SlideShare a Scribd company logo

CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"

Download as PPTX, PDF
E
Expolink

Конференция Код ИБ 2015, Казань

Business
1 of 39
Алексей Лукацкий, бизнес-консультант по ИБ Тенденции в области угроз безопасности
• Заблокированных угроз: 19,692,200,000 угроз в день • Заблокировано спама: 2,557,767 сообщений/сек • Web-запросов в день: 16.9 миллиардов Что видит Cisco?
Изменение в поведении атак Скорость Ловкость Адаптация Уничтожение Инновации, использование старых приемов на новый лад и обход защитных механизмов
Скорость означает новый уровень сложности. Разработчики вредоносного кода стали более инновационными и быстрыми к адаптациям
Ловкость нарушителей – их сила Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014 Скомпрометированная система Уязвимости Flash Смена цели Angler Непрерывное забрасывание «крючков в воду» увеличивает шанс на компрометацию Социальный инжиниринг Сайты- однодневки TTD Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email
Знаете ли вы, кто это?
Патчи: окно воздействия Люди не очень оперативно обновляются до последних версий Flash и тем самым создают возможности для Angler и других угроз, использующих непропатченные уязвимости
Web-атаки стабильны (исключая Flash) Java PDF FlashSilverlight Декабрь 2014 – Май 2015
Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему. Уничтожение если обнаружено • Уничтожение MBR • После перезагрузки компьютер перестает работать Получение доступа • Спам • Фишинг • Социальный инжиниринг Уход от обнаружения • Записать случайные данные в память 960 миллионов раз • Засорение памяти в песочнице Украсть данные пользователя • Доставка данных пользователя обратно злоумышленникам • Кража любых данных, а не только банковских Анти-анализ Стойкость Вредоносное поведение
Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.
Основные категории уязвимостей повторяются из года в год CWE-119 Ошибки буфера 471 CWE-20 Проверка ввода 244 CWE-399 Ошибки управления ресурсами 238 CWE-200 Раскрытие/уте чки информации 138 CWE-264 Права, привилегии & контроль доступа 155 Если все знают про эти проблемы, то почему они повторяются? Возможно разработчики недооценивают SDLC? Или они спешат выпустить продукт в ущерб ИБ?
Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL Новая схема URL драматически опережает старую. Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add- On для браузера (уже 4000 имен)
Формирование индустрии киберпреступности От $450 миллиардов к $1 триллионуНомер SSN $1 Мобильное вредоносное ПО $150 $Информация о банковском счете >$1000 зависит от типа счета и суммы на нем Учетная запись Facebook $1 за учетную запись с 15 друзьями Данные платежных карт $0.25-$60 Разработка вредоносного ПО $2500 (коммерческое ПО) DDoS DDoS как сервис ~$7/час Спам $50/500K emails Медицинские записи >$50 Эксплойты $1000- $300K © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
“Версия”: число раз, когда Cisco обновляла оповещения, когда производители пытались выявить и устранить эти уязвимости в своих продуктах 9версий Open SSL (FREAK) 1 версия QEMU Virtual Floppy Disk Controller (VENOM) 22версии Open SSL (Heartbleed) 25версий GNU Bash (Shellshock) 15версий GNU C glibc (Ghost) Процесс управления патчами минимизирует ночные кошмары от отслеживания, координации и внедрения обновлений Патчи для open source: управление поставками ПО становится критичной задачей 32версии SSL 3.0 Fallback (POODLE)
Эволюция вымогателей: Цель – данные, а не системы TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети $300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна Личные файлы Финансовые данные Email Фото Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)
Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов Кампания стартовала Обнаружена с помощью Outbreak Filters Антивирусный движок обнаруживает Dridex Но злоумышленники все равно проникли в систему Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
Риск поймать вредоносный код зависит от индустрии Никто не застрахован от нападения Это только вопрос времени, когда злоумышленники увидят потенциал в отраслях, находящихся «справа»
Карта отражает не объем активности в этих странах. Страны с высоким рейтингом имеют множество Web- серверов и узлов с неисправленными уязвимостями в своих сетях. Россия 0,936 Япония 1,134 Китай 4,126 Гонгконг 6,255 Франция 4,197 Германия 1,277 Польша 1,421 Канада 0,863 США 0,760 Бразилия 1,135 Вредоносный код в международном масштабеЗлоумышленники не признают границ Malware Traffic Expected Traffic
Спам в международном масштабе В России объемы спама только выросли. В два раза!
Время обнаружения Текущее значение TTD в индустрии - 200 дней, что недопустимо 46200 VS ЧАСОВДНЕЙ Индустрия Cisco Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять отпечатки каждого файла в облачный сервис Cisco
Анализ и наблюдения Глобализация
Глобальное управления не готово к кибер- вызовам и геополитическим интересам Три примера усилий, которые, делая шаги в правильном направлении, могут создать трудности на практике: Разработка эффективной нормативной базы требует идти в ногу с злоумышленниками. Однако на практике так происходит не всегда (например, поправки в Васенаарские соглашения) Высота птичьего полета Разделяемый доступ Ужесточение контроля
Дилемма Построить Купить Остаться позади
Зоопарк средств защиты создает сложное окружение для организаций Большие, хорошо зарекомендовавшие себя игроки Только стандартизация и улучшение обмена информации в отрасли ИБ позволит лучше интегрировать решения от нишевых игроков и давно существующих компаний. Организации, оказавшиеся между Нишевые игроки
Изменение бизнес-моделей Сложность и фрагментация Динамика ландшафта угроз Производителей средств защиты на RSA Возросла потребность в кадрах ИБ 373 12x Среднее число вендоров у корпоративного заказчика 50 Сложность ЛюдиФрагментация Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют
Слабая прозрачность Многовекторные и продвинутые угрозы остаются незамеченными Точечные продукты Высокая сложность, меньшая эффективность Ручные и статические механизмы Медленный отклик, ручное управление, низкая результативность Наличие обходных каналов Мобильные устройства, Wi-Fi, флешки, ActiveSync, CD/DVD и т.п. 75% CISO считают свои средства защиты «очень» или «всесторонне» эффективными Традиционный индивидуалистичный подход не поспевает за угрозами
Заказчики должны требовать доверенные продукты от своих поставщиков Производители должны отвечать за уровень защищенности своих продуктов Защищенная разработка Защищенное железо Защищенное внедрение Защищенная поставка
Внешние услуги закрывают разрыв С ростом скорости появления и вариативности угроз и нехватки квалифицированных кадров, многие организации будут больше полагаться на внешних поставщиков услуг для управления рисками информационной безопасности ПерсоналОценка Автоматизация / Аналитика Гибкие бизнес- модели Гибкость Политика приватности
Точечные решения не могут идти в ногу с угрозами Необходимость в интегрированной защите от угроз
Злоумышленники атакуют точечные решения с возрастающей скоростью NGIPS Malware Sandbox IAM Antivirus IDS Firewall VPN Email NGFW Данные Бездумная трата денег на новинки вместо того, чтобы сесть и подумать о целостной системе защиты
Данные Злоумышленники атакуют точечные решения с возрастающей скоростью NGIPS Malware Sandbox IAM Antivirus IDS Firewall VPN Email NGFW Время обнаружения: 200 дней
Только интегрированная защита может идти в ногу с угрозами Данные Systemic Response Время обнаружения: 46 часов
Пора задуматься о смене стратегии © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
Высокая мотивация киберкриминала Изменение бизнес-моделей Динамичность ландшафта угроз Думать как злоумышленник © 2015 Cisco and/or its affiliates. All rights reserved. 35
Точечные и статичные решения © 2015 Cisco and/or its affiliates. All rights reserved. 36 Фрагментация Сложность Требуют лишнего управления
Локализовать Вылечить Устранить причины Непрерыв- ное решение © 2015 Cisco and/or its affiliates. All rights reserved. 37 Узнать Применить политику Усилить защиту Идентифицировать Блокировать Отразить
Всепроникающий Непрерывный Всегда Полное решение
• Злоумышленники быстро совершенствуют свои возможности с целью избегания обнаружения • Точечные решения создают слабые места в системе защиты • Интегрированная защита, построенная на доверенных продуктах и услугах, - лучшая защита Выводы
2015 Midyear Security Report cisco.com/go/msr2015 Отчет на русском языке может быть найден по адресу: http://www.slideshare.net/CiscoRu/cisco-2015-51302121

