суббота, 18 февраля 2017 г.

Свежая подборка отчетов, аналитики и прогнозов на 2017 год

Пока не спешно идут дни февраля, а это лишь второй месяц 2017 года, событий ИБ на начало года уже хватает. И именно в это время многие компании и аналитические агентства уже выпускают очередные сводки по результатам года прошлого и делают прогнозы, выстраивают треды по году текущему. 

Что же, у нас всегда есть возможность чуть-чуть подождать и оценить их правдоподобность. А пока есть что почитать. В сегодняшней подборке свежих отчетов и аналитики: доклад с прогнозами от Digital Security, Аналитика по кибербезопаности за 2016-2017 от Positive Technologies, годовой саммари отчет Cyber Risk Report: 2016 Cybercrime Trends Year-in-Review и статья из издания CIO с 4 наиболее важными вещами в мире кибербезопаности

Некоторые наблюдения и прогнозы на 2017 от Digital Security

Компания Digital Security, специализирующаяся на анализе защищенности систем и исследованиях в области ИБ, представляет прогноз ключевых угроз и тенденций в сфере ИБ в 2017 году. 

Ведущие эксперты компании предложили свое видение главных трендов и проблем безопасности по основным направлениям деятельности.

Мировые тренды:

 • Сохранится интерес злоумышленников к ИБ автомобилей, беспилотных летательных устройств и умных гаджетов. 


 • Социальная инженерия. Совершенствование и усложнение средств защиты делает их обход чрезвычайно дорогим и рискованным мероприятием. 


 • В решениях безопасности станет больше функциональности, связанной с AI (Artificial Intelligence) и ML (Machine Learning). Популяризация идей, связанных с машинным обучением, рост количества фреймворков, помогающих в этом, повлечет за собой и создание продуктов ИБ, которые будут использовать данный подход.


 • Вырастет интерес к Open Hardware. Недоверие к сторонним вендорам железа увеличивается в связи с большим количеством проприетарного кода, поэтому на таких площадках, как Kikstarter все популярнее станут проекты компьютеров с открытым железом. . 

 • Безопасность ОС Windows. Данная ОС Microsoft будет реализовывать все больше встроенных механизмов безопасности на различных уровнях. 

 • Низкоуровневые технологии защиты. На рынок активно выйдут процессоры с поддержкой различных функций безопасности (SGX, виртуализация, shadow stack и т.д.), которые значительно затруднят жизнь атакующим.


 • Атаки на смарт-контракты. Можно с уверенностью сказать, что возрастет количество атак на организации и компании, которые не напрямую взаимодействуют с деньгами (как банки) но находятся рядом, и через которые можно получить доступ к большим суммам. 

 • Атаки на критичные объекты (промышленные объекты, объекты инфраструктуры) становятся все более распространенными. Появляются инструменты взлома, описываются подходы к получению доступа и управлению. 


Безопасность банков и организаций финансового сектора России:


 • Атаки на банковские системы. Как и прогнозировалось в конце 2015 года, в 2016 продолжилась тенденция с атаками именно внутренние системы банков (а не на клиентов банков), когда злоумышленники проникают внутрь корпоративной сети, захватывают контроль над критичными системами (как АРМ КБР, SWIFT или какая-то АБС) и выводят крупные суммы денег. За прошедший год также увеличилось количество и качество атак на банкоматы, POS-терминалы, терминалы самообслуживания и т.д. Определенно, в 2017г. эти тенденции только усилятся. Скорее всего, атаки станут еще разнообразнее и изощрённее.


 • Усиление DDoS-атак. Активный рост количества IoT и аналогичных устройств, подключенных к Интернету, с учетом их низкого уровня защищенности, будет способствовать появлению ботнетов, построенных на базе этих девайсов. Одним из следствий этого будет увеличение числа DDoS-атак и их мощности. И сейчас мы видим, что защититься от атак даже среднего уровня многие компании не могут своими силами. Очень возможно, что киберпреступникам удастся «отключить от Интернета» целую страну.


Безопасность ERP-систем:


 • Рост атак на производственные ERP-системы. Количество атак на ERP-системы продолжит увеличиваться. Появятся ранее неизвестные способы воздействия на внутреннюю инфраструктуру компаний через различные компоненты. Злоумышленники начнут применять необычные методы кражи денег. 


