Основные выводы для служб ИБ из отчетов по сетевой безопасности

Основные выводы для служб ИБ из отчетов по сетевой безопасности


Так сложилось, что практически одновременно в феврале 2017 года были опубликованы два схожих по тематике документа: “Обзор основных способов осуществления DoS/DDoS-атак” от Центра мониторинга и реагирования на компьютерные атаки ГУБиЗИ Банка России ( FinCERT ) и “Cостояние сетевой безопасности в 2016 году” от компаний Qrator Labs & Wallarm ( скачать отчет ).
Документы во многом перекликаются как по структуре, так и по содержанию (классификация атак на основе сетевой модели ISO OSI L2-L7), что не удивительно, так как обзор от FinCERT разрабатывался совместно с компаниями Qrator Labs (Россия) и Radware (Израйль).
Ниже привожу свои выдержки по отчётам FinCERT и Qrator Labs & Wallarm об основных тенденциях в области сетевой безопасности.
Состояние сетевой безопасности
• (FinCERT) сегодня ни одна компания не осуществляет бизнес без использования информационно-коммуникационных технологий, в основе которых лежат возможности глобальной сети Интернет
• одна из наиболее заметных тенденций 2016 года – использование устройств так называемого “Интернета вещей” (Internet of Things, IoT).
• (Qrator Labs & Wallarm) от DDoS страдают все отрасли — Интернет сейчас везде
• 2016 стал годом фундаментальных изменений в сфере сетевой безопасности
• конец 2016 года оказался необычным периодом времени, когда DDoS-риски опять оказались на первых полосах всех СМИ. Техническим специалистам вновь нужно обращать пристальное внимание на защиту от DDoS
• атаки на инфраструктуру (к примеру, DNS) стали явью, поскольку технические специалисты и люди вообще боятся того, что страшно, а не того, что опасно.
От себя добавлю, что этот тезис хорошо иллюстрируется таким слайдом:

• 2016 год показал, что хорошо направленная атака на инфраструктуру может нанести огромный косвенный урон всем связанным приложениям и сервисам, и в целом компаниям, зависящим от любых из этих технологий.
Ситуация более серьёзна, чем кажется
• (FinCERT) Что касается готовности к внешним атакам, то лишь малая часть компаний может сообщить хоть о каком-то уровне готовности к ним (особенно, к комплексным, продолжительным атакам)
• атакующий может многократно изменять способ воздействия, пока инженеры службы ИБ смогут идентифицировать изначальную атаку и отфильтровать её. При этом только 5-6% опрошенных (по данным компании Radware) считают, что имеют автоматизированные системы по борьбе с атаками.
• (Qrator Labs & Wallarm) инфраструктура Интернета не получает достаточного финансирования. Текущее снабжение не соответствует современному темпу развития Сети
• взрывной рост мощности кибератак (Mirai поднял планку возможной угрозы атакой в 1 Тбит/с)
• кибермошенники находят всё новые векторы для атак
• ботнеты значительно подешевели
• уязвим каждый тип аппаратного обеспечения
• число жертв или скомпрометированных устройств будет только расти
• “инфраструктура” атакующих тоже быстро меняется. В прошлом ботнеты состояли из компьютеров обычных пользователей. Сейчас мы наблюдаем миллионы устройств, которые никогда не обновляются, с паролями по умолчанию или вообще неизменяемыми
• так как кибератаки, как правило, автоматизированы, защита вручную не способна противостоять таким атакам
• современные кибератаки большая часть компаний не в состоянии выдержать
• целевые атаки на персонал с необходимым уровнем доступа: с паролями и ключами для FTP, SSH, VPN и т. д. обычно выполняется с помощью фишинга
• двухфакторная аутентификация всё ещё считается самым надёжным способом управлять деньгами, но она сильно полагается на смартфон и его экран, которые достаточно уязвимы
• нет уверенности в безопасности программного кода тех приложений, которые используются в компании
• теперь для проактивной защиты и интеграции техник информационной безопасности в процесс создания продукта компаниям нужно держать наготове разработчиков и специалистов безопасности
• повсеместнаянеосведомлённость компаний о технических недостатках на своём сетевом периметре
• утечки данных и крупные взломы теперь представляют опасность для самого существования компании.
Начало новой эры в DDoS
• (Qrator Labs & Wallarm) Случаи атак на Брайана Кребса, на американский DNS-провайдер Dyn, французский хостер OVH ознаменовали продолжающуюся эволюцию инструментов, техник и сетей для атаки.
Провайдеры и операторы сети вынуждены решать свои собственные проблемы, а не клиента
• (Qrator Labs & Wallarm) В мире хостинг-провайдеров клиент ограничен жёсткими соглашениями об используемых решениях защиты от DDoS. Как мы можем видеть, в этом мире провайдер не собирается защищать клиента любой ценой. После того, как мощность атаки дойдёт до определённой границы, и начнут страдать другие клиенты, провайдер сольёт весь трафик до атакуемого сервиса в blackhole community. Или вообще избавится от сервиса, как это произошло в 2016 году с компанией Akamai, предоставляющей услуги хостинга блогу Брайана Кребса “pro bono”. Akamai не смогла выдержать рекордную атаку в 620 Гбит/с ботнетом Mirai на блог Кребса и расторгла договор на оказание хостинг-услуг с блогером.
Что делать? Выбор решения по комплексной защите
• (FinCERT) Выбор решения по комплексной защите от DoS/DDoS-атак и атак на уязвимости web-приложений должен быть основан на следующих принципах:
1.     Необходимо оценить допустимое время потери работоспособности ваших услуг;
2.     Ключевым аспектом защиты является обеспечение бесперебойной работы без снижения производительности всех легитимных клиентов независимо от того, осуществляется атака или нет;
3.     Выбирая систему защиты, следует ориентироваться на те, которые предлагают защиту от всех классов существующих атак;
4.     Система отражения должна срабатывать в автоматическом режиме за секунды, не требуя участия администратора. Система должна использоваться в режиме отражения атаки.
5.     Для отражения атак нулевого дня система должна содержать поведенческий анализ вплоть до 7-го уровня ISO/OSI;
6.     Система должна работать на канальном уровне модели ISO/OSI и не иметь видимых из-вне IP-адресов (либо максимально минимизировать их наличие);
7.     Выбирая средства борьбы с DDoS-атаками, имеет смысл рассматривать тех поставщиков , которые могут дополнительно (опционально) предложить облачный сервис очистки трафика.
8.     Необходимо обеспечить отражение атак внутри зашифрованного трафика (например, SSL).
9.     Система противодействия DDoS-атакам должна обладать модулем, который позволит обеспечить борьбу со сканированием (либо иметь в составе систему класса IPS).
10.  Крайне важным является наличие единой системы управления всеми входящими в состав решения компонентами.
11.  Наличие у поставщика решения службы поддержки, доступной 24/7/365.

• (Qrator Labs & Wallarm) всё больше компаний начинают задумываться о безопасности собственных сетей и приложений
• что делать в случае взлома? Иметь ответ становится жизненно важно (ещё почитать по теме “что делать?” можно здесь )
• для компаний важен проактивный мониторинг. Это относится не только к операторам связи, но и к любому сервису, чья постоянная доступность критически важна
• компаниям теперь необходимо “бежать быстрее”, но не жертвовать безопасностью
• в будущем эффективно противостоять кибератакам смогут только физически распределённые облачные сервис-провайдеры
• в защите корпоративных ресурсов компаниям поможет сотрудничество с провайдерами услуг типа анти-DDoS.

Вообще, хочу заметить, что оба обсуждаемых отчета по сетевой безопасности понравились своим содержанием, оформлением, а отчет от компаний Qrator Labs & Wallarm ещё и тем, что написан “живым” языком, не перегружен статистическими выкладками и, несмотря на объём (48 страниц), легко читается.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

А что, если жизнь на Земле — это ошибка?

Учёный показал: собрать живую клетку случайно невозможно. Тогда как это произошло? Читайте, почему мы до сих пор не знаем ответа на главный вопрос человечества.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)