Recommended

Эволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаЭволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаCisco Russia
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеCisco Russia
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Expolink
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеPositive Hack Days
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Cisco Russia
 
ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУР
ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУРПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУР
ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУРPositive Hack Days
 
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании. Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.Cisco Russia
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Cisco Russia
 

Recommended

Эволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаЭволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаCisco Russia
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеCisco Russia
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Expolink
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеPositive Hack Days
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Cisco Russia
 
ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУР
ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУРПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУР
ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУРPositive Hack Days
 
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании. Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.
Защита корпоративных сервисов от распределенных атак на отказ в обслуживании.Cisco Russia
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Cisco Russia
 
Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеCisco Russia
 
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Expolink
 
Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыЗащита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыInfoWatch
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиКРОК
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerCisco Russia
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network SecurityCisco Russia
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Cisco Russia
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозCisco Russia
 
Киберугрозы будущего
Киберугрозы будущегоКиберугрозы будущего
Киберугрозы будущегоАльбина Минуллина
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power servicesjournalrubezh
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакCisco Russia
 
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годCisco Russia
 
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годCisco Russia
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Expolink
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети Cisco Russia
 
Ежегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактикаЕжегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактикаCisco Russia
 
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годОтчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годCisco Russia
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 

More Related Content

What's hot

Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеCisco Russia
 
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Expolink
 
Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыЗащита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыInfoWatch
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиКРОК
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerCisco Russia
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network SecurityCisco Russia
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Cisco Russia
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозCisco Russia
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power servicesjournalrubezh
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакCisco Russia
 
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годCisco Russia
 
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годCisco Russia
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Expolink
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети Cisco Russia
 
Ежегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактикаЕжегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактикаCisco Russia
 
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годОтчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годCisco Russia
 

What's hot (20)

Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. Исследование
 
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
 
Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыЗащита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктуры
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco Firepower
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network Security
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угроз
 
Киберугрозы будущего
Киберугрозы будущегоКиберугрозы будущего
Киберугрозы будущего
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power services
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
 
