четверг, 19 мая 2016 г.

Что такое RaaS и какие крипторы сейчас популярны?

Недавно вышел отчет Лаборатории Касперского про эволюцию угроз. Как и следовало ожидать огромной популярностью у злоумышленников по-прежнему пользуются программы-вымогатели или шифровальщики. Что действительно интересно, так это появление термина Ransomware-as-a-Service (RaaS), который означает возможность использования услуг злоумышленников для организации масштабной атаки пользователей по модели программ-вымогателей. При этом злоумышленники работают за комиссию 10% от оплаты счетов вымогателям.
В документе также можно почитать про новые таргетированные атаки и киберпреступные группы.
Ниже привожу данные из документа по программам-вымогателям:

Top 10 most widespread encryptor families

NameVerdictPercentage of users
1TeslacryptTrojan-Ransom.Win32.Bitman/Trojan-Ransom.JS.Cryptoload58.43%
2CTB-LockerTrojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion23.49%
3Cryptowall / CryptodefTrojan-Ransom.Win32.Cryptodef3.41%
4CryaklTrojan-Ransom.Win32.Cryakl3.22%
5ScatterTrojan-Ransom.BAT.Scatter/Trojan-Downloader.JS.Scatter/Trojan-Dropper.JS.Scatter/Trojan-Ransom.Win32.Scatter2.47%
6RakhniTrojan-Ransom.Win32.Rakhni/Trojan-Downloader.Win32.Rakhni1.86%
7LockyTrojan-Ransom.Win32.Locky1.30%
8ShadeTrojan-Ransom.Win32.Shade1.21%
9iTorLock / TroliTrojan-Ransom.MSIL.Lortok0.84%
10Mor / GulcryptTrojan-Ransom.Win32.Mor0.78%
Teslacrypt по-прежнему лидирует по популярности.

вторник, 19 апреля 2016 г.

Защита от программ-шифровальщиков для Общих папок

Сегодня я читал вебинар на тему "Новое поколение защиты клиентских систем" в рамках которого, в том числе, рассказывал про новые возможности, которые появились в нашем продукте Kaspersky Security 10 для Windows Server (бывший Kaspersky Anti-Virus для Windows Server Enterprise Edition). Изменение названия полностью отражает суть обновления продукта  теперь это не только антивирус для серверов, но мощный комплекс для крайне надежной защиты серверов.
Анонсированы следующие возможности продукта:

  • Защита от вредоносного ПО  в режиме реального времени 
  • Интеграция с облаком
  • Поддержка новейших платформ и серверов
  • Защита от уязвимостей нулевого дня
  • Контроль запуска приложений на серверах New!
  • Защита общих папок от программ-шифровальщиков New!
  • Блокирование компьютеров с подозрительной активностью New!
  • Блокирование вредоносных ссылок и вложений 
  • Резервное копирование данных 
  • Гибкая настройка правил 
  • Масштабируемость 
  • Отказоустойчивость 

Контроль запуска приложений на серверах позволяет реализовать режим "запрета по умолчанию" (Default Deny), который славится крайне высокой степень защиты для любой системы. И если рабочие станции не очень удобно эксплуатировать в таком режиме в силу их динамичности, то с серверами в этом плане значительно удобнее, тем более, в этом случае сложности оправданы, поскольку сервера более критичны сами по себе.

Защита Общих папок от программ-шифровальщиков уникальная в своем роде возможность продукта, поскольку решает очень непростой кейс, который достаточно часто возникает на предприятиях.

Кейс выглядит следующим образом: есть корпоративная сеть, в которой размещены рабочие станции и фаловые сервера. На рабочих станциях установлено решение для защиты от киберугроз (например, Kaspersky Endpoint Security), оно надежно защищает рабочие станции даже от неизвестных шифровальщиков (технология Мониторинг системы или System Watcher вкупе с возможностью отката действий). Однако, в сети появляется рабочая станция, которая не защищена (вне политик ИБ, либо рабочее место партнера компании) и заражена программой шифровальщиком. Если эта рабочая станция имеет доступ к общим папкам, то программа-шифровальщик получив к ним доступ зашифрует все данные, лежащие в этих папках. При этом, даже в случае наличия серьезной защиты на сервере, сами действия со стороны зараженной станции выглядят как легитимные, поскольку используют только разрешенные действия (получение и передача файлов), поэтому шифровальщик отработает и данные будут потеряны.

Ровно для такого кейса мы разработали технологию защиты Общих папок от программ-шифровальщиков, которая позволяет защищать общие папки от программ-шифровальщиков, работающих на удаленных рабочих станций. В этом смысле функционал является уникальным и находится в процессе патентования.

Лучше один раз увидеть как это работает:

Secure Your Life.

пятница, 8 апреля 2016 г.

Зачем защищаться от киберзла если у тебя нечего воровать?

