«Лаборатория Касперского vs Киберпреступность» Ирина Белоцерковец Лаборатория Касперского Представительство в СЗФО [email protected]
Feb 12, 2016
«Лаборатория Касперского vs Киберпреступность»
Ирина Белоцерковец
Лаборатория Касперского
Представительство в СЗФО
Больше чем безопасность
Страница 2
Kaspersky LAB – на переднем краю борьбы с киберкриминалом
•Аналитические отчеты•Информация в блогах и вирусных энциклопедиях•Обучающие семинары, бизнес-завтраки, конференции•Образовательные программы•Работа с органами власти
Важные цифры. 2010 год
Страница 3
31 декабря 2010 г. –1 900 000 000* зафиксированных инцидентов
1,9 МИЛЛИАРДА!
*3700 инцидентов в секунду
Динамика развития информационных угрозЛокальные инциденты
В 2011 году зафиксировано
2,3 миллиарда
локальных инцидентов!
Страница 4
Динамика развития информационных угроз
2012 год. Зафиксировано
2,7 миллиарда
разных вредоносных и потенциально нежелательных программ
Страница 5
Динамика развития информационных угроз
Страница 6
- 1 595 587 670 атаки через браузер (4 371 473 раз в день) - сервера атак – 6 537 320 доменов в 202 странах мира
Рост по сравнению с 2011 г. – в 1,7 раза
Место Страна Количество атак % от всех атак
1 США 413 622 459 25,5%2 Россия 317 697 806 19,6%3 Нидерланды 271 583 924 16,8%4 Германия 184 661 326 11,4%5 Великобритания 90 127 327 5,6%
Динамика развития информационных угрозКартина мира
Страница 7
Веб-угрозыМесто Страна % уникальных пользователей*1 Россия 58,62 Таджикистан 58,53 Азербайджан 57,14 Армения 55,75 Казахстан 55,56 Белоруссия 51,87 Бангладеш 51,78 Шри-Ланка 51,59 Индия 51,110 Судан 51,011 Туркменистан 51,012 Оман 48,013 Узбекистан 47,514 Малайзия 47,315 Молдавия 47,216 Мальдивы 46,817 Украина 46,818 Италия 45,619 США 45,120 Испания 44,7
Динамика развития информационных угроз
Страница 8
2012 год
Год Java-уязвимостей
половина всех зафиксированных атак с использованием эксплойтов была нацелена на уязвимости в Oracle Java
Динамика развития информационных угроз
Страница 9
Уязвимые продукты
Не обновленный софт на компьютере в РФ
31%
29% 20
% 17%
Источник: Лаборатория Касперского, H1 2012
Oracle Java Adobe Flash Winamp MicrosoftOffice
СЗФО: операционные системы, 2012 год
СЗФО: ТОП 5
Архангельск Санкт-Петербург Мурманск Калининград Череповец0
2
4
6
8
10
12
14
16
1817
1515 15
7
Среднее количество пойманных при работе в Сети вредоносных программ в пересчете на одного
пользователя, 2012
Среднее количество пойманных при работе в Сети вредоносных программ в пересчете на одного пользователя, 2012
Пермь
Нижни
й Нов
горо
д
Ворон
еж
Екате
ринб
ург
Кали
нинг
рад
Санкт-
Петер
бург
Москв
а
Росто
в-на-Д
ону
Каза
ньОмск
Крас
нояр
скУфа
Новос
ибир
ск
810
12 13 14 15 15 15 16 1719
2527
Динамика развития информационных угроз
2012 год. Тенденции
Страница 14
Вымогательство и нечестная конкуренция
404 – сайт недоступен
1939,259.5
Мишени для DDoS-атак
• Интернет–магазины• Торговые площадки• СМИ• Банки (особенно интернет-банкинг)• Страховые компании• Телеком• Государство• Все остальные
Тенденции
Страница 17
Увеличение атак с целью похищения ПД на крупные корпорацииРепутация под угрозой: Значительное количество инцидентов взломов БДSony, Honda, Fox News, Citibank
Наболее крупная утечка: взлом Sony: PlayStation, Qriocity, Sony Online EntertainmentДанные до 77 миллионов (!) пользователей сервисов PSN и Qriocity.
