Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Отчет Cisco по кибербезопасности за первое полугодие 2016 г.

Скачать отчет: http://cs.co/9001BAkax Посмотреть видео об отчете: https://www.youtube.com/watch?v=qjIgtdiTYtk

1 of 33
Download to read offline
Алексей Лукацкий Cisco Security Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Мы продолжаем наши исследования
• 16 млрд интернет-запросов в день • 600 млрд электронных сообщений в день • Блокирование почти 20 млрд угроз в день • Более 1,5 млн уникальных образцов вредоносного ПО в день (17 в секунду) • На каждого жителя Земли приходится по 3 угрозы в день! • 18,5 млрд запросов AMP • 214 тыс. запросов AMP в секунду Взгляд на глобальную телеметрию Cisco
Асимметричная война: приемы киберпреступников превосходят нашу обороноспособность Постоянные атаки Чрезмерная нагрузка на специалистов по безопасности Инновационные методы Слабая инфраструктура Меняющаяся тактика Рост числа уязвимостей Дилемма шифрования Глобальный масштаб действий
Обзор Увеличение запаса времени для преступных действий Ускоренное принятие мер по защите Глобальное влияние, локальные последствия
Современный ландшафт угроз • Эволюция программ- вымогателей • Совершенствование методов конспирации вредоносного кода • Слабая культура безопасности сети • Противоречивая геополитическая обстановка
Не новая, но самая доходная угроза Стечение обстоятельств – легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить выкуп шантажистам PC Cyborg 2001 GPCoder 2005 2012 2013 2014 Fake Antivirus 2006 Первый коммерческий смартфон Android 2007 QiaoZhaz 20081989 2015 2016 CRYZIP Redplus Bitcoin сеть запущена Reveton Ransomlock Dirty Decrypt Cryptorbit Cryptographic Locker Urausy Cryptolocker CryptoDefense Koler Kovter Simplelock Cokri CBT-Locker TorrentLocker Virlock CoinVault Svpeng TeslaCrypt Virlock Lockdroid Reveton Tox Cryptvault DMALock Chimera Hidden Tear Lockscreen Teslacrypt 2.0 Cryptowall SamSam Locky Cerber Radamant Hydracrypt Rokku Jigsaw Powerware 73V3N Keranger Petya Teslacrypt 3.0 Teslacrypt 4.0 Teslacrypt 4.1
Выплата выкупа не гарантирует расшифровки и восстановления данных Ошибки в вымогательском ПО могут привести к невозможности восстановления данных даже при выплате выкупа При повторной атаке некоторые вымогатели уменьшают сумму выкупа – «скидка для постоянных клиентов» При задержке выплаты выкупа его сумма может возрастать Интересные наблюдения
Индивидуальное шифрование для каждой цели Маркировка уже зашифрованных систем Использование биткойнов для анонимных платежей Установка крайних сроков: 1. Для увеличения выкупа 2. Для удаления ключа шифрования Инновации программ-вымогателей
Самораспространение • Использование уязвимостей в широко распространенных продуктах • Репликация на все доступные накопители • Заражение файлов • Базовые функции для атак методом подбора • Устойчивость управления и контроля, в т.ч. полное отсутствие инфраструктуры контроля и управления • Использование уже имеющегося в системе ВПО Программы-вымогатели второго поколения Модульность • Распространение через файлы автозапуска и USB- накопители большой емкости • Эксплойты в инфраструктуре аутентификации • Сложные системы управления, контроля и отчетности • Ограничители потребления системных ресурсов • Фильтрация целевых адресов для заражения (RFC 1918)
ИМЯ DNS IP NO C&C TOR ОПЛАТА Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Шифрование C&C Шантаж Какие протоколы используют вымогатели?
Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ Всесторонняя инфраструктура защиты NGIPS NGFW Анализ аномалий Network Anti- Malware NGIPS NGFW Host Anti- Malware DNSЗащита DNS Защита Web Защита Email NGIPS DNSЗащита DNS Защита Web NGIPS Threat Intelligence
Специалисты по безопасности не справляются со своими задачами, а от внимания злоумышленников растущие возможности не уходят. Хакеры нацелены на зашифрованный трафик Возможности для злоумышленников CWE-310: проблемы шифрования 134 CWE-287: проблемы аутентификации 198 Уязвимости Январь 2016 г. 634 Февраль 2016 г. 1327 Март 2016 г. 2193 Апрель 2016 г. 2992 Нагрузка на специалистов по безопасности Общее Число оповещений об угрозах При сохранении нынешних темпов роста общее число оповещений об угрозах к декабрю 2016 г. превысит 10 000.
