Время «тяжелых» решений: безопасность в Enterprise сегменте

С одной стороны, защита стандартной рабочей станции от вредоносного ПО – краеугольный камень общей системы информационной безопасности для любой организации, и здесь необходимость использования базового функционала остается неизменной. Но требования к корпоративной защите в целом эволюционируют, компании ищут уже полноценные комплексные решения, способные не только обеспечивать защиту от самых сложных современных угроз, но и играть на опережение. Таким образом, все больше крупных компаний выстраивают систему безопасности по принципу эшелонированной защиты, причем если раньше эшелоны выстраивались на различных элементах ИТ-инфраструктуры, то сейчас многоуровневая защита должна быть даже на отдельных элементах ИТ-среды, в первую очередь на рабочих станциях и серверах.

С точки зрения угроз, огромной проблемой информационной безопасности в последнее время стали целевые атаки на корпорации и правительственные структуры. Многие методики, которые хакеры раньше применяли в атаках на домашних пользователей, теперь стали использоваться и применительно к бизнесу. Это и модифицированные банковские троянцы, которые нацелены на сотрудников финансовых отделов и бухгалтерий, и различные программы-шифровальщики, которые стали работать в рамках корпоративных информационных сетей, и использование методов социальной инженерии. Кроме того, популярность получили сетевые черви, для удаления которых требуется остановка работы всей корпоративной сети. Если с подобной проблемой сталкиваются компании, имеющие большое количество филиальных офисов, расположенных в различных часовых поясах, то любая остановка работы сети неизбежно ведет к финансовым потерям.

Согласно результатам исследования, проведенного «Лабораторией Касперского» в 2014 году среди ИБ-специалистов, чаще всего российские компании сталкиваются с вредоносным ПО, нежелательной корреспонденцией (спамом), попытками несанкционированного проникновения в систему и фишингом. Отдельно стоит отметить внутренние угрозы, среди которых наиболее серьезные проблемы вызывают уязвимости в установленном ПО, а также риски, связанные с поведением сотрудников компании.

Проблема усугубляется еще и тем, что киберугрозы далеко не статичны: они множатся с каждым днем, становятся разнообразнее и сложнее. Чтобы яснее понимать текущую ситуацию в области информационной безопасности и те последствия, к которым может привести даже единичный компьютерный инцидент, представим все в цифрах и фактах, полученных на основе данных «Лаборатории Касперского» по анализу событий 2014 года.

Статистика киберугроз

В 2014 году защитные продукты «Лаборатории Касперского», предназначенные как для корпоративных, так и для домашних пользователей, заблокировали более 6 миллиардов вредоносных атак на компьютеры и мобильные устройства. Любопытно, как сильно возросло количество атак на смартфоны и планшеты: так, было зафиксировано свыше 3,5 миллиона атак на платформу Mac OS X, которую некоторые пользователи до сих пор считают неуязвимой. Кроме того, около 1,5 миллиарда инцидентов пришлось на устройства с мобильной ОС Android, и за 2014 год число подобных атак увеличилось в 4 раза.

Кстати, именно мобильные устройства сегодня продолжают оставаться отдельной «головной болью» для специалистов по ИБ. Использование личных смартфонов и планшетов в рабочих целях допустимо уже в большинстве организаций, однако надлежащее управление этими устройствами и включение их в общую систему информационной безопасности компании практикуется далеко не везде. В основном риску подвергаются смартфоны и планшеты на базе Android: согласно данным «Лаборатории Касперского», на эту платформу сегодня нацелено 99% вредоносного ПО, «специализирующегося» на мобильных устройствах.

Основной источник киберугроз, конечно же, Интернет. За весь 2014 год эксперты «Лаборатории Касперского» обнаружили более 123 миллионов уникальных вредоносных файлов, пришедших из Сети. К этому стоит добавить еще почти 2 миллиона зловредов, которые попадали на устройства по локальным источникам: флешки, съемные диски, внутренние корпоративные сети, файловые серверы и т.д. Чтобы понять, откуда берется такое количество угроз, и представить, с какой скоростью они увеличиваются в числе, достаточно сказать, что ежедневно специалисты «Лаборатории Касперского» обрабатывают 325 тысяч образцов нового (!) вредоносного ПО.

