Анализ основных типов угроз информационной безопасности Статистика сетевых атак

Компании любого размера в любой стране мира регулярно сталкиваются с инцидентами информационной безопасности.

В России этот показатель ежегодно увеличивается и, более того, приближается к 100%: по результатам опроса, за 12 месяцев 98% российских компаний столкнулись хотя бы с одним инцидентом информационной безопасности, вызванным внешними факторами.

За год количество компаний, подвергавшихся внешним кибератакам, выросло на 3 пункта. Самой значимой среди внешних угроз (77%) является вредоносное ПО.

Лишь на 3% отстают нежелательные электронные письма (74%), а ведь именно в спаме часто содержатся вирусы или ссылки на фишинговые сайты, которые стали в этом году третьей по значимости внешней угрозой – с ними столкнулись 28% российских компаний.

Одним из основных последствий успешной кибератаки, вне зависимости от ее типа, становится потеря атакованной организацией важной информации, частичная или полная недоступность сервисов.

Атаки с использованием вредоносного ПО являются не только самыми распространенными, но и самыми опасными: они приводили к утечке бизнес-информации в 46% случаев. Еще в 19% случаев потери данных происходили в результате промышленного шпионажа, и в 14% случаев компании теряли информацию из-за фишинговых атак.

Анализ основных типов угроз информационной безопасности Статистика сетевых атак

Оценка потерь от внешних угроз

Анализ основных типов угроз информационной безопасности Статистика сетевых атак

Все типы кибератак ведут к значительным финансовым или репутационным потерям.

Этот тезис подтверждается результатами опроса, проводимого B2B International и «Лабораторией Касперского».

При оценке финансового ущерба от кибератак эксперты опросили представителей компаний, которые столкнулись с утечкой конфиденциальных данных в результате инцидента информационной безопасности.

Респондентам задавали вопросы как о прямых финансовых убытках в результате кибератаки, так и о дополнительных расходах и репутационных рисках, которые пришлось понести атакованной компании.

При этом учитывались ответы тех участников опроса, которые имели право разглашать конкретную цифру убытков, понесенных компанией в результате атаки.

Анализ основных типов угроз информационной безопасности Статистика сетевых атак

Используя полученные данные об убытках и расходах на дополнительные услуги, к которым компании были вынуждены прибегнуть после атаки на свою IT-инфраструктуру, а также среднюю цену на подобные услуги на рынках разных стран, была рассчитана средняя сумма финансового ущерба, который несут компании, подвергшиеся кибератакам.

Убытки от инцидента складываются из расходов на профессиональные сервисы (внешние специалисты по информационной безопасности, юристы, специалисты по связям с общественностью и т.д.), упущенных бизнес-возможностей (испорченная репутация, срыв контрактов из-за инцидента и т.п.), а также ущерба от вынужденного простоя IT- инфраструктуры компании и приостановки бизнес-процессов.

В результате выяснилось, что в среднем от одного инцидента информационной безопасности крупные компании теряют около 20 млн. рублей, а компании сегмента СМБ (среднего и малого бизнеса) – около 780 тыс. рублей. За год сумма средних потерь для небольших компаний выросла более чем на 100 тыс. рублей, в то время как для крупных компаний она снизилась.

Анализ основных типов угроз информационной безопасности Статистика сетевых атак

Средний ущерб от инцидентов

Снифферы пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме, все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).

При этом сниффер перехватывает все сетевые пакеты, которые передаются через широковещательный домен. В настоящее время, снифферы работают в сетях и на вполне законном основании и используются для диагностики неисправностей и анализа трафика.

Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно получить конфиденциальную информацию (имена пользователей, пароли)

Перехват аккаунтов и паролей к ним, создает большую опасность, так как пользователи часто используют один и тот же логин и пароль для доступа к различным приложениям и системам.

Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате.

Хакеры прекрасно знают, что пользователи не редко используют одни и те же пароли для доступа к частным и корпоративным ресурсам, и поэтому им часто удается, узнав наш пароль, получить доступ к информации компании.

В самом худшем случае хакер получает доступ к ресурсу на уровне суперпользователя системы и с

его помощью создает нового пользователя, от имени которого можно в любой момент проникнуть в систему, или оставляют себе лазейки, так называемые бэкдоры (от английского back door - задняя

дверь).

IP-спуфинг

IP-спуфинг осуществляется, когда хакер, находящийся внутри корпорации или вне ее выдает себя за санкционированного пользователя.

Это можно сделать как минимум двумя способами.

Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. IP-спуфинг часто является отправной точкой для реализации прочих атак.

IP-спуфинг

Контроль доступа - Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом.

Чтобы снизить эффективность IP-спуфинга, необходимо отбрасывать любой трафик, поступающий из внешней сети с исходным адресом, который должен располагаться внутри вашей сети.

Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса.

Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

Фильтрация RFC 2827 - помогает пресечь попытки спуфинга из внешних сетей.

Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов внутренней сети организации.

Этот тип фильтрации, известный под названием "RFC 2827", может выполнять и ваш провайдер (ISP).

В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.

IP-спуфинг

Например, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24.

Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию.

Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной.

IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP- адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными.

Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна из-за ограничений протокола, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.