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
 
Годовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 годГодовой отчет Cisco по безопасности за 2014 год
Годовой отчет Cisco по безопасности за 2014 год
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети
 
Ежегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактикаЕжегодный отчет по безопасности. Защитники и их тактика
Ежегодный отчет по безопасности. Защитники и их тактика
 
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годОтчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
 

Similar to CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"

Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Cisco Russia
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиCisco Russia
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиCisco Russia
 
Тенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасностьТенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасностьAleksey Lukatskiy
 
e-conf2017_Долгинин_12102017.pdf
e-conf2017_Долгинин_12102017.pdfe-conf2017_Долгинин_12102017.pdf
e-conf2017_Долгинин_12102017.pdfalex183408
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"Expolink
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...Expolink
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco Russia
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часCisco Russia
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Текущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБТекущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБCisco Russia
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 

Similar to CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности" (20)

Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
 
Тенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасностьТенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасность
 
e-conf2017_Долгинин_12102017.pdf
e-conf2017_Долгинин_12102017.pdfe-conf2017_Долгинин_12102017.pdf
e-conf2017_Долгинин_12102017.pdf
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Текущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБТекущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБ
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 

More from Expolink

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...Expolink
 
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...Expolink
 
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"Expolink
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Expolink
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...Expolink
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...Expolink
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Expolink
 
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"Expolink
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Expolink
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Expolink
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Expolink
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Expolink
 
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."Expolink
 

More from Expolink (20)

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
 
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
 
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
 
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
 

CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"

