Но сбудутся ли прогнозы аналитиков WatchGuard? По каждому из обозначенных трендов мы попросили специалистов в области ИТ предоставить свои комментарии, а также дать рекомендации ИТ-службам компаний каким образом и с помощью каких решений лучше встретить угрозы 2011 во всеоружии.
1. Malware as a Service (MaaS)
Появление заранее конфигурированных наборов инструментов для осуществления веб-атак, готового к использованию вредоносного ПО и проч., которые можно приобрести в «черных» App Store.
Алексей Лукацкий, Сisco
В ежегодном отчете по безопасности Cisco еще за позапрошлый год (Cisco 2009 Annual Security Report) мы отметили это явление как одну из набирающих силу тенденций, а первые факты использования технологии «киберпреступление как услуга» нашим специалистам стали известны еще в начале 2000-х годов. С точки зрения защиты ничего нового использовать не надо – просто необходимо эффективно использовать уже существующие технологии и продукты – правильно настраивать их и своевременно обновлять.
Павел Демьяненко, ESET
Данная услуга на форумах разработчиков вредоносного ПО присутствует уже давно наравне с заказными вирусами, бот-нет сетями и т.д. При этом авторы подобных сервисов предоставляют определенную гарантию, что в случае обнаружения вредоносного ПО антивирусными продуктами, будет выпущена новая версия. На сегодняшний день над модификациями вирусов трудятся организованные группы программистов, которые, естественно, зарабатывают на этом деньги и продают это как «услугу».
Андрей Кузьменко, headtechnology UA
Данная тенденция уже известна давно, да и ПО, в основном, используется бесплатное. Хорошие «специалисты» никогда не станут покупать ПО для нанесения вреда в магазине, оружие же в руках дилетантов может быть направлено уже против них. В итоге, появлению «новых» типов атак это не способствует, просто этих типов станет больше.
Кирилл Керценбаум, IBM
Действительно, данная тенденция набирает обороты последние 2-3 года: разработка вредоносного ПО становится такой же простой и удобной, как это в свое время случилось с разработкой легальных приложений после появления систем объектно-ориентированного программирования. Основной опасностью в данном случае является то, что, во-первых, скорость модификации разнообразного вредоносного кода увеличивается в разы и обычные сигнатурные методы защиты становятся малоэффективны, во-вторых, возникает опасность того, что разработка и распространение вредоносных файлов будет вестись сотрудниками самих компаний внутри защищаемого периметра. Таким образом, можно порекомендовать использовать технологии с механизмами проактивной и эвристической защиты, а также инструменты, которые позволяют анализировать и то, что происходит внутри защищаемого периметра, а не только защищаться от атак извне. Например, такими характеристиками обладают современные системы класса Network Intrusion Prevention System (NIPS).
Сергей Маковец, ISSP
Наличие спецсредств для атак на веб-ресурсы у кибер-преступников было всегда, ведь черный рынок давно работает. Появление «черных» AppStore вряд ли приведет к увеличению числа атак. Продажа готовых бот-сетей для совершения DDos-атак осуществляется повсеместно. А целевые атаки на определенные сервисы в платежных системах очень сильно зависят от используемой предприятием платформы и, соответственно, такой «инструментарий» используется далеко не повсеместно.
Средства для защиты от веб-атак на сегодняшний день стандартны и входят либо в функционал систем предотвращения вторжений (IPS), либо представляют собой специализированный класс устройств – WAF (Web Application Firewall). ISSP предлагает высокопроизводительные интеллектуальные системы предотвращения сетевых атак от компании Sourcefire и WAF от Breach Security.
Популярность таких инструментов отрицать сложно. Бизнес «черных» App Store растет: с недавних пор наборы инструментов для веб-атак значительно упростились и теперь стали доступны не только обремененным техническими знаниями «специалистам», но и обычным пользователям. Это ПО позволяет злоумышленникам с легкостью запускать множество содержащихся в комплекте угроз для компьютерных систем. Более того, оно позволяет автоматизировать проведение атак и настраивать действие вредоносных программ таким образом, чтобы избегать их обнаружения.
Один из самых популярных комплектов – Zeus – представляет большую опасность для малого бизнеса. Его основная задача состоит в хищении банковских данных. К сожалению, малые предприятия устанавливают меньше барьеров для защиты своих финансовых транзакций, что делает их уязвимыми и привлекательными для Zeus и мошенников.
Широкая популярность и спрос спровоцировали рост цен на комплекты для проведения киберататк. В 2006 г. популярный комплект WebAttacker продавался на черном рынке за $15. В 2010 г. ZeuS 2.0 рекламируется по цене почти $8 000.
