четверг, 14 декабря 2017 г.

Итоги 2017 года в сфере ИБ: угрозы, инциденты, тренды, события

В декабре всегда принято подводить итоги года. Это повод еще раз вспомнить за прошедшие несколько месяцев все самые важные, ключевые и интересные события, инциденты, факты, новости и открытия потрясшие мир ИТ и ИБ-индустрии. Еще это и повод выучиться на ошибках, вынести ценный опыт из имевших место кейсов, и конечно же уловить те тренды, что будут преобладать в наступающем периоде! 

И 2017, безусловно, не стал исключением. Он запомнился многими яркими моментами: вирусы-шифровальщики, новые эксплоиты, взлет биткоина, ICO и невероятный рост популярности продуктов основанных на блокчейн технологии, машинное обучение и ИИ для ИБ, становление отечественных SOC и утверждение новых требований КИИ, всплеск malware на мобильных платформах, снова атаки на банки, следующий за ним ГОСТ по безопасности ФинТеха и еще целая куча чуть менее заметных, но не менее важных и весомых событий

И конечно, же 2017 принес очень многое лично для меня, это и выступление на PHDays и победа на ZeroNights, собственные исследования, подрастающая дружина молодых коллег в Политехе, новые знакомства, встречи, приятное общение и безумный драйв на многих очень крутых и интересных проектах!



Знаковые события в ИБ

1. Шифровальщики
Вирусы-шифровальщики уже сами по себе давно не новость, однако на их долю в текущем году выпало очень много инцидентов и шумихи вокруг этого. И не зря.. случившиеся заметным образом отличается от того что было в предыдущие годы.

По статистике некоторых исследований, каждая 10-я компания в 2017 года так или иначе стала жертвой вируса-шифровальщика. При этом, средний срок обнаружения взлома системы составляет 172 дня на Западе и почти 3 года в России. Если подойти с юмором, то вполне можно сказать, что 2017 это год шифровальщиков - майский WannaCry, летний ExPetr и осенний BadRabbit. Так по масштабам WannaCry и вовсе можно сравнить разве что c всемирным распространением червя Conficker в 2008-2009 году, что в антивирусных энциклопедиях до сих является одной из крупнейших эпидемией в мире. По сообщению исследовательского центра компании Group-IB, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов".

И наступающий 2018-й этот тренд продолжит только уже в чуть новом ключе – вместо шифровальщиков вымогающих деньги в обиход войдут вредонсосы скрытно использующие вычислительные мощности жертвы для веб-майнинга криптовалюты. Но о них чуть ниже.



2. Взлет криптовалюты и вредоносный майнинг
По сравнению с прошлым годом курс биткойна вырос в 15 раз и к концу года еще может легко побить этот рекорд. А капитализация платформы для умных контрактов Ethereum выросла вообще в 48 раз!

Если говорить прямо, то криптовалюты за текущий год оказали просто невероятное влияние на мировую экономику и уже существенным образом изменили рынок венчурных инвестиций. К примеру, объем привлеченных суммарных средств через ICO в 2017 году составил аж $3,5 млрд, тогда как традиционный IPO, имеет показатель чуть больше $1 млрд. Как вам такая разница?

И,конечно же логично, что с ростом этих новых технологий и ИТ-площадок связано появление и новых угроз и уязвимостей. Во-первых, это простор для разнообразных классических атак, как то создания фишинговых сайтов, взлома web-ресурсов и подмены (мошенничества) биткойн-кошелька. По статистике предоставленной ЛК, по итогам года $300 млн, то есть фактически десятая часть средств, привлеченных через ICO, была украдена преступниками.

И это пока что не все новости! В связи с безумным распространением майнинга криптовалюты появились новые атаки, в частности скрытый майнинг, как с помощью инфицирования малварью и даже скриптинга в браузере так и взломе web-ресурсов с целью создания ботнет-сетей отдающий свои вычислительные мощности злоумышленникам. 

3. Malware на Android и iOS
По информации из отчета ЛК, в третей половине 2017 года резко возросло количество пользователей, атакованных мобильным банковским трояном Asacub. В июле текущего года количество жертв трояна выросло почти втрое, составив порядка 29 тыс. Также исследователи обнаружили новую модификацию мобильного трояна Svpeng, способного считывать введенный пользователем текст, отправлять SMS-сообщения и препятствовать своему удалению.

