Анализ трафика и управление сетью

Опрос: Организации наконец стали замечать опасность интернет-угроз

SMG — Fri, 04 Jul 2014 13:34:40 GMT

Компания Lancope провела опрос участников конференции Infosecurity Europe на тему состояния кибербезопасности в их сетях. Опрос производился среди сотрудников организаций из финансового, образовательного и медицинского секторов, специалистов IT-компаний и сервис-провайдеров, государственных организаций и розничных торговых компаний.
Опрошенные среди основных проблем отметили инсайдерские угрозы, угрозы, связанные с мобильными устройствами, APT (advanced persistent threats), угрозы облачной безопасности и репутационный ущерб.
В прошлогоднем аналогичном опросе Lancope обнаружила, что большинство отвечающих не очень беспокоились о возможных угрозах. Тогда 65% человек сказали, что за прошедшие 12-18 месяцев они не имели, или вероятно не имели никаких инцидентов в сфере безопасности. В этом году число таких ответом составило только 39%, показывая, что компании начинают ощущать беспокойство на тему возможных компьютерных угроз для своих сетей. Об этом же говорит то, что только 14% опрошенных сказали, что не знают, были ли они жертвами какого-либо инцидента, связанного с безопасностью. В прошлом году такой ответ дали 37% из участников опроса. В этом году 42% респондентов признались, что страдают от атак с использованием вредоносного кода, в прошлом году таких было 18%.
"Это не означает, что количество атак резко возросло за год, - говорит Том Кросс, директор подразделения исследований Lancope. - Это скорее говорит о том, что люди наконец осознали глубину проблемы, особенно если учесть, что количество человек, отвечающих "я не знаю", резко уменьшилось. Это означает, что организации стали уделять значительно больше внимания сетевой безопасности, и они повысили уровень коммуникаций, связанных с безопасностью, внутри своих организаций".
Еще одним интересным изменением по сравнению с прошлым годом стало то, что, хотя опрошенные все еще уделяют много внимания проблемам, связанным с мобильными устройствами в корпоративных сетях, эти угрозы уже отошли на второй план. Количество респондентов, считающих мобильные устройства в сети одной из главных угроз, уменьшилось с 50% до 30%, в то время как опасения, связанные с инсайдерами, отметили 40% опрошенных вместо 32% в прошлом году.
Респонденты также отметили возрастание риска, связанного с APT, количество участников, указавших эту проблему, возросло с 18% до 30%. Это второй по важности риск после инсайдерских угроз, по мнению участников опроса. Почти половина респондентов, которые указали два или более основных проблем с безопасностью, включили APT в этот список. "APT и инсайдерская угроза часто идут вместе, - говорит Том Кросс. - Наиболее продвинутые мошенники часто используют социальный инжиниринг как тактику получения доступа в государственные и корпоративные сети, принуждая уязвимых сотрудников разглашать конфиденциальную информацию. Добавим в эту группу мобильные устройства и получим очень высокую степень риска, поскольку мобильные телефоны предоставляют преступнику возможность мониторинга цели".
Опрос показал, что организации стали больше беспокоиться о репутационных рисках, связанных с нарушением внутренней безопасности. При ответе не вопрос, какое самое чувствительное влияние оказала на организацию успешная атака на сеть, 30% выбрало репутационный ущерб.
При вопросе на тему, в какую технологию, связанную с безопасностью, они будут инвестировать в ближайшие 6 - 12 месяцев, респонденты чаще всего указывали облачную безопасность (20%). Далее по важности шли SIEM и аналитика.

Остановитесь и понюхайте "Шафрановую розу"