Недавно корпорация Symantec проводила исследование инструментов для кибер-атак и вредоносных сайтов и зарегистрировала более 310 000 уникальных доменных имен, на которых размещены вредоносные данные. В среднем, Symantec ежемесячно регистрирует более 4,4 миллиона вредоносных веб-страниц.
Денис Безкоровайный, Trend Micro
Данная тенденция действительно имеет место быть. Рынок вредоносного ПО начал формироваться достаточно давно и на сегодняшний день торговля вирусами и троянскими программами получила достаточно широкое развитие. Причем объем данного рынка не на много меньше, а по некоторым оценкам - превышает объем рынка средств антивирусной защиты.
Как всякий бизнес, разработка злонамеренного ПО, для того чтобы быть выгодной, должна постоянно предлагать новые продукты, с большими возможностями. Фактически мы в лице MaaS наблюдаем развитие нескольких ключевых тенденций:
1) Разделение труда – сегодня разработчики вирусов не занимаются их распространением.
Активно работает схема:
«Вирусописатель – Продавец – Владелец ботнета – Пользователь-мошенник - Жертва».
Сравните со схемой продажи легального ПО:
«Разработчик – Дистрибьютор – Магазин - Покупатель»
2) Появление полностью коммерчески ориентированных вирусов, примером которого стал печально известный Zeus.
3) Повышение конкуренции между владельцами бот-сетей, приводящее к настоящим конкурентным войнам, как с подходами к ценообразованию, так и с использованием в программном коде троянских программ элементов, деактивирующих конкурентов.
На этом рынке преконфигурированные наборы инструментов для осуществления веб-атак являются только одним из продуктов, доступных массовому «пользователю».
Похоже, что в будущем нас ждут новые еще более масштабные атаки, более агрессивные бот-сети, и не за горами активный переход разработчиков вредоносного ПО на «облачные» технологии.
Нельзя не согласиться с аналитиками WatchGuard в том, что распространение «вредоносного ПО как услуги» (MaaS) может стать одной из самых серьезных угроз наступившего года. По мере того, как хакерство становится все более организованным и все более попадает под криминальный контроль, хакерский «андеграунд» начинает имитировать коммерческие рынки, в результате чего на черном рынке появляются готовые «киты взломщика». Сейчас на хакерских сайтах и форумах можно купить комплекты для веб атаки, готовые к использованию ботнеты и вредоносное ПО. Согласно прогнозу WatchGuard, в 2011 году криминальный андерграунд сделает еще один шаг вперед, создав удобные интернет-магазины вредоносного ПО. Это означает, что «скрипт кидди» (неграмотные молодые взломщики) смогут запросто развертывать свои бот-сети.
Конечно, борьба с такого рода опасностями не относится к компетенции ИТ-служб и специалистов по безопасности отдельных компаний. Ею должны заниматься соответствующие структуры на государственном и международном уровнях. То же можно сказать про эскалацию кибервойн.
Владимир Тихонов, «Лаборатория Касперского»
Уже прошло то время, когда вирусы создавали студенты ради банального развлечения. На сегодняшний день вредоносное ПО пишется, по большей части, «на продажу», либо для достижения финансовых целей группы разработчиков. Таким образом, вирусы превратились в готовый инструмент, который могут использовать не только специалисты кибер-технологий, но и рядовые пользователи. Это стало уже трендом в последние годы.
Юрий Черниченко, ДП «ЭС ЭНД ТИ УКРАИНА»
Действительно, на первый взгляд доступность зрелого вредоносного ПО для кого угодно может показаться большой проблемой. Тем не менее, следует помнить, что такое ПО практически всегда использует известные уязвимости, а значит организации, в которой безопасность не просто статья расходов (регулярно устанавливаются новые патчи безопасности продуктов, поддерживается в актуальном состоянии настройки устройств), опасаться нечего. А вот для организаций, в которых мероприятия по поддержанию безопасности ИТ-инфраструктуры не проводятся, широкая доступность вредоносного ПО действительно может стать большой проблемой.
2. Бизнес-аналитика (появление новых источников информации)
На сегодняшний день при внедрении решений по контролю за безопасностью большинство организаций больше фокусируются на функциях защиты и предотвращения, чем выявления и анализа. В 2011 году приоритеты изменятся. Это означает, что, несмотря на все предпринимаемые усилия, вероятность проникновения вредоносного ПО в корпоративную сеть возрастет и выявление и анализ угроз начинают играть первостепенную роль.
Алексей Лукацкий, Сisco
Да, это так, хотя специалистам по безопасности будет непросто выкроить время в своем насыщенном графике для анализа текущей ситуации и тенденций. Специально для этого мы запустили бесплатный интернет-ресурс Cisco Security Intelligence Operations (Cisco SIO), на котором можно постоянно получать доступ к информации о текущих Интернет-угрозах, новостях о ИБ, блогах по безопасности, аналитике, статистике, различных Web-инструментах, видео, новостям, бюллетеням по уязвимостям и т.д. Аналогичная информация может быть получена и через специальное бесплатное приложение для iPhone, которое разработала Cisco и которое можно скачать в Apple AppStore.