В этом же отчете также говорится о расширении списка мобильных приложений, атакуемых банковским трояном FakeToken. По мимо традиционного набора с фишинговыми страницами в сферу новых модификаций зловреда интересов вошли приложения для вызова такси, заказа авиабилетов и бронирования номеров в гостиницах. Основная цель трояна – сбор данных банковской карты пользователя.

В 2017 году по мимо всего прочего наблюдается и рост активности троянов, похищающих деньги пользователей посредством подписок. Так вредоносное ПО может нажимать кнопки на данных сайтах, используя специальные JS-файлы, таким образом осуществляя оплату неких услуг втайне от пользователя.

В TOP 10 банковских троянов, вошли Trojan-Spy..Zbot, Nymaim, Neurevt и Caphaw.



4. Эксплоиты 
В течении всего 2017 года продолжился рост количества атак на пользователей с использованием вредоносных офисных документов. 

Несмотря на появление двух новых уязвимостей для пакета Microsoft Office, CVE-2017-8570 и CVE-2017-8759, злоумышленники продолжают эксплуатировать CVE-2017-0199 – найденную в марте 2017 года логическую уязвимость в обработке NTA-объектов.Суммарно доля эксплойтов для Microsoft Office составила в третьем квартале 27,80%.

В октябре обнаружили новый эксплойт для уязвимости нулевого дня в Adobe Flash, который доставлялся через документ Microsoft Office и использовался «в дикой среде» против наших клиентов. Мы уверены, что эта атака связана с группировкой, которую мы отслеживаем под именем BlackOasis.

В третьем квартале не было крупных сетевых атак (таких как WannaCry или ExPetr) с использованием уязвимостей, исправленных в обновлении MS17-010.

Публикация дампа кода группировкой ShadowBrokers, в результате чего продвинутые эксплойты, якобы разработанные АНБ, попали в руки криминальных групп, которые иначе не получили бы доступа к коду такого высокого уровня.
5. APT - атаки (таргетированные атаки)
По статистика от ЛК по сравнению с 2016-м число таргетированных атак в текущем году выросло вдвое. При этом всего около 10 из них, как Silence, имеют коммерческие интересы, тогда как цель остальных – кибершпионаж и охота за данными государственных ведомств и компаний нефтегазовой отрасли. Однако, большую часть жертв киберпреступников составили российские банки

В октябре в даркнете в свободной продаже было обнаружено новое вредоносное ПО для банкоматов Cutlet Maker. Купив его за несколько тысяч долларов, даже новички в темном искусстве могли начать опустошать банкоматы.



Финансовая составляющая ИБ

1. Текущая статистика
В декабре 2017 года стало известно, что мировые расходы компаний на обеспечение информационной безопасности в 2017 году составят $89,13 млрд. Согласно оценке Gartner, корпоративные затраты на кибербезопасность почти на $7 млрд превысят сумму 2016 года в $82,2 млрд. 

Крупнейшей статей расходов эксперты считают ИБ-услуги: в 2017 году компании направят на эти цели свыше $53 млрд против $48,8 млрд в 2016-м. Второй по величине сегмент ИБ-рынка — решения для защиты инфраструктуры, затраты на которые в 2017-м составят $16,2 млрд вместо $15,2 млрд год назад. Оборудование для сетевой безопасности — на третьем месте ($10,93 млрд). 

В структуру ИБ-расходов также входит потребительское ПО для обеспечения информационной безопасности и системы идентификации и управления доступом (Identity and Access Management, IAM). Затраты по этим направлениям в 2017 году в Gartner оценивают в $4,64 млрд и $4,3 млрд, тогда как в 2016 году показатели были на уровне $4,57 млрд и $3,9 млрд соответственно. 

Аналитики ожидают дальнейший подъем на ИБ-рынке: в 2018 году организации увеличат затраты на киберзащиту еще на 8% и направят на эти цели в общей сложности $96,3 млрд. Среди факторов роста специалисты перечислили меняющееся регулирование в ИБ-сфере, информированность о новых угрозах и разворот компаний к стратегии цифрового бизнеса. 

2. Статистика и прогноз Gartner 
Прогноз Gartner на 2018 год предусматривает увеличение расходов по всем основным направлениям. Так, на сервисы киберзащиты будет потрачено около $57,7 млрд (+$4,65 млрд), на обеспечение безопасности инфраструктуры — порядка $17,5 млрд (+$1,25 млрд), на оборудование для защиты сетей — $11,67 млрд (+$735 млн), на потребительское ПО — $4,74 млрд (+$109 млн) и на IAM-системы — $4,69 млрд (+$416 млн). 

