Информация к размышлению, навеянная полугодовым отчетом Cisco по ИБ

Блог старшего вице-президента Cisco, главного директора компании по вопросам информационной безопасности Джона Стюарта (John Stewart)

На прошлой неделе Cisco опубликовала отчет по информационной безопасности за первую половину 2015 года . Это был непростой период, заставивший обратить внимание на инновационный, изменчивый, скрытный и вместе с тем устойчивый характер глобальных кибератак в последние 6 месяцев. Специалисты Cisco постоянно фиксируют, как злоумышленники быстро и неустанно совершенствуют методы разработки, внедрения и сокрытия вредоносного кода. Кроме того, отчет Cisco подтверждает тревожный факт: отрасль информационной безопасности попросту не успевает за развитием киберпреступности.

Наш полугодовой отчет стал дополнением к годовому отчету компании Cisco по информационной безопасности, опубликованному в январе , и содержит прогнозы дальнейших тенденций развития кибератак, а также рекомендации по противодействию этим угрозам.

Наиболее тревожные тенденции последних шести месяцев включают в себя:

• рост популярности программ-вымогателей, остающихся чрезвычайно прибыльной сферой деятельности киберпреступников благодаря тому, что «держат в заложниках» данные пользователей до тех пор, пока не будет заплачен «выкуп»;

• развитие высокоэффективных эксплойт-наборов типа Angler, которые компрометируют системы, используя уязвимости технологии Flash;

• растущий творческий потенциал киберпреступников, которые заходят настолько далеко, что включают во вредоносный код отрывки из произведений классической литературы (например, из романа «Разум и чувства» английской писательницы Джейн Остин), чтобы дезориентировать антивирусные системы.

В общем, можно сказать, что кибератаки становятся все стремительнее и опаснее, а сообщества киберпреступников не жалеют усилий как для разработки новых инструментов и технологий, так и для обновления старых. В качестве примера можно назвать использование макросов Microsoft Office, которые могут применяться злоумышленниками для загрузки вредоносного кода на компьютер пользователя. Это довольно старый прием, который на какое-то время перестал пользоваться популярностью у киберпреступников, но сейчас снова набирает обороты.

Нынешнее время характеризуется постоянным и очень активным стремлением злоумышленников сделать все возможное для того, чтобы проникнуть сквозь системы информационной безопасности, и, к сожалению, очень часто это им удается. В основном это связано с тем, что многие организации до сих пор используют громоздкие, запутанные системы безопасности, состоящие из разнородных, зачастую устаревших элементов. Такие системы сложны в управлении и отличаются недостаточным уровнем защиты против современных изощренных кибератак.

Полугодовой отчет компании Cisco побуждает также обратить внимание на ключевой показатель эффективности технологий безопасности — на сокращение времени обнаружения угроз. Жизненно необходимо, чтобы службы безопасности были в состоянии определить чрезвычайную ситуацию еще до того, как злоумышленники успеют нанести существенный ущерб. Решения от компании Cisco могут помочь решить эту задачу, поскольку их среднее время обнаружения угрозы составляет 41-50 часов. Это значительно лучше среднего аналогичного показателя по индустрии ИБ, который составляет 100-200 дней и, очевидно, просто недостаточен для адекватного противодействия современным быстро возрастающим угрозам. А в ближайшее время, по мере того как будет совершаться переход от точечных продуктов безопасности (таких, например, как решения для управления информацией и событиями в системе безопасности [системы SIEM]) к решениям для комплексной защиты от угроз, организации получат возможность еще больше сократить время обнаружения угрозы.

Что делать

Ожидается, что в следующие пять лет в отрасли информационной безопасности будут активно развертываться процессы консолидации и интеграции. В результате заказчикам — пользователям продуктов и услуг в сфере информационной безопасности нового поколения — будет очень важно иметь уверенность в том, что используемое решение действительно эффективно, надежно и заслуживает полного доверия.

На рынке услуг в области ИБ наблюдается серьезный дефицит специалистов, и только сотрудничество с доверенным поставщиком услуг в этой области может гарантировать достаточный уровень маневренности для противодействия постоянно меняющемуся ландшафту угроз. Такие поставщики, как правило, рассматривают информационную безопасность как целостное явление, как совокупность людей, процессов и технологий, и могут помочь организациям-заказчикам правильно инвестировать в информационную безопасность, чтобы получить оптимальную отдачу от этих инвестиций.

Однако более важно, что организациям-заказчикам придется взять на себя ответственность за то, что их сфера ИТ: инфраструктура, продукты, решения и услуги, — заслуживает полного доверия. Для этого будет необходимо выяснить, что именно поставщики ИТ и ИБ делают для обеспечения безопасности своих продуктов.

Доверие должно стать частью всего жизненного цикла продукции — от разработки до внедрения. Это нужно для того, чтобы организация-заказчик, когда она станет задаваться вопросами безопасности, могла потребовать от поставщика ИТ убедительных свидетельств того, что его продукция не только заслуживает доверия изначально, но и останется таковой в любой точке цепи поставок от производителя к потребителю. Все ли поставщики в состоянии продемонстрировать, что их продукция заслуживает доверия? Все ли поставщики строго придерживаются своих договорных обязательств? Вот вопросы, над которыми стоит поразмыслить.

В конечном счете ни одна организация ни одной отрасли не должна считать себя абсолютно неуязвимой, особенно, когда речь заходит о противодействии злоумышленникам. Гораздо правильнее исходить из того , что защита уязвима, а атака обязательно произойдет, и уже на этой основе выстраивать многоуровневую стратегию безопасности. Многоуровневая система упреждающей киберзащиты, полагающаяся на технологии как лишь на один из многих компонентов — вот лучший ответ на вызовы со стороны кибератак. Очень важно, чтобы на угрозу инноваций в сфере киберпреступности одинаково отвечали и государственные структуры, и правоохранительные органы, и обычные организации.