Угрозы ИБ: многократный рост
В наши дни перед организациями стоят сложные задачи: им нужно быть начеку перед лицом постоянно эволюционирующих угроз и при этом контролировать растущее количество устройств, программ, оборудования, приложений и профилей пользователей.
Как отмечают эксперты ИТ-рынка, информация – это "новая нефть": она имеет важное значение для бизнеса, но мы воспринимаем ее как должное. И большим, и малым организациям приходится хранить как терабайты и петабайты данных в структурированных хранилищах данных и информационных центрах, так и огромное количество неструктурированных данных, таких как журналы, видео, веб-страницы и другие документы.
При этом пользователи хотят иметь доступ к данным в реальном времени независимо от того, в какой форме они хранятся. И так же, как нефть, информация, о которой не заботятся должным образом, очень быстро выходит из-под контроля. Одна маленькая утечка может привести к большой беде.
Сложность атак
Меры по защите рабочих мест начали предприниматься еще в 80-х годах XX века, когда в мире компьютеров появились первые образцы вредоносного ПО, например вирус Vienna. Первые вирусы занимались в основном самовоспроизводством и редко содержали вредоносный код, предназначенный для разрушения системы или кражи информации.
Вчерашние создатели вирусов прошли длинный путь, прежде чем превратиться в сегодняшних "хакеров-активистов" и киберпреступников, авторов специализированного вредоносного ПО, способного использовать уязвимости в корпоративных сетях и работающих в них приложениях. Современные киберпреступники в полной мере используют развитые средства коммуникации и, как следствие, возросшую доступность информации.
Угрозы в наши дни постоянно эволюционируют, принося преступникам все большие доходы и нанося предприятиям-жертвам все больший ущерб. Вот примеры таких угроз.
Таргетированный фишинг. Вместо того чтобы подвергать заражению вредоносными программами всю организацию, преступники выбирают для атаки отдельных сотрудников.
Троянцы-вымогатели. Чтобы вымогать деньги у пользователей или предприятий, преступники угрожают активировать вредоносный код, встроенный в троянскую программу, или используют лжеантивирусы, предупреждающие о якобы существующих угрозах.
Вредоносное ПО для мобильных устройств. Взрывной рост количества интеллектуальных мобильных устройств стимулировал появление новых видов вредоносного ПО, созданного, чтобы использовать бреши в мобильных операционных системах и приложениях. Возросшее количество устройств, используемых для работы и имеющих доступ к корпоративной сети и конфиденциальной информации, дало преступникам новые источники дохода и новые способы нанести ущерб.
Динамика кибератак во всех сегментах рынка
| Атака | Описание |
|---|---|
| Вирусы, черви, троянцы | Атаки в реальном времени, атаки "нулевого дня" и комплексные таргетированные угрозы (APT) распространены сейчас и будут развиваться в будущем на абсолютно всех рынках |
| Вредоносное ПО | За первое полугодие 2012 г. количество атак на операционную систему Android возросло в 3 раза. В начале 2012 г. была заражена считавшаяся неприступной операционная система Mac OS (Apple). Всего заражению подверглись сотни тысяч компьютеров на базе Mac OS |
| Ботнеты | 9 млн ПК заражены ботнетом ZeroAccess, большая часть из них – в США |
| Атаки из интернета | Скрытые загрузки обходят сетевые экраны и заражают компьютеры пользователей интернета. Часть вредоносного ПО остается на компьютерах, чтобы облегчить дальнейшие атаки |
| Кражи устройств | Для преступных целей постоянно ведется охота за такими данными, как идентификаторы устройств, почтовые индексы, номера телефонов, адреса, имена пользователей, типы устройств |
| Внутренние злоумышленники | Агенты организованной преступности или внутренние преступники, действующие с целью кражи данных, их изменения или подделки учетных записей. Более 71% атак происходят в обычное рабочее время |
| Фишинг и социальная инженерия | Все более значимое взаимодействие бизнеса и социальных сетей (LinkedIn, Facebook, Chatter, Yammer и т. д.) используется как средство для проведения атак при недостаточно надежном обеспечении безопасности |
Источники: IDC, BGR, Wired, Computer Economics, Carnegie Mellon, InfoSecurity, 2012
Разнообразие угроз свидетельствует о падении эффективности узкоспециализированных решений для обеспечения безопасности. Чтобы бороться с современными атаками, идущими в нескольких направлениях одновременно, необходимы комплексные решения, способные закрывать уязвимости как на устройствах, так и при работе с интернетом и электронной почтой. Многие руководители отделов по обеспечению безопасности пытаются справиться с ситуацией, применяя комбинации специализированных решений, что приводит к повышенной трате ресурсов, необходимых для технического обслуживания и мониторинга.