Также аналитики полагают, что к 2020 году более 60% организаций в мире будут вкладывать средства одновременно в несколько инструментов защиты данных, в том числе в средства предотвращения потери информации, шифрования и аудита. По состоянию на конец 2017 года доля компаний, закупающих такие решения, была оценена в 35%. 

Еще одной существенно статьей корпоративных расходов на информационную безопасность будет привлечение сторонних специалистов. Ожидается, что на фоне дефицита кадров в области кибербезопасности, растущей технической сложности ИБ-систем и увеличения киберугроз затраты компаний на ИБ-аутсорсинг в 2018 году увеличатся на 11% и составят $18,5 млрд. 

По расчетам Gartner, к 2019 году корпоративные расходы на услуги сторонних ИБ-экспертов составят 75% от общей суммы затрат на ПО и оборудование для обеспечения кибербезопасности, тогда как в 2016 году это соотношение было на уровне 63%. 

Публичные отчеты ИБ 

1. Security Intelligence Report 2017
Совсем недавно Microsoft опубликовала регулярный отчет по статистике угроз безопасности информационных систем. 

Так согласно исследованию, по итогам 1 квартала 2017 года 14,8% компьютеров в России столкнулись с вредоносным ПО, тогда как в мире этот показатель составил 9%. При этом статистика по месяцам в России за отчетный квартал демонстрирует тенденцию к снижению — 17,2% в январе, 15,1% в феврале и 12% в марте 2017 года.

С ростом популярности облачных сервисов увеличилось и количество атак на них. По данным исследования Microsoft, в 2017 году в мире было зафиксировано в 4 раза больше угроз безопасности, чем за аналогичный период годом ранее. Количество попыток входа в учетную запись Microsoft с вредоносных IP-адресов увеличилось на 44%, став самой главной причиной заражения облачных сервисов (51%). Также наиболее распространены атаки через: протокол удалённого доступа (23%), спам (19%), сканирование портов (3,7%), протокол SSH* (1,7%) и другие. 

В отчете отмечается, что самой распространенной категорией стали трояны: на конец 1 квартала 2017 года они были обнаружены у пользователей 10,26% компьютеров. Второе и третье место заняли вирусы (1,59%) и загрузчики троянов и дропперы (0,64%). В тот же период среди нежелательного программного обеспечения на большинстве зараженных компьютеров были найдены инсталляторы дополнительного ПО (5,49%), модификаторы браузера (2,14%) и рекламное ПО (0,25%).

2. Hi-Tech Crime Trends 2017 от Group-IB

Банки, электростанции, криптобиржи — наиболее вероятные цели хакеров в следующем году. По мнению экспертов, главной опасностью для банков станет не воровство денег, а разрушение их ИТ-инфраструктуры как финальный этап целенаправленной хакерской атаки. 

Одним из возможных сценариев диверсии могут быть торги на биржах от имени банка с целью влияния на курсы валют. Это может привести к запуску лавинообразных операций, совершаемых торговыми роботами после резких колебаний валютных курсов. 
  • Ущерб от троянов под Android в России вырос на 136% и перекрыл ущерб от троянов для персональных компьютеров на 30% 
  • Хакеры сумели автоматизировать фишинг под банки и платежные системы, фишинг теперь происходит без непосредственного участия киберпреступника в каждой краже. 
  • Ежедневно жертвами финансового фишинга в России становятся более 900 клиентов банков. В среднем 10–15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные. 
  • Хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки, биржи, фонды), где аккумулируется все больше денег. Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, а доход от атак на криптобиржи варьируется от $1,5 (Bitcurex) до $72 млн (Bitfinex), в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего $1,5 млн.
  • Злоумышленники «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют. Это говорит о том, что преступники нашли для себя новую прибыльную нишу, и в ближайшее время можно ожидать снижения их активности в традиционной банковской сфере.
  • Хакеры будут успешно атаковать промышленные объекты, потому что научились работать с «логикой» критически важной инфраструктуры. Хакерская группа BlackEnergy продолжает атаки на финансовые и энергетические компании. Оказавшиеся в ее распоряжении инструменты позволяют удаленно управлять терминалами Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети. А летом 2017 года были зафиксированы тестовые атаки на энергокомпании Великобритании и Ирландии.
Развитие хакерского инструментария

Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки.

