Презентация: Лаборатория Касперского vs Киберпреступность
advertisement
«Лаборатория Касперского vs Киберпреступность» Ирина Белоцерковец Лаборатория Касперского Представительство в СЗФО Irina.Belotserkovets@kaspersky.com Больше чем безопасность Kaspersky LAB – на переднем краю борьбы с киберкриминалом •Аналитические отчеты •Информация в блогах и вирусных энциклопедиях •Обучающие семинары, бизнес-завтраки, конференции •Образовательные программы •Работа с органами власти Страница 2 Важные цифры. 2010 год 31 декабря 2010 г. –1 900 000 000* зафиксированных инцидентов 1,9 МИЛЛИАРДА! *3700 инцидентов в секунду Страница 3 Динамика развития информационных угроз Локальные инциденты В 2011 году зафиксировано 2,3 миллиарда локальных инцидентов! Страница 4 Динамика развития информационных угроз 2012 год. Зафиксировано 2,7 миллиарда разных вредоносных и потенциально нежелательных программ Страница 5 Динамика развития информационных угроз - 1 595 587 670 атаки через браузер (4 371 473 раз в день) - сервера атак – 6 537 320 доменов в 202 странах мира Рост по сравнению с 2011 г. – в 1,7 раза Место Страна 1 2 3 4 5 США Россия Нидерланды Германия Великобритания Страница 6 Количество атак 413 622 459 317 697 806 271 583 924 184 661 326 90 127 327 % от всех атак 25,5% 19,6% 16,8% 11,4% 5,6% Динамика развития информационных угроз Картина мира Веб-угрозы Место Страна 1 Россия 2 Таджикистан 3 Азербайджан 4 Армения 5 Казахстан 6 Белоруссия 7 Бангладеш 8 Шри-Ланка 9 Индия 10 Судан 11 Туркменистан 12 Оман 13 Узбекистан 14 Малайзия 15 Молдавия 16 Мальдивы 17 Украина 18 Италия 19 США 20 Испания Страница 7 % уникальных пользователей* 58,6 58,5 57,1 55,7 55,5 51,8 51,7 51,5 51,1 51,0 51,0 48,0 47,5 47,3 47,2 46,8 46,8 45,6 45,1 44,7 Динамика развития информационных угроз 2012 год Год Java-уязвимостей половина всех зафиксированных атак с использованием эксплойтов была нацелена на уязвимости в Oracle Java Страница 8 Динамика развития информационных угроз Уязвимые продукты Страница 9 Не обновленный софт на компьютере в РФ Источник: Лаборатория Касперского, H1 2012 31% 29% 20% Oracle Java Adobe Flash Winamp 17% Microsoft Office СЗФО: операционные системы, 2012 год СЗФО: ТОП 5 Среднее количество пойманных при работе в Сети вредоносных программ в пересчете на одного пользователя, 2012 18 17 15 16 15 15 14 12 10 8 7 6 4 2 0 Архангельск Санкт-Петербург Мурманск Калининград Череповец Среднее количество пойманных при работе в Сети вредоносных программ в пересчете на одного пользователя, 2012 27 25 19 12 10 8 13 14 15 15 15 16 17 Динамика развития информационных угроз 2012 год. Тенденции Страница 14 Вымогательство и нечестная конкуренция 404 – сайт недоступен 9.5 1939,25 Мишени для DDoS-атак • Интернет–магазины • Торговые площадки • СМИ • Банки (особенно интернет-банкинг) • Страховые компании • Телеком • Государство • Все остальные Тенденции Увеличение атак с целью похищения ПД на крупные корпорации Репутация под угрозой: Значительное количество инцидентов взломов БД Sony, Honda, Fox News, Citibank Наболее крупная утечка: взлом Sony: PlayStation, Qriocity, Sony Online Entertainment Данные до 77 миллионов (!) пользователей сервисов PSN и Qriocity. Прямой вред репутации •сервисы Sony были недоступны по всему миру в течение 2-3 недель •количество возвратов и обменов приставок Sony возросло в разы «Хактивисты» «хактивизм» — взлом или вывод из строя систем государства в знак протеста новая группировка LulzSec: за 50 дней: взлом множества систем и ПД десятков тысяч пользователей - Sony, EA, AOL, сенат США, ЦРУ Cистемным администраторам крупных компаний и государственных организаций необходимо провести тестирование своих систем, в противном случае следующая волна «хактивизма» может добраться и до них. Страница 17 Тенденции Атака на корпорацию Mitsubishi - началась в середине сентября, готовилась в июле-августе - было заражено около 80 компьютеров и серверов заводов Mitsubishi - получение и открытие PDF-файла - эксплойт уязвимости в Adobe Reader - установка вредоносного модуля, открывающего полный удаленный доступ к системе. - cбор и рассылка наружу интересующей информации Страница 18 Тенденции Страница 19 Тенденции Страница 20 Тенденции Страница 21 Важные цифры и факты. 2012 год США •Продажа данных свыше 100 тыс. кредиток. •Совокупный ущерб от деятельности оценен в 63 млн. долларов. Индия Страница 22 Тенденции. Кибервойны В июне 2010 г. - обнаружен любопытный образец вредоносного ПО Его драйверы были подписаны ворованными сертификатами Созданный теми же людьми, что и Stuxnet, Duqu был классифицирован в августе 2011 года венгерской исследовательской лабораторией CrySyS. - проникает на компьютер с помощью вредоносных документов Microsoft Word - ставятся совершенно иные задачи, чем те, ради которых был создан Stuxnet. - инструментарий для проведения атак, позволяющий взломать систему и затем систематически выкачивать оттуда информацию. - возможность загружать на компьютер-жертву новые модули и исполнять их «на лету» Duqu и Stuxnet – это новейшие средства для ведения кибервойн. Мы входим в эпоху холодной кибервойны, в которой сверхдержавы борются друг с другом без сдерживающих факторов, присущих реальной войне. Страница 23 Шпионаж Банковские трояны 300000 250000 200000 150000 100000 50000 0 Прогнозы Что нас ждет в 2013 году: в 2013 году (и далее) кибершпионаж будет становиться все более распространенным явлением не только для крупных организаций, т.