Этим вопросом очень часто задаются неопытные пользователи. Сегодня я наткнулся на довольно старый, но от этого не менее полезный пост, по поводу способов использования инфицированного ПК пользователя. Информация представлена на английском языке в формате интеллект-карты:

Из картинки видно, что даже если пользователю кажется, что красть у него нечего, злоумышленники находят уйму возможностей использовать зараженный ПК для собственных целей. Не редки случаи, когда несколько независимых преступных групп управляют одним инфицированным ПК одновременно.
Еще сегодня пришла другая мысль - если раньше злоумышленники старались именно украсть данные, которые для них ценны, то сегодня, с появлением программ-вымогателей, эксплуатируется ценность данных для владельца, они просто шифруются и пользователи, к сожалению, готовы платить злоумышленник, что в очередной раз их подстегивает продолжать злономеренную активность.

Secure Your Life.

четверг, 4 июня 2015 г.

Около миллиарда записей ПДн (PII) утекло в 2014 году

 А самыми атакуемыми компаниями оказались те, что предоставляют компьютерные сервисы. Такую статистику приводят аналитики IBM X-Force. Ниже отчет за первый квартал 2015 года, в котором можно получить много полезной аналитики по ИБ.

понедельник, 27 апреля 2015 г.

5 шагов в борьбе с кибератаками (от Check Point)

Представляю Вашему вниманию советы одного из лидеров рынка ИБ, компании Check Point, "STOPPING THE NEXT MASSIVE CYBERATTACK":

  • Оценивайте текущее состояние защищенности 
  • Сегментируйте корпоративную сеть (ключевые элементы: ограничение доступа и классификация данных)
  • Применяйте меры защиты на всех уровнях (в т.ч. для каждой фазы потенциальной атаки)
  • Ведите мониторинг критичных элементов безопасности:
  • Разработайте план реагирования на инциденты

пятница, 24 апреля 2015 г.

Свежий отчет Gartner по корпоративным межсетевым экранам

Позавчера Gartner опубликовали очередной отчет по корпоративным межсетевым экранам. Лидерство разделили два производителя: Check Point и Palo Alto. По мнению Gartner, от лидеров отстают по стратегическому видению, но близки по текущим возможностям Fortinet и Cisco. Остальные 13 производителей остались в скромном левом нижнем квадрате, среди них лидирует Intel Security.
Для того, чтобы построить такой Квадрант критериев оценки у Gartner довольно много:
Ability to Execute
Product/Service: Core goods and services offered by the vendor for the defined market. This includes current product/service capabilities, quality, feature sets, skills and so on, whether offered natively or through OEM agreements/partnerships as defined in the market definition and detailed in the subcriteria.
Overall Viability: Viability includes an assessment of the overall organization's financial health, the financial and practical success of the business unit, and the likelihood that the individual business unit will continue investing in the product, will continue offering the product and will advance the state of the art within the organization's portfolio of products.
Sales Execution/Pricing: The vendor's capabilities in all presales activities and the structure that supports them. This includes deal management, pricing and negotiation, presales support, and the overall effectiveness of the sales channel.
Market Responsiveness/Record: Ability to respond, change direction, be flexible and achieve competitive success as opportunities develop, competitors act, customer needs evolve and market dynamics change. This criterion also considers the vendor's history of responsiveness.
Marketing Execution: The clarity, quality, creativity and efficacy of programs designed to deliver the organization's message to influence the market, promote the brand and business, increase awareness of the products, and establish a positive identification with the product/brand and organization in the minds of buyers. This "mind share" can be driven by a combination of publicity, promotional initiatives, thought leadership, word of mouth and sales activities.
Customer Experience: Relationships, products and services/programs that enable clients to be successful with the products evaluated. Specifically, this includes the ways customers receive technical support or account support. This can also include ancillary tools, customer support programs (and the quality thereof), availability of user groups, service-level agreements and so on.
Operations: The ability of the organization to meet its goals and commitments. Factors include the quality of the organizational structure, including skills, experiences, programs, systems and other vehicles that enable the organization to operate effectively and efficiently on an ongoing basis.
Completeness of Vision
Market Understanding: Ability of the vendor to understand buyers' wants and needs and to translate those into products and services. Vendors that show the highest degree of vision listen to and understand buyers' wants and needs, and can shape or enhance those with their added vision.
Marketing Strategy: A clear, differentiated set of messages consistently communicated throughout the organization and externalized through the website, advertising, customer programs and positioning statements.
Sales Strategy: The strategy for selling products that uses the appropriate network of direct and indirect sales, marketing, service, and communication affiliates that extend the scope and depth of market reach, skills, expertise, technologies, services and the customer base.
Offering (Product) Strategy: The vendor's approach to product development and delivery that emphasizes differentiation, functionality, methodology and feature sets as they map to current and future requirements.
Business Model: The soundness and logic of the vendor's underlying business proposition.
Vertical/Industry Strategy: The vendor's strategy to direct resources, skills and offerings to meet the specific needs of individual market segments, including vertical markets.
Innovation: Direct, related, complementary and synergistic layouts of resources, expertise or capital for investment, consolidation, defensive or pre-emptive purposes.

Geographic Strategy: The vendor's strategy to direct resources, skills and offerings to meet the specific needs of geographies outside the "home" or native geography, either directly or through partners, channels and subsidiaries as appropriate for that geography and market.

В любом случае это субъективная оценка, ее можно принять во внимание, но, для каждой задачи необходимо оценивать продукты по своим критериям, одним из которых может быть позиция в отчете Gartner:)

Secure Your Life!