SMG — Thu, 12 Jun 2014 10:59:23 GMT

Недавно FireEye опубликовали отчет, посвященный операции "Шафрановая роза", кибератаке, которая была осуществлена иранской группой хакеров, известной как Ajax Security Team. В этом отчете исследователи отмечают, что иранские хакеры очень быстро перешли от атак на сайты и DDoS-атак к более сложным, направленным атакам с целью хищения информации. Используя мощную смесь средств социального инжиниринга и собственного вредоносного кода, эта группа направляла свои атаки как против иранских диссидентов, так и военных организаций США.
Как это происходило и с другими направленными атаками, вполне возможно, что эта кибер-акция распространилась и на другие, случайные жертвы. Все американские правительственные организации должны быть настороже, но при этом важно для всех организаций получить возможность обнаруживать и разрушать эту и другие аналогичные высокоорганизованные атаки.
Операция "Шафрановая роза" использовала вариации вредоносного ПО, носящего название Stealer, для сбора больших объемов конфиденциальной и важной информации с зараженных систем. Анализ этого хакерского кода, проведенный FireEye, обнаружил множество индикаторов компрометации, которые организации могут выискивать в своих сетях, чтобы определить, являются ли они жертвой или нет, и если это так, быстро отреагировать на инцидент.
Если использовать такие системы, как Lancope StealthWatch, для сбора и анализа NetFlow, организации могут делать запросы на основе таких индикаторов компрометации, как IP-адреса и доменные имена, для получения свидетельства о специфической атаки в своей сети.
Что касается операции "Шафрановая роза", в отчете FireEye упомянуто много таких индикаторов, которые используются при проведении атаки. Преступники используют ряд обманных доменных имен, чтобы соблазнить свои жертвы. Вот список индикаторов компрометации, которые вы можете использовать при расследовании:

IP:
5.9.244.151
5.9.244.157
74.63.239.116
81.17.23.226
81.17.28.227
81.17.28.229
81.17.28.231
88.150.227.197

Домены:
accounts-apple[.]com
account-verify[.]net
aeroconf2014[.]org
appleid.com[.]co
intel-update[.]com
loginz[.]me
mailservermigration[.]tk
plugin-adobe[.]com
privacy-google[.]com
ultrasms[.]ir
update-mirror[.]com
users-facebook[.]com
vpnsecurityverification[.]tk
webpanelpages[.]tk
windows-essentials[.]tk
xn.facebook-06k[.]com
xn.google-yri[.]com
yahoomail.com[.]co

Не зависимо от того, верите вы или нет, что ваша организация стала жертвой этой атаки, иметь возможность проверить вашу сеть с помощью этих индикаторов очень важно в сегодняшних условиях постоянных атак.

Уязвимость OpenSSL. Кто должен обеспокоиться?

SMG — Thu, 05 Jun 2014 12:21:20 GMT

Пару месяцев назад появившееся сообщение о крупнейшей уязвимости, получившей название Heartbleed, которая поразило криптографическую лабораторию OpenSSL, поразило практически всех, поскольку OpenSSL очень широко используется при установлении защищенной связи между веб-сервером и браузером.

Итак, кто от этого мог пострадать?

Кратко говоря, все. Тем более потому, что эта технология применяется не только при связи с веб-сервером, но и в таких устройствах, как принтеры, точки беспроводного доступа, маршрутизаторы и коммутаторы, поскольку все эти системы позволяют осуществлять административный доступ через веб-интерфейс.

Для преступников эта уязвимость просто Святой Грааль. Существует код для использования этой уязвимости, а сотни тысяч устройств открыты в Интернет, ожидая, когда им скомандуют отдать секретную информацию человек, использующий этот код. Хорошей новостью, правда, является то, что эта уязвимость уже известна и большинство крупнейших сайтов уже приняли меры по защите от этой угрозы. Но это не основная проблема, а главная сложность в том, что все, кто подвергся атаке через эту уязвимость и, вероятно, не знает об этом, находится в большой опасности. Это касается и малого бизнеса и просто пользователей, поскольку подобные люди, как правило, могут не знать, какую версию программного обеспечения они используют, или встроена ли технология OpenSSL в устройства, которые они используют. Более того, преступники могут и не оставить каких-либо записей о своем присутствии в то время, когда они осуществляли атаку через эту "дыру", поскольку эта уязвимость является частью кода, где нет никакого логирования.

Так что же нам сделать, чтобы защитить себя и своих клиентов?

Для бизнеса.

Первое, что надо сделать, это попытаться обнаружить эту уязвимость в своей сетевой среде и, если она будет обнаружена, тотчас обновиться до новой, исправленной версии OpenSSL. Это касается не только публичных систем, хотя именно с них необходимо начинать. Необходимо проверить и внутренние системы, поскольку преступники наверняка попробуют их использовать, чтобы получить аутентификационные данные реальных пользователей для дальнейшего использования. Вот несколько онлайновых инструментальных средств, которыми можно с этой целью воспользоваться:

http://heartbleed.com/

https://www.ssllabs.com/ssltest/index.html

http://filippo.io/Heartbleed/

Администраторам серверов необходимо также озаботиться генерацией новых SSL-сертификатов, поскольку вероятнее всего существующие уже скомпрометированы и может так случится, что атака будет начата ровно тогда, когда вы перезапустите веб-сервер. Для безопасности необходимо сгенерировать новые ключи.

