Інформаційна безпека та часовий фактор

image

Час не на нашому боці
Згідно зі статистикою, компанії Verizon зловмисники витрачають в середньому на злом тієї чи іншої системи і на її компрометацію, будь то корпоративна або відомча система, всього кілька хвилин, у той час як фахівці з інформаційної безпеки виявляють факти злому своїх систем зазвичай протягом декількох місяців. На скільки ці цифри реальні, чи це не є типовою страшилкою, покликаної витратити більше грошей, або ж насправді цифри практично нічого не варті і є не більше, ніж гарною обгорткою. Де можна знайти підтвердження цих цифр? Саме це і розглянемо в даній статті, розглянувши фактор часу в контексті інформаційної безпеки.

Дії зловмисників, з точки зору часових характеристик
Якщо подивимося на те, що роблять останнім часом зловмисники, то ми побачимо, що крім постійної адаптації, додавання нового функціоналу та нових методів обходу засобів захисту, часові характеристики, це те, на чому вони так само концентруються. Для побудови системи захисту, що зазвичай використовуються міжмережеві екрани, системи запобігання вторгнення, антивірус, сканування вмісту та ін

Що роблять шкідливі програми, для того щоб обійти весь цей спектр захисних технологій?
Використовують абсолютно різні механізми обходу засобів захисту: постійна зміна IP, використання сайтів одноденок, щоденні доопрацювання і регулярна зміна мети, тим самим підвищуючи ефективність проникнення майже в двоє. Саме постійні модифікації призводять до підвищення ефективності роботи шкідливого коду.

Марна допомога чорних списків
Згодна даними 71 відсоток шкідливих сайтів існують лише 1 день і менше, значить в основному зловмисники перейшли на використання сайтів одноденок, які живуть всього кілька годин. Багато традиційні підходи формування чорних списків шкідливих сайтів, на жаль, не справляються з такою частотою, тому що, оновлюються раз на день. Це означає, що такі засоби захисту систем стають неефективними.

Фактор часу
Якщо дивитися в цілому, то середній час виявлення загрози в індустрії інформаційної безпеки, складає в середньому близько 200 днів. Тобто загрози оновлюються щогодини і, отже, засоби захисту треба оновлювати щогодини. Зазвичай засоби захисту оновлюються 1 раз в день і рідше, то зрозуміло, ні про яку ефективної системи захисту, не може бути й мови.

image

ви
Але крім самих засобів захисту і виробників, які повинні приділяти серйозну увагу фактору часу, є ще і служби інформаційної безпеки. Вони так само не повинні закривати очі на цю проблему і не повинні чекати, що всі їх проблеми вирішать ті, чи інші виробники, чиї продукти вони придбали.

Недолік виявлення
Згідно зі звітом компанії Verizon, час на компрометацію систем зменшуються, а час на виявлення даного факту, навпаки зросте. Отже, існує дефіцит виявлення. У 60 відсотків випадків нападники проникали в корпоративні або відомчі мережі організацій за хвилину. Майже всі засоби захисту, не можуть виявити за такий інтервал часу зловмисника. Згідно зі статистикою, зібраною по всьому світу, в тому числі і в Росії, середній час виявлення злому мережі становить зазвичай кілька місяців. На жаль, ця цифра не зменшується за останні роки.

image

Невидимий злом
Якщо звернутися до звітів інших компаній, то побачимо, що це все одно дві сотні днів. Всі ці дні системи залишаються не захищеними, зламаними. Тобто зловмисники господарюють в системі, практично будь-якої організації. Найбільший інцидент тривав протягом 2287 днів, тобто компанія була зламана і дві з гаком тисячі днів. Майже сім років компанія не бачила і не знала, що її зламали, бо використовувала підходи, побудовані на старих вже не діючих принципах, в області побудови інформаційної безпеки.

найпростіше — найдієвіший
Згідно розглянутого вище звіту Verizon, 50 відсотків користувачів в середньому відкривають електронну пошту та клацають по фішинговим посилання в першу годину після одержання листа. Готові засоби захисту боротися з кликаньем за фішинговим посиланнями? Чи готові вони протидіяти цьому? Для 99.9% використаних вразливостей бюлетень CVE був опублікований більше, ніж за рік до експлуатації даної уразливості. Тобто в абсолютній більшості випадків зловмисники використовують відомі уразливості, які просто забули закрити.

Великий часовий інтервал
Згідно зі звітом компанії NopSec, то середній час для усунення уразливості в різних галузях займає десятки днів. В освітніх установах, у фінансових організаціях – це 176 днів, охорону здоров'я становить 3 місяці. Для провайдерів хмарних ситуація, трохи краще — це 50 днів на усунення вразливостей, але це теж дуже великий інтервал часу.

