Kaspersky Endpoint Security for Business - cовременный ландшафт угроз

Чем больше цифровых технологий внедряют организации по всему миру, тем больше они зависят от ИТ-систем. Параллельно с этим злоумышленники со всего мира видоизменяют, дорабатывают и разрабатывают совершенно новые инструменты и подходы, чтобы избегать обнаружения и совершать кибератаки. Сфера ИТ-безопасности постепенно входит в эпоху, где все процессы построены вокруг информационной безопасности. Угрозы становятся всё более изощрёнными, бросая вызовы как компаниям, так и производителям защитных решений.

Местоположение: 37.481879%2C55.836470 Посмотреть на карте

Говоря о крупных компаниях в мире, компрометация данных в каждой из них в среднем обходится не меньше 1,2 млн долларов, что на 24% больше суммы за 2017 год и на 38% больше за 2016 год. Абсолютной безопасности не существует, любая компания может стать жертвой кибератаки. И всё же есть много возможностей обезопасить свой бизнес. Наверняка ваша организация уже пользуется основными средствами защиты от угроз, и здесь вы сможете узнать о самых распространенных из них на сегодня, о последствиях атак и о современных технологиях по борьбе с угрозами.

Бесфайловые угрозы: опасные, потому что незаметные

В отличие от вредоносного ПО, которое загружается и выполняется на жестком диске, бесфайловые угрозы находятся и выполняются внутри системной памяти или скрываются в реестре Windows и в инструментарии управления Windows. Их сложно обнаружить, ведь они способны уклоняться от обнаружения традиционными антивирусами и системами предотвращения вторжений. Пользователь, ничего не подозревая, заходит на зараженный веб-сайт, кликает по вредоносной рекламе, и та запускается.

Бесфайловые атаки в 10 раз успешнее файловых – на их счету 77% успешных компрометаций в 2017 г. Более того, в том же году в результате таких атак данные или ИТ-инфраструктура 42% организаций были успешно скопрометированы (и не по одному разу). * Одна из таких громких атак произошла в 2017 году в американском бюро кредитных историй Equifax: злоумышленники воспользовались неисправленной уязвимостью для выполнения вредоносных команд, что привело к краже 146,6 млн личных дел.

Наше решение

Технология Анализ поведения исследует приложения в системе на предмет подозрительных действий. Не имеет значения, стоит ли за исследуемым процессом файл или нет – блокируется любое вредоносное действие. В основе этой технологии лежат непрерывные процессы машинного обучения, анализ глобальной статистики в реальном времени и обширный анализ угроз, основанный на обработке данных облачной службы Kaspersky Security Network. Наша технология Защиты от эксплойтов блокирует попытки вредоносной программы эксплуатировать уязвимости ПО, а Адаптивный контроль аномалий может запрещать действия, которые не вписываются в ранее выученный ею шаблон (то есть предотвращать запуск PowerShell).

В крупных компаниях по всему миру утечка данных в среднем обходится не меньше 1,2 млн долларов, что на 24% больше суммы за 2017 год и на 38% за 2016 год.

Вредоносные скрипты CMD/PowerShell: мощные и гибкие

Файлы Shell Script раньше считались относительно безопасными (хоть это и не так). Скрипты PowerShell, напротив, крайне мощные и обладают широкими возможностями для действий злоумышленников, представляя собой полноценную скриптовую среду. Стандартный интерпретатор PowerShell для Windows (начиная с Windows 7) изначально задуман как программа, работающая на благо пользователя, но на самом деле способна загружать дополнительные модули через интернет, запускать «безтелесное» вредоносное ПО и удаленно выполнять произвольный код на машинах корпоративной сети.
Число PowerShell-атак неумолимо растет, причём значительная часть из них – вредоносное ПО, так или иначе использующее скрипты CMD/PowerShell. В апреле 2018 года «Лаборатория Касперского» сообщила о кибершпионской кампании Operation Parliament, жертвами которой становятся авторитетные законодательные, исполнительные и судебные структуры по всему миру, но в основном на Среднем Востоке и в Северной Африке. Так, атакам подверглись различные политические организации, от парламентов и высших государственных учреждений до военных и разведывательных спецслужб и избирательных комиссий. Этот вредоносный код предоставляет злоумышленникам удаленную консоль CMD/Powershell. Через нее они могут выполнять любые скрипты и команды, а через HTTP-запросы получать результаты выполнения.