Организация обязана также проинформировать своих клиентов об опасности и обеспечить их инструкциями о том, как они могут защититься от нее. Это особенно важно, если пользователям необходимо сменить пароли, поскольку они используют веб-сервер, который как раз будет обновляться.

К сожалению, многие организации втихую проводят обновление своих серверов без информирования клиентов о том, что их пароли могут быть незащищенными, или что сервер обновляется и пароли теперь могут быть изменены безопасным образом. Даже если ваш веб-сервер не был подвержен этой угрозе, может быть очень полезным сообщить вашим пользователям об этом, чтобы они знали о безопасности своих паролей.

Для потребителей

Сами потребители должны также предпринять собственные проактивные меры для защиты от этой уязвимости, особенно тем, кто использует Microsoft Windows XP, уже не имеющей автоматически обновляемой защиты.

Хотя это и очень кропотливый процесс, всем необходимо поменять пароли, которые используются на веб-сайтах, которые могли быть подвергнуты подобной атаке. Это особенно важно, если вы входили на эти сайты в период между временем, когда уязвимость была публично объявлена, и временем, когда веб-сервер этого сайта был обновлен. Однако нет смысла обновлять ваши пароли, если веб-сервер еще не обновлен. Ваш новый пароль также может быть украден. По этой причине очень важно оператору веб-сайта информировать своих клиентов о том, какие меры он предпринял.

Новое в StealthWatch 6.5. Критерии угрозы, определяемые пользователем

SMG — Thu, 10 Apr 2014 16:37:52 GMT

Ситуационная осведомленность может играть главную роль в идентификации угроз и подозрительной активности внутри сети. Именно поэтому Lancope StealthWatch 6.5 получил новую функциональность "User-defined Threat Criteria", позволяющая оператору создавать собственные события для своей сетевой среды, чтобы генерировать индикаторы заражения (Indicators of Compromise).

Получение возможности генерировать сигнал в случае возникновения определенных потоковых условий не представляет собой ничего нового в StealthWatch. Раньше в системе была возможность создавать Host Lock Violation, что включало сигнал в случае возникновения потоковых условий, базирующихся на IP-адресе источника или группы хостов, IP-адресе приемника и группы хостов, сервисе или приложении. Не обесценивая старую функциональность блокирования хостов, новый функционал "Критериев угрозы, определяемых пользователем" (User-defined Threat Criteria) позволяет генерировать события на базе более сложного набора потоковых условий, включающего в себя пользовательские имена, устройства, направленность и детальная информация о соединении, такая как общее количество байтов или пакетов.

Эта новая функциональность позволяет оператору использовать свое знание ситуации об организации и очень точно определять предупреждающие сигналы как для известных плохих условий, так и нарушений политики безопасности. А также создавать индикаторы заражения, которые специфичны для операционной среды данной организации. Например, что вы определили, что в течение рабочего времени является нормальным (и допустимым) существование потоков между внутренней сетью и Китаем, размером меньшим, чем 5 мегабайт. Например, потому, что это обычное дело для ваших работников просматривать их новостные сайты или магазины. Однако, если вы опасаетесь нелегальной или подозрительной активности , связанной с Китаем, вне рабочего времени и потоков, размеров выше 5 мегабайтов, то вы создаете нижеприведенное событие (поскольку вся эта информация в посте исходит из США, то на нижеприведенном скриншоте фигурирует Россия, а не Китай - мы теперь для них не такие уж и друзья).

На следующий день вы отмечаете, что на экране StealthWatch Operational Network & Security Intelligence (ONSI) появились активные сигналы, связанные с нарушением политики безопасности, и кликаете, чтобы получить список сигналов нарушения политик. Выбрав хост в User Desktop Host Group (10.201.3.5), вы можете увидеть, что этот конкретно хост стал причиной активного сигнала о подозрительных коммуникациях с Китаем (ну, или Россией).

И вы также можете видеть новое созданное вами событие в таблице сигналов в традиционном Java-клиенте управляющей консоли StealthWatch. Возможно даже делать фильтрацию по этому событию, получившему имя "Подозрительные коммуникации с Китаем".

Мы можем видеть этот же активный сигнал, вызванный хостом 10.201.3.5 и пользователем Marlene через веб-интерфейс. Вы также может кликнуть правой кнопкой мышки и посмотреть индивидуальные потоки, которые включили событие, отметив при этом, что это короткие HTTP-потоки.