Повільне усунення
Якщо розглянути на те, де довше уразливості не усуваються, то виходить, що на зовнішньому періоді (на рівні мережі), уразливості видаляються дуже повільно. І саме через мережевий рівень, а не прикладний, як це часто буває, зловмисники здійснюють свої проникнення.

image

Відкриті уразливості
Для Web-додатків в цілому, будь то фінансів підприємство, іт-компанія, рітейл, охорона здоров'я, виробничі підприємства – це два і більше року, уразливості на Web-сайтах компаній залишаються не усунутими і можуть бути використані зловмисниками для реалізації «чорних» справ, для компрометації вузлів, для крадіжки даних і можливо для проникнення у внутрішні мережі організації.

Що є причиною ?
Причина одна – служби інформаційних технологій, служби інформаційної безпеки працюють набагато повільніше нападників. Ймовірність уразливості в перші 40-60 днів досягає 90 відсотків. А усунення вразливостей досягає 100-120 днів. То виходить досить великий часовий проміжок, близько двох місяців, коли уразливість вже поексплуатована. Але компанія навіть ще не думала усувати цю вразливість і коригувати вразливі системи, тобто практично протягом двох місяців компанія знаходиться в зламаному стані, тому що зловмисники в перші 40-60 днів уразливість вже поексплуатували.

чи Є у вас стратегія оновлення?
Якщо звернутися до ситуації з hearthbleed, то уразливі версії, до даної уразливості програмного забезпечення openSSL і ряд інших бібліотек, залишалися незахищеними протягом декількох років, протягом цього часу програмне забезпечення, побудоване на базі SSL, було вразливе. Це пов'язано з тим, що служби іт та інформаційної безпеки запізнюються, в порівнянні з нападниками, які більш оперативно проводять дослідження уразливого програмного забезпечення, розробляють відповідні експлойти, що дозволяють використовувати «дірки» у тих чи інших системах, в тих чи інших організаціях. Значить мало хто приділяє серйозну увагу усунення вразливостей або використання спеціальних технологій віртуальних патчів, або технологій блокування спроби використання тієї чи іншої проблеми, якщо для неї ще не розроблено патч.

Самостійне оновлення
Не можна «спочивати на лаврах» і вважати, що ваша система знаходиться в захищеності і в повній бойовій готовності, перед діями зловмисниками, треба постійно критикувати свою систему захист і бути готовими, що зловмисники знайдуть спосіб потрапляння всередину корпоративної або відомчої мережі. Не можна бути впевненим, що найкраще, найдорожче і розрекламоване засіб захисту захистить вас, це не так.

Повинні використовуватися абсолютно різні засоби для побудови сучасної системи захисту: система припинення вторгнення, антивірус, система фільтрації контенту, система контролю доступу, міжмережеві екрани, системи захисту баз даних, сканери безпеки, системи управління патчів, системи резервування, тільки комбінація засобів захисту, комбінація захисту технологій, дозволить хоч якось бути впевненим в захищеності інформації, своїх додатків, своєї інфраструктури та своїх бізнес-процесів.

Змініть стратегію
Не треба використовувати принципи, що з'явилися кілька років тому, вони вже застаріли, не кажучи про захист, з'явилася 10, 20 років тому. Зловмисники змінюють свою стратегію, служба інформаційної безпеки так само повинна змінювати свою стратегію.

image

Висновки
Хочеться зробити висновок, що не треба закривати очі на проблему, чинник часу дуже важливий, зловмисники дуже швидко реагують на будь-які зміни, їх шкідливий код, їх атаки здійснюють свою чорну справу за хвилину.

Необхідно збільшити частоту оновлення засобів захисту до максимальної, зрозуміло це не є 100 відсотковою гарантією виявлення шкідливого коду, але це підвищить роботу вже придбаних засобів захисту інформації.

Не залежати від одного засобу захисту, яким би хорошим і розрекламованим він не був. Дублювання, резервування, перекриття захист функціоналу – це запорука успіху в сучасній швидко розвивається середовищі в області інформаційної безпеки.

Не тільки захищати свої системи, не тільки «вибудовувати стіну» навколо якогось об'єкта захисту, але і проводити моніторинг аномальної активності і підозрілих подій, а також реагувати на будь-які аномальні події, тобто необхідно вибудувати весь життєвий цикл роботи системи захисту, яка вміє боротися з атаками до їх появи у об'єкта, у процесі реалізації атаки на об'єкт захисту і бути готовим, що атака буде успішною і потрібно вміти виявляти даний факт, тобто локалізувати проблему, не давати їй поширяться по корпоративній або відомчої мережі.

Необхідно підвищувати власні знання, власні компетенції, а не спиратися на знання, отримані навіть два-три роки тому, вони вже швидше за все застаріли. Звичайно основи залишаються незмінними, але в основному технології змінюються набагато швидше.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.