Увеличение запаса времени для преступных действий Злоумышленники не упускают выгоды, используя неограниченный запас времени для своих действий.
Векторы атак: на горизонте — серверы Злоумышленники расширяют свои приемы, переходя от атак на стороне клиента к атакам на стороне сервера По оценкам Cisco, в апреле были взломаны 10 % серверов Jboss по всему миру. Уязвимости в Adobe Flash до сих пор используются наборами эксплойтов.
Комплекты эксплойтов: Adobe Flash и вредоносная реклама Большинство наборов эксплойтов используют уязвимости Adobe Flash и Microsoft Silverlight Nuclear Magnitude Angler Neutrino RIG Flash CVE-2015-7645 CVE-2015-8446 CVE-2015-8651 CVE-2016-1019 CVE-2016-1001 CVE-2016-4117 Silverlight CVE-2016-0034 Уязвимости
Вредоносная реклама как услуга: больше возможностей для дистрибьюторов Angler RIG Зараженные пользователи Пользователи AD Exchange • Непосредственное заражение • Переадресация на страницу с зараженными файлами • Заражение в фоновом режиме • Многократная переадресация
Использование HTTPS-трафика вредоносным ПО: за последние четыре месяца объем HTTPS-трафика, используемого средствами вставки рекламы, вырос на 300 % Самая большая доля приходится на вставку рекламы (Ad Injector). Злоумышленники используют HTTPS- трафик, чтобы увеличить запас времени для своих действий. 300 % Увеличение на за четыре месяца
Методы веб-атак: широкий спектр возможностей Наиболее популярные методы веб-атак Двоичные файлы Windows Мошенничество с Facebook Системы переадресации на JavaScript Упакованные двоичные файлы Рекламное ПО для Android Трояны для Android Наименее популярные методы веб-атак Червь Программа-троян Троян, маскирующийся под Adobe Flash Троян-вымогатель Троян-дроппер Iframer
Ускоренное принятие мер по защите Это лучший способ сорвать планы хакеров.
Время установки исправлений: автообновление и политика производителя Обновления устанавливают организации. Тенденция к обновлению версий очень слабая или вообще отсутствует. Уязвимости не устраняются. Модель «Зубцы» Модель «Наклонные линии» Модель «Прямоугольники» Обновления устанавливают и пользователи, и организации. Медленная миграция с огромным количеством различных версий, используемых одновременно. Браузеры Chrome Приложения Java Корпоративное ПО Office Обновления устанавливают пользователи, коэффициент внедрения высокий. Версии частично перекрывают друг друга. Обновлениеверсий 15.0.4420 14.0.4762 10 недель 15.0.4454 15.0.4569 42.0.2311 43.0.2357 10 недель 41.0.2272 7.0.550 10 недель 7.0.600 7.0.650 7.0.670 7.0.710 7.0.720 7.0.790
Инфраструктура: создание цифровой экономики на базе уязвимой инфраструктуры Устройства работают с известными уязвимостями в среднем 5 лет Слабая, уязвимая инфраструктура не сможет стать надежной опорой для экономики следующего поколения. Cisco 5,64лет Apache/ OpenSSH 5,05лет И эта проблема носит системный характер
Устаревшая инфраструктура — общемировая проблема
Реагирование на инциденты: взгляд изнутри Устаревшая инфраструктура создает уязвимости, с которыми не справляются специалисты по безопасности Бюджетные ограничения Неиспользован ие доступных инструментов Отсутствие исправлений Отсутствие формального процесса Устаревшая инфраструктура
Категория, январь–апрель Ср. % HTTPS Корпоративная электронная почта 97,88 % Чат и мгновенный обмен сообщениями 96,83 % Веб-почта 96,31 % Хранение и резервное копирование данных в режиме онлайн 95,70 % Интернет-телефония 95,07 % Увеличение вредоносного HTTP-трафика Рост в % Ср. % HTTPS Рекламные объявления +9,27 % 34,06 % Поисковые системы и порталы +8,58 % 64,27 % Чат и мгновенный обмен сообщениями +8,23 % 96,83 % Шифрование: заметая следы Злоумышленники скрывают свои следы в зашифрованном трафике, чтобы избежать обнаружения.