Увеличение количества атак на ERP-системы, доступные из Интернета. Прогнозируется повышение спроса на атаки на облачные ERP. Особый интерес будет к безопасности соединения между удаленными серверами и конечными пользователями. 


О компании Digital Security:


Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Компания предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, аудит защищенности бизнес-приложений (SAP, Oracle, веб-приложения, системы ДБО), аудит защищенности АСУ ТП и SCADA. 

Positive Technologies. КИБЕРБЕЗОПАСНОСТЬ 2016-2017: ОТ ИТОГОВ К ПРОГНОЗАМ



Минувший год оказался богат на события в области информационной безопасности. В 2016 году помимо традиционных пентестов и анализа уязвимостей эксперты компании Positive Technologies приняли участие в расследовании ряда инцидентов, включая крупные атаки на банки, а также проанализировали общую картину атак, благодаря данным собственного центра мониторинга (SOC) и данным, полученным в ходе пилотных проектов и внедрению продуктов компании в различных организациях. 


Документ доступен для загрузки с официального сайта


Собранная информация позволяет предложить экспертную оценку ИБ-трендов года, а также сделать определенные прогнозы относительно того, что ждет индустрию в будущем, 2017 году. Вот, чем, по нашему мнению, запомнится 2016 год: 


  • Потеря данных не лучше, чем потеря денег. Результатом большинства компьютерных атак 2016 года стали утечки конфиденциальной и приватной информации. 
  • Целевые атаки: через человека — в корпорацию. Большинство кибератак года яв- ляются целевыми. Главный метод проникновения — хорошо таргетированный фишинг. 
  • Рост атак на все финансовые системы. Злоумышленники используют простые методы и легальное ПО для маскировки, а сами атаки готовятся более тщательно. 
  • Выкуп на высшем уровне. Крупные компании подвергаются вымогательству с помощью троянов-шифровальщиков, DDoS-атак и уязвимостей веб-сайтов. 
  • Под ударом энергетика. Среди промышленных систем управления, доступных через Интернет, лидируют системы автоматизации зданий и управления электроэнергией. 
  • Между АСУ и Интернетом вещей. Автоматизация управления стала доступна массо- вым пользователям без необходимых мер безопасности. 
  • Государственные сайты  — самая частая цель веб-атак. Наиболее популярны ата- ки «Внедрение операторов SQL» и «Выход за пределы назначенной директории (Path Traversal)». 
  • Не верьте спутниковой навигации. Реализация атак с подменой GPS-сигнала стала доступной всем желающим. 
  • Вами управляет Android. Вредоносное ПО для мобильных устройств получает права суперпользователя и обходит системы защиты. 
  • Атаки через уязвимости аппаратных платформ. Легальные аппаратные возмож- ности, предусмотренные самими производителями, могут быть использованы не по назначению.

О компании  Positive Technologies:

Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Деятельность компании лицензирована Минобороны России, ФСБ России и ФСТЭК России, продукция сертифицирована ФСТЭК России и в системе добровольной сертификации «Газпромсерт». Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени.


Cyber Risk Report: 2016 Cybercrime Trends Year-in-Review

Прошедший год продемонстрировал способность злоумышленников генерировать новые виды атак, фокусируюя свою тактику и находя новые пути атаки. Киберпреступность становится все более организованной, как показали растущий пул инцидентов , растет количество взломанных устройств IoT (интернет вещей), новые методики и старые трюки социальной инженерии. В настоящем докладе освещаются некоторые из наиболее важных тенденций киберугроз по результтам исследования 2016 года. Наши аналитики так же дают некоторые практические советы, которые можно предпринять, чтобы снизить  кибер-риски в компании.

Скачать доклад можно с официального сайта после бесплатной регистрации


CIO: 4 information security threats that will dominate 2017

Как и в предыдущие годы, прошедший 2016 стал запоминающимся по числу и возможности завершенных кибер атак. Перспективы и прогнозы на 2017 году составлен организацией Форум по вопросам безопасности (ИСБ), которая является мировой, и прилизанной в сфере информационной безопасности, сосредоточенная на управления информационными рисками, прогнозированием и аналитикой. 


"2016  год вполне оправдал ожиданий", - говорит Стив Дурбин, управляющий директор ИФС. "Мы видели все атаки и кибер нарушения, которых, становятся безусловно все больше и больше.  Мы всегда ожидаем какого-то нового уровня технического и методического оснащения злоумышленников, но мы никогда не может предвидеть все в полной мере".

Статья доступна на официальном сайте

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.