Наше решение

«Лаборатория Касперского» обладает всеми возможностями для борьбы с PowerShell-атаками. Попадающие к нам на проверку строки символов проходят тщательный поведенческий анализ, и выполнение скрипта блокируется в случае обнаружения угрозы. Подозрения могут вызвать запуск PowerShell из необычного места (к примеру, из Word или папки Temp), нетипичные параметры командной строки или обфусцированный скрипт. Адаптивный контроль аномалий, который работает на основе шаблонов привычного поведения программ, также способен обнаружить подозрительное использование скриптов PowerShell.

Программы-вымогатели: меньше, но изощреннее

Программы-вымогатели начали набирать темпы в 2017 году. Тогда же случилась самая крупная атака шифровальщиков в истории – WannaCry, – которая распространялась с поразительной скоростью, затронув 700 тысяч жертв по всему миру. В результате другой крупной атаки NotPetya крупный производитель потребительских товаров Reckitt Benckiser потерял доступ к 15 тысячам ноутбуков, 2 тысячам серверов и 500 компьютерным системам всего за 45 минут. Убытки компании оцениваются в 130 миллионов долларов.

Другой жертвой этой же атаки стал крупнейший морской перевозчик Maersk, его убытки составили 300 миллионов долларов. В 2018 году количество программ-
вымогателей снизилось, но они стали более изощренными, продолжая приносить финансовый ущерб предприятиям. Программы-вымогатели занимают пятую позицию в рейтинге самых затратных инцидентов безопасности для бизнеса.
Разные виды программ-вымогателей применяют разнообразные технологии атаки и методы заражения, поэтому именно многоуровневое решение, оснащенное специальными технологиями против таких атак, способно защитить всю вашу систему.

В основе этого типа вредоносного ПО лежат крипторы (шифраторы) – трояны, которые внедряются через уязвимость, почтовое вложение или фишинговую ссылку на специально созданный для атаки сайт. Затем вредоносный модуль незаметно шифрует ценные для жертвы данные (финансовые данные, юридические документы, клиентские базы данных, графики и т. п.), а за расшифрование этих данных злоумышленники требуют деньги. Зашифрованные вредоносным ПО файлы обычно невозможно расшифровать.

Наше решение

Продукты линейки Kaspersky Security для бизнеса включает технологию поведенческого анализа и механизм устранения последствий атак, который запрещает вредоносное ПО и возвращает уже зашифрованные вирусом файлы в первоначальное состояние. Если процессы шифрования запускаются в системе с другого хоста, наши инструмент борьбы с шифровальщиками блокирует эти действия и запрещает подключение к вредоносному хосту. Для компаний, пользующихся услугами других производителей, мы можем предложить автономный (и бесплатный) инструмент Kaspersky Anti-Ransomware Tool, который обеспечит базовую защиту от программ-вымогателей.

Троянцы-майнеры: жажда наживы

Троянцы-майнеры – вид вредоносного ПО. Количество этих троянцев быстро растет. Из-за непрерывного развития рынка криптовалют участились случаи, когда троянцы-майнеры устанавливаются без ведома пользователей. Проще всего майнить только что возникшую криптовалюту, чем уже укрепившуюся на рынке.

Майнинг криптовалюты абсолютно легален. Проблемы возникают тогда, когда злоумышленники обманом заставлют ничего не подозревающих пользователей установить программу для майнинга или эксплуатируют уязвимости их ПО для той же цели. В результате преступники добывают криптовалюту, а производительность компьютера жертвы резко падает. Журнал MIT Technology Review пишет следующее: «Киберпреступники используют старые трюки и новые криптовалюты, чтобы превращать краденые вычислительные ресурсы в электронную наличность».

За 2017 и 2018 год до 44,5% пользователей сталкивались с троянцами-майнерами, а их доля среди всех опасных ПО выросла с более чем 5% (в 2016-2017 годах) до почти 8% (в 2017-2018 годах). Число людей, столкнувшихся с мобильными троянцами-майнерами, растет, но не так стремительно – до 9,5% пользователей с 2016 по 2018 год. «Лаборатория Касперского» отметила скачок в количестве попыток установить троянцы-майнеры на сервера компаний, а в случае удачной установки это может привести к падению скорости обработки данных и к перебоям в работе компании.

За последние годы тема криптовалюты стала особенно актуальной среди людей по всему миру, и киберпреступники не стали исключением. Даже в период распространения программ-вымогателей, большинство выкупов требуется в криптовалюте (к примеру, в анонимных и нерегулируемых биткоинах), и новое вредоносное ПО – троянцы-майнеры – появились в ответ на новую тенденцию.

