Хотя защита стандартной рабочей станции от вредоносного ПО – краеугольный камень общей системы информационной безопасности для любой организации, здесь необходимость использования и базового функционала остается неизменной. Но требования к корпоративной защите в целом эволюционируют, компании ищут уже полноценные комплексные решения, способные не только обеспечивать защиту от самых сложных современных угроз, но и играть на опережение.
Таким образом, все больше крупных компаний выстраивают систему безопасности по принципу эшелонированной обороны, причем если раньше эшелоны выстраивались на различных элементах ИТ-инфраструктуры, то сейчас многоуровневая защита должна быть даже на отдельных элементах ИТ-среды, в первую очередь на рабочих станциях и серверах.
С точки зрения угроз огромной проблемой информационной безопасности в последнее время стали целевые атаки на корпорации и правительственные структуры. Многие методики, которые хакеры раньше применяли в атакахна домашних пользователей, теперь стали использоваться и в бизнесе. Это и модифицированные банковские троянцы, которые нацелены на сотрудников финансовых отделов и бухгалтерий, и различные программы-шифровальщики, которые стали работать в рамках корпоративных информационных сетей, и использование методов социальной инженерии. Кроме того, популярность получили сетевые черви, для удаления которых требуется остановка работы всей корпоративной сети. Если с подобной проблемой сталкиваются компании, имеющие большое количество филиальных офисов, расположенных в различных часовых поясах, то любая остановка работы сети неизбежно ведет к финансовым потерям.
Согласно результатам исследования, проведенного «Лабораторией Касперского» в 2014 году среди ИБ-специалистов, чаще всего российские компании сталкиваются с вредоносным ПО, нежелательной корреспонденцией (спамом), попытками несанкционированного проникновения в систему и фишингом. Отдельно стоит отметить внутренние угрозы, среди которых наиболее серьезные проблемы вызывают уязвимости в установленном ПО, атакже риски, связанные с поведением сотрудников компании.
Проблема усугубляется еще и тем, что киберугрозы далеко не статичны: они множатся с каждым днем, становятся разнообразнее и сложнее. Чтобы яснее понимать текущую ситуацию в области информационной безопасности ите последствия, к которым может привести даже единичный компьютерный инцидент, представим все в цифрах и фактах, полученных на основе данных «Лаборатории Касперского» по анализу событий 2014 года.
Статистика киберугроз
В прошлом году защитные продукты «Лаборатории Касперского», предназначенные как для корпоративных, так и для домашних пользователей, заблокировали более 6 миллиардов вредоносных атак на компьютеры имобильные устройства.
Любопытно, как сильно возросло количество атак на смартфоны и планшеты: так, было зафиксировано свыше 3,5 миллиона атак на платформу Mac OS X, которую некоторые пользователи до сих пор считают неуязвимой. Кроме того, около 1,5 миллиарда инцидентов пришлось на устройства с мобильной ОС Android, и за 2014 год число подобных атак увеличилось в четыре раза.
Кстати, именно мобильные устройства сегодня продолжают оставаться отдельной «головной болью» для специалистов по информационной безопасности. Использование личных смартфонов и планшетов в рабочих целях допустимо уже в абсолютном большинстве организаций, однако надлежащее управление этими устройствами и включение их в общую систему информационной безопасности компании практикуется далеко не везде. Восновном риску подвергаются смартфоны и планшеты на базе Android. Согласно данным «Лаборатории Касперского», на эту платформу сегодня нацелено 99% вредоносного ПО, «специализирующегося» на мобильных устройствах.
Основной источник киберугроз, конечно же, Интернет. За весь прошлый год эксперты «Лаборатории Касперского» обнаружили более 123 миллионов уникальных вредоносных файлов, пришедших из Сети. К этому стоит добавить еще почти 2 миллиона зловредов, которые попадали на устройства по локальным источникам: флешки, съемные диски, внутренние корпоративные сети, файловые серверы.
