IT для среднего и малого бизнеса

Cisco: как защититься от мошеннических писем и неизвестных угроз

22 октября в Москве состоялась пресс-конференция, в ходе которой Алексей Лукацкий, бизнес-консультант по безопасности Cisco, рассказал о ключевых тенденциях на рынке информационной безопасности. Журналистам были представлены итоги исследований Email Security Report, Threat Hunting Report и CISO Benchmark Study, проведенных Cisco в 2019 году.

Рис. 1.

В Москве состоялась пресс-конференция, в ходе которой Алексей Лукацкий, бизнес-консультант по безопасности Cisco, рассказал о тенденциях на ИБ-рынке. Журналистам были представлены итоги исследований Email Security Report, Threat Hunting Report и CISO Benchmark Study, проведенных Cisco в 2019 году.

«Современный ландшафт киберугроз становится все более опасным. Количество кибератак растет в геометрической прогрессии, повышается их изощренность, и противостоять такого рода преступлениям становится все сложнее. Cisco регулярно публикует исследования, в которых мы анализируем актуальные угрозы и даем рекомендации, как наиболее эффективно противодействовать этим вызовам, – прокомментировал Алексей Лукацкий. – Серия отчетов за 2019 год содержит сведения об актуальных угрозах и их влиянии на работу организаций, а также рекомендации по защите от атак».

Чего меня удивило, так это заголовок выступления Алексея Лукацкого: «Тенденции рынка киберугроз глазами Cisco. Оптимизм берет верх». Когда по словам Алексея «количество кибератак растет в геометрической прогрессии, повышается их изощренность» говорить об оптимизме я бы не стал. Здесь похоже Алексей за оптимизм посчитал высказывание компании CISO, которая отмечает, что «“киберусталость”, определяемая, как разочарование в неспособности быть наравне с угрозами и киберпреступниками, снизилась с 46% в 2018-м году до 30% в 2019-м». Я бы, за исключением, самого Алексея Лукацкого и подобным ему суперспецалистам по ИБ, никого бы не считал равными киберпреступникам, которые практически всегда находятся впереди ИБ-защитников.

Алексей рассказал об эволюции вредоносного кода и активизации такого банковского трояна как Emotet, который долгие годы был в тени, имел достаточно узкую функциональность и не был широкого известен. Эта тактика позволила ему сегодня быстро стать одним из самых успешных семейств вредоносного ПО и самой популярной инфраструктурой для распространения вредоносного кода. Если раньше вредоносный код был монолитен или имел максимум 10 модулей, то Emotet состоит уже из 50-80 различных модулей с различным функционалом. Осуществляется перехват данных с вэбкамер, со звуковой карты с клавиатуры, скрытие данных в разрешенном трафике, шифрование данных и т. д. Все эти модули загружаются в один вредоносный код, что затрудняет борьбу с ним.

Рис. 2.

На таргетированные атаки приходится менее одного процента атак, все остальное – это достаточно простые или даже тривиальные атаки, которые распространяются через традиционные каналы. До 95% атак распространяются через банальную электронную почту как для рядовых пользователей, так и на корпоративные и ведомственные сети.

 

Есть такое понятие как Business Email Compromise (BEC) – компрометация бизнес-почты, когда на служебную почту сотрудника приходит то или иное сообщение с фишинговой ссылкой, переход на который приводит к заражению компьютера, а по данным Cisco от 60% до 90% вредоносного кода уникально для каждой компании. Это значит, что традиционные антивирусы не способны бороться с такого рода угрозами. Переход по ссылке или открытие вложения приводит к компрометации компьютера с последующим распространением вредоносной программы и активности злоумышленника во внутренней корпоративной сети со всеми вытекающими последствиями. При этом в большинстве случаев скомпрометированные учетные записи не используются, обычно злоумышленники использую либо бесплатные учетные записи на известном домене типа mail.ru либо атаки идут с зарегистрированных специальных фишинговых доменов, которые очень похожи на настоящие.

Рис. 3.

Ежеквартально создается порядка 500 тысяч фишинговых доменов, и здесь понятно, что это полноценный бизнес и бороться с ним достаточно сложно, это домены однодневки, которые используются 1-2 раза. Технологии, которые работают на базе белых и черных списков не работают, потому что как только домен появился в черном списке, злоумышленник его уже перестал использовать.

Рис. 4.

С точки зрения электронной почты картинка меняется, технологии защиты тоже кардинальным образом меняются: это не банальные решения по антиспаму и не банальные антивирусные движки, которые встроены в почтовые клиенты. Сегодня средства борьбы с вредоносным кодом, распространяемым по почте, представляют собой многоуровневые системы, которые насчитывают до 1,5 десятков различных движков. Только таким комплексом решений можно бороться с вредоносным кодом. Но нельзя забывать про технологии обновление ПО компьютера, многофакторную аутентификацию и обучение пользователей.