Использование TLS вредоносным ПО: обнаружение того, что нельзя обнаружить Благодаря машинному обучению можно точно обнаруживать и идентифицировать вредоносное ПО со сходными признаками.
Время обнаружения: более эффективное выявление злоумышленников Получение преимущества в непрерывной «гонке вооружений». bayrob drydex ngrbot nemucod xtrat Медианное время обнаружения Обнаружены раньше (меньше медианного времени) Обнаружены позже (больше медианного времени) 0 13 50 100Время обнаружения угроз (ч) teslactypt
Глобальные перспективы Хакеры действуют в глобальном масштабе, чтобы получить максимальную прибыль и избежать обнаружения.
Вертикальный риск борьбы с вредоносным ПО Все отрасли под угрозой. Хакеры переключаются с одной отрасли на другую. Коэффициент возникновения угроз относительно базового показателя v
Источники заблокированного веб-трафика по странам Злоумышленники переносят базу своих действий из одного региона в другой, пренебрегая границами.
Геополитическая обстановка: противоречивые сигналы ограничивают информационную безопасность Правительства стремятся установить собственные правила, но эти правила противоречивы Общество также волнует проблема конфиденциальности
• Выработать план реагирования (даже в случае успешной атаки вымогателя) • Не доверять HTTPS/SSL/TLS • Обновить инфраструктуру и ПО • Провести повышение осведомленности пользователей по вопросам вымогателей • Внедрить систему оперативного оповещения об угрозах Выводы
Отчет по кибербезопасности за первое полугодие 2016 г. www.cisco.com/go/mcr2016 http://www.cisco.com/c/m/ru_ru/offers/sc04/2016-midyear-cybersecurity-report/index.html

More Related Content

Отчет Cisco по кибербезопасности за первое полугодие 2016 г.

  • 1. Алексей Лукацкий Cisco Security Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
  • 2. Мы продолжаем наши исследования
  • 3. • 16 млрд интернет-запросов в день • 600 млрд электронных сообщений в день • Блокирование почти 20 млрд угроз в день • Более 1,5 млн уникальных образцов вредоносного ПО в день (17 в секунду) • На каждого жителя Земли приходится по 3 угрозы в день! • 18,5 млрд запросов AMP • 214 тыс. запросов AMP в секунду Взгляд на глобальную телеметрию Cisco
  • 4. Асимметричная война: приемы киберпреступников превосходят нашу обороноспособность Постоянные атаки Чрезмерная нагрузка на специалистов по безопасности Инновационные методы Слабая инфраструктура Меняющаяся тактика Рост числа уязвимостей Дилемма шифрования Глобальный масштаб действий
  • 5. Обзор Увеличение запаса времени для преступных действий Ускоренное принятие мер по защите Глобальное влияние, локальные последствия
  • 6. Современный ландшафт угроз • Эволюция программ- вымогателей • Совершенствование методов конспирации вредоносного кода • Слабая культура безопасности сети • Противоречивая геополитическая обстановка
  • 7. Не новая, но самая доходная угроза Стечение обстоятельств – легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить выкуп шантажистам PC Cyborg 2001 GPCoder 2005 2012 2013 2014 Fake Antivirus 2006 Первый коммерческий смартфон Android 2007 QiaoZhaz 20081989 2015 2016 CRYZIP Redplus Bitcoin сеть запущена Reveton Ransomlock Dirty Decrypt Cryptorbit Cryptographic Locker Urausy Cryptolocker CryptoDefense Koler Kovter Simplelock Cokri CBT-Locker TorrentLocker Virlock CoinVault Svpeng TeslaCrypt Virlock Lockdroid Reveton Tox Cryptvault DMALock Chimera Hidden Tear Lockscreen Teslacrypt 2.0 Cryptowall SamSam Locky Cerber Radamant Hydracrypt Rokku Jigsaw Powerware 73V3N Keranger Petya Teslacrypt 3.0 Teslacrypt 4.0 Teslacrypt 4.1
  • 8. Выплата выкупа не гарантирует расшифровки и восстановления данных Ошибки в вымогательском ПО могут привести к невозможности восстановления данных даже при выплате выкупа При повторной атаке некоторые вымогатели уменьшают сумму выкупа – «скидка для постоянных клиентов» При задержке выплаты выкупа его сумма может возрастать Интересные наблюдения