Чтобы понять, откуда берется такое количество угроз, и представить, с какой скоростью они увеличиваются в числе, достаточно сказать, что ежедневно специалисты «Лаборатории Касперского» обрабатывают 325 тысяч образцов нового (!) вредоносного ПО.
На компьютеры пользователей зловреды чаще всего попадают двумя способами: через уязвимости в легальном ПО и с помощью методов социальной инженерии. Разумеется, очень часто встречается сочетание этих двух приемов, но злоумышленники не пренебрегают и другими уловками. Отдельной угрозой для бизнеса являются таргетированные атаки, которые становятся все более частым явлением. Использование нелегального ПО, конечно же, еще больше увеличивает риски стать успешной целью для кибератаки, в первую очередь из-за наличия в нем большего количества уязвимостей. Но обо всем по порядку.
Уязвимости рано или поздно появляются в любом программном обеспечении. Это могут быть ошибки при раз-
работке программы, устаревание версий или отдельных элементов кода. Как бы то ни было, основной проблемой является не наличие уязвимости, а ее своевременное обнаружение и закрытие.
К слову, в последнее время, и 2014 год является ярким тому свидетельством, производители ПО начинают все чаще закрывать имеющиеся в их программах уязвимости. Однако брешей в приложениях все равно хватает, икиберпреступники активно их используют для проникновения в корпоративные сети. В 2014 году 45% всех инцидентов, связанных с уязвимостями, были спровоцированы «дырами» в популярном ПО Oracle Java.
Кроме того, в прошедшем году случился своего рода переломный момент – была обнаружена уязвимость в распространенном протоколе шифрования OpenSSL, получившая название Heartbleed. Эта ошибка позволяла злоумышленнику читать содержимое памяти и перехватывать личные данные в системах, использующих уязвимые версии протокола.
OpenSSL широко используется для защиты данных, передаваемых через Интернет (в том числе информации, которой пользователь обменивается с веб-страницами, электронных писем, сообщений в интернет-мессенджерах), иданных, передаваемых по каналам VPN (Virtual Private Networks), поэтому потенциальный ущерб от этой уязвимости был огромным. Не исключено, что эту уязвимость злоумышленники могли использовать как старт для новых кампаний кибершпионажа.
Вообще в 2014 году число организаций, ставших жертвами целенаправленных кибератак и кампаний кибершпионажа, увеличилось почти в 2,5 раза. За прошедший год почти 4,5 тысячи организаций, по меньшей мере в 55 странах, в том числе и в России, стали целью киберпреступников.
Кража данных произошла как минимум в 20 различных секторах экономики, включая государственные, телекоммуникационные, энергетические, исследовательские, индустриальные, здравоохранительные, строительные идругие компании. Киберпреступники воровали пароли, файлы, геолокационную информацию, аудиоданные, делали снимки экранов и контролировали веб-камеры. Скорее всего в некоторых случаях эти атаки имели поддержку государственных структур, другие же с большей вероятностью осуществлялись профессиональными группировками кибернаемников.
В последние годы Центр глобальных исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.
Последствия таргетированных операций и кампаний кибершпионажа всегда крайне серьезны. Они неминуемо заканчиваются взломом и заражением корпоративной сети, нарушением бизнес-процессов, утечкой конфиденциальной информации, в частности, интеллектуальной собственности. Давайте проанализируем, насколько готовы к новым угрозам российские компании.
Киберугрозы глазами самих компаний
«Лаборатория Касперского» ежегодно проводит исследования с целью выяснить отношение ИТ-специалистов к вопросам информационной безопасности. Исследование 2014 года показало, что абсолютное большинство российских компаний, а точнее 91%, недооценивают количество существующего сегодня вредоносного ПО. Более того, они даже не предполагают, что число зловредов еще и постоянно увеличивается.