к. абсолютно все предприятия имеют дело с информацией, способной заинтересовать киберпреступников; при этом похищенные данные зачастую используются для того, чтобы подобраться к другим компаниям. Таргетированных атак станет больше, спектр компаний и отраслей экономики, которые станут объектами атак, расширится. Рост числа мотивов - не только с целью наживы, но и для привлечения внимания общественности к политической или социальной проблеме Кибероружие появится у большего числа стран и будет применяться как для кражи информации, так и для проведения диверсий. Косвенными жертвами таких атак могут стать центры управления энергетическими и транспортными системами, финансовые и телекоммуникационные системы, а также другие критически важные объекты инфраструктуры По мере роста использования облачных сервисов будет расти и количество нацеленных на них угроз. Страница 26 Прогнозы В будущем ценность личных данных как для легального бизнеса, так и для киберпреступников будет лишь возрастать, а вместе с этим будет расти потенциальная угроза для тайны частной жизни Использование поддельных и краденых сертификатов неизбежно будет продолжаться и далее. Это ставит под вопрос основные принципы доверия, на которые мы опираемся, чтобы не стать жертвой злоумышленников в будущем следует ожидать роста числа вредоносных программ такого типа, как троянцы-вымогатели В 2013 предполагается более интенсивный рост количества зловредов для Mac. Но основным лидером, по росту атак, останутся устройства на базе Android. Скорее всего, мы также столкнемся с новыми мобильными ботнетами — аналогами созданного в первом квартале 2012 г. при помощи бэкдора RootSmart. в будущем году киберпреступники продолжат эксплуатировать уязвимости в Java. По всей вероятности, Adobe Reader также будет «популярен» среди киберпреступников, однако в меньшей степени, поскольку в последних версиях этой программы реализована автоматическая установка обновлений Страница 27 Легко заразить Новые модификации зловредов под Android OS 7000000 6000000 5000000 4000000 3000000 2000000 1000000 0 Q3 2011 Q4 2011 Q1 2012 Q4 2012 Легко заразить Зловреды в официальном магазине приложений Зловреды через рекламу Зловреды в неофициальных магазинах приложений Легко потерять Как бороться? Как вычислить слабые места в системе безопасности государства и бизнеса? Что делать на переднем краю борьбы с информационными угрозами? Как наносить превентивные удары? Страница 31 Стратегия защиты Модель угроз Культура работы с информацией Политики безопасности Физическая защита носителей ПО для защиты информации и носителей Дополнительные сервисы и услуги Обмен информацией между пользователями Страница 32 Модель многоуровневой антивирусной защиты Данные Контроль доступа, шифрование Приложения Настройка приложений, АПО Узлы Настройка ОС, аутентификация, система обновления Защита клиентов Внутренняя сеть Сегментация сети, IPSec, СПВ Периметр Сетевые экраны, ДМЗ Защита сети Физическая защита Уровень политик и процедур Охрана, замки, устройства слежения Документы, обучение, политики Модель угроз Культура работы с информацией За любую бумажку с моего стола бандит полжизни отдаст! Г.Жеглов, оперативный работник МУРа Культура работы с информацией Политики безопасности = Физическая защита носителей Как предупредить действия инсайдеров Аудит рисков ИТ-безопасности Для организаций крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Организация должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками: - оценить имеющуюся инфраструктуру - определить критические информационные активы; - установить текущие возможные угрозы и уязвимости - оценить возможные денежные убытки вследствие утечки; - выработать стратегию управления, продумать план немедленного реагирования. Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса. Страница 39 Как предупредить действия инсайдеров Обучайте ваших сотрудников основам информационной безопасности В организации должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности. - что такое политики, процедуры - зачем их надо соблюдать при работе - какие средства защиты используются в сети. Первая линия защиты от инсайдеров — это информированные сотрудники. Разграничивайте должностные обязанности и привилегии доступа к данным Если все сотрудники достаточно хорошо обучены принципам безопасности, то: - ответственность за критические функции распределена между сотрудниками, - эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией - максимальное количество процедур должно быть автоматизировано Тогда: - каждый работает только с теми документами, с которыми должен - вероятность сговора между людьми с целью кражи ценных сведений резко снижается. Страница 40 Как предупредить действия инсайдеров Строгие политики управления учетными записями и паролями Если учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные Усиление аутентификации и авторизации в сетях Пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам. Деактивация несуществующих пользователей Когда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам Мониторинг и сбор логов действий сотрудников в режиме реального времени Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей - сильно увеличился внутренний сетевой трафик - возросло количество запросов к корпоративной базе данных - сильно увеличился расход тонера или бумаги. Страница 41 Кроме того - Активно защищаться от вредоносного кода хорошими антивирусными продуктами - Использовать защиту от удаленных атак и попыток взлома. - Внедрять резервное копирование и процедуры восстановления данных. - - Осуществлять контентную фильтрацию исходящего сетевого трафика. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных. - Установить политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). - не забыть и беспроводные сети (IrDA, Bluetooth, WiFi). - Проверять поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии. - Фильтровать запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы. - Шифровать критическую информацию на блочных устройствах и на ноутбуках. Страница 42