Сложившаяся ситуация поощряет "авральный" подход к безопасности после каждой атаки и увеличивает время, необходимое для разработки и внедрения нужных политик для каждого отдельного решения. Это время можно было бы потратить на оптимизацию взаимодействия с клиентами, на работу над другими коммерчески выгодными проектами и на разработку проактивной системы обеспечения безопасности.
В дополнение к традиционным атакам (через интернет, электронную почту и т.п.) теперь киберпреступники используют уязвимости в операционных системах и приложениях, для которых не были установлены исправления, в топологии аппаратного и программного обеспечения и в гостевых подключениях к бизнес-сети.
Поскольку скорость появления новых киберугроз возросла с одной в день до одной в секунду, в IDC считают, что без интеллектуального объединения функций обеспечения безопасности и системного администрирования организации будут подвержены скрытым атакам. Такие атаки могут оставаться некоторое время нереализованными, но затем стать "лазейкой" для случайных и организованных злоумышленников.
Разнообразие продуктов
Текущие масштабы и интенсивность атак вынуждают разработчиков защитного ПО несколько расширять свою деятельность и создавать решения для обеспечения безопасности, которые смягчают последствия внешних и внутренних атак вредоносного программного обеспечения и закрывают бреши, ведущие к утечке данных. В таблице ниже отображен весь спектр категорий расширенных средств для обеспечения безопасности, который необходимо охватить поставщикам, чтобы усилить защиту организаций. Задача усложняется при использовании в важных для бизнеса операциях виртуальных сред, программного обеспечения как услуги (SaaS), облачной и локальной моделей представления данных, а также при использовании стратегий оптимизации бюджета.
Категории средств обеспечения безопасности
| Защита от вредоносного ПО | Контроль устройств | Хранение данных |
|---|---|---|
| Сеть | Управление приложениями | Виртуализация |
| Интернет | Управление установкой исправлений | Управление обеспечением безопасности |
| Предотвращение утечек данных | Управление мобильными устройствами | Электронная почта |
| Шифрование | Управление уязвимостями | Управление политиками |
| Сетевой экран | Совместная работа | Развертывание систем |
Средства для обеспечения безопасности из каждой подкатегории, отображенной в таблице, укрепляют безопасность предприятия. Но все же это отдельные продукты, поэтому они требуют больше ресурсов и значительно повышают нагрузку на специалистов службы ИТ-безопасности. Внедрение этих продуктов по отдельности приводит к следующему: многократное развертывание и настройка; многократная установка обновлений; необходимость навыков работы с многообразным ПО; работа с многочисленными консолями управления; множество механизмов управления политиками; многократное выполнение задачи проверки; использование многочисленных профилей.
Сложность – это не просто враг в борьбе за безопасность. Сложность сдерживает любые инициативы по внедрению более отзывчивой проактивной защиты, способной одновременно защитить и гипермобильных работников, и активы (устройства, данные и сотрудников) от атак, а также предотвратить финансовый и репутационный ущерб.
Сотрудникам службы ИТ-безопасности необходимо постоянно учиться, чтобы упростить управление несколькими операционными системами с неочевидными различиями, управление политиками, в которых используются различные таблицы приоритетов, чтобы тратить меньше времени на установку множества исправлений для защиты от уязвимостей. В то же время им необходимо поддерживать управляемую топологию архитектуры.
