Блог Дж. Дж. Каммингса (JJ Cummings), руководителя команды компании Cisco по реагированию на инциденты в области информационной безопасности
О явном расхождении между ожиданиями и действительностью в области ИБ говорилось уже не раз. По данным последнего ежегодного отчета Cisco по информационной безопасности[1], 90% исследованных организаций вполне довольны своими политиками, процессами и процедурами в области защиты данных. Вместе с тем не менее 54% из них были вынуждены проводить публичные проверки по фактам компрометации своих систем безопасности. При этом большое значение имеет не столько прямой финансовый ущерб от атаки, сколько нематериальный вред: негативный эффект в отношении репутации компании и потеря доверия заказчиков.
Выступая на последнем Всемирном экономическом форуме в Давосе, глава нашей компании Джон Чемберс (John Chambers) заметил: «Все компании делятся на две категории: уже пострадавшие от хакерских атак и те, что еще не ведают о том, что они пострадали». 2015 год обещает продолжить печальную традицию последних лет, когда организации во всем мире вдруг обнаруживали, что стали жертвой нападения киберпреступников.
Нужно отметить и растущее несоответствие между необходимыми и имеющимися ресурсами в области защиты данных. Очень часто службы ИБ испытывают острую нехватку средств и кадров, что, разумеется, очень ограничивает возможности по организации адекватной защиты активов и инфраструктур. Поэтому руководство компаний все чаще обращает свое внимание на услуги сторонних экспертов в области ИБ.
Это — основная причина, по которой Cisco решила ввести новые сервисы по реагированию на инциденты ИБ. Их предназначение — помогать организациям эффективнее обнаруживать, локализовывать и устранять угрозы. Эксперты компании быстро определяют источник заражения, пути внедрения в инфраструктуру и то, какие именно данные были скомпрометированы. Точная информация об источнике заражения и распространении вредоносного ПО очень важна: с ее помощью можно значительно снизить ущерб от нападения и определить пути для снижения рисков в будущем. Представленные компанией Cisco новые сервисы эффективно используют в своей работе аналитическую информацию о киберугрозах, получаемую от подразделения Talos по исследованию и анализу угроз (Talos Threat Intelligence and Research Group) и подразделения услуг информационной безопасности Cisco. Кроме того, используются все преимущества технологий безопасности Cisco, включая систему AMP Threat Grid.
Сервисы Cisco по реагированию на инциденты ИБ оказывают поддержку организациям двумя способами:
Реагирование на атаки
Хотя каждый инцидент безопасности имеет уникальные черты, сервисы Cisco по реагированию на инциденты имеют в своем распоряжении надежную методологию, обеспечивающую целесообразный и вместе с тем гибкий подход к борьбе с любыми угрозами. Независимо от того, какая именно проблема возникла перед заказчиком (инсайдерская угроза, распределенная атака типа «отказ в обслуживании», заражение конечных точек усовершенствованным вредоносным кодом или компрометация данных), команда Cisco поможет уверенно реализовать основные процессы противодействия: идентификацию, локализацию и восстановление. Для этого используется целый ряд специальных процедур: оценка, поиск данных и их анализ; компьютерные криминалистические экспертизы; динамическое исследование зараженных систем; реверс-инжиниринг вредоносного кода; детальное исследование вредоносного кода в контролируемой среде.
Упреждающее обеспечение ИБ
Количество направленных кибератак и случаев компрометации данных постоянно растет, в связи с чем уместно исходить из того, что с этой проблемой рано или поздно столкнется практически любая организация. Очень важной предпосылкой для успешного противодействия станет наличие надежного плана реагирования, четко обозначающего все необходимые действия. Сервисы Cisco по реагированию на инциденты охватывают все аспекты ИБ, в том числе оценку защищенности инфраструктур, оценку готовности служб безопасности, оценку системы информирования об инцидентах ИБ, а также вопросы подготовки персонала.
Команда экспертов Cisco имеет большой опыт сотрудничества с заказчиками в сфере противодействия кибератакам. Один из последних случаев произошел, когда одна из компаний обнаружила утечку данных кредитной карты своего заказчика. Работая в тесном сотрудничестве с заказчиком, правоохранительными органами и подразделением Talos, команда Cisco по реагированию на инциденты ИБ быстро обнаружила новый вид вредоносного кода, специально предназначенного для атак на электронные торговые терминалы (PoS-терминалы). Удалось выявить и механизм проникновения и распространения этой угрозы. Таким образом, было открыто и изучено новое семейство вредоносного ПО, получившее название PoSeidon ("Посейдон")[2]. Благодаря использованию лучших в своей области технологий и тесному сотрудничеству с подразделением Talos, команда Cisco по реагированию на инциденты ИБ быстро и эффективно осуществила для своего заказчика процессы идентификации, локализации и восстановления, что позволило своевременно и успешно противодействовать угрозе.
Метки: Cisco, кибератаки, информационная безопасность, защита от угроз, технология AMP Threat Grid, ежегодный отчет Cisco об информационной безопасности, реагирование на инциденты.
О компании Cisco
Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.
Чистый объем продаж компании в 2014 финансовом году составил 47, 1 млрд долларов, а в первые 6 месяцев текущего финансового года — 24, 2 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ru и www.cisco.com.
Cisco, логотип Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными торговыми знаками Cisco Systems, Inc. в США и некоторых других странах. Все прочие торговые знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев.
[1] См. http://www.cisco.com/web/RU/news/releases/txt/2015/01/012215a.html.
[2] Подробности — на веб-странице http://blogs.cisco.com/security/talos/poseidon.
