Отчет Cisco CSI выявил слабые стороны безопасности информационных систем

На конференции Black Hat в США был обнародован полугодовой отчет Cisco по информационной безопасности, содержащий актуальную информацию о слабых местах ИС, позволяющих злоумышленникам получать доступ к закрытой информации и использовать её в своих целях, а также эксплуатировать и компрометировать ресурсы системы.

Cisco CSI проводит исследования угроз, предлагает современные решения и предоставляет ресурсы в области обеспечения безопасности информации во всех отраслях. В отчете, составленном исследователями информационной безопасности – участниками интеллектуальной системы коллективной ИБ, были выявлены мировые тенденции первой половины 2014 года в области кибербезопасности, проанализированы современные и наиболее часто встречающиеся угрозы, в результате чего определены наиболее уязвимые места в ИС крупных предприятий, функционирующих в том числе через сеть интернет.

В представленном отчете Cisco CSI было обращено внимание компаний на необходимость следить за уязвимостями не только очевидными, но и скрытыми, которые зачастую являются более критичными и представляют собой наибольшие риски. Атаки в этих сферах могут достаточно долго оставаться незамеченными, если специалисты по информационной безопасности не придают значения устаревшему программному обеспечению и инфраструктурам с известными эксплойтами. Джон Н. Стюарт, директор по информационной безопасности компании Cisco, призвал сделать обеспечение кибербезопасности и контроль над киберрисками частью деятельности организации, которая в своем развитии полагается на ресурсы Интернета, с целью сведения на нет рисков в этой среде. Также он добавил, что организацией должны использоваться все необходимые меры информационной безопасности и ресурсы, эффективные во всех сферах деятельности, подверженных явным и скрытым угрозам.

Отчет Cisco CSI был составлен по данным корпоративных сетей Cisco CSI 16 крупных организаций, действующих на международном уровне, совокупная выручка которых на 2013 год превысила 300 млрд. долларов. В ходе их изучения были выявлены следующие источники потенциально вредоносного трафика:

1. «Человек в браузере». Эта атака становится все более частой: практически в 95% сетей был замечен трафик на сайты, содержащие вредоносное ПО. При переходе на интернет-сайты или иные сетевые узлы с помощью DNS-запроса происходит его преобразование в IP адреса средств вычислительной техники, которые непосредственно были замечены в распространении троянских программ семейства Zbot (Zeus, SpyEye и др.).

2. Ботнет, меняющий IP-адрес. В ходе исследования было выявлено, что две трети сетей отправляют запросы к динамическим доменам DNS, что абсолютно точно указывает на то, что сети компрометируются и используются ботнетами. Эта вредоносная программа постоянно меняет IP-адрес для маскировки своего нахождения в сети.

3. Шифровка краденых данных. В наблюдаемых сетях были обнаружены исходящие запросы к доменам, которые представляют услуги шифровки каналов – это происходит для маскировки деятельности злоумышленников по краже данных, которые впоследствии передаются по зашифрованным каналам.

Количество эксплойтов, программ, использующих уязвимости в программном обеспечении и применяемые для совершения атак, значительно снизилось после ареста их создателя Blackhole в 2013 году. Совершались незначительные попытки создания новых наборов эксплойтов, но к успеху это до сих пор не привело. На данный момент самым уязвимым языком остается Java, причем доля его эксплойтов в индикации компрометации составляет 93%, этот показатель даже выше значения прошлого года, то есть положение Java только ухудшается. Согласно отчету Cisco, больше всего влиянию атак с использованием вредоносных кодов подвержены химическая промышленность и фармацевтика. На втором месте – издательское дело и СМИ, число атак на которые в 4 раза превысило медианное значение, на третьем – авиация, превысившая это значение вдвое. Ситуация меняется в зависимости от региона: так, на Востоке больше всего подвержен компрометации рынок страхования, в Африке, Европе и на Ближнем Востоке – продуктовый рынок; в США и соседних странах – СМИ.

Cisco SCI в который раз обращает внимание менеджеров организаций на то, что неправильно написанный код, ошибочные действия пользователей, устаревшее программное обеспечение – предпосылки для усиленных атак с помощью эксплойтов и компроментации POS-систем. Поэтому руководству компаний следует обращать повышенное внимание на постоянное обеспечение безопасности работы в интернет-пространстве.