5 тенденции в информационната сигурност, които ще доминират през 2015

Експертите не очакват много нови заплахи, а по-скоро увеличаване на тяхната сложност

Публикувано в CIO - 23 януари 2015

В областта на информационната сигурност 2014 г. беше година на сякаш безкрайни събития от киберзаплахи и пробиви на данни, засегнали търговски вериги на дребно, банки, гейминг мрежи, правителства и други.

И въпреки че годината отмина, очакванията на експертите са, че размерът, обхватността и сложността на киберзаплахите ще продължава да нараства.

Според Стийв Дърбин, управляващ директор на Information Security Forum (ISF), неправителствена организация, която оценява проблеми, свързани с управлението на сигурността и риска, цитиран от CIO.com, съществуват 5 тенденции в областта на сигурността, които ще доминират през 2015-а. "Според мен няма да съществуват голямо количество заплахи, които са изцяло нови. Това, което ще бъде ново, е увеличаването на тяхната сложност и усъвършенстваност", коментира Дърбин.

1. Киберпрестъпност

Интернет става все по-привлекателно място за криминални елементи, активисти и терористи, мотивирани да правят пари, да бъдат забелязани, да причинят прекъсване или дори да сринат изцяло корпорации и правителства чрез онлайн атаки.

Днешните киберпрестъпници често използват инструменти от 21-и век, за да атакуват системи от 20-и век. "През 2014 г. киберпрестъпниците демонстрираха висока степен на колаборация и на техническа компетентност, които завариха много големи организации неподготвени, - коментира Дърбин. – През 2015-а организациите трябва да са подготвени за непредсказуемост, така че те трябва да имат гъвкавостта да противостоят на неочаквани атаки с голямо въздействие."

Киберпрестъпниците, заедно с увеличаване популярността на онлайн каузите (хактивизъм), увеличаване на разходите за постигане на съответствие с регулаторните изисквания, и в съчетание с неумолимия напредък в технологиите на фона на инвестициите в отделите по сигурността, могат да предизвикат истинска буря в областта на заплахите. Организациите, които идентифицират на какво разчита бизнесът най-много, ще бъдат добре подготвени в преценката си на инвестиции в гъвкавост с цел минимизиране влиянието на неочаквани атаки.

2. Поверителност и регулации

Повечето правителства вече са създали или са в процес на създаване на регулации, които налагат условия за защита и използване на лична идентификационна информация, с глоби за онези организации, които не успеят достатъчно добре да защитят тази информация. Като резултат организациите трябва да се отнасят към поверителността, както към съответствието с регулаторните изисквания и проблемите, свързани с бизнес рисковете.

В същото време объркаността в регулациите по света вероятно ще увеличи натоварването върху организациите през 2015-а. "Наблюдаваме нарастващ брой планове за регулации във връзка със събирането, съхранението и използването на информацията, заедно със сериозни глоби за загуба на данни и пробиви, особено в рамките на Европейския съюз, - споделя Дърбин. – Очаквам това да продължи и да се развие в посока налагане на регулаторен мениджмънт и отвъд секюрити функциите, като задължително да обхваща правни, HR аспекти и ниво борд на директорите."

Той добавя също, че организациите трябва да гледат на действията на ЕС относно регулациите в областта на пробивите като на датчик и план съответно. Организациите трябва да имат ресурси на място, за да реагират и трябва да внимават за това какво се случва.

3. Заплахи от доставчици трети страни

Веригата на доставки е жизненоважен компонент на всяка организация с глобални бизнес операции и е гръбнакът на съвременната глобална икономика. В същото време шефовете по сигурност стават все по-съсредоточени върху това доколко системите им са отворени за редица рискови фактори. Част от ценната и чувствителна информация често се споделя с доставчици, а след като тази информация бива споделена, контролът върху нея е изгубен. Това води до увеличен риск нейната конфиденциалност, цялостност или достъпност да бъдат компрометирани.