3. Сводная статистика по зафиксированным во II квартале 2017 года Центром мониторинга событиям и инцидентам информационной безопасности.

За три месяца сенсоры зафиксировали и проанализировали 254 453 172 события информационной безопасности и выявили 144 инцидента.

Результаты глобального исследования тенденций информационной безопасности на 2017 год открывают более широкий взгляд на кибербезопасность и конфиденциальность и представляют их драйверами развития бизнеса и отношений с клиентами и партнерами.

Анализ результатов позволил выделить четыре основные тенденции:
Интернет вещей (IoT) и безопаность

По сведениям из источника, первые месяцы текущего года Интернет вещей (IoT) преподнес небольшой сюрприз, когда смарт-ТВ были атакованы шифровальщиком. Телевизоры LG под управлением Android стали первыми жертвами, показав, что «умные» телевизоры могут быть удаленно скомпрометированы с помощью DTT-сигналов.

Другой кейс. Как объяснил исследователь Нетанель Рубин на последнем Chaos Communications Congress в Гамбурге (Германия), смарт-счетчики представляют опасность по некоторым направлениям. Поскольку все данные по потреблению электричества дома и в офисе записываются и отправляются в электрокомпанию, то хакер, контролирующий устройство, может просматривать информацию и использовать ее во вредоносных целях. Например, грабителю будет очень полезно знать, в какое время суток дом или офис пустой. Он также может удаленно узнать, какие устройства находятся в помещении, т.к. каждое электронное устройство оставляет свой уникальный «отпечаток» в электросети.



Wikileaks и утечки данных

Wikileaks продолжит публикацию информации о Vault 7, которая содержит описание глобальной программы ЦРУ США для взлома электронных устройств. 



ИТ-технологии

Машинное обучение для ИБ
Машинное обучение — технология, которая дарит компьютерам когнитивные способности. Благодаря ей машины не используют детерминированные алгоритмы, а могут выполнять задачи по-разному. Это можно назвать прообразом искусственного интеллекта. Это здорово облегчают повседневные задачи: мобильные телефоны распознают голосовые команды, поисковые системы выдают лучшие запросы, почта отличает и отфильтровывает спам. 

Аналитик 451 Research Эрик Огрен утверждает, что машинное обучение, которое анализирует поведение пользователя, — крупнейшая тенденция в области безопасности в 2017 и грядущем 2018 году. Оно дает шансы предотвратить ущерб от атак, которые были не замечены стандартными средствами обороны. Благодаря нему становится возможным сформировать статистический профиль нормальной активности пользователя, устройства или сайта и идентифицировать события, выходящие за обычные рамки. Поведенческая аналитика позволяет предотвратить нарушения безопасности и несанкционированный доступ к закрытым сведениям.



Нормативно-правовое регулирование ИБ

1.Федеральный закон о КИИ
В уходящем году особенно актуальной стала проблема кибербезопасности. Новый федеральный закон N187-ФЗ «О безопасности критической информационной инфраструктуры РФ» только подчеркивает необходимость и важность защиты каждой системы. И не просто рекомендует, а обязывает компании различных отраслей (как государственные, так и коммерческие) защищаться и вводит механизмы  контроля эффективности защитных мер.

2. SOC, ГосСОПКА и FinCERT
Сформировалась новая для российского рынка концепция «частно-государственного» партнерства в области безопасности. Данная схема предполагает наличие государственных или частных систем, которые нужно защищать. Во главе схемы располагается государство в лице 8 центра безопасности ФСБ России, которое отвечает за функционирование системы ГосСОПКА, и есть разнообразие корпоративных и ведомственных центров реагирования на компьютерные атаки. В результате получается, что общегосударственная защита информационных систем распределяется между государством и коммерческими компаниями. При этом появляется возможность реализовывать аутсорсинг информационной безопасности. В конечном счете создается система взаимосвязанных субъектов: защищающиеся системы, ГосСОПКА, государство. Система ГосСОПКА и требования закона N 187-ФЗ не гарантируют, что систему невозможно будет взломать, но выполнение этих требований и создание центров ГосСОПКА позволит отсечь 90% примитивных атак, позволив сконцентрироваться на высокоуровневых. 