Новое в StealthWatch 6.5. Динамический анализ потоков

SMG — Mon, 07 Apr 2014 12:39:00 GMT

Новая функциональность динамического анализа потоков в системе Lancope StealthWatch 6.5 специально разработана для поддержки процесса исследования, позволяя специалистам быстро и легко искать потоковые данные, фильтровать результаты только по интересующим потокам и легко визуализировать то, что происходит в сети.

Исходный анализ потоков: экран Build Query позволяет создать запрос, основываясь на ряде деталей о первичном субъекте запроса и информации от задействованного хоста или группы хостов, определенных типах использования или приложений, деталях соединения, таких как байты и пакеты. Однажды созданный запрос может быть сохранен и использован еще раз позже.

Результаты запроса будут получены в виде потоковой сводки, что обеспечивает быстрый обзор потоков, включая направленность (быстрый обзор может по желанию представлен и в табличном виде). Результирующие данные могут быть сохранены для дальнейшего использования или экспортированы как CSV-файл.

Предположим на минуту, что по некоторым причинам вы интересуетесь трафиком между вашей организацией и Китаем. Возможно, вы читали эту статью http://abcnews.go.com/Business/us-software-developer-busted-employer-outsourcing-job-china/story?id=18230346 и предполагаете, что кто-то решил передать на аутсорсинг в Китай свою работу. Для этого вы запускаете запрос, ищущий весь трафик в последние 24 часа между вашей внутренней сетью и Китаем, для соединений, при которых передавалось более, чем 100 килобайт.

Поняв, что это чересчур широкий запрос, вы перефокусируете свое внимание на более точную фильтрацию слева, уменьшив спектр ваших запросов до потоков, которые имеет большую длительность, в нашем случае взяв 15 мин 12 сек и 19 мин 0 сек.

Ваше внимание немедленно привлечет информация о большой передаче данных через FTP из внутреннего хоста в Китай. Посмотрев дополнительные детали потоков, вы можете увидеть, что внутренний хост включен в группу Compliance Host Group.

Озаботившись этим фактом, вы кликаете на IP-адрес для перехода на Host Snapshot 10.210.7.38 и замечаете, что с хостом связан активный сигнал об утечке данных.

В этом примере исследование, нацеленное на поиск одного события, в итоге пришло к обнаружению значительной утечки информации, и вы можете быстро перейти к фазе ликвидации угрозы.

Резюме

Новая функциональность динамического анализа потоков в StealthWatch 6.5 позволяет исследователю быстро и эффективно осуществить поиск, просмотр, фильтрацию и сохранение потоковых данных, ускоряющих процесс исследования и обеспечивающих ценную информацию для анализа.

5 ложных мифов о NetFlow

SMG — Mon, 31 Mar 2014 14:13:30 GMT

NetFlow - это очень важный инструмент для обеспечения реагирования на инциденты, позволяя получить глубокий обзор сетевой активности, которая имеет место в сети организации. NetFlow обладает возможностью собирать концентрированную информацию о сетевом трафике в короткие записи, которые потом могут независимо обрабатываться, обеспечивая создание текущей истории о сетевых соединениях, которая затем может использоваться во время реагирования на инциденты. При этом все еще существуют несколько неверных утверждений о NetFlow, которые требуется объяснить.

Миф № 1.Комплексные атаки не обнаруживаются с помощью NetFlow.

Наоборот, записи NetFlow часто используются для идентификации комплексных атак, позволяя идентифицировать индикаторы заражения в огромных массивах трафика в короткое время. Более того, поскольку технология NetFlow позволяет получить глубинный обзор сети, она может использоваться для поведенческого анализа, идентифицирующего аномальные структуры трафика, глубокого исследования сети, нарушений политики безопасности и многого другого.

Миф № 2. Полный захват пакетов делает использование NetFlow ненужным.

Полный захват пакетов в сети в реальности не является обычной практикой. Сохранение таких записей за большой период времени требует масштабного внедрения проб (зондов) и очень большой емкости хранения информации. Кроме того, анализ таких записей - это очень длительный процесс, в отличие от анализа предварительно обработанных данных NetFlow.

Более того, это не очень хороший вариант, когда решение по захвату пакетов установлено повсюду внутри вашей сети. Лучше, когда это делается на точке доступа, которая существует между сетью и внешним миром. Может и хорошо, когда вы организовали захват пакетов в нескольких местах внутри вашей внутренней среды, но очень сложно захватывать каждый пакет везде.