"През следващите няколко години, доставчици трети страни ще продължат да изпитват натиск от страна на таргетирани атаки и е много малко вероятно да бъдат в състояние да предоставят сигурност на конфиденциалността, целостта и/или достъпност, - смята Дърбин. – Организации от всякакъв размер трябва да помислят за последиците от предоставяне на инцидентен, но опасен достъп до тяхната интелектуална собственост, информация за клиенти или служители, търговски планове или договори. И този начин на мислене не трябва да бъде ограничен до партньори в производството или дистрибуцията. Той трябва да включва също така вашите доставчици на професионални услуги, вашите юристи и счетоводители, всички, на които често предоставяте споделен достъп до вашите най-ценни активи от данни."

Наложително е също организациите да имат надеждни планове за непрекъсваемост на бизнеса, за да се подпомогнат както гъвкавостта, така и увереността на ръководството във възможностите за действие. Един добре структуриран подход за оценка на информационния риск при веригата за доставки може да предостави подробен подход, стъпка по стъпка, за разделяне на един иначе стряскащ проект в управляеми компоненти. Този метод би трябвало да бъде задвижван от информацията, а не ориентиран към доставчика, така че да бъде скалируем и повторяем за цялото предприятие.

4. BYOx тенденциите на работното място

Тенденцията “носи свое собствено” (BYO) е тук и ще остане независимо дали организациите харесват това или не.

"Тъй като тенденцията служителите да носят свои мобилни устройства и да достъпват приложения и облачно базирано съхранение на работното си място продължава да расте, компаниите от всички размери наблюдават разрастване експлоатирането на рисковете от атаки в информационната сигурност до размери, много по-големи от преди, - коментира Дърбин. – Тези рискове произхождат както от вътрешни, така и от външни заплахи, включително лошо управление на самите устройства, външно управление на софтуерните уязвимости и внеряване на недостатъчно добре тествани, ненадеждни бизнес приложения.”

Експертите предупреждават, че при лоша имплементация една стратетегия за персонално устройство на работното място би могла да се сблъска с инцидентно разкриване на информация поради загуба на границата между използваните служебни и лични данни и достъп до информацията по един незащитен начин на потребителските устройства.

5. Работете с хората си

И така стигаме до най-големия актив на всяка една организация и в същото време – най-уязвимата цел: хората.

През последните няколко десетилетия организациите харчеха милиони, ако не и милиарди долари за дейности по повишаване на познанията в областта на информационната сигурност. Рационалното в един такъв подход е да се обърне внимание на техния най-голям актив — хората — и да се промени тяхното поведение, като по този начин се намали рискът чрез предоставяне на служителите на знания за техните отговорности и какво те трябва да правят.

“Но това е — и ще продължава да бъде — губеща кауза, - смята Дърбин. – Вместо това организациите трябва да направят правилното поведение относно сигурността част от бизнес процеса, трансформирайки ролята на служителите от рискова в първа линия на защита в сигурността на организацията."

Вместо просто да накара хората да осъзнаят своите отговорности относно информационната сигурност и как те трябва да реагират, отговорът за бизнеса от всякакъв мащаб трябва да бъде внедряване на положителни поведения относно информационната сигурност, което ще доведе до превръщане на поведението от типа “спри и помисли" в навик и част от организационната култура в областта на информационната сигурност. Въпреки че много организации имат дейности по съответствие, които попадат под общото название “осведоменост за сигурността”, реалният комерсиален двигател би трябвало да бъде рискът и как новият тип поведение може да намали този риск, заключава експертът.

Препоръки за внедряване на добри практики за информационна сигурност

Security & Privacy Best Practices

Online Trust Alliance (OTA) publication

Released January 21, 2015 

OTA recommends that all organizations implement the following best practices:

1.    Enforce effective password management policies.  Attacks against user credentials, including brute force, sniffing, host-based access and theft of password databases, remain very strong attack vectors warranting the use of effective password management controls.  Best practices for password management include:

a.    Use multi-factor authentication (e.g. one-time PINs) for access to administratively privileged accounts. Administrative privileges should be unique accounts and monitored for anomalous activity and should be used only for administrative activities;

b.    Require users to have a unique password for external vendor systems and refrain from reusing the same password for internal system and personal website logins;

c.    Require strong passwords comprised of an 8-character minimum including a combination of alphanumeric characters, and force password changes every 90 days with limited reuse permitted;

d.    Deploy a log-in abuse detection system monitoring connections, login counts, cookies, machine IDs, and other related data;

e.    Avoid storing passwords unless absolutely necessary and only store passwords (and files) that are hashed with salt or are otherwise encrypted;

f.     Remove or disable all default accounts from all devices and conduct regular audits to ensure that inactive accounts can no longer access your infrastructure;

g.    Remove access immediately for any terminated employees or any third parties or vendors that no longer require access to your infrastructure.
 