Павел Демьяненко, ESET
Данная ситуация была всегда. Я имею в виду, что выявление и анализ угрозы являются неотъемлемой частью обеспечения Информационной Безопасности предприятия. Нельзя сказать, что малоэффективным является превентивная защита и действия, направленные на предотвращение. Печальные инциденты с «пропусками» случаются, от этого никто не застрахован, и только благодаря анализу и выявлению угроз постфактум, возможно закрыть уязвимость в превентивной защите и обезопасить себя на будущее.
Максим Костюк, headtechnology UA
Бизнес аналитика здесь не причем. Разве только сколько денег мы заработали и какую их часть мы готовы потратить на ИБ. Больше важен анализ угроз в компании… Для этого есть сканеры выявления уязвимостей, слабых мест в сети, сайта компании и т.д. Одним словом, все это было давно и совсем не является трендом.
Кирилл Керценбаум, IBM
Я не готов согласиться с данным тезисом на 100%: данная тенденция также существует на протяжении последних 3-4 лет. Подтверждением этому может служить уже достаточно широкое предложение на рынке так называемых систем Security Event and Information Management (SEIM), на базе которых строятся Security Operation Center (SOC), основным предназначением которых и является анализ и мониторинг систем безопасности для превентивной реакции на разнообразные атаки и нарушения политик безопасности. 2011 год же наверное можно считать тем сроком, когда подобные системы начнут проникать в компании среднего и малого бизнеса, пока же это было в основном прерогативой крупных корпоративных заказчиков.
Сергей Маковец, ISSP
Внедрение любых систем информационной безопасности не имеет смысла без полноценного анализа ИТ-активов в организации. Только полноценное и осмысленное внедрение СУИБ (Системы Управления Информационной Безопасностью) позволит создать управляемую инфраструктуру, основанную на анализе рисков и анализе уязвимостей ИТ-активов. СУИБ это в первую очередь, анализ рисков, это – создание процедур, написание положений политики безопасности и инструкций по эксплуатации информационной инфраструктуры, основанных на требованиях к СУИБ, это и обучение сотрудников, и только потом – внедрение определенных контролей, основанных на технических средствах.
Олег Головенко, Symantec
Действительно, мы замечаем, что все больше компаний по всему миру начинают обращать внимание на так называемые системы мониторинга инцидентов информационной безопасности (Information and Event Management Systems). Например, продукт компании Symantec Security Information Manager может в режиме онлайн идентифицировать попытку атаки на инфраструктуру предприятия, даже если другие системы защиты не смогли ее обнаружить. Это позволит службе безопасности вовремя отреагировать на угрозу, до того, как она приведет с серьезным потерям данных или других активов. Кроме того, продукты этого класса позволяют сохранять для длительного хранения всю историю активностей внутри корпоративной сети, чтобы иметь возможность проводить расследования прошедших инцидентов информационной безопасности для их анализа и устранения причин и последствий.
Денис Безкоровайный, Trend Micro
Действительно, задачи выявления вредоносного ПО в корпоративых сетях будут стоять острее в 2011 году, что связано с ростом количества модификаций вредоносного ПО и ослабеванием традиционной защиты. Компаниям следует обратить внимание не просто на средства выявления аномалий, а на продукты, сочетающие в себе комплексные механизмы выявления, анализа и блокировки вредоносного ПО. В качестве примера такого продукта можно привести Trend Micro Threat Management Services – это решение может выявлять новые угрозы на основе анализа трафика в корпоративной сети и выявления аномалий и характерных шаблонов поведения, определять источник заражения, автоматически отсылать данные для анализа в вирусную лабораторию TrendMicro и на основе результатов исследования аналитиков автоматически очищать зараженные машины от следов вредоносного ПО.
Дмитрий Петращук, ООО «БМС Консалтинг»
Развитие мобильных технологий, облачных сервисов, повышение динамичности и гибкости бизнес-процессов приводит к тому, что современные корпоративные сети уже не имеют защищенного периметра. Это понятие все больше «размывается». При этом количество каналов проникновения вредоносного ПО растет экспоненциально. Офицеры по информационной безопасности и администраторы ИТ-систем уже не в состоянии с необходимой скоростью отслеживать все возможные слабые места в защите системы и адекватно внедрять контроли и меры предотвращения угроз.
Данная тенденция является постоянной. Говорить о том, что 2011 год станет переломным, я бы не стал.