  • 9. Индивидуальное шифрование для каждой цели Маркировка уже зашифрованных систем Использование биткойнов для анонимных платежей Установка крайних сроков: 1. Для увеличения выкупа 2. Для удаления ключа шифрования Инновации программ-вымогателей
  • 10. Самораспространение • Использование уязвимостей в широко распространенных продуктах • Репликация на все доступные накопители • Заражение файлов • Базовые функции для атак методом подбора • Устойчивость управления и контроля, в т.ч. полное отсутствие инфраструктуры контроля и управления • Использование уже имеющегося в системе ВПО Программы-вымогатели второго поколения Модульность • Распространение через файлы автозапуска и USB- накопители большой емкости • Эксплойты в инфраструктуре аутентификации • Сложные системы управления, контроля и отчетности • Ограничители потребления системных ресурсов • Фильтрация целевых адресов для заражения (RFC 1918)
  • 11. ИМЯ DNS IP NO C&C TOR ОПЛАТА Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Шифрование C&C Шантаж Какие протоколы используют вымогатели?
  • 12. Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ Всесторонняя инфраструктура защиты NGIPS NGFW Анализ аномалий Network Anti- Malware NGIPS NGFW Host Anti- Malware DNSЗащита DNS Защита Web Защита Email NGIPS DNSЗащита DNS Защита Web NGIPS Threat Intelligence
  • 13. Специалисты по безопасности не справляются со своими задачами, а от внимания злоумышленников растущие возможности не уходят. Хакеры нацелены на зашифрованный трафик Возможности для злоумышленников CWE-310: проблемы шифрования 134 CWE-287: проблемы аутентификации 198 Уязвимости Январь 2016 г. 634 Февраль 2016 г. 1327 Март 2016 г. 2193 Апрель 2016 г. 2992 Нагрузка на специалистов по безопасности Общее Число оповещений об угрозах При сохранении нынешних темпов роста общее число оповещений об угрозах к декабрю 2016 г. превысит 10 000.
  • 14. Увеличение запаса времени для преступных действий Злоумышленники не упускают выгоды, используя неограниченный запас времени для своих действий.
  • 15. Векторы атак: на горизонте — серверы Злоумышленники расширяют свои приемы, переходя от атак на стороне клиента к атакам на стороне сервера По оценкам Cisco, в апреле были взломаны 10 % серверов Jboss по всему миру. Уязвимости в Adobe Flash до сих пор используются наборами эксплойтов.
  • 16. Комплекты эксплойтов: Adobe Flash и вредоносная реклама Большинство наборов эксплойтов используют уязвимости Adobe Flash и Microsoft Silverlight Nuclear Magnitude Angler Neutrino RIG Flash CVE-2015-7645 CVE-2015-8446 CVE-2015-8651 CVE-2016-1019 CVE-2016-1001 CVE-2016-4117 Silverlight CVE-2016-0034 Уязвимости
  • 17. Вредоносная реклама как услуга: больше возможностей для дистрибьюторов Angler RIG Зараженные пользователи Пользователи AD Exchange • Непосредственное заражение • Переадресация на страницу с зараженными файлами • Заражение в фоновом режиме • Многократная переадресация
  • 18. Использование HTTPS-трафика вредоносным ПО: за последние четыре месяца объем HTTPS-трафика, используемого средствами вставки рекламы, вырос на 300 % Самая большая доля приходится на вставку рекламы (Ad Injector). Злоумышленники используют HTTPS- трафик, чтобы увеличить запас времени для своих действий. 300 % Увеличение на за четыре месяца
  • 19. Методы веб-атак: широкий спектр возможностей Наиболее популярные методы веб-атак Двоичные файлы Windows Мошенничество с Facebook Системы переадресации на JavaScript Упакованные двоичные файлы Рекламное ПО для Android Трояны для Android Наименее популярные методы веб-атак Червь Программа-троян Троян, маскирующийся под Adobe Flash Троян-вымогатель Троян-дроппер Iframer
  • 20. Ускоренное принятие мер по защите Это лучший способ сорвать планы хакеров.