Прямой вред репутации•сервисы Sony были недоступны по всему миру в течение 2-3 недель•количество возвратов и обменов приставок Sony возросло в разы
«Хактивисты»«хактивизм» — взлом или вывод из строя систем государства в знак протеста новая группировка LulzSec: за 50 дней: взлом множества систем и ПД десятков тысяч
пользователей - Sony, EA, AOL, сенат США, ЦРУ
Cистемным администраторам крупных компаний и государственных организаций необходимо провести тестирование своих систем, в противном случае следующая волна «хактивизма» может добраться и до них.
Тенденции
Страница 18
Атака на корпорацию Mitsubishi
- началась в середине сентября, готовилась в июле-августе
- было заражено около 80 компьютеров и серверов заводов Mitsubishi
- получение и открытие PDF-файла - эксплойт уязвимости в Adobe Reader
- установка вредоносного модуля, открывающего полный удаленный доступ к системе.
- cбор и рассылка наружу интересующей информации
Тенденции
Страница 19
Тенденции
Страница 20
Тенденции
Страница 21
Важные цифры и факты. 2012 год
Страница 22
США
•Продажа данных свыше 100 тыс. кредиток.
•Совокупный ущерб от деятельности оценен в 63 млн. долларов.
Индия
Тенденции. Кибервойны
Страница 23
В июне 2010 г. - обнаружен любопытный образец вредоносного ПОЕго драйверы были подписаны ворованными сертификатами
Созданный теми же людьми, что и Stuxnet, Duqu был классифицирован в августе 2011 года венгерской исследовательской лабораторией CrySyS.
- проникает на компьютер с помощью вредоносных документов Microsoft Word - ставятся совершенно иные задачи, чем те, ради которых был создан Stuxnet.
- инструментарий для проведения атак, позволяющий взломать систему и затем систематически выкачивать оттуда информацию. - возможность загружать на компьютер-жертву новые модули и исполнять их «на лету»
Duqu и Stuxnet – это новейшие средства для ведения кибервойн.
Мы входим в эпоху холодной кибервойны, в которой сверхдержавы борются друг с другом без сдерживающих факторов, присущих реальной войне.
Шпионаж
Банковские трояны
CY 2011
Janu
ary
CY 2011
Februa
ry
CY 2011
Marc
h
CY 2011
Apri
l
CY 2011
May
CY 2011
June
CY 2011
July
CY 2011
Aug
ust
CY 2011
Sep
tembe
r
CY 2011
Octo
ber
CY 2011
Nov
embe
r
CY 2011
Dec
embe
r
CY 2012
Janu
ary
CY 2012
Februa
ry
CY 2012
Marc
h
CY 2012
Apri
l
CY 2012
May
CY 2012
June
0
50000
100000
150000
200000
250000
300000
Прогнозы
Страница 26
Что нас ждет в 2013 году:
в 2013 году (и далее) кибершпионаж будет становиться все более распространенным явлением не только для крупных организаций, т.к. абсолютно все предприятия имеют дело с информацией, способной заинтересовать киберпреступников; при этом похищенные данные зачастую используются для того, чтобы подобраться к другим компаниям.
Таргетированных атак станет больше, спектр компаний и отраслей экономики, которые станут объектами атак, расширится. Рост числа мотивов - не только с целью наживы, но и для привлечения внимания общественности к политической или социальной проблеме
Кибероружие появится у большего числа стран и будет применяться как для кражи информации, так и для проведения диверсий. Косвенными жертвами таких атак могут стать центры управления энергетическими и транспортными системами, финансовые и телекоммуникационные системы, а также другие критически важные объекты инфраструктуры
По мере роста использования облачных сервисов будет расти и количество нацеленных на них угроз.
Прогнозы
Страница 27
В будущем ценность личных данных как для легального бизнеса, так и для киберпреступников будет лишь возрастать, а вместе с этим будет расти потенциальная угроза для тайны частной жизни
Использование поддельных и краденых сертификатов неизбежно будет продолжаться и далее. Это ставит под вопрос основные принципы доверия, на которые мы опираемся, чтобы не стать жертвой злоумышленников
в будущем следует ожидать роста числа вредоносных программ такого типа, как троянцы-вымогатели
В 2013 предполагается более интенсивный рост количества зловредов для Mac.Но основным лидером, по росту атак, останутся устройства на базе Android.Скорее всего, мы также столкнемся с новыми мобильными ботнетами — аналогами созданного в первом квартале 2012 г. при помощи бэкдора RootSmart.