На компьютеры пользователей зловреды чаще всего попадают двумя способами: через уязвимости в легальном ПО и при помощи методов социальной инженерии. Разумеется, очень часто встречается сочетание этих двух приемов между собой, но злоумышленники не пренебрегают и другими уловками. Отдельной угрозой для бизнеса являются таргетированные атаки, которые становятся все более частым явлением. Использование нелегального ПО, конечно же, еще больше увеличивает риски стать успешной целью для кибератаки, в первую очередь из-за наличия в нем большего количества уязвимостей. Но обо всем по порядку.

Уязвимости рано или поздно появляются в любом программном обеспечении. Это могут быть ошибки при разработке программы, устаревание версий или отдельных элементов кода. Как бы то ни было, основной проблемой является не наличие уязвимости, а ее своевременное обнаружение и закрытие. К слову, в последнее время, и 2014 год является ярким тому свидетельством, производители ПО начинают все активнее закрывать имеющиеся в их программах уязвимости. Однако брешей в приложениях все равно хватает, и киберпреступники активно их используют для проникновения в корпоративные сети. В 2014 году 45% всех инцидентов, связанных с уязвимостями, были спровоцированы «дырами» в популярном ПО Oracle Java. Кроме того, в прошедшем году случился своего рода переломный момент – была обнаружена уязвимость в распространенном протоколе шифрования OpenSSL, получившая название Heartbleed. Эта ошибка позволяла злоумышленнику читать содержимое памяти и перехватывать личные данные в системах, использующих уязвимые версии протокола. OpenSSL широко используется для защиты данных, передаваемых через Интернет (в том числе информации, которой пользователь обменивается с веб-страницами, электронных писем, сообщений в интернет-мессенджерах), и данных, передаваемых по каналам VPN (Virtual Private Networks), поэтому потенциальный ущерб от этой уязвимости был огромным. Не исключено, что эту уязвимость злоумышленники могли использовать как старт для новых кампаний кибершпионажа.

Вообще в 2014 году число организаций, ставших жертвами целенаправленных кибератак и кампаний кибершпионажа, увеличилось почти в 2,5 раза. За прошедший год почти 4,5 тысячи организаций по меньшей мере в 55 странах, в том числе и в России, стали целью киберпреступников. Кража данных произошла как минимум в 20 различных секторах экономики, включая государственные, телекоммуникационные, энергетические, исследовательские, индустриальные, здравоохранительные, строительные и другие компании. Киберпреступники крали пароли, файлы, геолокационную информацию, аудиоданные, делали снимки экранов и контролировали веб-камеры. Скорее всего, в некоторых случаях эти атаки имели поддержку государственных структур, другие же с большей вероятностью осуществлялись профессиональными группировками кибернаемников.

В последние годы Глобальный центр исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.

Последствия таргетированных операций и кампаний кибершпионажа всегда крайне серьезны. Они неминуемо заканчиваются взломом и заражением корпоративной сети, нарушением бизнес-процессов, утечкой конфиденциальной информации, в частности интеллектуальной собственности. Давайте посмотрим, насколько готовы к новым угрозам российские компании.

Киберугрозы глазами самих компаний

«Лаборатория Касперского» ежегодно проводит исследования с целью выяснить отношение ИТ-специалистов к вопросам информационной безопасности. Исследование 2014 года показало, что абсолютное большинство российских компаний, а точнее 91%, недооценивают количество существующего на сегодняшний день вредоносного ПО. Более того, они даже не предполагают, что число зловредов еще и постоянно увеличивается.

Возможно, это заблуждение и привело к тому, что в 2014 году 98% российских компаний столкнулись с теми или иными киберинцидентами, источники которых находились, как правило, вне самих предприятий. Для сравнения: в предыдущем году таких компаний было на 3% меньше. Кроме того, еще в 87% организаций были зафиксированы инциденты, обусловленные внутренними угрозами. В обоих случаях около четверти пострадавших компаний лишились важной конфиденциальной информации, а финальная сумма ущерба для крупных компаний в среднем составила 20 миллионов рублей за каждый успешный пример кибератаки.

Среди внешних киберугроз наибольшее опасение у бизнеса по-прежнему вызывает вредоносное ПО – этот тип угроз беспокоит 77% опрошенных ИТ-специалистов и специалистов по ИБ. 74% компаний озабочены проблемой спама. Около четверти респондентов признались, что они видят угрозу для бизнеса в фишинговых атаках (28%), корпоративном шпионаже (26%) и сетевых вторжениях (23%). Также компании обеспокоены из-за распространения DDoS-атак, краж мобильных устройств и крупного оборудования, злонамеренного вредительства. Однако лишь 10% из них считают, что сегодня стоит опасаться таргетированных атак, а между тем это одна из основных и быстро набирающих обороты угроз для бизнеса.

