Cisco: современная защита должна быть интегрированной

Компания Cisco опубликовала отчёт за первую половину 2015 г., в котором проанализировала современные угрозы. Выяснилось, что хакеры по-прежнему выпускают эксплойты, придумывают очередные методы нападения и изменяют коды вредоносных программ быстрее, чем пользователи устанавливают обновления, разработчики средств защиты создают свои инструменты, а антивирусные компании обновляют сигнатуры.

Так, в отчёте проанализировано распространение набора эксплойтов Angler, для которого характерны постоянные изменения кода. Уровень его проникновения увеличился до 40%, то есть он оказался в два раза более эффективным, чем другие наборы эксплойтов. Связано это с использованием Angler уязвимостей во Flash, достаточно редко обновляемой пользователями.

Исследователи отмечают, что разработчики программного обеспечения постоянно делают одни и те же ошибки. Так, в 2014 г. Cisco обнаружила 471 ошибку управления буфером (CWE-119), 244 уязвимостей при проверке пользовательского ввода (CWE-20) и 238 ошибок в управления ресурсами (CWE-399). Казалось бы, за счет применения безопасных циклов разработки можно избавиться от известных типов проблем, но разработчики не торопятся внедрять у себя методологию SDLC. В результате хакеры используют примерно одинаковые методы вторжения при наличии у жертв разных уязвимостей.

После проникновения в систему вредоносы постоянно меняют свои коды, что не позволяет обнаруживать их с помощью стандартных антивирусных инструментов. Компания Cisco разработала механизм ретроспективного анализа времени обнаружения угрозы (TTD), которое вычисляется на основе уже известных вредоносных кодов. В среднем по индустрии данный показатель составил 200 дней. За столь длительное время хакеры могут выполнить все необходимые им действия и уничтожить следы своего присутствия в системе. Специалисты Cisco указывают, что это связано с разрозненностью средств защиты и отсутствием координации их действий.

По мнению руководителя отдела PR и маркетинга компании «Индид» Юлии Шлыковой, «избирательные ИБ-меры обеспечивают защиту конкретных объектов информационной системы от определенных угроз. Очевидно, что при таком подходе не идет речь о единой защищенной среде обработки информации. Кроме того, при любом изменении «целевой» угрозы эффективность применяемой меры безопасности резко снижается. Злоумышленники используют для получения информации совокупность средств, а значит, защита информации тоже требует комплексного подхода».

Алексей Филатенков, руководитель направления ИБ компании «Открытые Технологии», отмечает: «Для того чтобы противостоять угрозам, создатели систем защиты должны идти на шаг впереди киберпреступников. Для этого Cisco рекомендует создавать интегрированные системы информационной безопасности, подразумевая под «интеграцией» совместную разработку вендорами средств защиты в рамках единой архитектуры. Скорее всего, Cisco и сама готова предложить такую архитектуру. На наш взгляд, в рамках интегрированной ИБ-системы должны взаимодействовать средства сбора информации из журналов безопасности и мониторинга, инструменты анализа и моделирования возможных атак, средства противодействия кибератакам. Тогда появится возможность в кратчайшие сроки обнаруживать и блокировать кибератаки. Кроме того, комплекс средств позволит распознавать аномалии поведения ИТ-систем или пользователей (отклонения от типичного поведения), что поможет обнаруживать неизвестные атаки».

По заверениям Алексея Лукацкого, бизнес-консультанта по информационной безопасности Cisco, у компании уже есть технология FireSIGHT, которая обеспечивает организацию комплексной корпоративной защиты. Если судить по данным отчёта, использование комплексной системы защиты позволяет сократить TTD до 46 ч. Это – тоже слишком большой период, но все же вероятность получения злоумышленниками доступа к важной информации значительно снижается.

Об усилении защиты с помощью интеграции говорит и Юлия Шлыкова: «Реализуя защиту разных аспектов деятельности предприятия, комплексное ИБ-решение должно обеспечивать совместимость средств ИБ каждой подсистемы. Так, интеграция систем аутентификации и управления доступом, которые являются неотъемлемыми частями комплекса, с системами СКУД, HR, DLP, RMS и проч. существенно повышает уровень информационной безопасности компании за счет дополнения схемы контроля над доступом новым фактором – местоположения сотрудника. С учетом того же фактора можно управлять правилами предоставления доступа к информационным ресурсам: разрешать доступ только при нахождении сотрудника на территории офиса или в определенном кабинете (благодаря интеграции системы аутентификации со СКУД можно определять факт прохождения пользователями турникетов), только к компьютерам определенной рабочей зоны и т.п. Кроме того, появляется возможность унификации процедур доступа в помещение и доступа к информационным ресурсам – например, использования сотрудником единственной универсальной карты».

Правда, Алексей Оськин, руководитель отдела технического и маркетингового сопровождения ESET Russia, предупреждает, что подобная интеграция не является панацеей. «Речь идёт, в основном, о защите от таких информационных угроз, как применение вредоносного ПО, перехват конфиденциальных сведений, целенаправленные атаки, фишинг и т.п., – говорит он. – Угрозы краж носителей информации, физического доступа к данным, промышленного шпионажа и проч. в предлагаемой модели не учитываются, а соответственно, защита от них не обеспечивается. Нельзя забывать, что ИБ – это разные средства и методы, которые позволяют добиться максимально возможного уровня безопасности только при их комплексном применении. Продукты, подобные решению Cisco, обязательно должны поддерживать защиту сетевых соединений от перехвата или подмены пакетов, фильтрацию данных для поиска и блокировки угроз и уязвимостей, шифрование данных и защиту доступа к ним, средства мониторинга и управления всеми компонентами системы».

Оцените материал:
Total votes: 155
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.