Эксперты, проанализировав тенденции киберпреступности 2014 года, определили наиболее распространенные способы распространения вредоносных программ и предоставили советы для компаний без отдела информационной безопасности, как минимизировать угрозы.
Как защитить бизнес от киберпреступников
Отчет Cisco по информационной безопасности 2014 года предупреждает о беспрерывной «гонке вооружений» между киберпреступниками и специалистами по информационной безопасности, тогда как рядовые пользователи становятся все более слабым звеном в системе безопасности
«Атак невозможно избежать, поэтому пришло время найти новый подход к вопросам безопасности», — отмечают эксперты группы Cisco Security Research.
Преступники постоянно расширяют арсенал своих методов, совершенствуя их для проведения скрытых атак.
Служба информационной безопасности Cisco определила три наиболее актуальные тенденции в действиях киберпреступников:
- «спам на снегоступах» (snowshoe spam attack): тактика, при которой спам-сообщения рассылаются небольшими порциями с разных IP-адресов, что позволяет избежать разоблачения. При этом зараженные компьютеры также могут служить источником спама;
- секретные веб-эксплойты. Эксплойт, или специальный программный код, направленный на уязвимое место системы, является типичным инструментом взлома. Большинство эксплойтов известны службам безопасности и быстро нейтрализуются. Поэтому чтобы не привлекать внимания, злоумышленники используют менее распространенные эксплойты, действия которых обычно трудно отследить;
- сочетание нескольких тактик. Например, технологии Flash и JavaScript, с которыми имеет дело каждый из нас, всегда были опасными. Впрочем, средства защиты не стоят на месте, поэтому киберпреступники часто используют уязвимые места двух технологий сразу.
«Неважно как называются «вредители», главное — что они портят данные или даже приводят к их потере. Разница между вирусными атаками лишь в механизмах работы и способах распространения», — отмечает Александр Демидов, руководитель направления арендных решений «1С-Битрикс».
Согласно отчету Cisco, злоумышленники часто используют уязвимые места взаимодействия Flash и JavaScript из-за распространенности старых версий программного обеспечения. В частности, «трояны» обычно используют уязвимость в Adobe Reader и содержатся в PDF-файлах.
«Большинство пользователей не обновляют регулярно Adobe Flash, браузеры и другие программы для чтения PDF-файлов, а это дает преступникам немало возможностей», — отмечают эксперты Cisco.
Они считают, что система автоматических обновлений Chrome может намного лучше справиться с обновлениями ПО, чем, к примеру, Internet Explorer.
Киберпреступники поняли: самый простой способ добраться до данных пользователей — через браузер и электронную почту, а не через взлом серверов.
В 2014 году пользователи часто становились жертвой спамеров, которые с помощью искусно составленных сообщений, которые приходят якобы от известных поставщиков услуг или провайдеров, убеждают получателей пройти по опасным ссылкам или открыть небезопасное вложение. Мошеннические сообщения развились до такого уровня, что даже опытным пользователям сложно выявить фейковые письма среди настоящих.
«Всем сотрудникам следует очень осторожно относиться к вложениям и ссылкам, которые они получают по электронной почте, через социальные сети и другие каналы коммуникаций, — говорит Демидов. — Ссылки от незнакомых отправителей не стоит вообще открывать, от знакомых — принимать только ожидаемые письма. Если сотрудник получает странное вложение от партнера или клиента с просьбой перейти по ссылке, то, вероятно, этот контакт уже взломан и распространяет вирус. Такие письма нужно игнорировать и обязательно проверять антивирусами все ссылки, вложения и другие материалы».
Также злоумышленники могут обмануть пользователей, посылая им фальшивые запросы на сброс пароля.
Еще один путь заражения — установка комплектов программного обеспечения из непроверенных источников. Обычно это ПО для работы с PDF или видеоплееры.
Информационная безопасность бизнеса при использовании CRM и облачных хранилищ
«Все правила информационной безопасности для бизнеса можно разделить на два направления: техническое и административное», – рассказывает Демидов.
По его словам, в технической части нужно ориентироваться на инструменты, которые предоставляет та или иная система: облачная CRM (система управления взаимоотношениями с клиентом), облачное хранилище и тому подобное. Их надо рассматривать с нескольких позиций.
Во-первых, стоит обратить внимание на сохранность данных. Для этого выясните, как осуществляется резервное копирование: как часто, по каким сценариям, какие есть варианты восстановления, кому доступно восстановление из резервной копии, а кому нет (возможно, последний пункт доступен только для платных клиентов). Выяснить эти вопросы нужно еще до начала работы с системой. Вендор, у которого ПО построено четко и прозрачно, может ответить на эти вопросы достаточно быстро.
Во-вторых, важную роль при выборе CRM играют механизмы защиты данных пользователя. Следует понимать, что только логина и пароля недостаточно. Ведь у пользователя может быть заражен персональный компьютер, а логин и пароль могут украсть или сломать. Для создания надежной сети нужно, чтобы сервис обязательно работал по сертификату SSL и защищенным соединением HTTPS.
