2015 Cisco Éves Biztonsági Jelentés Ács György, Csordás Szilárd IT Biztonsági Konzulens Február 20.
Az elmúlt év
Az elemzések forrása : TALOS Cisco SIO I00I III0I III00II 0II00II I0I000 0110 00 10I000 0II0 00 0III000 II1010011 101 1100001 Talos 110 110000III000III0 I00I II0I III0011 0110011 101000 0110 00 Cisco Collective Security Intelligence Sourcefire VRT 1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00 101000 0II0 00 0III000 III0I00II II II0000I II0 100I II0I III00II 0II00II I0I000 0II0 00 180,000+ File Samples per Day 1.6 million global sensors 100 TB of data received per day 150 million+ deployed endpoints 600+ engineers, technicians, and researchers 35% worldwide email traffic 13 billion web requests 24x7x365 operations 40+ languages WWW Email AMP Web Network NGIPS NGFW Pervasive across Portfolio FireAMP Community, 3+ million Advanced Microsoft and Industry Disclosures Snort and ClamAV Open Source Communities Honeypots Sourcefire AEGIS Program Private and Public Threat Feeds Dynamic Analysis
Főbb trendek 2014 Webes támadási trendek Flash és Java Script új kombináció Webes kártevők eloszlása Adathalászatra koncentráló kéretlen levelek
Támadók Támadási vektorok Java PDF Flash Log mennyiség PDF and Flash stabil Java 34% csökkenés Silverlight 228% növekedés Silverlight
Támadók A támadók figyelme a böngészőkre és levelezőrendszerekre irányul SPAM növekedés 250% Példa: Snowshoe SPAM támadás
Támadók Főbb spam trendek Snowshoe spam: kevés levél sok IP-címről A bűnözők sokszor a felhasználók legitim email címeihez tartozó belépési adatokat lopják el, és a feltört, ám megbízhatónak tűnő fiókokból küldik ki a kéretlen leveleket. A spammerek folyamatosan változó tartalmú, úgynevezett változó üzenetekkel próbálják kikerülni a levélszemét szűrőket. (Találkoztunk ugyanazon üzenet 95 verziójával)
Támadók Erősen terjed a malvertising In October 2014, there is a spike of 250%
Támadók Malvertising trendek Folyamatos fertőzések rosszindulatú böngésző kiegészítőkön (toolbar) keresztül. (A vizsgált 70 vállalatnál, 2014 januárban 711 fertőzött felhasználót azonosítottunk és a számuk szeptemberre elérte az 1750. Az egyik módja, hogy észrevegyük és megakadályozzuk az ilyen típusú támadásokat, ha analitikai módszereket (threat analytics), sandboxing és web biztonsági technológiákat használunk. Célzott malvertising
A felhasználók egyrészt célkeresztben vannak, másrészt önkéntelenül is segítik a kibertámadásokat.
IT biztonsági kockázatok toplistája felhasználói szempontból Untrustworthy sources Clickfraud and Adware Outdated browsers 10% 64% vs IE requests running latest version Chrome requests running latest version
EMEAR munkavállalói felmérés: 12,000 munkavállaló, 13 országból 69% nincs tisztában a jelentősebb biztonsági résekkel, fenyegetésekkel (Heartbleed, Shellshock) A válaszadók a legfőbb rizikónak a kiberbűnözést tartották (60%), második helyre rangsorolták a felhasználói viselkedést, mint kockázati tényezőt. A megkérdezettek 58%-a úgy tudja, hogy vállalata rendelkezik IT biztonsági szabályzattal, 23% azonban egyáltalán nem tud ilyesmiről. A válaszadók 44%-a csak mérsékelten, vagy alig tartja be a szabályokat, minden 14. ember pedig aktívan megkerüli az IT-biztonsági előírásokat.
Védelem Az alkalmazások frissítése kihívást jelent 56% OpenSSL versions are older than 50 months Példa: Heartbleed
Védelem A biztonságért felelős munkatársak kevesebb mint 50%-a alkalmazza a bevált gyakorlatokat SecOps Identity Administration and Provisioning 43% Patching and configuration as defense 38% Pentesting 39% Quarantine malicious applications 55%
Sourcefire Security akvizíció Industry-leading NGIPS Network visibility Advanced Malware Protection VRT Research Open source innovation (OpenAppID) Unified Cisco Research Talos Security Intelligence and Research Group Sourcefire VRT Cisco TRAC Cisco SecApps AMP + FirePOWER AMP > Managed threat defense 2013 2014 2015 Cognitive + AMP Unified malware analysis > Collective Security Intelligence Cognitive Security akvizíció Advanced research intelligence Real-time advanced behavioral analysis ThreatGRID akvizíció Unified malware analysis Threat intelligence Neohapsis mobile and cloud security services
2015 Cisco Éves Biztonsági Jelentés www.cisco.com/go/asr2015