также нацелено на стирание резервных копий на сетевых СХД или в облаке.
Вирус Shamoon, атаковавший корпоративную сеть Saudi Aramco в 2012 году, привел к стиранию 30 тыс. рабочих станций в компании, нарушив нормальную работу как минимум на неделю. Такого рода атаки могут быть повторены группой активистов для того, чтобы сделать свое заявление, предупреждают эксперты.
1. Распад Интернета?
Алекс Гостев, специалист по ИТ-безопасности компании Kaspersky Lab, предупреждает, что всплывшие подробности методов работы NSA могут привести к распаду Интернета на «национальные сегменты», что будет иметь тяжелые последствия для всей отрасли ИБ. Автоматическая реакция законотворцев в каких-то странах, которые решат ограничить доступ к «национальным данным» для других стран, может привести к техническим проблемам и даже широкомасштабным отказам систем, говорит Гостев.
Другие крупные эксперты также предупреждают о потенциальных проблемах. Энди Парди (Andy Purdy), директор по ИТ-безопасности Huawei Technologies U.S.A., сказал в интервью CRN в октябре, что не исключает вероятность новых законов, вводящих ограничения в разных странах, что может замедлить распространение новых технологий и затруднить международную торговлю. Парди, бывший и.о. директора Национального отдела кибербезопасности U.S. CERT и бывший советник президента по защите критически важной инфраструктуры, говорит, что новые государственные ограничения, рассматриваемые в ряде стран, могут сделать и без того непростую регулятивную среду для многонациональных компаний еще более сложной.
© 2014. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Роберт Уэстервельт, CRN/США