Блог Тома Хоуга (Tom Hogue), менеджера подразделения компании Cisco по разработке решений для ИБ
Некоторые недавние кибератаки послужили хорошим напоминанием о том, сколь важно не только постоянно контролировать защищенность сетей, но и не выпускать из виду ни одно устройство, находящееся в защищаемой области.
Одним из примеров этого стали атаки, применяющие SYNFul Knock — очередную разновидность устойчивого вредоносного кода. Такие атаки позволяют киберпреступникам получить контроль над устройством Cisco и нарушить целостность его программного обеспечения (ПО) при помощи модифицированного образа операционной системы Cisco IOS. При реализации данной разновидности атак злоумышленники не используют какие-либо уязвимости продуктов Cisco. Вместо этого им требуются аутентификационные данные от действующей учетной записи администратора или физический доступ к атакуемому устройству.
Заказчики Cisco могут ознакомиться с дополнительной информацией о SYNful Knock на странице SYNful Knock Event Response Page. Многих может обнадежить тот факт, что для успешной компрометации системы киберпреступникам необходимо предварительно получить аутентификационные данные или физический доступ, поскольку и то, и другое, как правило, надежно защищено. В былые времена существовала поговорка: «кто имеет доступ к консоли, тот управляет всей системой», — но нынче, когда консоли управления, как правило, подключены к терминальным серверам, а через них — к Интернету, такая позиция себя уже не оправдывает. Вместе с тем неизменным остается тот факт, что для успешного заражения маршрутизатора злоумышленникам необходима надежная «точка присутствия».
Кроме того, недавно была обнаружена еще одна разновидность кибератак. Хотя проверенная информация о таких атаках еще не публиковалась, имеющиеся данные позволяют предположить, что злоумышленники, возможно, используют офисные принтеры в качестве еще одной «точки присутствия», помогающей проникнуть в сеть. Под присутствием в данном случае подразумевается предполагаемое время, в течение которого злоумышленники сохраняют возможность проникать в атакуемую сеть; это время косвенно оценивается по количеству похищенных данных. Ссылки и дополнительные материалы, касающиеся этой разновидности атак, пока приводить преждевременно, но интересующиеся могут самостоятельно изучить данный вопрос и увязать воедино всю имеющуюся информацию. Специалисты индустрии ИБ, разумеется, понимали, что такие сравнительно сложные устройства, как принтеры, тоже могут быть заражены, но никто не ожидал, что именно принтеры послужат отправной точкой, которую киберпреступники используют, чтобы скомпрометировать сеть в целом.
В обоих вышеописанных сценариях злоумышленникам удавалось создать «точки присутствия», которые помогали избежать обнаружения и предоставляли атакующим столько времени, сколько было необходимо для завершения атаки. Закономерен вопрос: как защититься от подобных угроз? Проблема особенно актуальна, поскольку устройства, о которых идет речь, как правило не имеют встроенных средств безопасности. Чтобы ответить на этот вопрос, следует вспомнить, что любое устройство, которое злоумышленники планируют использовать в качестве активного средства для компрометации сети, обязательно должно установить двунаправленный обмен данными с каким-либо другим устройством или узлом сети.
Решение Cisco’s Cyber Threat Defense объединяет возможности системы предотвращения вторжений нового поколения FirePower Ngips и аналитической системы Lancope SteathWatch, чтобы обеспечить полный контроль за трафиком, передающимся в защищаемых сетях. Данное решение быстро обнаруживает и обезвреживает подозрительные потоки данных, нарушения политики блокировки узлов, внутрисетевые перемещения вредоносного ПО, коммуникации с командно-контрольными центрами и множество других видов активности, связанной с вредоносным ПО. Кроме того, возможности обеих систем управления: и FirePower Management, и Lancope’s Stealthwatch Management Console, — могут интегрироваться с решением Cisco Identity Services Engine, обеспечивая не только динамическое восстановление, но и максимально быстрое противодействие угрозам.
К сожалению, по мере того, как заказчики внедряют все более совершенные технологии киберзащиты, можно ожидать, что значительно увеличится количество нетрадиционных атак, направленных на компрометацию оконечных устройств. Таким образом, для надежной защиты все большую важность приобретает наличие средств, позволяющих анализировать все внутрисетевые взаимодействия и выявлять вредоносную активность. Компания Cisco настоятельно рекомендует всем внимательно изучить свои вычислительные сети, выявить все потенциальные «точки присутствия» и убедиться в наличии средств анализа всего трафика, связанного с этими точками.