Миф № 3. NetFlow предоставляет недостаточно информации.

Одна из крупнейших ошибок при реагировании на инциденты связана с невозможностью обеспечить достаточный мониторинг и наблюдение для получения необходимой информации для реагирования. NetFlow записывает каждую коммуникацию всех контролируемых устройств и предоставляет информацию, достаточную для систем реагирования на угрозы. В своей самой базовой конфигурации NetFlow логирует временные метки, IP-адреса источника/приемника, порты и количество обмениваемой информации. Более продвинутые конфигурации могут включать дополнительную информацию, запрошенную системами реагирования на инциденты.

Миф № 4. NetFlow не является приемлемым доказательством.

Специалисты по реагированию на инциденты могут быть спокойны, что записи NetFlow могут быть действительно приняты судом. Эти записи, собираемые в процессе нормального ведения бизнеса, часто являются доказательством как в криминальных, так и гражданских судах. Различные суды регулярно принимают NetFlow в качестве имеющей силу формы доказательства сетевой активности.

Миф № 5. NetFlow отрицательно влияет на производительность.

Когда технология NetFlow первый раз появилась на рынке примерно 15 лет назад, она действительно значительно влияла на потребление ресурсов процессора коммутаторов и маршрутизаторов. Но сегодня NetFlow является одной ключевых возможностей сетевых устройств, которые оптимизированы для осуществления сетевых операций без какого-либо сильного влияния на производительность. Проще говоря, сетевые устройства, работающие на уровне утилизации ниже 50%, при включении NetFlow могут ощутить падение производительности процессора меньшее, чем 2%. С точки зрения полосы пропускания, превышение количества трафика составляет от 0,1% до 0,3% от всего контролируемого трафика.

Как защитить Windows XP от вредоносного ПО

SMG — Sat, 15 Mar 2014 12:10:10 GMT

Все больше вредоносного кода, все меньше "заплаток"

Microsoft заканчивает этой весной поддержку XP. Это означает, что компания перестает выпускать "заплатки", защищающие систему от хакеров. За исключением файерволов, эти "заплатки" являются наиболее эффективным средством защиты для конечных устройств. Соревнование между вредоносным кодом, пытающимся проникнуть в компьютеры, и средствами их обнаружения, новыми "заглушками" было всегда. После того, как Windows XP останется без обновлений, компьютеры на базе этой системы превратятся в "сидящих уток" - бей, не хочу.

Это создает новые проблемы для организаций, которые не могут обновить свои компьютеры с Windows XP. Это, например, системы здравоохранения, SCADA и производственные компании. Специально разработанные системы, которые непосредственно взаимодействуют со сложными устройствами, типа рентгеноскопии, контрольных систем и производственных линий, были построены с учетом использования специфической платформы Windows XP. Для многих таких систем невозможно обновиться до платформы Windows 7 или 8, сохранив при этом необходимую функциональность. Такие организации оказываются в сложной ситуации и их компьютеры могут быть легко подвергнуты атаке. В этих условиях необходимо разработать стратегию защиты и компенсации вредных последствий.

Упрочнение конечного оборудования

Учитывая, что конечные устройства станут уязвимыми, необходимо их защитить, примерно также как в условиях вражеского огня солдат защищают специальными шлемами и бронежилетами.

Политики безопасности

Политика безопасности Windows (GPO) должна максимально строго соблюдаться, насколько это позволяет функциональность. Ненужные сервисы должны быть отключены, Internet Explorer отключен или заблокирован, привилегии пользователя должны быть минимальными. Количество установленных программ должно быть минимальным. Это может потребовать от персонала один компьютер использовать для унаследованных функций, а остальным пользователям предоставлять современные компьютеры. Как усилить защиту компьютеров на базе Windows читайте здесь в статье Microsoft: http://support.microsoft.com/kb/885409.

Безопасность конечных устройств

Хотя Microsoft больше не будет публиковать патчи, производители антивирусов все равно будут продолжать делать обновления сигнатур. В дополнение к традиционным антивирусным решениям могут использоваться современные средства обнаружения malware типа FireAMP компании SourceFire, которое может защищать основной компьютер от инфицирования кодом типа "zero day" с помощью "песочницы" и мониторинга. Облако FireAMP включает в себя анализ файлов (облачная "песочница"), облачное хранилище, логирование сетевой и файловой активности, аналитику для расчета параметров обнаружения проникновения, блокирование известных IP-адресов хостов типа command-and-control и обнаружение сетевых и файловых угроз.