3. GDPR или защита Персональных данных по европейски
Закон о защите персональных данных (GDPR), вступающий в силу в 2018 году в Евросоюзе, определяет, насколько система является значимой для субъекта обрабатываемых персональных данных. Для значимых информационных систем вводятся привычные нам понятия: национальное регулирование, сертификация систем на требования национальных регуляторов. От добровольной защиты информационных систем западный мир переходит к императивным подходам, т.е. обязательным требованиям по защите информации. Таким образом, и российский и зарубежный рынок сейчас задаются одним и тем же вопросом: что мы должны сделать, чтобы привести свою систему защиты к соответствию с новыми видами законодательства 
Общие тенденции 

Ключевыми событиями 2017 года, безусловно, были атаки вымогателей WannaCry, ExPetr и BadRabbit. Исследователи полагают, что за WannaCry стояла известная хакерская группировка Lazarus. На данный момент число жертв этого вымогателя, который распространялся с ошеломляющей скоростью, оценивается в 700 тыс. пользователей по всему миру.

В 2017 году мы наблюдали возобновление целевых атак, направленных на уничтожение данных наряду с их кражей либо вместо нее. Примерами могут служить Shamoon0 и StoneDrill. Другой пример того, как киберпреступники могут достигать своих целей, используя дешевые инструменты и тщательно выбирая своих жертв, – вредоносная кампания Microcin.

В 2017 году стало очевидно, что злоумышленники, реализующие сложные угрозы, широко применяют обычную кражу средств для финансирования своей высокозатратной деятельности. В частности, мы рассказали о BlueNoroff – команде в составе группировки Lazarus, которая занимается финансовыми махинациями. Среди мишеней BlueNoroff были, среди прочего, финансовые учреждения, казино, разработчики ПО для финансовых трейдеров и предприниматели, чей бизнес связан с криптовалютами. Одной из наиболее значимых кампаний BlueNoroff стали атаки на финансовые учреждения в Польше.

В 2017 году продолжился рост числа атак на банкоматы. Мишенями злоумышленников стала банковская инфраструктура и платежные системы, а в ходе атак, помимо таких примитивных методов, как заклеивание объективов камер и сверление отверстий, применялись продвинутые бесфайловые зловреды.

Спустя год после активности ботнета Mirai в 2016 году, ботнет Hajime смог заразить 300 000 подключенных устройств – и это лишь одна из многих кампаний, нацеленных на подключенные устройства и системы.

В 2017 году имели место крупные утечки данных из компаний Avanti Markets, Election Systems & Software, Dow Jones, America’s Job Link Alliance, Equifax и др., от которых в целом пострадали миллионы пользователей. Также в ноябре 2017 года стало известно об утечке из Uber, произошедшей в октябре 2016 г., в результате которой были опубликованы данные о 57 миллионах пользователей и водителей такси.

Чуть-чуть о том, что будет трендом в 2018 

Ответом на усложнение атак стал рост интереса к построению центров мониторинга безопасности (SOC). Уже в 2017 году около 10 компаний приступили к созданию своих SOC, а в 2018 это число вырастет в три раза.

Безопасность умных автомобилей. Заражение через Wi-Fi или Bluetoothподключение может обеспечить злоумышленникам полный контроль над системами машины.

Зловреды для Android. В уходящем году владельцы устройств на мобильной ОС от Google столкнулись с целым рядом новых угроз. Это и первый гибридный банкер-троянец, и миграция с Linux уязвимости Dirty COW, позволяющей перехватить контроль над устройством, и скрытые функции приложений.

Скрытая добыча криптовалют и кража токенов. Майнинг биткойнов требует все больших ресурсов, и злоумышленники пытаются использовать для обогащения крупные ботнеты.

IoT-ботнеты. Сеть Mirai, объединяющая сотни тысяч подключенных устройств, чтобы проводить DDoS-атаки, ставит вопрос об опасности «умных» гаджетов. В 2017 году ботнет распространился и на Windows-машины. Защищенность IoT-устройств, количество которых к 2020 году может достичь отметки в 50 млрд штук, становится проблемой критической важности.

Продолжится рост логических атак на банкоматы (только за первое полугодие 2017 года общий объем атак такого типа в странах Европы вырос на 500%). Банки, в свою очередь, станут еще активнее интересоваться реальными угрозами, грозящими финансовыми потерями, и оценивать риски

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...