Для своевременного обнаружения угроз компании должны применять ретроспективный анализ

Сокращение времени на обнаружение вредоносного ПО приобретает все большую важность. Это обусловлено, прежде всего, новыми уязвимостями технологии Adobe Flash, эволюционированием программ-вымогателей и распространением мутирующего вредоносного ПО Dridex. Вследствие цифровизации бизнеса и развития всеобъемлющего интернета вредоносное ПО и киберугрозы становятся все более распространенными и всепроникающими. Так, среднее в индустрии ИБ время обнаружения угрозы теперь составляет 100-200 дней. Для сравнения: среднее время обнаружения угрозы системой Cisco Advanced Malware Protection составляет 46 часов. Результаты исследования представила компания Cisco.


«Хакеров ничто не сдерживает, и у них полностью развязаны руки, — отметил Джейсон Брвеник, ведущий инженер подразделения Cisco по разработке решений ИБ. — На их стороне преимущества в маневренности, инновационности и инициативности. Это можно видеть на многочисленных примерах действий различных организаций национального масштаба, вредоносного ПО, эксплойт-наборов и программ-вымогателей. Методы, полагающиеся лишь на профилактические меры, уже доказали свою неэффективность. Индустрия безопасности уже и так отстает от злоумышленников, чтобы можно было и дальше позволить себе тратить сотни дней на обнаружение угроз. Перед организациями стоит извечная проблема: как быть в случае компрометации системы безопасности, и актуальность этой проблемы говорит о том, что организациям необходимо вкладывать ресурсы в интегрированные технологии, способные действовать совместно и сокращать время обнаружения и восстановления до считанных часов. А когда это будет достигнуто, надо требовать, чтобы поставщики уменьшили это время до нескольких минут».


Из отчета ясно, что Аngler считается специалистами одним из наиболее технически изощренных и при этом широко распространенных эксплойт-наборов. Прежде всего это связано с тем, что он объединяет новаторские методики, сочетающие использование уязвимостей Flash, Java, Internet Explorer и Silverlight. Кроме того, благодаря применению технологии теневых доменов этот набор выводит методики уклонения от обнаружения на новый уровень.


Эксплойт-программы, использующие уязвимости Adobe Flash (такие эксплойты интегрированы, например, в наборы Angler и Nuclear), вновь набирают популярность. Это связано как с недостаточной автоматизацией процессов управления обновлениями ПО, так и с тем, что многие пользователи не уделяют внимания своевременному обновлению своих программ.


Согласно базе данных Common Vulnerabilities and Exposure, в первой половине 2015 года было зафиксировано на 66% больше случаев использования уязвимостей Adobe Flash Player, чем за весь 2014 год. Если эта тенденция сохранится, то в 2015 году технология Flash установит абсолютный рекорд по числу использованных уязвимостей, зафиксированных в CVE.


Программы-вымогатели остаются чрезвычайно прибыльной сферой деятельности киберпреступников. Именно этим объясняется постоянное развитие и появление новых вариантов таких программ. Деятельность программ-вымогателей отлажена до полной автоматизации и осуществляется через «темный интернет». Чтобы скрыть платежные операции от правоохранительных органов, выкуп производится в криптовалюте, например, в биткоинах.


Создатели часто мутирующих вирусных кампаний Dridex демонстрируют выдающееся понимание того, какие меры нужно принять, чтобы избежать обнаружения. В качестве методов уклонения применяется постоянный запуск новых кампаний и частое изменение отправителей, адресатов, вложений, почтовых агентов, содержимого электронных писем. Из-за этого традиционные антивирусные системы вынуждены заново проводить обнаружение каждого нового варианта этого вируса.


Технологическая гонка между злоумышленниками и производителями решений для информационной безопасности набирает обороты, и такое положение дел лишь увеличивает риски для организаций и частных лиц. Производители должны проявлять повышенную бдительность при разработке интегрированных решений для безопасности, призванных помочь организациям реализовать упреждающие меры защиты и правильным образом объединить в единую систему людей, процессы и технологии.


Использование отдельных, зачастую разнородных решений для информационной безопасности влечет за собой определенные проблемы для организаций. В связи с этим большую актуальность приобретает архитектура комплексной защиты от угроз, включающая в себя реализацию концепции повсеместной безопасности и обеспечивающая эффективность в любой контрольной точке периметра защиты.


Пока индустрия инфобезопасности сталкивается с проблемами, связанными с растущей фрагментацией, динамическим ландшафтом киберугроз и нехваткой специалистов, бизнес должен вкладывать ресурсы в эффективные, жизнеспособные и надежные решения и услуги в сфере информационной безопасности.


Имеющиеся средства глобального управления киберпространством не в состоянии контролировать проблемы усложняющегося ландшафта киберугроз и геополитические вызовы. Основная проблема обусловлена тем, что государственные органы собирают данные о гражданах и организациях и распределяют эти данные между различными подведомственными сферами. Но международные отношения носят ограниченный характер, и это становится существенным препятствием к созданию единой сферы контроля за глобальным киберпространством. Совместная структура управления безопасностью киберпространства, включающая в себя интересы множества заинтересованных сторон — вот что необходимо для развития бизнес-инноваций и роста мировой экономики.

Поделиться с друзьями
ASTERA