Упрочнение сети

Защита входящего и выходящего трафика для основного компьютера также является обязательным условием.

Сетевая сегментация

Несмотря на то, что компьютеры могут быть защищены, необходимо обеспечить и защиту от случайных заражений. Это можно осуществить с помощью тщательной сегментации сети. Помещение уязвимых машин на базе XP в свою собственную VLAN или использование Cisco TrustSec Security Group Tags (SGT), ограничение доступа к ненужным частям сети с помощью файервола, политик маршрутизатора или контроля сетевого доступа (типа Cisco Identity Services Engine) - все это может также усилить защиту.

Системы предотвращения вторжений

Так же, как антивирусное ПО может защищать компьютер от известных вирусов, системы предотвращения вторжений (IPS) могут обнаруживать известный вредоносный код, атакующий известные, но не исправленные уязвимости. Если применена сетевая сегментация, то IPS может помещаться на входе в XP-сегмент, который наиболее уязвим.

Мониторинг сетевого поведения и аномалий трафика

Мониторинг конечных устройств является фундаментальным условием для обеспечения их защиты, установления политик безопасности. При этом очень хорошо то, что шаблонная форма поведения трафика конечных устройств легко предсказуема и это очень способствует надежному мониторингу. Т.е. отклонения от нормального поведения будет легко обнаруживаться. Когда хакер пытается использовать зараженную машину для разведки сети или кражи информации, StealthWatch, используемый для мониторинга, мгновенно просигнализирует об этом.

Инвентаризация

Кроме мониторинга StealthWatch может оказать помощь и в инвентаризации систем. Система компании Lancope может обеспечить оператора шаблонами трафика от известных машин на базе XP, и эти шаблоны могут быть использованы системой StealthWatch для поиска с помощью системы анализа хостов. Если компьютеры с устаревшей системой появятся в сети, StealthWatch просигнализирует операторам, что им необходимо предпринять дополнительные меры для защиты этих систем, упрочив сеть дополнительно.

Заключение

Завершение поддержки Windows XP вызывает значительный стресс у специалистов сферы безопасности, поскольку преступники не преминут воспользоваться этой ситуацией. Дополнительная защита этих уязвимых конечных систем - это первый шаг для уменьшения риска, за которым необходимо обязательно провести сильную сегментацию сети, что замедлит способность мошенников глубоко проникнуть в вашу сеть. Ну, а постоянный мониторинг компьютеров на базе старой системы критичен для того, чтобы поймать атакующих раньше, чем они смогут нанести вашей организации серьезный ущерб.

Ponemon Institute: Руководители толком ничего не знают о кибератаках

SMG — Wed, 12 Mar 2014 08:43:04 GMT

Недавно Ponemon Institute провел опрос "Реакция на инциденты в сфере кибербезопасности. Мы действительно так подготовлены, как мы думаем?". При исследовании опрашивали 674 специалистов в сфере IT и информационной безопасности из США и Великобритании с целью измерения эффективности их процедур реагирования на инциденты в сфере безопасности.

К сожалению, в процессе исследования стало понятно, что многие организации плохо подготовлены противодействовать сегодняшнему потоку продвинутых угроз. Стало также понятно, что CEO и другие руководители чаще всего совершенно ничего не знают об угрозах, которым подвергаются их компании.

Несмотря на тот факт, что 57% организаций утверждают, что они ожидают столкнуться с нарушениями системы безопасности в ближайшее время, только 20% из группы реагирования на инциденты общаются на эту тему с менеджментом верхнего уровня. Более того, половина респондентов говорит, что на процедуры реагирования на инциденты затрачивается не более 10% бюджета подразделения безопасности. Большинство также утверждает, что бюджет на систему реагирования на инциденты не увеличивался последние 24 месяца.

Вот диаграмма, отражающая вопрос: "Какой процент вашего бюджета на информационную безопасность затрачивается на реагирование на инциденты нарушения системы защиты?"

Источник: The Ponemon Institute

Президент и основатель Ponemon Institute доктор Ларри Понемон (Larry Ponemon) утверждает: "Результаты нашего исследования свидетельствуют о том, что компании не всегда правильно инвестируют в системы реагирования на инциденты. Как результат, они оказываются в ситуации, когда их компании не готовы эффективно реагировать на киберугрозы".