2.    Least privilege user access (LUA) is a core security strategy component, and all accounts should run with as few privileges and access levels as possible. LUA is widely recognized as an important design consideration in enhancing data security. It also provides protections against malicious behavior and system faults. For example, a user might have privileges to edit a specific document or email campaign, but lack permissions to download payroll data or access customer lists.  Also, LUA controls help to minimize damages from exposed passwords or rogue employees.
 

3.    Harden client devices by deploying multilayered firewall protections (both client and WAN-based hardware firewalls), using up-to-date anti-virus software, disabling by default locally shared folders and removing default accounts.  Enable automatic patch management for operating systems, applications (including mobile and web apps) and add-ons. All ports should be blocked to incoming traffic by default. Disable auto-running of removable media (e.g. USB drives, external drives, etc.). Whole disk encryption should be deployed on all laptops, mobile devices and systems hosting sensitive data.
 

4.    Conduct regular penetration tests and vulnerability scans of your infrastructure in order to identify and mitigate vulnerabilities and thwart potential attack vectors.  Regularly scan your cloud providers and look for potential vulnerability points and risks of data loss or theft.  Deploy solutions to detect anomalous flows of data which will to help detect attackers staging data for exfiltration.
 

5.    Require email authentication on all inbound and outbound mail streams to help detect malicious and deceptive emails including spear phishing and spoofed email.  All organizations should:

a.    Authenticate outbound mail with SPF and DKIM, including parked and delegated sub-domains;

b.    Adopt a DMARC reject or quarantine policy once you have validated that you are authenticating all outbound mail streams;

c.    Implement inbound email authentication check for SPF, DKIM, and DMARC;

d.    Encourage business partners to authenticate all email sent to your organization to help minimize the risk of receiving spear-phishing and spoofed emails;

e.    Require end-to-end email authentication using SPF and DKIM with a DMARC reject or quarantine policy for all mail streams managed or hosted by third parties.
 

6.    Implement a mobile device management program, requiring authentication to unlock a device, locking out a device after five failed attempts, using encrypted data communications/storage, and enabling the remote wiping of devices if a mobile device is lost or stolen.
 

7.    Continuously monitor in real-time the security of your organization’s infrastructure including collecting and analyzing all network traffic in real time, and analyzing centralized logs (including firewall, IDS/IPS, VPN and AV) using log management tools, as well as reviewing network statistics.  Identify anomalous activity, investigate, and revise your view of anomalous activity accordingly.
 

8.    Deploy web application firewalls to detect/prevent common web attacks, such as cross-site scripting, SQL injection and directory traversal attacks.  Review and mitigate the top 10 list of web application security risks identified by the Open Web Application Security Project (OWASP).  If relying on third-party hosting services, require deployment of firewalls.
 

9.    Permit only authorized wireless devices to connect to your network, including point of sale terminals and credit card devices, and encrypt communications with wireless devices such as routers and printers. Keep all "guest" network access on separate servers and access devices with strong encryption such as WPA2 with AES encryption or use of an IPSec VPN.
 

10.  Implement Always On Secure Socket Layer (AOSSL) for all servers requiring log in authentication and data collection.  AOSSL helps prevent sniffing data from being transmitted between client devices, wireless access points and intermediaries.
 

11. Review server certificates for vulnerabilities and risks of your domains being hijacked.  Attackers often use “Domain Validated” (DV) SSL certificates to impersonate e-commerce websites and defraud consumers.  Sites are recommended to upgrade from DV certificates to “Organizationally Validated” (OV) or “Extended Validation” (EVSSL) SSL certificates.  OV and EV SSL certificates are validated by the Certificate Authority to ensure the identity of the applicant.  EV SSL certificates offer the highest level of authentication and verification of a website.  EVSSL provides users a higher level of assurance that the site owner is who they purport to be, presenting the user a green trust indicator in a browser’s address bar.
 