По опыту компании БМС Консалтинг можем выделить три группы компаний:
- компании понимают, что информационная безопасность является комплексной многоуровневой задачей и стараются реализовать этот подход на практике;
- компании, которые в ближайшем будущем к этому придут;
- компании, которые в силу многих причин так и останутся на начальных уровнях зрелости системы управления ИБ.
В данном случае можно говорить про наличие данной тенденции и в Украине. С течением времени популярность мероприятий по проактивному анализу уязвимых мест и их превентивному выявлению становится все популярнее. Основных причин тут, на наш взгляд несколько. Во-первых, большинство крупных украинских компаний уже достаточно долгое время выстраивали инфраструктуру ИБ. И на данный момент логическое развитие данного процесса привело к смещению акцента с реактивной составляющей в сторону проактивной. Во-вторых, сам рост уровня угроз и готовность злоумышленников реализовывать разнообразные мошеннические схемы толкает украинские компании на более активную работу в данном направлении.
Александр Хомутов, «ИТ Лэнд»
Что касается конкретных мер, которые могут быть предприняты для защиты Вашей корпоративной инфраструктуры, то, как указывают эксперты WatchGuard, в первую очередь необходимо уделять большее внимание выявлению угроз и аналитическим технологиям. Все более популярными будут технологии, которые улучшают «просматриваемость» сети, помогают идентифицировать угрозы, которые уже присутствуют в ней, сопоставлять все аспекты сетевой атаки и проводить программно-техническую экспертизу. За примерами таких технологий и продуктов далеко ходить не надо – так же компания WatchGuard предлагает целый ряд решений, которые помогут Вам в этих задачах. Стоит обратить внимание в первую очередь на две линейки ее продуктов – устройства для универсальной защиты XTM и XCS, предназначенные для защиты веб-контента и электронной почты.
Владимир Тихонов, «Лаборатория Касперского»
Наиболее правильным является применение комплексной функции выявления-защиты и защиты-предотвращения. Эффективная защита строится следующим образом. Во-первых, проводится информационный аудит на предприятии, во-вторых, выявление несовместимостей или лазеек, через которые могут проникнуть в сеть. После проведения комплексного анализа разрабатывается необходимая структура защиты сети от вирусов и утечки информации. После установки защиты ведется постоянный анализ атак на защищаемую сеть. Таким образом, мы получаем наиболее глубокую информацию для дальнейшей модернизации защиты.
Юрий Черниченко, ДП «ЭС ЭНД ТИ УКРАИНА»
Нельзя сказать, что это тенденция 2011 года. Мониторинг безопасности и анализ инцидентов всегда был неотъемлемой частью системы безопасности (и не только в сфере ИТ). Большинство средних и крупных компаний, использующих сетевые ресурсы, в частности Интернет, в той или иной мере уже используют средства выявления и анализа угроз (от простого сбора логов и ручного анализа до сложных SIEM-систем максимально автоматизирующих процессы). Поэтому, хотя рынок систем мониторинга и анализа атак/угроз продолжит расти, ожидать значительного всплеска не стоит. Стоит отметить, что для Украины ситуация может отличаться от мировой в связи с принятием НБУ двух отраслевых стандартов (аналогов ISO 27001 – ISO 27002), что может привести к повышенному интересу среди финансовых организаций.
3. DLP для защиты интеллектуальной собственности
Предполагается, что правительства многих стран на законодательном уровне обяжут компании внедрять более изощренные технологии защиты для исключения возможности неправомерного использования конфиденциальной информации.
Алексей Лукацкий, Сisco
История с WikiLeaks действительно подхлестнула интерес к тематике контроля утечек информации. Однако эксперты компании Cisco (которая и сама является разработчиком DLP-технологий в продукте Cisco IronPort E-mail Security Appliance) давно заметили, что попытка подменить техническими средствами задачу работы с людьми к добру не приведет. Утечка конфиденциальной информации – это всегда проблема человеческого фактора и если человек хочет унести информацию, он ее унесет; никакие технологии не помогут это предотвратить. Как показывает статистика, существующие DLP-решения ориентированы в первую очередь на предотвращение случайных утечек. Поэтому компаниям надо больше внимания уделять работе с персоналом, внедрении программы повышения осведомленности, правильной работы HR-подразделения с сотрудниками и т.п.
Павел Демьяненко, ESET
Очень маловероятно, поскольку тяжело реализовать данный законопроект технически, а также правильно классифицировать информацию как конфиденциальную, и, соответственно, проверить. А кроме всего, трудно обеспечить удобный доступ к этой самой закрытой информации.
Андрей Кузьменко, headtechnology UA
DLP не является панацеей от всего, что связано с утечкой информации - иногда хватит и простого шифрования с разграничением доступа. Ведь главное при внедрении таких систем – оценка активов(данных), которые подпадают под гриф конфиденциальности. Закрыть все – тоже не выход, нужен интеллектуальный подход и тонкая настройка.