  • 1. Алексей Лукацкий, бизнес-консультант по ИБ Тенденции в области угроз безопасности
  • 2. • Заблокированных угроз: 19,692,200,000 угроз в день • Заблокировано спама: 2,557,767 сообщений/сек • Web-запросов в день: 16.9 миллиардов Что видит Cisco?
  • 3. Изменение в поведении атак Скорость Ловкость Адаптация Уничтожение Инновации, использование старых приемов на новый лад и обход защитных механизмов
  • 4. Скорость означает новый уровень сложности. Разработчики вредоносного кода стали более инновационными и быстрыми к адаптациям
  • 5. Ловкость нарушителей – их сила Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014 Скомпрометированная система Уязвимости Flash Смена цели Angler Непрерывное забрасывание «крючков в воду» увеличивает шанс на компрометацию Социальный инжиниринг Сайты- однодневки TTD Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email
  • 6. Знаете ли вы, кто это?
  • 7. Патчи: окно воздействия Люди не очень оперативно обновляются до последних версий Flash и тем самым создают возможности для Angler и других угроз, использующих непропатченные уязвимости
  • 8. Web-атаки стабильны (исключая Flash) Java PDF FlashSilverlight Декабрь 2014 – Май 2015
  • 9. Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему. Уничтожение если обнаружено • Уничтожение MBR • После перезагрузки компьютер перестает работать Получение доступа • Спам • Фишинг • Социальный инжиниринг Уход от обнаружения • Записать случайные данные в память 960 миллионов раз • Засорение памяти в песочнице Украсть данные пользователя • Доставка данных пользователя обратно злоумышленникам • Кража любых данных, а не только банковских Анти-анализ Стойкость Вредоносное поведение
  • 10. Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.
  • 11. Основные категории уязвимостей повторяются из года в год CWE-119 Ошибки буфера 471 CWE-20 Проверка ввода 244 CWE-399 Ошибки управления ресурсами 238 CWE-200 Раскрытие/уте чки информации 138 CWE-264 Права, привилегии & контроль доступа 155 Если все знают про эти проблемы, то почему они повторяются? Возможно разработчики недооценивают SDLC? Или они спешат выпустить продукт в ущерб ИБ?
  • 12. Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL Новая схема URL драматически опережает старую. Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add- On для браузера (уже 4000 имен)
  • 13. Формирование индустрии киберпреступности От $450 миллиардов к $1 триллионуНомер SSN $1 Мобильное вредоносное ПО $150 $Информация о банковском счете >$1000 зависит от типа счета и суммы на нем Учетная запись Facebook $1 за учетную запись с 15 друзьями Данные платежных карт $0.25-$60 Разработка вредоносного ПО $2500 (коммерческое ПО) DDoS DDoS как сервис ~$7/час Спам $50/500K emails Медицинские записи >$50 Эксплойты $1000- $300K © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
  • 14. “Версия”: число раз, когда Cisco обновляла оповещения, когда производители пытались выявить и устранить эти уязвимости в своих продуктах 9версий Open SSL (FREAK) 1 версия QEMU Virtual Floppy Disk Controller (VENOM) 22версии Open SSL (Heartbleed) 25версий GNU Bash (Shellshock) 15версий GNU C glibc (Ghost) Процесс управления патчами минимизирует ночные кошмары от отслеживания, координации и внедрения обновлений Патчи для open source: управление поставками ПО становится критичной задачей 32версии SSL 3.0 Fallback (POODLE)
  • 15. Эволюция вымогателей: Цель – данные, а не системы TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети $300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна Личные файлы Финансовые данные Email Фото Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)
  • 16. Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов Кампания стартовала Обнаружена с помощью Outbreak Filters Антивирусный движок обнаруживает Dridex Но злоумышленники все равно проникли в систему Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
  • 17. Риск поймать вредоносный код зависит от индустрии Никто не застрахован от нападения Это только вопрос времени, когда злоумышленники увидят потенциал в отраслях, находящихся «справа»
  • 18. Карта отражает не объем активности в этих странах. Страны с высоким рейтингом имеют множество Web- серверов и узлов с неисправленными уязвимостями в своих сетях. Россия 0,936 Япония 1,134 Китай 4,126 Гонгконг 6,255 Франция 4,197 Германия 1,277 Польша 1,421 Канада 0,863 США 0,760 Бразилия 1,135 Вредоносный код в международном масштабеЗлоумышленники не признают границ Malware Traffic Expected Traffic
  • 19. Спам в международном масштабе В России объемы спама только выросли. В два раза!
  • 20. Время обнаружения Текущее значение TTD в индустрии - 200 дней, что недопустимо 46200 VS ЧАСОВДНЕЙ Индустрия Cisco Значение TTD вычисляется с помощью механизма ретроспективной безопасности, встроенной в решения Cisco и позволяющей отправлять отпечатки каждого файла в облачный сервис Cisco
  • 22. Глобальное управления не готово к кибер- вызовам и геополитическим интересам Три примера усилий, которые, делая шаги в правильном направлении, могут создать трудности на практике: Разработка эффективной нормативной базы требует идти в ногу с злоумышленниками. Однако на практике так происходит не всегда (например, поправки в Васенаарские соглашения) Высота птичьего полета Разделяемый доступ Ужесточение контроля
  • 24. Зоопарк средств защиты создает сложное окружение для организаций Большие, хорошо зарекомендовавшие себя игроки Только стандартизация и улучшение обмена информации в отрасли ИБ позволит лучше интегрировать решения от нишевых игроков и давно существующих компаний. Организации, оказавшиеся между Нишевые игроки
  • 25. Изменение бизнес-моделей Сложность и фрагментация Динамика ландшафта угроз Производителей средств защиты на RSA Возросла потребность в кадрах ИБ 373 12x Среднее число вендоров у корпоративного заказчика 50 Сложность ЛюдиФрагментация Инвестиции в средства защиты растут. Но средства защиты не взаимодействуют
  • 26. Слабая прозрачность Многовекторные и продвинутые угрозы остаются незамеченными Точечные продукты Высокая сложность, меньшая эффективность Ручные и статические механизмы Медленный отклик, ручное управление, низкая результативность Наличие обходных каналов Мобильные устройства, Wi-Fi, флешки, ActiveSync, CD/DVD и т.п. 75% CISO считают свои средства защиты «очень» или «всесторонне» эффективными Традиционный индивидуалистичный подход не поспевает за угрозами
  • 27. Заказчики должны требовать доверенные продукты от своих поставщиков Производители должны отвечать за уровень защищенности своих продуктов Защищенная разработка Защищенное железо Защищенное внедрение Защищенная поставка
  • 28. Внешние услуги закрывают разрыв С ростом скорости появления и вариативности угроз и нехватки квалифицированных кадров, многие организации будут больше полагаться на внешних поставщиков услуг для управления рисками информационной безопасности ПерсоналОценка Автоматизация / Аналитика Гибкие бизнес- модели Гибкость Политика приватности
  • 29. Точечные решения не могут идти в ногу с угрозами Необходимость в интегрированной защите от угроз
  • 30. Злоумышленники атакуют точечные решения с возрастающей скоростью NGIPS Malware Sandbox IAM Antivirus IDS Firewall VPN Email NGFW Данные Бездумная трата денег на новинки вместо того, чтобы сесть и подумать о целостной системе защиты
  • 31. Данные Злоумышленники атакуют точечные решения с возрастающей скоростью NGIPS Malware Sandbox IAM Antivirus IDS Firewall VPN Email NGFW Время обнаружения: 200 дней
  • 32. Только интегрированная защита может идти в ногу с угрозами Данные Systemic Response Время обнаружения: 46 часов
  • 33. Пора задуматься о смене стратегии © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
  • 35. Точечные и статичные решения © 2015 Cisco and/or its affiliates. All rights reserved. 36 Фрагментация Сложность Требуют лишнего управления
  • 36. Локализовать Вылечить Устранить причины Непрерыв- ное решение © 2015 Cisco and/or its affiliates. All rights reserved. 37 Узнать Применить политику Усилить защиту Идентифицировать Блокировать Отразить
  • 38. • Злоумышленники быстро совершенствуют свои возможности с целью избегания обнаружения • Точечные решения создают слабые места в системе защиты • Интегрированная защита, построенная на доверенных продуктах и услугах, - лучшая защита Выводы
  • 39. 2015 Midyear Security Report cisco.com/go/msr2015 Отчет на русском языке может быть найден по адресу: http://www.slideshare.net/CiscoRu/cisco-2015-51302121