Глава компании Lancope Майк Поттс (Mike Potts) добавляет: "Наступает время, когда руководителям высшего уровня и тем, кто принимает решение в сфере IT, надо собраться вместе и разработать надежный, более полный план для реагирования на все учащающиеся сетевые угрозы. Такие общения очень важны, если мы хотим уменьшить все возрастающее количество проникновений в сети…"

Когда их спрашивали, какие инструменты безопасности наиболее эффективны для обнаружения проникновений, 80% опрошенных специалистов выбрали анализ данных, полученных из NetFlow и захвата пакетов. Такой выбор был более популярным, чем системы обнаружения проникновений (IDS) и антивирусное ПО. Ниже диаграмма, отражающая этот вопрос.

Источник: The Ponemon Institute

Результаты были представлены на недавно проходившей конференции RSA в Сан-Франциско.
Полную копию исследования можно получить здесь: http://www.lancope.com/ponemon-incident-response/.

Хакеры используют дыры не только в сети, но и в сферах ответственности

SMG — Thu, 06 Mar 2014 08:42:51 GMT

Вопрос: На что похож инцидент в сфере безопасности до того, как он стал таким инцидентом?
Ответ: На сетевой трафик

Суть в том, что поскольку специалисты в области информационной защиты в основном изучают события, связанные с безопасностью, а технологии безопасности фокусируются на атаках и их последствиях, они не замечают предпосылки в сетевом трафике, которые ведут к инциденту. С другой стороны сетевые специалисты занимаются мониторингом с уклоном на доступность сети и ее производительность, поэтому пока сеть работает "нормально" преступники могут проникать в сеть и использовать ее так долго, сколько им необходимо. До тех пор, пока они не случайно не включат "переключатель" какого-либо события, связанного, например, с производительностью.

Нам надо закрыть дыру, образованную кадровой структурой, которая считает эти сферы ответственности изолированными друг от друга, закрыть потому, что противники атакуют нас ежедневно. Вот пример, если вы сами еще не поняли этого. На черном рынке сейчас продаются большие количества украденных учетных данных и преступники могут просто купить доступ в большинство крупнейших сетей. Используя LinkedIn.com, они идентифицируют людей, кто имеет доступ туда, куда нужно им. При этом наиболее подходящие для этого люди работают в департаменте кадров, юридическом отделе или являются руководителями.
Имея учетные данные вашего генерального директора, они начинают атаку, но при этом никаких событий, связанных с нарушением безопасности не происходит, и для всех инструментов защиты никакой атаки вовсе нет. Люди, которые могут видеть сетевые аномалии, работают в отделе управления сетью, но их инструменты также говорят, что никакой атаки не происходит, поскольку они следят за другим. И как вы можете понять, что этот аномальный трафик является преамбулой инцидента, связанного с нарушением безопасности?
Используя, например, систему Lancope StealthWatch, вы можете легко отслеживать индикаторы нарушения безопасности в шаблонном (базовом) трафике до, во время и после инцидента нарушения безопасности. Когда учетные данные вашего руководителя используются для чего-то, что делает поведение сети аномальным, StealthWatch это зарегистрирует, в то время как для других аналитических инструментов на базе NetFlow или IPFIX это пройдет незаметно. Ваши маршрутизаторы, коммутаторы и беспроводные точки доступа могут информировать вас, когда появляется подозрительный трафик, но обычно у вас нет ничего, что может осуществить такой анализ, поскольку специалисты отдела сетевой безопасности сидят в ожидании событий, связанных с информационной защитой, а сотрудники сетевого департамента не считают заботу о сетевой безопасности своей работой.
Специалисты по безопасности используют StealthWatch для контроля индикаторов опасности в сети. Форма трафика, которая кажется подозрительной, немедленно попадет в их поле зрения. Это также дает возможность понимания того, что происходит и происходило, и StealthWatch предоставляет возможность ретроспективного взгляда на сетевую активность, относящуюся к интересующему нас IP-адресу, пользователю или другим атрибутам трафика.
Современные сетевые угрозы будут всегда находить дорогу в вашу сеть. В действительности велика вероятность, что проникновение уже произошло и вы просто об этом еще не знаете. И самое время задуматься об этом, игнорирование проблемы уже не помогает.

Защита удаленных сетей от киберугроз. Часть 2.