Из числа внутренних угроз почти половину компаний беспокоят уязвимости в ПО, и это хороший показатель, говорящий о том, что бизнес начинает осознавать опасность и пытаться ее нивелировать. Также компании очень переживают из-за возможности случайной или намеренной утечки данных – об этом заявили в общей сложности более половины опрошенных ИТ-специалистов. Значительную долю компаний (около 20%) волнует также утечка данных через мобильных устройства, потеря мобильных устройств сотрудниками, а также мошенничество работников. Любопытно, что 13% ИТ-специалистов заявили, что не переживают из-за внутренних угроз. Возможно, это объясняется тем, что в ряде компаний не принято разделять киберугрозы на внешние и внутренние. Кроме того, среди российских руководителей служб ИТ и ИБ есть такие, которые все же предпочитают решать все проблемы с внутренними угрозами мерами запретов. Однако если человеку что-то запрещено, это вовсе не означает, что он этого не делает. Поэтому любые политики безопасности, в том числе запрещение, требуют соответствующих инструментов контроля, которые позволят гарантировать соблюдение всех требований.

Что касается типов информации, которая интересует злоумышленников прежде всего, то, как показало исследование, представления компаний и реальное положение дел довольно сильно различаются. Так, сами компании больше всего боятся потерять информацию о клиентах, финансовые и операционные данные, а также интеллектуальную собственность. Немного меньше бизнес переживает за информацию по анализу деятельности конкурентов, платежную информацию, персональные данные сотрудников и данные о корпоративных счетах в банках. На деле же выходит, что киберпреступники чаще всего крадут внутреннюю операционную информацию компаний (в 58% случаев), однако защищать эти данные в первую очередь считают необходимым лишь 15% компаний.

Практические советы для улучшения защиты

В последнее время злоумышленники все чаще опираются не только на технические средства, но и на слабости людей: используют методы социальной инженерии, которые помогают выудить практически любую информацию. И здесь компаниям необходимо регулярно вспоминать про работу с персоналом: начиная с повышения квалификации ИТ-сотрудников и заканчивая разъяснениями основных правил безопасной работы в Интернете (не важно, с каких устройств туда они выходят) для всего коллектива. Сотрудники, унося данные на своем устройстве, должны понимать, что несут ровно ту же ответственность, как если бы они уносили бумажные копии документов с собой. Персонал компании также должен хорошо знать, что любое современное технически сложное устройство содержит дефекты, которыми может воспользоваться злоумышленник. Но чтобы этими дефектами воспользоваться, злоумышленник должен получить доступ к устройству. Поэтому при скачивании почты, приложений, музыки и картинок, необходимо проверять репутацию источника. Важно с осторожностью относиться к провокационным сообщениям («положи 300 рублей на этот счет, а то телефон сотрем» или «срочно перешли финансовый отчет на этот адрес») и проверять надежность источника, прежде чем предпринять какое-то рискованное действие. Для безопасности важны как идеи/технологии/системы, так и человеческий фактор: понимание целей специалистами, которые систему выстраивают, и понимание ответственности сотрудниками, которые пользуются устройствами.

Для того, чтобы компания все-таки имела защиту от подобных (случайных или намеренных) действий сотрудников, ей стоит использовать модули для защиты данных от утечек. Так, «Лаборатория Касперского» в этом году выпустила новый модуль, в котором реализованы функции защиты от утечки данных - Data Leak Prevention (DLP).

Многие крупные компании так или иначе использую облако, в России чаще всего в варианте частного облака. Тут важно помнить, что, как и любая другая информационная система, созданная человеком, облачные сервисы содержат в себе потенциальные уязвимости, которые могут быть использованы вирусописателями. Поэтому при организации доступа даже к своему облаку необходимо помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне сотрудников. Не менее важны внутренние политики, регламентирующие, кто из сотрудников имеет доступ к данным в облаке, или информацию какого уровня секретности можно хранить в облаке и т.д. В компании должны быть сформированы прозрачные правила: какие службы и сервисы будут работать из облака, а какие – на локальных ресурсах, какую именно информацию стоит размещать в облаках, а какую необходимо хранить «у себя».

Источник: «Лаборатория Касперского»