[Из песочницы] Информационная безопасность и временной фактор

image Время не на нашей стороне
Согласно статистике, компании Verizon злоумышленники тратят в среднем на взлом той или иной системы и на ее компрометацию, будь то корпоративная или ведомственная система, всего несколько минут, в то время как специалисты по информационной безопасности обнаруживают факты взлома своих систем обычно в течение нескольких месяцев. На сколько эти цифры реальны, не является ли это типичной страшилкой, призванной потратить больше денег, или же на самом деле цифры практически ничего не стоят и являются не более, чем красивой оберткой. Где можно найти подтверждение этих цифр? Именно это и рассмотрим в данной статье, рассмотрев фактор времени в контексте информационной безопасности. Действия злоумышленников, с точки зрения временных характеристик
Если посмотрим на то, что делают в последнее время злоумышленники, то мы увидим, что помимо постоянной адаптации, добавления нового функционала и новых методов обхода средств защиты, временные характеристики, это то на чем они так же концентрируются. Для построения системы защиты, обычно используются межсетевые экраны, системы предотвращения вторжения, антивирус, сканирование контента и др. Что делают вредоносные программы, для того чтобы обойти весь этот спектр защитных технологий?
Используют совершенно разные механизмы обхода средств защиты: постоянная смена IP, использование сайтов однодневок, ежедневные доработки и регулярная смена цели, тем самым повышая эффективность проникновения почти в двое. Именно постоянные модификации приводят к повышению эффективности работы вредоносного кода. Бесполезная помощь черных списков
Согласна данным 71 процент вредоносных сайтов существуют всего 1 день и менее, значит в основном злоумышленники перешли на использование сайтов однодневок, которые живут всего несколько часов. Многие традиционные подходы формирования черных списков вредоносных сайтов, к сожалению, не справляются с такой частотой, потому что, обновляются раз в день. Это значит, что такие средства защиты систем становятся неэффективными.Фактор времени
Если смотреть в целом, то среднее время обнаружения угрозы в индустрии информационной безопасности, составляет в среднем около 200 дней. То есть угрозы обновляются ежечасно и, следовательно, средства защиты надо обновлять ежечасно. Обычно средства защиты обновляются 1 раз в день и реже, то разумеется, ни о какой эффективной системы защиты, не может быть и речи.

image

Время и вы
Но помимо самих средств защиты и производителей, которые должны уделять серьёзное внимание фактору времени, есть еще и службы информационной безопасности. Они так же не должны закрывать глаза на эту проблему и не должны ждать, что все их проблемы решат те, или иные производители, чьи продукты они приобрели. Недостаток обнаружения
Согласно отчету компании Verizon, время на компрометацию систем уменьшаются, а время на обнаружение данного факта, наоборот возрастет. Следовательно, существует дефицит обнаружения. В 60 процентов случаев нападающие проникали в корпоративные или ведомственные сети организаций за минуту. Почти все средства защиты, не могут обнаружить за такой интервал времени злоумышленника. Согласно статистике, собранной по всему миру, в том числе и в России, среднее время обнаружения взлома сети составляет обычно несколько месяцев. К сожалению, эта цифра не уменьшается за последние годы.

image

Невидимый взлом
Если обратиться к отчетам других компаний, то увидим, что это все равно две сотни дней. Все эти дни системы остаются не защищенными, взломанными. То есть злоумышленники хозяйничают в системе, практически любой организации. Самый крупный инцидент длился в течение 2287 дней, то есть компания была взломана и две с лишним тысячи дней. Почти семь лет компания не видела и не знала, что ее взломали, потому что использовала подходы, построенные на старых уже не действующих принципах, в области построения информационной безопасности. Самое простое — самое действенное
Согласно рассмотренному выше отчету Verizon, 50 процентов пользователей в среднем открывают электронную почту и кликают по фишинговым ссылкам в первый час после получения письма. Готовы ли средства защиты бороться с кликаньем по фишинговым ссылкам? Готовы ли они противодействовать этому? Для 99.9% использованных уязвимостей бюллетень CVE был опубликован больше, чем за год до эксплуатации данной уязвимости. То есть в абсолютном большинстве случаев злоумышленники используют уже известные уязвимости, которые просто забыли закрыть.Большой временной интервал
Согласно отчету компании NopSec, то среднее время для устранения уязвимости в различных отраслях занимает десятки дней. В образовательных учреждениях, в финансовых организациях — это 176 дней, здравоохранении составляет 3 месяца. Для облачных провайдеров ситуация, чуть лучше — это 50 дней на устранение уязвимостей, но это тоже очень большой интервал времени.Медленное устранение
Если рассмотреть на то, где дольше уязвимости не устраняются, то получается, что на внешнем периоде (на уровне сети), уязвимости удаляются очень медленно. И именно через сетевой уровень, а не прикладной, как это часто бывает, злоумышленники осуществляют свои проникновения.

