Cisco подвела итоги 2020 года в сфере обеспечения информационной безопасности

Компания Cisco подвела итоги 2020 года в сфере обеспечения информационной безопасности. Пандемия и удаленная работы сделали эффективные средства защиты информации актуальными как никогда прежде. Организациям пришлось ускоренными темпами защищать и масштабировать средства удаленного доступа на фоне возросших рисков кибербезопасности. Компания дала рекомендации на чем лучше сфокусироваться в 2021 году для построения надежной и защищенной ИТ-инфраструктуру. По мнению Cisco, эти тенденции были наиболее заметными в 2020 году:

Тренд 1: Усиление защиты здравоохранения

В 2020 году критичной точкой в области обеспечения информационной безопасности на фоне вспышки пандемии стала сфера здравоохранения. Основная проблема заключалась в использовании устаревших технологий. Согласно отчету по кибербезопасности Cisco 2021 Security Outcomes Study, в котором приняли участие 4800 специалистов в области ИБ, ИТ и защиты конфиденциальности из 25 стран, подтвердилось, что эффективное взаимодействие ИТ- и ИБ-служб в сфере здравоохранения повысило способность организаций избегать серьезных инцидентов в среднем почти на 16% и минимизировать незапланированные и ресурсоемкие работы в среднем на 20%.

Тренд 2: защита подключений при удаленной работе

Переход на удаленную работу в 2020 г. подразумевал, во-первых, что все сотрудники должны иметь возможность безопасно работать из дома, и во-вторых, что они сохраняют доступ ко всем необходимым корпоративным ресурсам. К числу проблем удаленной работы относятся: кража идентификационных данных, атака man-in-the middle («атака посредника», когда злоумышленник внедряется в канал связи между двумя сторонами) и дистанционное выполнение кода (злоумышленник выполняет свой собственный код на чужой машине или сервере). Злоумышленник получал доступ к ресурсам организации.

Cisco отмечает ряд ключевых моментов:

• Не следует пользоваться RDP непосредственно через интернет. Сначала необходимо установить VPN-соединение, по которому сотрудники смогут безопасно получать доступ к необходимым ресурсам по протоколу RDP
• Использовать многофакторную идентификацию, которая для подтверждения личности пользователя требует предоставления двух «доказательств подлинности».
• Блокировать доступ после разумного числа неудачных попыток.

Тренд 3: безопасность персональной информации

За время пандемии выросла важность конфиденциальности. Конфиденциальность стала одной из основных сфер ответственности, наряду с оценкой и управлением рисками и реагированием на угрозы.

В отношении числа удаленных сотрудников российские организации распределились следующим образом:

• 24% компаний доля удаленных сотрудников составляет 76-100%
• 31% предприятий 51-75% специалистов работают из дома
• 27% организаций удаленный формат взаимодействия используют 26-50% работников
• 18% компаний от 1 до 25% сотрудников выполняют свои обязанности в удаленном режиме

Опрошенные из России заявили, что выгода от внедрения технологий защиты данных вдвое превышает инвестиции.

Тренд 4: актуализация программ-вымогателей

Программы-вымогатели отличались новыми тактиками. Например, злоумышленники начали встраивать в вымогатели таймеры обратного отсчета, угрожая окончательным уничтожением данных или запуском атаки Big Game Hunting («Охота за большой добычей»). При такой атаке злоумышленники используют зараженную систему как плацдарм для дальнейшего доступа к сети. С него захватываются дополнительные системы, одновременно расширяются привилегии преступников. Собственно, программа-вымогатель активируется только после заражения всех систем, чтобы нанести максимальный ущерб.

Участились рассылки с объявлениями о продаже, в которых преступники продают другим злоумышленникам доступ к различным сетям. Кроме того, теперь они используют «двойной шантаж»: до запуска программ-вымогателей похищаются большие объемы корпоративных данных, и жертвам приходится не только восстанавливать скомпрометированные сети, но и ликвидировать угрозу обнародования интеллектуальной собственности, коммерческих тайн и другой конфиденциальной информации.

Тренд 5: охота на пароли

По данным отчета Verizon 2020 Data Breach Investigations Report, кража идентификационных данных занимает второе место среди самых распространенных действий взломщиков. И это очень серьезно, ведь используя легальные пароли, злоумышленники могут получать доступ ко всей сети, оставаясь незамеченными.

Тренды аналогичны применению программ-вымогателей: идентификационные данные, которые злоумышленники «выкачивают» с помощью техники credential dumping, используются для будущих атак. В операционных системах они могут храниться в памяти, в базах данных или в конфигурационных файлах. Атакующие после проникновения на компьютеры и получения идентификационных данных с легкостью могут скопировать пароли.

Как предотвратить выкачивание идентификационных данных:

• Вести мониторинг доступа к базам данных сервиса проверки подлинности локальной системы безопасности LSASS (Local Security Authority Subsystem Service) и системы управления средой хранения SAM (Storage Area Management)
• Отслеживать аргументы командной строки, используемые в атаках credential dumping
• Анализировать журналы для выявления незапланированной активности на контроллерах домена
• Выявлять неожиданные и не назначенные соединения с IP-адресов к известным контроллерам доменов.