Editor's Notes

  1. Cisco pulls from vast global network telemetry that offers visibility, context, intelligence and control to address current and emerging online threats.
  2. The tactics developed by malware authors and online criminals have shown increasing sophistication over the past several years. Recent Cisco security reports have chronicled such innovation in the shadow economy, along with security professionals’ fight to stay ahead of adversaries. What’s new is the threat actors’ growing ability to innovate rapidly and enhance their capacity to compromise systems and evade detection. In the first half of 2015, the hallmark of online attackers may be their willingness to evolve new tools and strategies—or recycle old ones—to dodge security defenses. Through tactics such as obfuscation, they can not only slip past network defenses but also carry out their exploits long before they are detected—if ever.
  3. As adversaries rapidly refine their ability to develop and deploy malware that can breach network defenses and evade detection, the security industry as a whole struggles to innovate at a similar pace. This dynamic creates a significant problem for organizations investing in security products and services. They often obtain individual solutions to address security gaps, only to create more weak points in their defenses.
  4. Earlier this year, Cisco Security Research singled out the Angler exploit kit as the one to watch among known exploit kits observed in the wild because of its innovative use of Flash, Java, Microsoft Internet Explorer, and Silverlight vulnerabilities. So far in 2015, Angler stands as the leader in exploit kit sophistication and effectiveness. The exploit kit’s authors’ recent concentration on, and quick work to take advantage of, vulnerabilities in Adobe Flash is an example of their commitment to innovation. Cisco Security Research reports that, on average, 40 percent of users who encounter an Angler exploit kit landing page on the web are compromised. This means Angler can identify a known Flash (or other) vulnerability that it can exploit. It then downloads the payload to the user’s machine. By comparison, in previous years, other widely used kits that featured a mix of exploits had an average success rate of just 20 percent. Angler methods include: Angler targets exploits, particularly those of Flash, and takes advantage of the patching gap Angler comprises over 75% of domain shadowing activity since December 2014; Nuclear and RIG are adopting the same practice Angler leverages well-constructed landing pages (to include Jane Austen text) that avoid detection Malvertising provides a steady stream of visitors to landing pages Angler operates in very high volume, short-lived, random campaigns with rapid IP switching Angler drops encrypted malicious payload to delay time to detection. There was a 100% increase in Angler’s penetration rate
  5. We attribute the recent growth in exploits of Flash vulnerabilities to two primary factors: Flash exploits are being integrated regularly into the latest versions of widely used exploit kits such as Angler (see page X). Although Adobe frequently updates its Flash Player, many users are simply not quick enough to apply updates that would protect them from exploits targeting the vulnerability being patched. It appears many users have difficulty staying on top of Adobe Flash updates and perhaps may not even be aware of some upgrades. Angler’s authors are benefiting from this “patching gap”—the time between Adobe’s release of an update and when users actually upgrade. For example, in the February 2015 time frame, many users moved quickly to the latest version of Flash (16.0.0.305), but only after it was integrated into Angler. That update addressed vulnerabilities in CVE-2015-0313, released February 2, 2015. Meanwhile, as users slowly migrated to the new version of Flash, Angler actively exploited the known vulnerability in the previous version.
  6. We attribute the recent growth in exploits of Flash vulnerabilities to two primary factors: Flash exploits are being integrated regularly into the latest versions of widely used exploit kits such as Angler (see page X). Although Adobe frequently updates its Flash Player, many users are simply not quick enough to apply updates that would protect them from exploits targeting the vulnerability being patched. It appears many users have difficulty staying on top of Adobe Flash updates and perhaps may not even be aware of some upgrades. Angler’s authors are benefiting from this “patching gap”—the time between Adobe’s release of an update and when users actually upgrade. For example, in the February 2015 time frame, many users moved quickly to the latest version of Flash (16.0.0.305), but only after it was integrated into Angler. That update addressed vulnerabilities in CVE-2015-0313, released February 2, 2015. Meanwhile, as users slowly migrated to the new version of Flash, Angler actively exploited the known vulnerability in the previous version.
  7. Continuing a trend we monitored and covered in the Cisco 2015 Annual Security Report, exploits involving Java were on the decline in the first half of 2015. Java used to be a favored attack vector for online criminals, but security improvements and stepped-up patching efforts have forced attackers away from it. Here we show the log volume of Java, PDF, Silverlight and Flash exploits for the first half of 2015. PDF exploits vary on a month-to-month basis, but in general, are not as common as Flash exploits. Flash is a favored tool of developers of exploit kits, so its presence in the log volume chart may be directly tied to outbreaks of criminal activity involving exploit kits such as Angler.
  8. The authors of sophisticated malware design it to simply stop working in order to avoid being blocked or destroyed when it’s examined by security systems. At the same time, security researchers are constantly on the lookout for new static, dynamic, and automated analysis tools that will make it more difficult for attackers to remain undetected. The goal of Rombertik is to hook into a user’s web browser to extract and deliver sensitive user information to a server controlled by attackers. In this way, Rombertik is similar to the malware known as Dyre. However, Dyre exists to steal banking logins, while Rombertik appears to indiscriminately collect all kinds of user data. Rombertik gains a foothold in users’ systems through spam and phishing messages that use social engineering to entice recipients to download and unzip attachments carrying the malware. When a user unzips the file, it appears to be a PDF; in fact, it’s a screensaver executable file that begins to compromise the system. If Rombertik detects that it is being modified, it attempts to destroy the system’s master boot record and then restart the computer, which will then be inoperable. Breakdown of Rombertik Uses spam and phishing messages to get users to download and unzip attachments which turn out to be screensaver executables Excessive garbage code keeps the sandbox busy with 960 million instructions to memory; a form of stalling tactics rather than sleeping If Rombertik senses inspection or modification it begins to destroy the MBR or the computer’s home directory If successful, it hooks into browsers to extract user information