12. Develop, test and continually refine a data breach response plan. Regularly review and improve the plan based upon changes in your organization’s information technology, data collection and security posture. Take the time after an incident to conduct a post-mortem and make improvements to your plan. Conduct regular tabletop exercises testing your plan and personnel.

Данни за кибер атаки в България за 2014 год.

CERT България отчете 2949 сигнала за 

кибер атаки през 2014

CERT България регистрира през декември 319 атаки, 37 от които са определени като заплахи с много висок риск, съобщи Красимир Симонски, изпълнителен директор на ИА „Електронни съобщителни мрежи и информационни системи” (ИА ЕСМИС) при откриването на конференция по ИТ сигурност.  

Най-често срещаните кибер-атаки са зловредният код – 67%. Разпределените атаки за отказ от услуги (DDoS) са  18%, 8% са опитите за проникване, а 4% са определени като  спам.
Кибер престъпленията навлизат във все повече аспекти от нашия живот. Във фокуса им е не само икономиката, на дневен ред е и политиката. Навлизат все повече и нови играчи и вече говорим за организирана престъпност,  допълни още Симонски.  Той сподели, че в ИА ЕСМИС е внедрен специализиран софтуер, като част от защита на мрежата на агенцията, който визуализира трафика. „Картината е поразителна – мрежата гъмжи от паразити и вируси и това, че не ги виждаме с просто око, не е успокоително, защото те си вършат своята работа“, каза още изпълнителният директор на ЕСМИС. Той посочи, че механизмите на информационната сигурност трябва да навлязат в държавното управление и това не е само въпрос на технологии, но и на управленски механизми и политики.

В Националния центъра за реакции при инциденти в областта на информационната сигурност (CERT България) към ЕСМИС са постъпили и обработени 2949 сигнала за нарушения в и от българското Интернет пространство през 2014 г., обяви Васил Грънчаров, директор на CERT България.
Автоматизираните системи са подали 1832 сигнала, а 1117 са дошли от външни CERT и други организации, включително банки. Общият брой на засегнатите IP адреси е над  46 хиляди, но броят на компютрите е много по-голям тъй като зад редица IP адреси стоят компютърни мрежи с много компютри, допълни той. Важно е да се знае, че не всеки получен сигнал означава непременно инцидент, подчерта Васил Грънчаров по време на конференцията. От видовете инциденти, най-голям е делът на DDoS атаките (41%), следват зловредните кодове (35,6%), опити за проникване (4,7%) и бот мрежи (3,32%).

„Най-слабото звено в информационната сигурност е човекът, именно към хората, а не към системите са насочени повечето атаки, коментира Васил Грънчаров. ИТ системите в някои държавни структури са сертифицирани за информационна сигурност, както се изисква от приетата наредба. Сертификацията обаче не е достатъчна, тъй като в законодателството не е предвидена отговорност за нарушаване на информационната сигурност“, добави Грънчаров. Според него ситуацията с информационната сигурност е такава, че не може и не трябва да се разчита само на помощта на държавата.

$445 млрд. е приблизителната оценка на световните загуби от пробиви в ИТ сигурността, което се равнява на 0,5% до 0,8% от брутния продукт на света, заяви Вим ван Кампен, вицепрезидент на Intel Security/McAfee за Северна и Източна Европа. Според доклада на CSIS, загубите от кибер престъпления се определят много трудно, тъй като засегнатите често не съобщават за атаките, за да не пострада репутацията им и това да увеличи косвените им загуби.

„ИТ са много важни за икономиката, и в България този бранш създава много работни места. ИТ има смисъл за икономиката обаче, само ако са защитени и се ползват по правилния начин“, смята ван Кампен. Според него социалният инженеринг цели провокиране на потребителя, без значение дали атаката е насочена към отделен човек или към цяла организация, или  инфраструктура.  Идеята е, че се разчита на възможността един потребител да бъде провокиран да влезе в някакво взаимодействие с мрежата, например кликване върху един линк и пътят на атаката е отворен, коментира той.
Конференцията по ИТ сигурност бе организирана от Computer 2000 България, МТИТС и ИА ЕСМИС.

Забележка: Тази информация е публикувана на 23.01.2015 год. в списания CIO / автор - Надя Кръстева