Рис. 5.

Отчет Email Security Report посвящен ИБ-угрозам, содержащимся в электронных письмах. Серьезность таких атак подтверждают и руководители ИБ-отделов: практически все опрошенные специалисты ответили, что электронная почта – самый популярный инструмент как для распространения вредоносного ПО (92,4%), так и для фишинга (96%).

В исследовании отмечается, что самые распространенные виды угроз в электронной почте – это фишинг в Office 365, утечка деловой переписки (киберпреступник притворяется руководителем и пытается обманом заставить получателя, к примеру, перевести денежные средства), цифровое вымогательство и мошенничество с фиктивными авансовыми платежами.

Что касается вредоносного ПО, присылаемого по почте, то наиболее распространенными мошенническими файлами являются .doc (41,8%), .zip (26,3%) и .js (14%).

Рис. 6.

Для запуска спам-кампаний хакеры используют два основных метода: ботнеты (Necurs, Emotet, Gamut) и инструменты массовой рассылки электронной почты. К явным признакам фишинговых писем относятся несовпадения адреса из поля «Кому» с адресом электронной почты; многочисленные грамматические ошибки или нечеткие логотипы; требования незамедлительных срочных действий; запросы личной или конфиденциальной информации; URL-адреса необычного вида и пр. Cisco предлагает ряд рекомендаций, следуя которым, пользователи могут безопасно работать с электронной почтой. В их числе – тренинги по распознаванию фишинговых атак, регулярное обновление ПО, многофакторная аутентификация и т.д.

 

Еще одна тенденция, это спуск злоумышленников на самый нижний сетевой уровень, это компрометация сетевого оборудования. Вредоносная кампания носит название VPNFilter.

Рис. 7.

В этом случае злоумышленники компрометировали легально стоящие сетевые устройства в корпоративных сетях. Cisco обнаружили около полумиллиона скомпрометированных сетевых устройств. В чем неприятность такой тенденции? Многие средства информационной безопасности исходят из того, что сеть, лежащая в их основе, является доверенной и соответственно они доверяют тому трафику, который поступает им на анализ.

Если взломать стоящий на периметре маршрутизатор, который отдает трафик в фаервол, то этот маршрутизатор может не передавать часть трафика и эта активность останется незамеченной. Злоумышленники внедряются в этот трафик, меняют некоторые реквизиты на прикладном уровне либо просто перехватывают трафик и его анализируют. По словам Алексея Лукацкого, были зафиксированы случаи перехвата трафика организаций, которые занимаются разработкой ядерного оружия.

Еще одна угроза, зафиксированная компанией Cisco, это подмена легальных мобильных приложений. На мобильные устройства и средств защиты не так много, да и ставят их не так часто. Они скачиваются преимущественно из Google Play и получают контроль над мобильным устройством.

Рис. 8.

Еще одна угроза, которую зафиксировал Cisco Talos – это Olympic Destroyer, хотя изначально он был направлен на Зимние Олимпийские игры в Южной Колее/ Эта угроза интересна тем, что показала, что для реализации своей нелегальной деятельности начинают использовать вполне легальный инструментарий. Т.е. по сути вредоносный код ничего вредоносного не содержит. Он использует легальные утилиты администратора, которые есть на любом ПК, работающим, например, под управление операционной системы Windows. Вредоносный код использует эти утилиты для выполнения своей вредоносной активности. Детектировать такого рода программы очень непросто. Здесь нужно детектировать не факт наличия ПО, а его поведение. Многие традиционные антивирусы не способны на это, поэтому многие инциденты остаются незамеченными. Кстати, это код был предназначен для уничтожения данных, а не для зарабатывания денег и кражи данных. По словам Алексея, это тоже одна из тенденций настоящего времени. Ту же цель преследовала и программа Nyetya. Его авторы получили совсем смешные деньги за свою деятельность: десятки тысяч долларов, в то время как ущерб от этого вредоносного кода составлял миллиарды долларов, это одна из самых дорогостоящих вредоносных кампаний.

Рис. 9.

Следующая проблема – криптомайнинг, которая сродни посещению социальных сетей. Он не может быть хорошим или плохим, все зависит от стоящих перед ним задач. Если такое программное обеспечение устанавливается не легально, то тогда программа становится вредоносной. Зачастую внутри криптомайнингового обеспечения содержатся модули, которые крадут информацию либо потом распространяются по сети.

Рис. 10.

Еще одна атака, обнаруженная давно, но сейчас показывающая серьезную тенденцию, которую назвали термином «водопой».

Рис. 11.

Атаки заключаются в том, чтобы атаковать не жертву, а ее контрагентов. Программа CCleaner предназначена для оптимизации ПК под управлением Windows. Она очень популярна, распространялась с сайта антивирусной компании AVAST. Cisco Talos первой зафиксировала распространение этой программы, которая содержала вредоносную составляющую. Таким образом антивирусная компания со своего сайта распространяла вредоносный код, не зная об этом. CCleaner успел заразить несколько сот тысяч компьютеров по всему миру.