  9. The authors of sophisticated malware design it to simply stop working in order to avoid being blocked or destroyed when it’s examined by security systems. At the same time, security researchers are constantly on the lookout for new static, dynamic, and automated analysis tools that will make it more difficult for attackers to remain undetected. The goal of Rombertik is to hook into a user’s web browser to extract and deliver sensitive user information to a server controlled by attackers. In this way, Rombertik is similar to the malware known as Dyre. However, Dyre exists to steal banking logins, while Rombertik appears to indiscriminately collect all kinds of user data. Rombertik gains a foothold in users’ systems through spam and phishing messages that use social engineering to entice recipients to download and unzip attachments carrying the malware. When a user unzips the file, it appears to be a PDF; in fact, it’s a screensaver executable file that begins to compromise the system. If Rombertik detects that it is being modified, it attempts to destroy the system’s master boot record and then restart the computer, which will then be inoperable. Breakdown of Rombertik Uses spam and phishing messages to get users to download and unzip attachments which turn out to be screensaver executables Excessive garbage code keeps the sandbox busy with 960 million instructions to memory; a form of stalling tactics rather than sleeping If Rombertik senses inspection or modification it begins to destroy the MBR or the computer’s home directory If successful, it hooks into browsers to extract user information
  10. In examining the most common vulnerabilities for the first half of 2015, we find the same types of errors showing up year after year. For example, buffer errors are once again at the head of the list of Common Weakness Enumeration (CWE) threat categories, as defined by the National Vulnerability Database Buffer errors, resource management errors, and input validation, the three most frequent CWEs, are perennially among the five most common coding errors being exploited by criminals. Assuming vendors are aware of the CWE list, why do these errors keep occurring with such regularity? The problem lies in insufficient attention being paid to the secure development lifecycle. Security safeguards and vulnerability tests should be built in as a product is being developed. Instead, vendors wait until the product reaches the market and then address its vulnerabilities. Vendors need to increase the importance of security within the development lifecycle, or they will continue to spend time and money on catch-up efforts to detect, fix, and report vulnerabilities. In addition, security vendors must assure customers that they are doing everything possible to make their solutions trustworthy and secure—in this case, by making vulnerability testing a crucial component of product development.
  11. As reported in the Cisco 2015 Annual Security Report, we conducted an in-depth analysis in 2014 of a highly sophisticated, botnet-like, web-based threat that uses malvertising from web browser add-ons as a medium for distributing malware and unwanted applications. This family of malware has a clear signature: Adware MultiPlug. The browser extensions are bundled with other seemingly useful yet unwanted applications, such as PDF tools and video players. Cisco has been monitoring this threat for more than a year. We have observed that the threat is constantly changing in order to remain undetected. The average time period that the threat uses a domain name is three months, and add-on names still change continuously. As reported in the Cisco 2015 Annual Security Report, we have so far discovered more than 4000 different add-on names and over 500 domains associated with this threat. In January 2015, the researchers started to notice that the threat was mutating. Specifically, it abandoned its URL-encoding scheme for evading detection so it could cloak itself in common web traffic instead. This shift in tactics appears to be increasing the threat’s effectiveness at compromising users. Malvertising Breakdown Bot-like, web-based web browser add-on threat Uses domains for three month intervals Changes add-on names continuously; in 2014, 4000 add-ons and 500 domains were observed Once successful, external and internal web-pages visited are exfiltrated via browser extensions In the first five months of 2015 malicious actors abandoned their original URL encoding scheme to cloak its activity in common web traffic to increase penetration rate
  12. Today’s cybercriminals are more sophisticated and backed by a multi-billion dollar industry that has been monetized where data and malware are being commoditized. With this their tactics have changed. They are not looking for quick wins, but long-term payouts. Adapting from attacking an individual computer or person and are now aiming to capture the full power of your infrastructure, to gain a long-term return on their investment .   What have we done in response? Add individual point in time security solutions to stop individual problems. Now we’re stuck dealing with complexity and fragmentation that has created gaps in our security and reduced visibility .
  13. Since the April 2014 release of Heartbleed, the security flaw in the handling of Transport Layer Security (TLS), third-party software vulnerabilities have become an aggravating problem for enterprises seeking to repel attackers. Heartbleed signaled the beginning of closer examinations of third-party software (TPS) vulnerabilities, particularly as open-source solutions became more popular. Here we show six of the most common open-source vulnerabilities that we tracked in the first half of 2015. The Alert Version indicates the number of times that Cisco updated those alerts, as multiple vendors attempted to identify and correct these vulnerabilities in their products. Open-source vulnerabilities pose an inherent challenge: Shutting down a vulnerability requires coordination by many vendors. The community of developers who maintain open-source solutions may quickly provide a fix or a patch, but the fixes then need to be integrated into all versions of the product. The good news: As awareness of open-source vulnerabilities grows, the security community is responding more quickly to them. For example, when the VENOM (Virtualized Environment Neglected Operations Manipulation) vulnerability, which affected open-source code for virtualization systems, first emerged, vendors released patches even before the vulnerability was publicly announced.  