Возможно, это заблуждение и привело к тому, что в 2014-м 98% российских компаний столкнулись с теми или иными киберинцидентами, источники которых находились, как правило, за пределами самих предприятий.
Для сравнения: в 2013 году таких компаний было на 3% меньше. Кроме того, еще в 87% организаций были зафиксированы инциденты, обусловленные внутренними угрозами. В обоих случаях около четверти пострадавших фирм лишились важной конфиденциальной информации, а финальная сумма ущерба для крупных компаний в среднем составила 20 миллионов рублей за каждый успешный пример кибератаки.
Среди внешних киберугроз наибольшее опасение у бизнеса по-прежнему вызывает вредоносное ПО – этот тип угроз беспокоит 77% опрошенных ИТ-специалистов. 74% компаний озабочены проблемой спама.
Около четверти респондентов признались, что они видят угрозу для бизнеса в фишинговых атаках (28%), корпоративном шпионаже (26%) и сетевых вторжениях (23%).
Также компании обеспокоены распространением DDoS-атак, краж мобильных устройств и крупного оборудования, злонамеренного вредительства. Однако лишь 10% из них считают, что сегодня стоит опасаться таргетированных атак, а между тем это одна из основных и быстро набирающих обороты угроз для бизнеса.
Из числа внутренних угроз почти половину компаний беспокоят уязвимости в ПО. Это хороший показатель, свидетельствующий о том, что бизнес начинает осознавать опасность и пытается ее нивелировать.
Также компании очень переживают из-за возможности случайной или намеренной утечки данных – об этом заявили в общей сложности более половины опрошенных ИТ-специалистов. Значительную долю компаний (около 20%) волнует утечка данных через мобильные устройства, потеря мобильных устройств сотрудниками, а также их мошенничество.
Любопытно, что 13% опрошенных ИТ-специалистов заявили, что не переживают из-за внутренних угроз. Возможно, это объясняется тем, что в ряде компаний не принято разделять киберугрозы на внешние и внутренние. Кроме того, среди российских руководителей служб ИТ и ИБ есть такие, которые предпочитают решать все проблемы с внутренними угрозами мерами запретов. Однако если человеку что-то запрещено, это вовсе не означает, что он этого не делает. Поэтому любые политики безопасности, в том числе запрещение, требуют соответствующих инструментов контроля, которые позволят гарантировать соблюдение всех требований.
Что касается типов информации, которая интересует злоумышленников, то, как показало исследование, представления компаний и реальное положение дел довольно сильно различаются.
Так, сами компании больше всего боятся потерять информацию о клиентах, финансовые и операционные данные, а также интеллектуальную собственность.
Немного меньше бизнес переживает за информацию по анализу деятельности конкурентов, платежную информацию, персональные данные сотрудников и данные о корпоративных счетах в банках.
На деле же выходит, что киберпреступники чаще всего крадут внутреннюю операционную информацию компаний (в 58% случаев), однако защищать эти данные в первую очередь считают необходимым лишь 15% компаний.
Кстати |
На ком лежит ответственность за защиту компаний от DDoS-атак?
Многие российские организации сегодня уверены, что защищать от DDoS-атак их онлайн-сервисы должны интернет- и хостинг-провайдеры. Так утверждает приблизительно каждый пятый представитель бизнеса, о чем говорят результаты исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International. На практике такая убежденность приводит к полному отсутствию защиты, что чревато ощутимыми потерями в случае инцидента.
Опрос показал, что чем меньше компания, тем меньше ответственности за защиту своих сервисов от DDoS-атак она возлагает на себя. В том, что от DDoS их должны полностью обезопасить провайдеры сетевых сервисов или веб-хостинга, уверена треть представителей малого бизнеса. В более крупных компаниях с этим согласны менее четверти, а среди больших корпораций – лишь десятая часть опрошенных. На полицию и государство надеются 4%, и в среднем по всем компаниям насчитывается 22% респондентов, уверенных, что защита от DDoS-атак не их забота.