Виктория Ицкович, headtechnology UA
Согласно требованиям по безопасности информации, компании обязаны защищать собственные и клиентские конфиденциальные данные, такие как номера счетов, карточные данные, номера страхования. Для предотвращения утечки этих данных через корпоративную почтовую сеть следует использовать специализированную DLP-систему, такую как Enterprise-Privacy от компании Proofpoint. Данная система не позволяет конфиденциальной информации покидать компанию, исследуя всю исходящую почту на соответствие корпоративным политикам безопасности и на наличие личных и финансовых данных в письмах и вложениях, а с помощью модуля Digital Asset Security защитит компанию от утечки интеллектуальной собственности, исследований и отчетов.
Кирилл Керценбаум, IBM
Разговоры о том, чтобы обязать на законодательном уровне компании защищаться от утечек конфиденциальной информации, идут достаточно давно, но пока никаких успехов в этом направлении нет даже в странах Европейского союза. Наиболее строго эти процессы регламентируют в США, в Европе и России действуют определенные правила в отношении сохранности Персональных данных, но до тотального внедрения DLP технологий по-прежнему еще далеко, в первую очередь это связано с их дороговизной и сложностью. Однако, если говорить о крупных компаниях, то они уже давно закрыли данные вопросы, так как защита интеллектуальной собственности является для них в первую очередь задачами бизнеса, а не информационной безопасности.
Сергей Маковец, ISSP
Система DLP позволяет предотвратить неконтролируемые утечки любой информации. По статистике компании Websense до 85% всех утечек происходит непреднамеренно, другими словами по ошибке. Законодательные инициативы могут стать драйвером развития рынка DLP-систем, если будет правильно сформулировано, что же такое «неправомерное использование конфиденциальной информации». Пока это регулируется внутренними документами компаний и часто вступает в противоречия с Конституцией Украины.
Именно поэтому внедрение DLP системы должно быть неразрывно связано с построением системы управления ИБ и сопровождаться внутренними документами, проведением тренингов и разъяснений на тему защиты конфиденциальной информации.
Согласно результатам недавно проведенного нами исследования степени защищенности объектов критической инфраструктуры в РФ, российские предприятия рассчитывают скорее на свои силы, чем на государственные программы по защите объектов критической инфраструктуры. Отношение предприятий к этим программам скорее скептическое (об этом заявили 35% респондентов). Тем не менее, российские объекты критической инфраструктуры, хоть и в меньшей степени, чем в среднем в мире, но готовы сотрудничать с государством (большинство компаний высказалось по этому поводу нейтрально либо положительно). Принятие закона о защите персональных данных, несомненно, положительно скажется на процессе повышения уровня информационной безопасности, но, тем не менее, существует еще масса аспектов информационной безопасности, не охваченных этим законом и нуждающихся в улучшении. Однако, уровень технологичности современных средств защиты от утечек постоянно растет.
Денис Безкоровайный, Trend Micro
Это может быть актуально для Европы и США, но в СНГ таких инициатив, скорее всего, не будет. Действительно, в странах СНГ законодательство по ИБ активно развивается, в первую очередь оно направлено на защиту персональных данных. Но законодательство о защите персональных данных в явном виде не обязывают компании использовать системы DLP.
Дмитрий Петращук, ООО «БМС Консалтинг»
С данным утверждением сложно согласиться. Я считаю маловероятной ситуацию, когда правительство обяжет бизнес внедрять конкретную технологию. Да, возможно усиление требований по защите персональных данных, но требования законов, стандартов и правительственных указов в демократических государствах всегда учитывает интересы всех сторон – и граждан, и бизнеса. Примеры принятия решений, которые для защиты прав граждан существенно урезают права и возможности коммерческих компаний в США и Европе, на сегодняшний день отсутствуют.
Василий Задворный, «Инком»
Думаю, не стоит повторно напоминать про разнообразные скандалы, связанные с утечкой конфиденциальных данных, в том числе и по вине государственных учреждений, которыми был богат прошедший год. Поэтому определенная реакция на защиту данных на уровне государств и межгосударственных организаций определенно будет. Правда стоит заметить, что работа по регламентации защиты информации и требований к реализации такой деятельности ведется давно. И в данном случае стоит говорить скорее про ее новый виток, спровоцированный известными скандалами.
Что касается Украины – прошедший год обогатил список законов и нормативов, касающихся ИБ сразу на два пункта. Во-первых, НБУ опубликовал стандарт ИБ в банках на основании международных стандартов серии ISO. Во-вторых, с 1 января вступил в силу закон о защите персональных данных. Оставим пока за скобками качество и проработанность данных документов – это предмет исследования, а не комментария. Однако само появления данных документов подтверждает усиление роли государства в сфере управления ИБ. И данная тенденция, похоже, продолжиться. В первую очередь ввиду необходимости соответствия внутреннего законодательства внешним требованиям.
