Каммингс особо отмечает, что прогнозы и реальность сегмента ИБ сильно отличаются, о чем неоднократно заявлялось в различных авторитетных источниках. Данные самой компании Cisco однозначно свидетельствуют, что 90% компаний считают уровень работы собственных процессов защиты приемлемым.
Одновременно, 54% респондентов заявили о том, что их системы безопасности были скомпрометированы, что привело к проведению различных аудитов и публичных проверок. Это, в конечном итоге, стало причиной значительного снижения уровня доверия клиентов, которое является более важным фактором, чем прямые финансовые потери.
Джон Чемберс, руководитель Cisco, заявил, что на сегодняшний день сложилась нерадостная картина, когда компании можно условно разделить на тех, кто уже обозначил последствия и определил факт кибератак с нарушением информационной безопасности, и тех, кто этого пока не заметил.
На форуме в Давосе Чемберс также особо отметил то, что в 2015 году прогнозируется ухудшение ситуации и осознания того, что различные компании обнаруживают хакерские атаки только тогда, когда сталкиваются с их последствиями.
Также, в сегменте обеспечения информационной безопасности сложилась ситуация отставания реальных возможностей от требований, которые предъявляются к системам защиты данных для реального противодействия киберпреступникам. Чаще всего подразделения ИБ испытывают критический недостаток ресурсов.
Речь идет не только о финансовых вложениях, но и о кадровом составе, который занимается вопросами организации защиты. В целом, два этих фактора формируют неадекватный уровень защиты инфраструктуры хранения данных, а также ключевых активов компаний. Складывается ситуация, когда руководство компаний вынуждено обращаться в сторонние организации или привлекать специалистов извне, чтобы вносить изменения в собственные структуры защиты информации.
На этом фоне Cisco решила выступить с собственными инициативами и внесла несколько предложений на рынке сервисов по обеспечению защиты данных. В первую очередь, это средства оперативного анализа с целью быстрого определения источников угрозы, а также оперативного изолирования и устранения возможных зон, где может происходить утечка информации.
Специалисты Cisco способны оперативно детектировать точки проникновения, маршруты доступа к ключевым элементам структур хранения, а также зоны данных, которые подвергаются атаке и могут быть теоретически похищены.
Такая информация может не только предотвратить атаку и финансовые потери от утечки данных, но и быстро помочь локализовать незащищенные зоны инфраструктуры безопасности. По результатам, полученным в ходе анализа происходящего, можно модифицировать систему защиты так, чтобы снизить возможность потерь от последующих хакерских проникновений.
В ходе своей работы сервисы применяют оперативные данные и статистические сведения о различных хакерских атаках. Данные предоставляются отделом по анализу Talos, а также подразделениями ИБ компании Cisco. Дополнительно, в ходе работы сервисов обеспечения безопасности данных применяются фирменные технологии Cisco, к примеру, Threat Grid.
Защитные техники Cisco работают следующим образом:
Непосредственная реакция на проникновения
Надежные алгоритмы определения угроз позволяют сервисам Cisco четко реагировать на атаки различного рода, несмотря на то, что каждый случай уникален по применяемым средствам и методикам проникновения. Вне зависимости от типа применяемого воздействия (инсайдерская утечка, DDoS атака, заражение точек инфраструктуры с помощью аплетов, злонамеренное похищение или изменение данных), компания Cisco оперативно применяет соответствующие меры блокировки угроз. В ходе проводимых действий локализуется точка проникновения, идентифицируется воздействие, производится четкое определение зоны опасности и восстановление целостности защиты.
В ходе оперативного анализа производится как первичная оценка происходящего по списочным критериям, так и оценка атакуемых данных, определение характера изменений, динамический анализ пораженных структур, реверсивный инжиниринг вредоносных приложений. В ходе процедур, направленных на ликвидацию слабых зон защиты, производятся криминалистические исследования, а также анализ и тестирование измененных кодов и вредоносных аплетов в надежно контролируемых условиях изолированной среды.
Работа на упреждение угроз
Принцип действия сервисов Cisco основан на простой констатации факта, что рано или поздно каждая организация будет подвергнута кибератаке. Это следует из сложившейся картины постоянного роста количества угроз, а также расширения их целевой аудитории.
Поэтому был разработан комплексный план, который подразумевает четкий набор критически необходимых действий, которые производятся для нейтрализации угрозы нарушения информационной безопасности. Cisco обеспечила такой уровень реакции сервисов, который позволяет создать комплексную защиту, охватывающую все возможные области проникновения.
Также, в рамках работы сервисов, производится всесторонняя оценка существующей структуры ИБ, включая достаточность систем оповещения. Предусмотрена возможность необходимой подготовки сотрудников подразделений, отвечающих за ИБ.
Специалисты Cisco работают в тесном контакте с подразделениями ИБ заказчиков уже долгое время. Результат такого сотрудничества может быть проиллюстрирован одним из последних происшествий. В результате обнаруженной утечки данных кредитной карты, по обращению одного из заказчиков сервисы Cisco определили новый подвид вредоносного аплета, специально нацеленного на проникновения в структуры данных через электронные терминалы оплаты. В ходе анализа и локализации угрозы, использовались данные Talos и специальных подразделений органов защиты правопорядка.
Также, в ходе проведенных криминалистических мероприятий, была раскрыта механика работы вируса и способы его проникновения. Новое семейство malware получило наименование "Посейдон", его быстрая локализация, описание и создание средств противодействия стали результатом оперативной работы сервисов Cisco совместно с подразделением Talos.