Основные выводы для служб ИБ из отчетов по сетевой безопасности

Основные выводы для служб ИБ из отчетов по сетевой безопасности


Так сложилось, что практически одновременно в феврале 2017 года были опубликованы два схожих по тематике документа: “Обзор основных способов осуществления DoS/DDoS-атак” от Центра мониторинга и реагирования на компьютерные атаки ГУБиЗИ Банка России ( FinCERT ) и “Cостояние сетевой безопасности в 2016 году” от компаний Qrator Labs & Wallarm ( скачать отчет ).
Документы во многом перекликаются как по структуре, так и по содержанию (классификация атак на основе сетевой модели ISO OSI L2-L7), что не удивительно, так как обзор от FinCERT разрабатывался совместно с компаниями Qrator Labs (Россия) и Radware (Израйль).
Ниже привожу свои выдержки по отчётам FinCERT и Qrator Labs & Wallarm об основных тенденциях в области сетевой безопасности.
Состояние сетевой безопасности
• (FinCERT) сегодня ни одна компания не осуществляет бизнес без использования информационно-коммуникационных технологий, в основе которых лежат возможности глобальной сети Интернет
• одна из наиболее заметных тенденций 2016 года – использование устройств так называемого “Интернета вещей” (Internet of Things, IoT).
• (Qrator Labs & Wallarm) от DDoS страдают все отрасли — Интернет сейчас везде
• 2016 стал годом фундаментальных изменений в сфере сетевой безопасности
• конец 2016 года оказался необычным периодом времени, когда DDoS-риски опять оказались на первых полосах всех СМИ. Техническим специалистам вновь нужно обращать пристальное внимание на защиту от DDoS
• атаки на инфраструктуру (к примеру, DNS) стали явью, поскольку технические специалисты и люди вообще боятся того, что страшно, а не того, что опасно.
От себя добавлю, что этот тезис хорошо иллюстрируется таким слайдом:

• 2016 год показал, что хорошо направленная атака на инфраструктуру может нанести огромный косвенный урон всем связанным приложениям и сервисам, и в целом компаниям, зависящим от любых из этих технологий.
Ситуация более серьёзна, чем кажется
• (FinCERT) Что касается готовности к внешним атакам, то лишь малая часть компаний может сообщить хоть о каком-то уровне готовности к ним (особенно, к комплексным, продолжительным атакам)
• атакующий может многократно изменять способ воздействия, пока инженеры службы ИБ смогут идентифицировать изначальную атаку и отфильтровать её. При этом только 5-6% опрошенных (по данным компании Radware) считают, что имеют автоматизированные системы по борьбе с атаками.
• (Qrator Labs & Wallarm) инфраструктура Интернета не получает достаточного финансирования. Текущее снабжение не соответствует современному темпу развития Сети
• взрывной рост мощности кибератак (Mirai поднял планку возможной угрозы атакой в 1 Тбит/с)
• кибермошенники находят всё новые векторы для атак
• ботнеты значительно подешевели
• уязвим каждый тип аппаратного обеспечения
• число жертв или скомпрометированных устройств будет только расти
• “инфраструктура” атакующих тоже быстро меняется. В прошлом ботнеты состояли из компьютеров обычных пользователей. Сейчас мы наблюдаем миллионы устройств, которые никогда не обновляются, с паролями по умолчанию или вообще неизменяемыми
• так как кибератаки, как правило, автоматизированы, защита вручную не способна противостоять таким атакам
• современные кибератаки большая часть компаний не в состоянии выдержать
• целевые атаки на персонал с необходимым уровнем доступа: с паролями и ключами для FTP, SSH, VPN и т. д. обычно выполняется с помощью фишинга
• двухфакторная аутентификация всё ещё считается самым надёжным способом управлять деньгами, но она сильно полагается на смартфон и его экран, которые достаточно уязвимы
• нет уверенности в безопасности программного кода тех приложений, которые используются в компании
• теперь для проактивной защиты и интеграции техник информационной безопасности в процесс создания продукта компаниям нужно держать наготове разработчиков и специалистов безопасности
• повсеместнаянеосведомлённость компаний о технических недостатках на своём сетевом периметре
• утечки данных и крупные взломы теперь представляют опасность для самого существования компании.
Начало новой эры в DDoS
• (Qrator Labs & Wallarm) Случаи атак на Брайана Кребса, на американский DNS-провайдер Dyn, французский хостер OVH ознаменовали продолжающуюся эволюцию инструментов, техник и сетей для атаки.
Провайдеры и операторы сети вынуждены решать свои собственные проблемы, а не клиента
• (Qrator Labs & Wallarm) В мире хостинг-провайдеров клиент ограничен жёсткими соглашениями об используемых решениях защиты от DDoS. Как мы можем видеть, в этом мире провайдер не собирается защищать клиента любой ценой. После того, как мощность атаки дойдёт до определённой границы, и начнут страдать другие клиенты, провайдер сольёт весь трафик до атакуемого сервиса в blackhole community. Или вообще избавится от сервиса, как это произошло в 2016 году с компанией Akamai, предоставляющей услуги хостинга блогу Брайана Кребса “pro bono”. Akamai не смогла выдержать рекордную атаку в 620 Гбит/с ботнетом Mirai на блог Кребса и расторгла договор на оказание хостинг-услуг с блогером.
Что делать? Выбор решения по комплексной защите
• (FinCERT) Выбор решения по комплексной защите от DoS/DDoS-атак и атак на уязвимости web-приложений должен быть основан на следующих принципах:
1.     Необходимо оценить допустимое время потери работоспособности ваших услуг;
2.     Ключевым аспектом защиты является обеспечение бесперебойной работы без снижения производительности всех легитимных клиентов независимо от того, осуществляется атака или нет;
3.     Выбирая систему защиты, следует ориентироваться на те, которые предлагают защиту от всех классов существующих атак;
4.     Система отражения должна срабатывать в автоматическом режиме за секунды, не требуя участия администратора. Система должна использоваться в режиме отражения атаки.
5.     Для отражения атак нулевого дня система должна содержать поведенческий анализ вплоть до 7-го уровня ISO/OSI;
6.     Система должна работать на канальном уровне модели ISO/OSI и не иметь видимых из-вне IP-адресов (либо максимально минимизировать их наличие);
7.     Выбирая средства борьбы с DDoS-атаками, имеет смысл рассматривать тех поставщиков , которые могут дополнительно (опционально) предложить облачный сервис очистки трафика.
8.     Необходимо обеспечить отражение атак внутри зашифрованного трафика (например, SSL).
9.     Система противодействия DDoS-атакам должна обладать модулем, который позволит обеспечить борьбу со сканированием (либо иметь в составе систему класса IPS).
10.  Крайне важным является наличие единой системы управления всеми входящими в состав решения компонентами.
11.  Наличие у поставщика решения службы поддержки, доступной 24/7/365.

• (Qrator Labs & Wallarm) всё больше компаний начинают задумываться о безопасности собственных сетей и приложений
• что делать в случае взлома? Иметь ответ становится жизненно важно (ещё почитать по теме “что делать?” можно здесь )
• для компаний важен проактивный мониторинг. Это относится не только к операторам связи, но и к любому сервису, чья постоянная доступность критически важна
• компаниям теперь необходимо “бежать быстрее”, но не жертвовать безопасностью
• в будущем эффективно противостоять кибератакам смогут только физически распределённые облачные сервис-провайдеры
• в защите корпоративных ресурсов компаниям поможет сотрудничество с провайдерами услуг типа анти-DDoS.

Вообще, хочу заметить, что оба обсуждаемых отчета по сетевой безопасности понравились своим содержанием, оформлением, а отчет от компаний Qrator Labs & Wallarm ещё и тем, что написан “живым” языком, не перегружен статистическими выкладками и, несмотря на объём (48 страниц), легко читается.
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)