  14. In today’s flourishing malware economy, cryptocurrencies like bitcoin and anonymization networks such as Tor are making it even easier for miscreants to enter the malware market and quickly begin generating revenue. To become even more profitable while continuing to avoid detection, operators of crimeware, like ransomware, are hiring and funding their own professional development teams to create new variants and tactics. Ransomware encrypts users’ files—targeting everything from financial files to family photos—and provides the keys for decryption only after users pay a “ransom.” Ransomware targets everyone from large companies to schools to individual users. The malware is typically delivered through a number of vectors including email and exploit kits. The exploit kit Angler, for example, is known to drop the Cryptowall payload. The ransom demanded is not exorbitant. Usually, a payment between $300 and $500 is required. Why such a modest fee? Adversaries who deploy ransomware have done their market research to determine the ideal price point. The idea is that the ransom is not set so high that a user won’t pay it or, worse, that it will motivate the user to contact law enforcement. Instead, the ransom is more of a nuisance fee. And users are paying up. Cisco Security Research reports that nearly all ransomware-related transactions are carried out through the anonymous web network Tor. Adversaries keep the risk of detection low, and profitability high, by using channels like Tor and the Invisible Internet Project (I2P). I2P is a computer network layer that allows applications to send messages to each other pseudonymously and securely. Many ransomware operations also have development teams that monitor updates from antivirus providers so that the authors know when a variant has been detected and it’s time to change techniques. Adversaries rely on the cryptocurrency bitcoin for payments, so transactions are more difficult for law enforcement to trace. And to maintain a good reputation in the marketplace—that is, being known to fulfill their promise to give users access to their encrypted files after the payment has been processed—many ransomware operators have established elaborate customer support operations. We have recently observed a number of customized campaigns that were designed to compromise specific groups of users, such as online gamers. Some ransomware authors have also created variants in uncommon languages like Icelandic to make sure that users in areas where those languages are predominantly spoken do not ignore the ransomware message. Users can protect themselves from ransomware by backing up their most valuable files and keeping them isolated, or “air gapped” from the network. Users should also realize that their system could be at risk even after they pay a ransom and decrypt their files. Almost all ransomware is multivector. The malware may have been dropped by another piece of malware, which means the initial infection vector must still be resolved before the system can be considered clean.
  15. The upswing in the use of Microsoft Office macros to deliver banking Trojans shows the convergence of two trends in the world of online criminals: resurrecting old tools or threat vectors for reuse, and changing the threat so quickly and frequently that they can re-launch attacks over and over again and evade detection. The old tools used by the perpetrators of these Trojans are macros in Microsoft Office products such as Microsoft Word. Popular with adversaries years ago, these macros had fallen out of favor because they were eventually turned off by default. However, using social engineering techniques, bad actors can persuade users to turn on macros, thereby adding a new tactic to their toolboxes. Our researchers noticed that the spam campaigns carrying the Dridex payload tended to be very short-lived—perhaps just a few hours long—and that they also mutated frequently, as an evasion tactic. While antivirus solutions perform useful security functions, they are not well suited to detecting these short-lived spam campaigns. By the time a campaign is detected, attackers have already changed the emails’ content, user agents, attachments, and refers. They then launch the campaign again, forcing antivirus systems to detect them anew. This approach—combining spam, Microsoft Office macros, and Dridex—appeared to be catching on with cybercriminals during the first half of 2015. We examined 850 unique samples of the emails and attached Microsoft Office files carrying this Trojan, a relatively large number of unique examples for a spam campaign. The creators of these quickly mutating campaigns appear to have a sophisticated understanding of evading security measures. They are aware of the reliance on antivirus detection for these threats, and they work to make sure they avoid detection. Dridex Breakdown Re-use of old attack vectors Uses email delivery with attachments Uses social engineering to get the user to turn on the macros that are turned off by default Executes campaigns within a matter of hours before detection notices propagate Once detected, morphs campaign to evade detection (changes to email content, user agents, attachments, referrers) 850 unique campaign samples observed
  16. In examining the block rates of Cisco customers, we determined that the electronics industry has the most blocked attacks among the 25 industries tracked. Cisco attributes the electronic industry’s high proportion of block rates to an outbreak of Android spyware. As shown, most industries hover at the “normal” level (the 1.0 line) for the ratio of attacks to normal network traffic. However, singling out industries currently above the 1.0 line as being significantly more vulnerable to attacks may be misleading, especially as this analysis only covers the first half of 2015. In addition, no industry should consider itself “safer” than other industries in terms of being a target. Every organization in every industry should assume that it is vulnerable, that attacks will happen, and that it should implement defense-in-depth strategies accordingly.
  17. Cisco Security Research also examined the countries and regions where malware-based block activity originates, as seen in Figure 17. The countries were selected for study based on their volume of Internet traffic. A block ratio of 1.0 indicates that the number of blocks observed is proportional to network size. Countries and regions with block activity that we consider higher than normal likely have many web servers and hosts with unpatched vulnerabilities on their networks. A presence in large, commercially viable networks that handle high Internet volume is another factor for high block activity. This map relates to where servers are hosted. It does not attribute patterns of malicious web activity to the depicted countries or regions. Hong Kong, which ranks number one on the list, is an example of a region where a high percentage of vulnerable web servers are observed.  A small number of networks hosted in France participated in an outbreak midway through the reporting time period, which raised its profile more than expected.