Юрий Черниченко, ДП «ЭС ЭНД ТИ УКРАИНА»
Подобные начинания можно только приветствовать. Такое законодательное регулирование обеспечит поддержание ИТ-безопасности в организациях на высоком современном уровне. Без законодательного регулирования у многих организаций может возникнуть желание «сэкономить» на явно не приносящей прибыли безопасности, что может, повлечет проблемы у их клиентов.
4. Объемы вредоносного ПО «из коробки» продолжат расти
Если раньше предполагалось, что приобретая ноутбук, устройство для хранения данных или даже фоторамку, пользователь получает заведомо свободный от вредоносного ПО. Но времена изменились! В 2010 году были зафиксированы случаи распространения продуктов известных производителей, инфицированных вредоносным ПО. Более того, однажды такие продукты даже распространялись прямо во время известных конференций по безопасности.
Алексей Лукацкий, Сisco
В этом нет ничего удивительного. Любое доверие – это всегда палка о двух концах. С одной стороны оно облегчает многие аспекты нашей жизни, а с другой привносит в нее новые угрозы. Случаи распространения вредоносного ПО не ограничиваются только CD или флешками производителей ПО или даже средств защиты; нам приходилось сталкиваться со случаями заражения веб-сайтов разработчиков систем информационной безопасности, распространения вредоносного ПО через их системы рассылок и т.д. И это гораздо более серьезная угроза, так как интернет-технологии получают все большее распространение в мире. Не случайно компания Cisco делает большую ставку на один из своих флагманских продуктов – Cisco IronPort Web Security Appliance, и облачный сервис по ИБ – Cisco ScanSafe Web Security, которые призваны решать проблемы с доступом к уязвимым Web-серверам.
Павел Демьяненко, ESET
Естественно, такие случаи возможны и в будущем, это только лишь дополнительное доказательство того, что киберпреступность – проблема современного общества. И никто не отменял базовых принципов защиты, необходимости использования антивирусного ПО, и, естественно, более качественного анализа выпускаемой продукции.
Виктория Ицкович, headtechnology UA
Вредоносное ПО на устройстве несет угрозу не только пользователю непосредственно, но и всей корпоративной сети компании, в которую входит данное устройство. Проникнув каким-либо способом на компьютер, вирус распространяется по всей сети, превращая зараженную сеть в ботнет. Так как основным коммуникационным каналом на сегодняшний день является электронная почта, она же является и основным каналом распространения вредоносного ПО. Компания, даже непреднамеренно рассылающая зараженные письма из своей сети, компрометирует себя перед партнерами и клиентами и рискует быть добавленной в глобальный блок-лист. Многомодульная антивирусная система, установленная на шлюзе, позволит избежать этой проблемы.
Кирилл Керценбаум, IBM
Наверное, можно согласиться, что случаи регистрации заражения «из коробки» продолжат расти, но считать это большой угрозой и устоявшейся тенденцией – нельзя. Такие случаи скорей характеризуют просчеты в технологическом цикле компаний-производителей, чем преднамеренные действия хакеров, ведь особой монетизации данного вида угроз добиться на данный момент практически невозможно.
Сергей Маковец, ISSP
Внедрение стандартов информационной безопасности в компаниях, а также внутренних compliance позволит избегать распространения вредоносного ПО. Анализ поведения сети и сетевых приложений позволяет быстро локализировать зараженные компьютеры и другие устройства, подключенные легально или не легально к информационным сетям предприятия. Строго говоря – любое новое устройство, которое подключается в корпоративную инфраструктуру, должно проверяться на соответствие внутренним корпоративным политикам безопасности.
Олег Головенко, Symantec
Нам известны подобные случаи. Хотя по большей части эти инциденты вызваны «человеческим фактором», что еще раз доказывает, что в области информационной безопасности самым слабым звеном остается человек.
Денис Безкоровайный, Trend Micro
Действительно, такие случаи имели место и они подтверждают, что пользователи должны иметь изначально низкий уровень доверия к полученной извне информации, несмотря на ее источник. Правда, врядли можно ожидать, что такие инциденты окажут серьезное влияние на рынок ИБ.