Возможность ограничения доступа по IP-адресу не обязательный механизм, но если он есть — это хорошо. Разрешив доступ к системе только из офиса, вы сможете ограничить доступ снаружи и сохранить свои данные.
Выясните также, есть ли возможность использовать двухфакторную аутентификацию по одноразовым паролем: через SMS, приложение или другим удобным для вас способом. Это защитит от кражи логина и пароля и исключит потерю данных. Преимущество одноразового пароля над статическим состоит в том, что он обновляется каждый раз. Злоумышленник, перехвативший данные авторизации, не сможет воспользоваться скопированным паролем для получения доступа к вашим данным. Минимальный обязательный набор механизмов защиты — шифрование SSL, двухфакторная авторизация и ограничение IP-доступа.
При оценке качества защиты надо также смотреть на наличие механизмов ограничения доступа внутри CRM-системы. Если все пользователи, которые там зарегистрированы, имеют одинаковый уровень доступа, то это может привести к утечке данных. Рядовой менеджер не должен иметь возможность сделать экспорт данных из CRM. Он должен работать только с теми данными, которые нужны именно для его работы. Но это больше касается административных правил безопасности внутри компании. Со своими сотрудниками нужно подписывать договор о неразглашении конфиденциальной информации. Если, например, работник при увольнении из компании решит украсть данные, то заработает административное воздействие — наказание, штраф, суд.
Главные правила безопасности:
1. Регулярно устанавливайте обновления операционных систем и программного обеспечения.
2. Скачивайте программы из проверенных источников.
3. Отказывайтесь от нежелательных компонентов во время установки пакетов программ.
4. Используйте анализ угроз, технологии изолированных сред и веб-безопасности, чтобы предотвратить заражение ПК. Не просто используйте антивирусы, а регулярно включайте проверку.
5. Используйте антишпионские программы, чтобы избежать нежелательного ПО.
Перевод: Дело
Комментарии - 59
хотя сразу нагулил на предпочтительное использование в корпоративной среде ESET NOD32.
Речь идет о планшетах и даже если там iOS, то я ничего не слышал о вариантах включения этих ОС в доменную структуру.
Что качается iOS, то весь вопрос интеграции кроется в OS X Server. По самой безопасности планшетов под iOS (да и смартфонов), то если не ставить jailbreak, то пользователи не имеют прямого доступа как файловой системе (так что и особо «напакостить» нет возможности).
Возможно в недалеком будущем станут вопросы установки антивирусных агентов и на планшеты, но не сейчас.
А другого и нет, последний оплот — 1С-бух.
Весь остальной софт почему-то западного происхождения.
Так сложилось исторически. :)
А во-вторых, план счетов и изменения в настройки вносят украинские сертифицированные специалисты, поэтому купленное несколько лет назад ПО работает и без «авторского» сопровождения из Москвы и внесение несанкционированных изменений в него практически невозможно.
А вот антивирусы обычно обновляются минимум ежедневно, что позволяет, например в понедельник внедрить бэкдор а в пятницу его удалить — и никто даже не узнает…
Во многих инсталляционных пакетах даже есть информация о контрольных суммах файлов и цифровых подписях пакетов — что-бы никто на пути от разработчика до потребителя не смог внести изменения.
И не дай бог в какой-нибудь официальной поставке 1С будет встроенный бэкдор — это поставить крест на всем бизнесе Фирмы 1С, и даже внутрироссийском.
Отсутствие бэкдоров и закладок гарантирует сам производитель софта, а при его сертификации он подает исходные тексты в соответствующий госорган. ПО 1С-бух проходило такую сертификацию в украинских компетентных органах, и если проверка прошла успешно, значит ПО выполняет только заявленные функции и никаких скрытых возможностей и бэкдоров там нет.
Если контрольные суммы исполняемых файлов и библиотек не менялись с даты установки софта, значит оно не содержит ничего скрытого и вредоносного. И для таких выводов мне не нужен доступ ни к каким исходным кодам.
www.1c.ru/rus/products/sert.htm
Украиной заключены двухсторонние межправительственные Соглашения о взаимном признании результатов работ по сертификации. Эти соглашения заключены со странами – бывшими республиками СССР, с которыми Украина имеет общую (гармонизированную) нормативную базу. Российская Федерация входит в перечень таких стран.
Мы же доверяли им, как братьям…
Исполняемое ядро системы 1С-бух не меняется после установки годами, если вы принудительно ничего не сделаете сами своими ручками.
Касперский обновляет себя ежедневно и не только базы, но и исполняемые модули и все в автоматическом режиме…
Есть и более авторитетные игроки — Microsoft, Apple, IBM, HP, Cisco и многие другие.
Я хочу перестать ежегодно финансировать одно из бюджетообразующих предприятий РФ — и считаю, что имею на это полное право.
А серьезный авторитет можно и потерять, особенно когда на экскурсии по Одессе показывают невзрачный домик и говорят, а тут жил украинский вирусописатель, который выполнял заказы ЛК по написанию и распространению вирусов…
«паранои из серии «а вдруг что»»
Два года назад никто в здравом уме и твердой памяти не мог себе представить ни аннексию Крыма ни войну на Донбассе ни заброску ДРГ на украинскую территорию с целью подрыва объектов инфраструктуры, например ветки магистрального газопровода высокого давления.