В конце прошлого года таким образом была взломана компания ASUS. Пострадало около миллиона пользователей. Злоумышленникам не надо было взламывать хорошо защищенные компьютеры пользователей и компаний, они ломают производителя ПО, а тот распространяет зараженное ПО. Метод был назван «водопой», по аналогии с тем, как хищники атакуют животных на тропе, ведущей к водопою, там где всегда массовое скопление потенциальных жертв.

 

Отчет CISO Benchmark Study показал, что поведение пользователей (например, клики на фишинговые ссылки в email или на web-сайтах) остаются основной и самой опасной проблемой для CISO. Такое отношение не меняется последние годы и составляет от 56 до 57%.

Также этот отчет показал 6 основных типов атак, которые стали важной проблемой для руководителей ИБ:

1. Вредоносное ПО (20%)

2. Утечки данных (19%)

3. Шпионское ПО (14%)

4. Фишинг (13%)

5. Шифровальщики (13%)

6. Вредоносный спам (13%)

 

На рис. 12 представлены 17 каналов проникновения «плохих парней» в организацию.

Рис. 12.

Отчет CISO Benchmark Study также суммирует итоги сравнительного исследования работы ИБ-директоров, в котором приняли участие более 3000 респондентов из 18 стран. Результаты показали, что профессионалы в сфере ИБ отдают все больший приоритет консолидации вендоров, сотрудничеству команд сетевых специалистов и специалистов по ИБ, а также повышению осведомленности о проблемах ИБ.

При этом ИБ-директора все чаще полагаются на миграцию в облако в качестве лучшей меры по обеспечению безопасности.

Также выяснилось, что сложные среды из решений 10 и более вендоров значительно усложняют процесс обеспечения ИБ. 65% опрошенных отметили, что при использовании таких сред сложно определить масштаб компрометации данных, сдержать ее, а также справиться с последствиями действия эксплойта. Неизвестные угрозы, существующие за пределами инфраструктуры предприятия - пользователи, данные, устройства и приложения - также являются ключевыми проблемами. Чтобы ответить на эти вызовы, респонденты предпринимают следующее шаги: 44% увеличили расходы на технологии киберзащиты, 39% проводят тренинги в сфере ИБ для сотрудников, 39% сфокусированы на внедрении практик смягчения рисков.

Рис. 13.

Кроме того, участники опроса отметили сохранение высокого влияния утечек на финансовые показатели компаний. Интересно, что в числе специалистов, которые заявили о стоимости самого значительного инцидента прошлого года на уровне $5 млн и более, 2% представляют российские компании. При этом 44% российских ИБ-директоров указали стоимость утечек, не превышающую $100. В большей степени в российских компаниях пострадали рабочие операции (45%), уровень лояльности клиентов (35%) и репутация бренда (31%).

 

На рис. 14 представлено сколько процентов используют технологии кибербезопасности.

Рис. 14.

Скрытые (или неизвестные, с которыми ранее не приходилось сталкиваться) ИБ-угрозы – одна из наибольших опасностей для компаний по всему миру. Их трудно выявить и еще труднее им противостоять. Исследование Threat Hunting Report содержит ответ на вопрос, как начать у себя в компании эффективную «охоту» на них. Главное в этом процессе – проактивный подход к ИБ вместо традиционного реагирования на атаки. Таким образом, в отчете подробно рассмотрен алгоритм того, как должна вести себя организация, чтобы вовремя выявлять неизвестные угрозы и минимизировать связанные с ними риски.

Среди ключевых способов «охоты» на угрозы:

  • Анализ журналов. Один из самых простых способов начать «охоту» – проверить системные журналы на наличие индикаторов компрометации. Для начала достаточно программ командной строки или простых скриптов. Еще один способ быстрый и эффективный способ проверить журналы – использование SIEM.
  • Проверка теории. Необходимо сравнивать журналы с известными индикаторами компрометации. После этого можно будет предположить, где может скрываться угроза и какие инструменты или методы может использовать злоумышленник.
  • Поиск источника. Вы выявили угрозу, выяснили, как злоумышленникам удалось проникнуть в сеть, и предприняли меры, чтобы пресечь аналогичную атаку в будущем. Однако при последующей «охоте» может выясниться, что злоумышленники нашли новый способ проникнуть в сеть. Именно поэтому, необходимо выяснить, кто вас атакует, какую инфраструктуру они используют, а затем положить конец их деятельности. Конечно, сделать подобное самостоятельно довольно сложно. В подобных случаях на помощь придут такие организации по изучению угроз безопасности, как Talos Intelligence или Cisco’s Incident Response Services.

На рис. 15 даны данные о тратах организаций на ИБ.

Рис. 15.