Дмитрий Петращук, ООО «БМС Консалтинг»
Не могу согласиться с данным утверждением. Говорить о каком либо росте объема «коробочного» вредоносного ПО не позволяет спорадичность данного явления. Так, компания «БМС Консалтинг» в своей практике фиксировала еще в 2002 году случаи поставки в Украину компьютерной техники с «встроенным» злонамеренным кодом, что подтверждалось проверкой популярными, на тот момент, антивирусными приложениями. Чаще всего, правда, в нашем случае проблема заключалась не в мифических «хакерах», проникших в сеть завода по изготовлению винчестеров в Тайване, а в ошибках алгоритмов антивирусов.
Такие ошибки, называемые ошибками второго рода или «false positives» иногда выявляются во многих решениях антивирусных вендоров. Но, к нашему сожалению, после обнаружения подобных просчетов, вносят исправления в эвристические алгоритмы производители антивирусов крайне неохотно.
Хотя с другой стороны, отрицать факты распространения на оборудовании производителей активных вирусов тоже нельзя. Но эти факты свидетельствуют не столько о появлении новой опасной тенденции, как о недостаточности применяемых производителями превентивных мер контроля безопасности. В компаниях, которые внедрили и поддерживают в актуальном состоянии систему управления информационной безопасности в соответствии с лучшими практиками, подобные инциденты практически исключены.
Юрий Черниченко, ДП «ЭС ЭНД ТИ УКРАИНА»
Действительно возможность получить «подарок» в комплекте с новым оборудованием или ПО – существует. Контроль качества продуктов в таком случае должен полностью возлагаться на поставщика/продавца. А покупателям стоит помнить, что в соответствии с законом Украины о защите прав потребителей они имеют право на безопасность и надлежащее качество продукции, как и на возмещение убытков, причиненных дефектной продукцией.
5. Роль Facebook и других социальных медиа в распространении угроз возрастет
Можно провести аналогию с вложениями электронной почты – в свое время они представляли серьезную угрозу для бизнеса. Теперь их заменили ссылки на социальные сети. Сейчас веб выступает источником большинства атак, и в этом контексте Facebook представляет собой ощутимую угрозу.
Алексей Лукацкий, Сisco
Соглашаясь с названной тенденцией, я бы все-таки скорректировал ее в части упомянутого источника угрозы. Facebook, MySpace и т.п. социальные сети пока не получили на постсоветском пространстве ощутимого преимущества по сравнению с «местными» ресурсами – «ВКонтакте», «Одноклассники», «В кругу друзей» и т. д. Часть разработчиков системы защиты интернет-взаимодействия Cisco IronPort Web Security Appliance располагается в Украине и нам гораздо проще учитывать национальную специфику в области информационной безопасности.
Павел Демьяненко, ESET
Несомненно, да, более того, это уже реалии сегодняшнего дня. Прошедший год был известен также достаточно шумными уязвимостями, найденными на страницах социальных сетей. Любой вид человеческой деятельности в ИТ-сфере, который становится популярным, тут же подвергается тщательному изучению преступниками, которые хотят получить выгоду от взлома и использования данных.
Андрей Кузьменко, headtechnology UA
Социальные сети занимают первое место по своей популярности в интернете и facebook является далеко не единственной такой сетью. Здесь необходимо четко понимать и определить для себя, открывать ли пользователям доступ к этим сетям, или нет. Мы рекомендуем открывать, но:
2. Проверять весь трафик на наличие вирусов уже на шлюзе
3. Протоколировать действие пользователей и создавать отчеты по активности пользователей, если активность покажется аномальной – закрывать доступ
Кирилл Керценбаум, IBM
В данном случае не стоит особо акцентировать внимание именно на угрозах, исходящих от Facebook. Все, что касается социальных ресурсов, будь то Facebook, Twitter, LinkedIn, «ВКонтакте» и прочее несут в себе как огромный новый инструментарий личного и делового общения, так и отличную платформу для вирусописателей. Количество угроз на базе принципов социальной инженерии на протяжении последних 5 лет было стабильно высоким. В основном мы встречались с ними в почтовом и Интернет трафике, теперь же они все активнее распространяются в новых медиа и социальных ресурсах. Что касасается рекомендаций, то здесь мы можем вновь говорить о использовании систем защиты проактивного характера, систем анализа трафика (IPS) и др., а также при наличии возможности с точки зрения характера ведения бизнеса – ограничение или запрета доступа пользователей к определенным ресурсам.
Сергей Маковец, ISSP
Повсеместное распространение технологии Web 2.0 и социальных сетей действительно представляет угрозу для современного бизнеса. Нерегламентированное использование социальных медиа приводит к атакам вида XSS, распространению malware, утечкам конфиденциальной информации и, минимум, к нецелевому использованию каналов связи.
Системы веб-фильтрации и защищенные прокси-серверы позволяют минимизировать риски, при использовании социальных медиа в определенных бизнес-процессах. Сейчас лидеры рынка систем сетевой защиты предлагают решения NGFW (Next Generation Firewall) – межсетевые экраны с контролем приложений и базой репутации IP-адресов. 2011 год принесет слияние технологий межсетевой защиты и систем предотвращения сетевых атак.