в будущем году киберпреступники продолжат эксплуатировать уязвимости в Java. По всей вероятности, Adobe Reader также будет «популярен» среди киберпреступников, однако в меньшей степени, поскольку в последних версиях этой программы реализована автоматическая установка обновлений
Легко заразить
Q3 2011 Q4 2011 Q1 2012 Q4 20120
1000000
2000000
3000000
4000000
5000000
6000000
7000000Новые модификации зловредов под Android
OS
Легко заразить
Зловреды в официальном магазине приложений
Зловреды через рекламу
Зловреды в неофициальных магазинах приложений
Легко потерять
Как бороться?
Как вычислить слабые места в системе безопасности государства и бизнеса?
Что делать на переднем краю борьбы с информационными угрозами?
Как наносить превентивные удары?
Страница 31
Стратегия защиты
Страница 32
Модель угрозКультура работы с информациейПолитики безопасностиФизическая защита носителейПО для защиты информации и носителейДополнительные сервисы и услугиОбмен информацией между пользователями
Уровень политик и процедур
Физическая защита
Защита сети
Защита клиентов
Модель многоуровневой антивирусной защиты
Периметр
Внутренняя сеть
Узлы
Приложения
Данные
Настройка ОС, аутентификация, система обновления
Сетевые экраны, ДМЗ
Охрана, замки, устройства слежения
Сегментация сети, IPSec, СПВ
Настройка приложений, АПО
Контроль доступа, шифрование
Документы, обучение, политики
Модель угроз
За любую бумажку с моего стола бандит полжизни отдаст!Г.Жеглов, оперативный работник МУРа
Культура работы с информацией
Культура работы с информацией
Физическая защита носителей
Как предупредить действия инсайдеров
Страница 39
Аудит рисков ИТ-безопасности
Для организаций крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Организация должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками:
- оценить имеющуюся инфраструктуру - определить критические информационные активы; - установить текущие возможные угрозы и уязвимости - оценить возможные денежные убытки вследствие утечки; - выработать стратегию управления, продумать план немедленного реагирования.
Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса.
Как предупредить действия инсайдеров
Страница 40
Обучайте ваших сотрудников основам информационной безопасности
В организации должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности.
- что такое политики, процедуры - зачем их надо соблюдать при работе - какие средства защиты используются в сети.
Первая линия защиты от инсайдеров — это информированные сотрудники.Разграничивайте должностные обязанности и привилегии доступа к данным
Если все сотрудники достаточно хорошо обучены принципам безопасности, то:- ответственность за критические функции распределена между сотрудниками, - эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией - максимальное количество процедур должно быть автоматизированоТогда: - каждый работает только с теми документами, с которыми должен - вероятность сговора между людьми с целью кражи ценных сведений резко снижается.
Как предупредить действия инсайдеров
Страница 41
Строгие политики управления учетными записями и паролямиЕсли учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные
Усиление аутентификации и авторизации в сетяхПользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам.
Деактивация несуществующих пользователейКогда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам
Мониторинг и сбор логов действий сотрудников в режиме реального времениНаряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей - сильно увеличился внутренний сетевой трафик - возросло количество запросов к корпоративной базе данных - сильно увеличился расход тонера или бумаги.
Кроме того
Страница 42
- Активно защищаться от вредоносного кода хорошими антивирусными продуктами - Использовать защиту от удаленных атак и попыток взлома. - Внедрять резервное копирование и процедуры восстановления данных. - -
- Осуществлять контентную фильтрацию исходящего сетевого трафика. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных. - Установить политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). - не забыть и беспроводные сети (IrDA, Bluetooth, WiFi).
- Проверять поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии. - Фильтровать запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы. - Шифровать критическую информацию на блочных устройствах и на ноутбуках.
Спасибо!http://www.kaspersky.ruhttp://www.securelist.com/ru