В общей сложности 62% респондентов считают, что обеспечивать защиту от DDoS должен их собственный ИТ-департамент, 10% возлагают эту ответственность на топ-менеджмент, а еще 6% убеждены, что это задача отдела безопасности. Итого только 64% представителей малого бизнеса (в противовес почти 86% респондентов из крупных компаний) согласились, что борьба с DDoS-атаками находится в их сфере ответственности.
«Полагаясь на предусмотрительность провайдера ИТ-услуг, многие компании подвергают себя опасности, – считает Алексей Киселев, менеджер проекта Kaspersky DDoS Prevention «Лаборатории Касперского». – Обычно провайдеры не обеспечивают такую защиту по умолчанию. Более того, многие из них и не могут обеспечить надежную защиту от DDoS-атак собственными силами, так как мощность и сложность последних постоянно растут. Полностью оградить от них могут только те компании, которые специализируются на защите от киберугроз и располагают как высокоэффективными технологиями, так и командой квалифицированных экспертов».
Опыт «Лаборатории Касперского» показывает, что жертвой DDoS-атаки может стать практически любая компания независимо от своего размера. От подобных атак за год пострадали 52% российских компаний, онлайн-сервисы которых критичны для бизнеса: среди них интернет-магазины, СМИ и финансовые учреждения.
Данные исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в период с апреля 2013 по апрель 2014 года. В исследовании приняли участие более 3900 ИТ-специалистов из 27 стран мира, включая Россию.
|
Как усилить защиту?
В последнее время злоумышленники все чаще опираются не только на технические средства, но и на слабости людей, используют методы социальной инженерии, которые помогают выудить практически любую информацию. Издесь компаниям необходимо не забывать о работе с персоналом: начиная с повышения квалификации ИТ-сотрудников и заканчивая разъяснениями основных правил безопасной работы в Интернете (не важно, с каких устройств туда они выходят).
Сотрудники, сохраняя данные на своем устройстве, должны понимать, что несут ровно ту же ответственность, как если бы они забирали с собой бумажные копии документов. Персонал компании также должен хорошо знать,что любое современное технически сложное устройство содержит дефекты, которыми может воспользоваться злоумышленник. Но, чтобы этими дефектами воспользоваться, злоумышленник должен получить доступ кустройству. Поэтому при скачивании почты, приложений, музыки и даже картинок необходимо проверять репутацию источника.
Важно с осторожностью относиться к провокационным сообщениям («положи 300 рублей на этот счет, а то телефон сотрем» или «срочно перешли финансовый отчет на этот адрес») и проверять надежность источника, прежде чем предпринять какое-то рискованное действие.
Для безопасности важны как идеи/технологии/системы, так и человеческий фактор: понимание целей специалистами, которые систему выстраивают, и понимание ответственности сотрудниками, которые пользуются устройствами.
Для того чтобы компания все-таки имела защиту от подобных (не важно, случайных или намеренных) действий сотрудников, ей имеет смысл использовать модули для защиты данных от утечек. Так, «Лаборатория Касперского»в этом году выпустила новый модуль, в котором реализован функционал DLP – Data Leak Prevention.
Многие крупные компании используют облака: в России чаще всего в варианте частного облака. Тут важно помнить, что, как любая другая информационная система, созданная человеком, облачные сервисы содержат в себе потенциальные уязвимости, которые могут быть использованы вирусописателями. Поэтому при организации доступа даже к своему облаку необходимо помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне сотрудников.
Не менее важны внутренние политики, регламентирующие, кто из сотрудников имеет доступ к данным в облаке или информацию какого уровня секретности можно хранить в облаке. В компании должны быть сформированы прозрачные правила: какие службы и сервисы будут работать из облака, а какие – на локальных ресурсах, какую именно информацию стоит размещать в облаках, а какую необходимо хранить «у себя».