Олег Головенко, Symantec
Да, действительно, известны случаи, когда приложения Facebook пересылали конфиденциальную информацию о пользователе сторонним источникам. Ситуацию осложняет то, что многие социальные сетевые сервисы используются предприятиями и организациями для повышения уровня коммуникаций и продуктивности среди сотрудников. И хотя социальные сети продолжат изменение формата сотрудничества коллег в 2011 г., ИТ-организации должны будут понять, как защищать внутреннюю информацию от этих приложений и управлять ими. Технологии защиты от подобных угроз существуют уже сейчас. По мере того, как компании раскрывают потенциал социальной составляющей бизнеса и, при этом, сохраняют функцию архивирования как формы контроля и снижения информационных рисков, возрастет значение архивирования данных социальных сетевых сервисов.
Денис Безкоровайный, Trend Micro
Да, действительно роль социальных сетей в распространении вредоносного ПО будет увеличиваться. Правда, не стоит здесь особенно выделять Facebook, так в странах СНГ эта социальная сеть пока не столь популярна, как «Одноклассники» ли «ВКонтакте». Некоторые организации идут, как им кажется, по простому пути и просто блокируют доступ всех сотрудников к социальным сетям. Такой подход не всегда эффективен с точки зрения бизнеса и часто очень ресурсозатратен, к тому же, опасность представляют не сами социальные сети (это лишь инструмент), а контент, распространяемый через них. Для защиты от вредоносных ссылок компаниям следует использовать такие средства защиты, которые способны защищать не просто от известных вирусов, но и «понимать» современные веб-угрозы, учитывать быструю динамику их развития, обновляясь в режиме реального времени. Например, большинство продуктов компании Trend Micro используют глобальную базу веб-репутации, входящую в Smart Protection Network и содержащую информацию о репутации сайтов и отдельных веб-страниц, что позволяет своевременно блокировать доступ сотрудников к опасному веб-содержимому, даже если ссылки скрываются за множеством перенаправлений и сервисов «сокращателей» ссылок.
Алексей Вагин, ООО «БМС консалтинг»
Несомненно, количество пользователей социальных сетей стремительно увеличивается. Например, Facebook заявляет о достижении количества пользователей в более чем 500 миллионов человек! Большинство из них пользуются услугами социальных сетей непосредственно со своего рабочего места, подвергая опасности, прежде всего, корпоративные активы.
Усугубляет ситуацию то, что интернет-приложения все чаще используют новые технологии (например, Web 2.0), при которых традиционные средства защиты и фильтрации трафика становятся неэффективны (или малоэффективны).
По опыту компании «БМС Консалтинг» рекомендуем применять специализированные решения, которые бы:
• контролировали использование сотрудниками интернет-приложений, включая Web 2.0
• делали доступными применение одних и блокировали использование других приложений, в зависимости от пользователя и решаемых задач.
Василий Задворный, «Инком»
Думаю, что тут украинский тренд вполне совпадает с мировым. Уровень проникновения социальных сетей у нас достаточно высок. А вот уровень культуры их использования не на высоте. Данное замечание касается не только социальных сетей, но и компьютерных технологий вообще. Рядовые пользователи, в подавляющем большинстве, просто не знают о существовании целого ряда угроз информационной безопасности, черпая основные знания о предмете, в основном из голливудских фильмов по теме.
В данном случае, особенно в разрезе корпоративной безопасности, просто необходимо кроме технологической защиты проводить постоянную разъяснительную работу среди персонала.
Владимир Тихонов, «Лаборатория Касперского»
В настоящее время доступ к социальным сетям полностью блокируют лишь четверть компаний; многие признают, что корпоративное присутствие в таком сервисе помогает развитию бизнеса. Но, в то же время, количество спама, которое попадает к пользователю через социальные сети, растет из года в год. К примеру, количество спама выросло на 10%, фишинговых сообщений - на 13%, а вредоносных сообщений — на 4%. А в сравнении с апрелем 2009 года все эти показатели выросли вдвое.
Самым опасным из четырех популярных социальных ресурсов (Facebook, Twitter, MySpace и LinkedIn) стал Facebook.
Социальные сети, как средства свободного общения и обмена информацией, представляют собой прекрасную среду для проведения различных атак от простого заражения компьютера вирусом до социального инжиниринга. И в то время как сервис электронной почты на сегодняшний день можно достаточно качественно оградить от угроз безопасности, то защита самих социальных сетей просто не предусматривается. В связи с этим самым эффективным способом борьбы является (и скорее сего еще долго будет оставаться) простое блокирование доступа сотрудников организации к таким сетям.