  • 21. Время установки исправлений: автообновление и политика производителя Обновления устанавливают организации. Тенденция к обновлению версий очень слабая или вообще отсутствует. Уязвимости не устраняются. Модель «Зубцы» Модель «Наклонные линии» Модель «Прямоугольники» Обновления устанавливают и пользователи, и организации. Медленная миграция с огромным количеством различных версий, используемых одновременно. Браузеры Chrome Приложения Java Корпоративное ПО Office Обновления устанавливают пользователи, коэффициент внедрения высокий. Версии частично перекрывают друг друга. Обновлениеверсий 15.0.4420 14.0.4762 10 недель 15.0.4454 15.0.4569 42.0.2311 43.0.2357 10 недель 41.0.2272 7.0.550 10 недель 7.0.600 7.0.650 7.0.670 7.0.710 7.0.720 7.0.790
  • 22. Инфраструктура: создание цифровой экономики на базе уязвимой инфраструктуры Устройства работают с известными уязвимостями в среднем 5 лет Слабая, уязвимая инфраструктура не сможет стать надежной опорой для экономики следующего поколения. Cisco 5,64лет Apache/ OpenSSH 5,05лет И эта проблема носит системный характер
  • 23. Устаревшая инфраструктура — общемировая проблема
  • 24. Реагирование на инциденты: взгляд изнутри Устаревшая инфраструктура создает уязвимости, с которыми не справляются специалисты по безопасности Бюджетные ограничения Неиспользован ие доступных инструментов Отсутствие исправлений Отсутствие формального процесса Устаревшая инфраструктура
  • 25. Категория, январь–апрель Ср. % HTTPS Корпоративная электронная почта 97,88 % Чат и мгновенный обмен сообщениями 96,83 % Веб-почта 96,31 % Хранение и резервное копирование данных в режиме онлайн 95,70 % Интернет-телефония 95,07 % Увеличение вредоносного HTTP-трафика Рост в % Ср. % HTTPS Рекламные объявления +9,27 % 34,06 % Поисковые системы и порталы +8,58 % 64,27 % Чат и мгновенный обмен сообщениями +8,23 % 96,83 % Шифрование: заметая следы Злоумышленники скрывают свои следы в зашифрованном трафике, чтобы избежать обнаружения.
  • 26. Использование TLS вредоносным ПО: обнаружение того, что нельзя обнаружить Благодаря машинному обучению можно точно обнаруживать и идентифицировать вредоносное ПО со сходными признаками.
  • 27. Время обнаружения: более эффективное выявление злоумышленников Получение преимущества в непрерывной «гонке вооружений». bayrob drydex ngrbot nemucod xtrat Медианное время обнаружения Обнаружены раньше (меньше медианного времени) Обнаружены позже (больше медианного времени) 0 13 50 100Время обнаружения угроз (ч) teslactypt
  • 28. Глобальные перспективы Хакеры действуют в глобальном масштабе, чтобы получить максимальную прибыль и избежать обнаружения.
  • 29. Вертикальный риск борьбы с вредоносным ПО Все отрасли под угрозой. Хакеры переключаются с одной отрасли на другую. Коэффициент возникновения угроз относительно базового показателя v
  • 30. Источники заблокированного веб-трафика по странам Злоумышленники переносят базу своих действий из одного региона в другой, пренебрегая границами.
  • 31. Геополитическая обстановка: противоречивые сигналы ограничивают информационную безопасность Правительства стремятся установить собственные правила, но эти правила противоречивы Общество также волнует проблема конфиденциальности
  • 32. • Выработать план реагирования (даже в случае успешной атаки вымогателя) • Не доверять HTTPS/SSL/TLS • Обновить инфраструктуру и ПО • Провести повышение осведомленности пользователей по вопросам вымогателей • Внедрить систему оперативного оповещения об угрозах Выводы
  • 33. Отчет по кибербезопасности за первое полугодие 2016 г. www.cisco.com/go/mcr2016 http://www.cisco.com/c/m/ru_ru/offers/sc04/2016-midyear-cybersecurity-report/index.html