SMG — Mon, 03 Mar 2014 14:17:57 GMT

Репутация IP-хостов

Сегодня ряд производителей коллекторов NetFlow используют собранные данные для создания репутационных списков. Процесс определения репутации хостов - это процедура, когда каждый час загружается обновленный список известных хостов, с которыми конечные системы сети не имеют права коммуницировать. Обычно это список зараженных хостов, которые известны тем, что посылают вредоносный трафик (например, типа command & control).
Для того, чтобы этот список был максимально точным, его обычно обновляют несколько Интернет-провайдеров и правительственных агентств. Репутация хостов (Host Reputation) является также одним из наиболее эффективных методов обнаружения, используемых против продвинутых непрерывных угроз (Advanced Persistent Threats, APT).

"Мы изучали, что NetFlow может сообщить нам о том, кто с кем общается в нашей сети, но как мы можем сказать при этом, кто из них плохой актер? Только путем проверки репутации IP-адресов с обоих концов этого разговора", - говорит Майк Шиффман из Cisco.

В местах, где экспортирующее NetFlow или IPFIX оборудование недоступно, могут устанавливаться недорогие пробы (зонды), которые обеспечат нас нужной информацией. Собирая метрики из каждого угла сети, MSSP могут увеличить свое знание ситуации, что, в свою очередь, позволит принимать быстрые, более информированные решения. Некоторые MSSP внедряют решения распределенного сбора NetFlow, что может быть сравнимо со сбором кленового сиропа ранней весной. Переправляя "сироп" на обрабатывающую фабрику и перерабатывая гигантские объемы его в более управляемые количества, можно использовать эту процедуру для расширения обзорности сети в целях повышения защищенности сети.
Лидеры в сфере MSSP утверждают, что, используя потоковые технологии и применяя наработанные решения, они могут существенно улучшить систему безопасности клиентов. Опираясь на NetFlow для обнаружения угроз, можно получить следующие преимущества:

Более быстрое обнаружение: Mean Time To Awareness (MTTA)
Улучшенное время реагирования - повышение уровня внутренней поддержки
Уменьшение среднего времени смягчения последствий (Mean Time To Mitigation, MTTM)

NetFlow в расследовании

Все компании подвергаются атакам каждый день. Как розничный магазин не может остановить круговорот своих товаров, так и самый лучший коллектив в сфере IT-безопасности не может остановить все формы malware, атакующие компанию. Когда происходит проникновение, анализ часто непосредственно включается в обнаружение или в особенности в процедуру расследования и разведки. Отчетность NetFlow может предоставить детальный обзор в графическом виде, который поможет администраторам оценить масштаб инфицирования.

Анализ на базе NetFlow после инфицирования - также одна из важных функций MSSP. Поскольку большинство коллекторов NetFlow архивируют данные, эта информация становится исключительно полезной, когда начинается расследование. Она может быть использована для ответа на такие сложные вопросы, как:
• Какое поведение компьютеров привело к появлению проблемы?
• Кто еще участвовал в проблемных коммуникациях и есть ли в сети еще машины, характеризующиеся аналогичным поведением?

Вывод

Хотя DPI продолжает оставаться основным методом обнаружения APT, потоковые технологии без сомнения являются идеальным дополнительным слоем защиты. Захват пакетов обеспечивает при этому лучшую детализацию, но он часто не может осуществляться на каждом интернет-соединении в каждом удаленном офисе. Анализ потоков позволяет записать весь трафик в каждом месте для каждой сети в любое время подобно тому, как это делает камера службы безопасности в банке. Если трафик проходит внутрь компании, то он почти всегда захватывается и записывается с помощью NetFlow или IPFIX.
Более того, возможен и контроль трафика, выходящего наружу из сети компании. Хотя NetFlow и IPFIX добавляют еще один слой защиты, MSSP понимают, что наиболее эффективный метод проактивной защиты - это обучение пользователей. Вот почему некоторые MSSP тратят свои ресурсы на обучение специалистов заказчика таким вещам, как:

Почему они должны точно знать, что используются лучшие методы защиты при перемещении файлов в или из инфраструктуры компании?
Почему мы должны очень осторожно относиться к социальным сетям?

Хотя MSSP могут быть очень хорошей альтернативой найму эксперта по информационной безопасности, тем не менее при выборе партнера спросите его, какие механизмы они используют для исследования угроз. Как они работают с заказчиком, чтобы ослабить влияние проникновений, и какие процессы они используют, для того чтобы определить, как распространилась проблема.