А уж отрубание рук только за украинские татуировки или расстрелы за украинский флаг или происхождение с Западной Украины вообще не могли даже предполагаться, как варианты развития событий.
Всё это до сих пор плохо укладывается в голове, но дает осознание того, что возможно все…
Нет предела беспределу…
По теме ИТ и паранои…
С октября 2013 года админы заметили нестабильную работу интернет-каналов и пограничных маршрутизаторов в компании.
Почитали логи, посмотрели статистику загрузку каналов и оборудования фирмы Cisco и определили, что кроме периодических распределенных ddos-атак идет целенаправленный bruteforce подбор паролей ко всем подсистемам, «торчащим внаружу».
Большая часть адресов была географически из РФ и даже группировалась по десятке провайдеров Самары, Н.Новгорода, Казани, Ростова и еще пятерки аналогичных городов РФ.
Законные обращения к провайдерам не дали искомого результата и тогда админы закрыли доступ к оборудованию из российского сегмента. Но там явно были профи, что сразу стали долбить через тор и анонимайзеры. Чтобы спокойно войти в новогоднюю суету приняли кардинальное решение — полностью закрыть доступ снаружи, кроме нескольких домашних адресов админов — для круглосуточного оперативного доступа.
Общался с сотрудниками отдела «К» — они подтверждают мои предположения, что не одна моя частная лавочка была подвергнута такой обструкции. Больше всего страдают — АП, Кабмин, ЦИК и другие.
Даже для распределенной команды троллей достаточно одного-двух спецов, которые будут контролировать результат и координировать дальнейшие действия.
Сейчас и технологии спам-рассылок резко поменяли и об этом даже на минфине была заметочка…
Интересно, а вы их хоть читаете…
Неужели в прошлом году ничего не слышали о падении сайта президента Украины, о проблемах с серверам ЦИК и его онлайн-системой голосования.
Да и о падениях шлюза налоговой по приему отчетности вся Украина узнает в течении полу-часа, но не обязательно эту инфу выносить на первые полосы СМИ.
Иногда правильнее промолчать, чтобы исполнитель не смог подтвердить заказчику желаемый уровень нанесенного ущерба и по факту получил меньше бабла за свою гнусную работенку…
Я не понимаю, чего должны трубить СМИ о каких-то 20Мбитах паразитного трафика на какую-то частную компанию или о падении двух 10гбит-линков у интернет-провайдера от атак со стороны российского сегмента интернета. Эта информация обычно обсуждается в узком кругу специалистов и не выносится на публичное обсуждение. Поэтому создается впечатление, что в РФ все «белые и пушистые», а у нас постоянные нескладушки…
По теме ИТ и паранои…
продолжение…
Так эта гопота из РФ переключилась на долбежку почтового сервера, благо его трудно отключить от РФ безболезненно, ведь многие пользуются mail.ru и прочими российскими сервисами.
Админ, который присматривает за логами и статистикой почтового сервера, говорит, что ежесуточно по будним дням блокируется более 10 тысяч спамовских писем и минимум сотня с различными вирусными вложениями.
99% этого XXX идет на русском с ip-адресов, выданных юридическим лицам РФ и всего 1% англоязычного спама с остального мира.
Из-за всей этой антиукраинской суеты со стороны РФ конторе пришлось расширять интернет-каналы, докупать дорогущую память на оборудование Cisco и апгрейдить почтовый сервак.
В тоже время пару раз была замечена временная подозрительная активность с сервака, где стоит центр управления Касперским, но весь исходящий трафик админы жестко фильтруют, поэтому все дропнулось на периметре и не вышло в наружу…
Поступили намного проще — поставили дополнительные фильтры на общеупотребительные сервисы обмена информацией, ограничили доступ касперского к оборудованию, которое его не касается и занялись поиском альтернативных программных продуктов не российского происхождения…
— если стоимость лицензий дороже, то это будет проблемно, так как тогда нужно искать альтернативные аргументы.
— если дешевле, то тут вопрос почти решен, так как экономически это выгодно.
Если бы все выбирали только по соотношению дороже-дешевле, то давно бы сидели на условно бесплатных опен-сорс продуктах.
А по НОДу очень интересует именно функционал консоли управления, просмотр логов, событий, алертов, назначение заданий, бекапов, обновлений и конечно отчетность со статистикой…
Об этом на сайте производителя можно только прочитать в общих чертах, а опыт реального использования более ценен, чем реклама…
Пока не придумана методика эффективной борьбы приходиться тратить массу времени на ежедневную очистку почтовых ящиков от мусора.
Хотя комплекс таких мер может влететь в копеечку.
Ждем адекватного ответа от киберпреступников…
Зачем что-то выискивать по клиентам Приват-банка, если можно не напрягаясь снимать деньги с карт российских банков с украинской регистрацией.