Наше решение

Наша технология поведенческого анализа, в отличие от других традиционных антивирусных и защитных решений, способна обнаружить скрытые угрозы, опознавая как легальные, так и вредоносные программы, чтобы обеспечить связь с адресом майнинга. Например, поведенческий анализ обнаруживает попытку запустить параметры командной строки (включая номер криптокошелька, адреса пулов и т. д.), попытку запуска из необычного места (к примеру, папки Temp) и подключения к адресам пулов для майнинга. Адаптивный контроль аномалий работает по ранее выученным шаблонам и также обнаруживает попытки запуска процессов или программ.

Недобросовестные сотрудники используют ресурсы компании – компьютеры, серверы и даже центры обработки данных – для майнинга в нерабочие часы. Технология веб-контроля идентифицирует и блокирует связь с адресами пулов для майнинга, избавляясь тем самым от нагрузки троянцев-майнеров на систему.

Мобильные угрозы: жертвы есть всегда и везде

Активное использование мобильных платформ по-прежнему выгодно для злоумышленников. За третий квартал 2018 года «Лаборатория Касперского» обнаружила более 1,3 млн вредоносных дистрибутивов для мобильных устройств. Статистика показывает, что каждый квартал количество финансовых угроз в отношении мобильных устройств растет. Финансовый ущерб от заражения корпоративных мобильных устройств оценивается в 713 тыс. долларов, для личных устройств сотрудников (BYOD) – в 664 тыс. долларов.

Эпидемию банковского троянца Asacub можно назвать самой масштабной. Он появился в 2015 году и с тех пор стал абсолютным лидером в своём классе; по масштабам и эффективности он обошёл даже самые мощные на тот момент мобильные вредоносные кампании.

Наше решение

Приложение Kaspersky Security для мообильных устройств относится к классам Mobile Threat Defense и Mobile Threat Management. Оно обеспечиваетт защиту бизнеса от потенциально опасных мобильных устройств сотрудников. Мощный инструмент защиты от вредоносного ПО в сочетании с облачным анализом угроз и машинным обучением защищают от известных, неизвестных и продвинутых интернет-угроз и угроз безопасности для мобильных данных. Технологии веб-контроля и защиты от фишинга надёжно фильтруют вредоносные и нежелательные сайты, блокируя к ним доступ.

Угрозы для банкоматов

и POS-терминалов: когда деньги уходят без следаБанкоматы и POS-терминалы остаются главной мишенью киберпреступников. Под атаку последних они попали не позже 2008 года – тогда впервые был обнаружен Backdoor.Win32.Skimer, бэкдор для банкоматов. В 2017 году впервые появилось вредоносное ПО как услуга для атак на банкоматы: киберпреступники собрали все необходимые вредоносные программы вместе, снабдили их видеоинструкциями и выставили услугу на рынок для всех желающих получить доступ к банкоматам. В этом же году исследователи «Лаборатории Касперского» обнаружили атаки на системы банкоматов. Среди этих атак были новые вредоносные программы, а также удаленные и бесфайловые операции.

За первые семь месяцев 2018 года вредоносное ПО поразило на 57% больше систем банкоматов и POS-терминалов, чем за весь 2017 год. Эксперты прогнозируют рост числа атак, которые осуществляются при помощи специального ПО для финансовых организаций/учреждений (включая банкоматы и POS-терминалы). Вторжение в систему POS-терминалов входит в тройку самых распространённых схем компрометации.

Устаревшие и неподдерживаемые ОС, доступные платформы разработки – благоприятная почва, для которой почти любой желающий может создавать вредоносный код.

Наше решение

Решение Kaspersky Embedded Systems Security было разработано специально для защиты банкоматов и POS-терминалов, с учетом среды угроз, в которой они находятся. Такие технологии, как защита от вредоносного ПО, контроль программ и устройств, защита памяти и управление сетевым экраном, позволяют защищать потенциально уязвимые объекты, присущие архитектурам рассматриваемых систем. Более того, учитываются особенности функциональности и операционной системы, а также требования к оборудованию и каналам передачи данных. Полностью поддерживается семейство Windows XP. Эти компоненты, вместе с мониторингом целостности файлов и проверкой журнала событий, обеспечивают соответствие решения Kaspersky Embedded Systems Security стандарту PCI DSS.

Комплексная защита от современных угроз

Современный ландшафт угроз меняется настолько быстро, что традиционных технологий защиты становится недостаточно, даже несмотря на то, что они всё еще  должны оставаться в работе. Чтобы оградить себя от современных угроз, с некоторыми из которых мы ознакомились выше, компании должны поднять свою ИТ-безопасность на новый уровень. Набор технологий, включающий в себя методы машинного обучения, анализ угроз и экспертный анализ, обеспечит эффективную
защиту сегодня и в будущем.

"Лаборатория Касперского»: комплекс технологий для защиты от известных, неизвестных и продвинутых угроз"


Материал подготовлен "Лаборатория Касперского"