image

Открытые уязвимости
Для Web-приложений в целом, будь то финансов предприятие, ит-компания, ритейл, здравоохранение, производственные предприятия — это два и более года, уязвимости на Web-сайтах компаний остаются не устраненными и могут быть использованы злоумышленниками для реализации «черных» дел, для компрометации узлов, для кражи данных и возможно для проникновения во внутренние сети организации.Что является причиной ?
Причина одна — службы информационных технологий, службы информационной безопасности работают гораздо медленнее нападающих. Вероятность уязвимости в первые 40–60 дней достигает 90 процентов. А устранение уязвимостей достигает 100–120 дней. То получается достаточно большой временной зазор, порядка двух месяцев, когда уязвимость уже поэксплуатирована. Но компания даже еще не думала устранять эту уязвимость и корректировать уязвимые системы, то есть практически в течении двух месяцев компания находится во взломанном состоянии, потому что злоумышленники в первые 40–60 дней уязвимость уже поэксплуатировали.Есть ли у вас стратегия обновлений?
Если обратиться к ситуации с hearthbleed, то уязвимые версии, к данной уязвимости к программному обеспечению openSSL и ряд других библиотек, оставались незащищенными в течение нескольких лет, в течении этого времени программное обеспечение, построенное на базе SSL, было уязвимо. Это связано с тем же, что службы ит и информационной безопасности запаздывают, в сравнении с нападающими, которые более оперативно проводят исследования уязвимого программного обеспечения, разрабатывают соответствующие эксплойты, позволяющие использовать «дыры» в тех или иных системах, в тех или иных организациях. Значит мало кто, уделяет серьезное внимание устранению уязвимостей либо использование специальных технологий — виртуальных патчей, либо технологий блокирования попытки использования той или иной уязвимости, если для нее еще не разработан патч.Самостоятельное обновление
Нельзя «почивать на лаврах» и считать, что ваша система находится в защищенности и в полной боевой готовности, перед действиями злоумышленниками, постоянно надо критиковать свою систему защиту и быть готовыми, что злоумышленники найдут способ попадания внутрь корпоративной или ведомственной сети. Нельзя быть уверенным, что самое лучшее, самое дорогое и разрекламированное средство защиты вас защитит, это не так.

Должны использоваться совершенно разные средства для построения современной системы защиты: система прекращения вторжения, антивирус, система контента фильтрации, система контроля доступа, межсетевые экраны, системы защиты баз данных, сканеры безопасности, системы управления патчей, системы резервирования, только комбинация средств защиты, комбинация защиты технологий, позволит хоть как-то быть уверенным в защищенности своей информации, своих приложений, своей инфраструктуры и своих бизнес-процессов.

Смените стратегию
Не надо использовать принципы, появившиеся несколько лет назад, они уже устарели, не говоря о защите, появившейся 10, 20 лет назад. Злоумышленники меняют свою стратегию, служба информационной безопасности так же должна менять свою стратегию.

image

Выводы
Хочется сделать вывод, что не надо закрывать глаза на проблему, фактор времени очень важен, злоумышленники очень быстро реагируют на любые изменения, их вредоносный код, их атаки осуществляют свое черное дело за минуту.

Необходимо увеличить частоту обновления средств защиты до максимальной, разумеется это не является 100 процентной гарантией обнаружения вредоносного кода, но это повысит работу уже приобретённых средств защиты информации.

Не завесить от одного средства защиты, каким бы хорошим и разрекламированным он не был. Дублирование, резервирование, перекрытие защиту функционала — это залог успеха в современной быстро развивающейся среде в области информационной безопасности.

Ни только защищать свои системы, ни только «выстраивать стену» вокруг некого объекта защиты, но и проводить мониторинг аномальной активности и подозрительных событий, а также реагировать на любые аномальные события, то есть необходимо выстроить весь жизненный цикл работы системы защиты, которая умеет бороться с атаками до их появления у объекта, в процессе реализации атаки на объект защиты и быть готовым, что атака будет успешной и нужно уметь обнаруживать данный факт, то есть локализовать проблему, не давать ей распространятся по корпоративной или ведомственной сети.

Необходимо повышать собственные знания, собственные компетенции, а не опираться на знания, полученные даже два-три года назад, они уже скорее всего устарели. Конечно основы остаются неизменными, но в основном технологии меняются гораздо быстрее.

Комментарии (0)

© Habrahabr.ru