  18. Cisco Security Research also examined the countries and regions where malware-based block activity originates, as seen in Figure 17. The countries were selected for study based on their volume of Internet traffic. A block ratio of 1.0 indicates that the number of blocks observed is proportional to network size. Countries and regions with block activity that we consider higher than normal likely have many web servers and hosts with unpatched vulnerabilities on their networks. A presence in large, commercially viable networks that handle high Internet volume is another factor for high block activity. This map relates to where servers are hosted. It does not attribute patterns of malicious web activity to the depicted countries or regions. Hong Kong, which ranks number one on the list, is an example of a region where a high percentage of vulnerable web servers are observed.  A small number of networks hosted in France participated in an outbreak midway through the reporting time period, which raised its profile more than expected.
  19. We define “time to detection,” or “TTD,” as the window of time between the first observation of a file and the detection of a threat. We determine this time window using opt-in security telemetry gathered from Cisco security products deployed around the globe. The “retrospectives” category shows the number of files that Cisco initially categorized as “unknown” that were later converted to “known bad.” The number of retrospectives has been increasing since December 2014. It is yet another indicator that malware creators are innovating rapidly to stay one step ahead of security vendors. However, at the same time, the median TTD for threat detection by Cisco has been declining. In December 2014, the median TTD—meaning when analysis revealed an unknown file to be a threat—was about two days (50 hours). The current industry standard for time to detection is 100 to 200 days, an unacceptable level, given how rapidly today’s malware authors are able to innovate. We attribute a recent upward trend in retrospectives to an increase in evasive activity and to successful payload deliveries of new Flash exploits by the Angler and Nuclear exploit kits. From January to March, the median TTD was roughly the same—between 44 and 46 hours, but with a slight trend downwards. In April, it had edged up slightly to 49 hours. However, by the end of May, TTD for Cisco had decreased to about 41 hours. This improvement is due partly to Cisco’s ability to quickly identify commodity malware such as Cryptowall, which is evasive but not novel.
  20. We define “time to detection,” or “TTD,” as the window of time between the first observation of a file and the detection of a threat. We determine this time window using opt-in security telemetry gathered from Cisco security products deployed around the globe. The “retrospectives” category shows the number of files that Cisco initially categorized as “unknown” that were later converted to “known bad.” The number of retrospectives has been increasing since December 2014. It is yet another indicator that malware creators are innovating rapidly to stay one step ahead of security vendors. However, at the same time, the median TTD for threat detection by Cisco has been declining. In December 2014, the median TTD—meaning when analysis revealed an unknown file to be a threat—was about two days (50 hours). The current industry standard for time to detection is 100 to 200 days, an unacceptable level, given how rapidly today’s malware authors are able to innovate. We attribute a recent upward trend in retrospectives to an increase in evasive activity and to successful payload deliveries of new Flash exploits by the Angler and Nuclear exploit kits. From January to March, the median TTD was roughly the same—between 44 and 46 hours, but with a slight trend downwards. In April, it had edged up slightly to 49 hours. However, by the end of May, TTD for Cisco had decreased to about 41 hours. This improvement is due partly to Cisco’s ability to quickly identify commodity malware such as Cryptowall, which is evasive but not novel.
  21. The innovation race between adversaries and security vendors is only accelerating, and organizations are at risk of becoming more vulnerable to attack if they sit back and watch. They need to be proactive about identifying and addressing cybersecurity risks that can affect their business and aligning the right people, processes, and technology to help them meet those challenges.
  22. Businesses around the globe are becoming increasingly reliant on the Internet to support business models that make them more competitive and benefit their consumers. But they face adversaries who are deploying tactics that can undermine their success. If left unchecked, cyber risks will have profound consequences on innovation and economic growth for all businesses. Cisco geopolitical experts see a cohesive, multi-stakeholder cyber governance framework as a positive step toward sustaining business innovation and economic growth on the global stage, supporting organizations’ investments in the digital economy. However, the current governance framework does not protect businesses from cyber attacks . These include not just those that lead to data breaches and the theft of intellectual property, but also those capable of disrupting global supply chains, damaging critical infrastructure, or worse. Many companies don’t pursue remedies to cyber attacks because they lack the support of law enforcement from other countries. However, more governments are becoming open to the concept of public attribution of attacks and the imposition of sanctions. The lack of effective global cyber governance can also prevent the collaboration necessary in the security industry to create adaptive technologies that can detect and prevent new threats. Recent changes were proposed to the Wassenaar Arrangement, a voluntary multinational agreement intended to control the export of certain “dual-use” technologies, including intrusion software such as digital surveillance tools. These proposals threaten to constrain this control and prevent security researchers from sharing information with their industry peers without heavy regulatory burdens. This development may have a significant impact on security research capabilities and further exacerbate the talent shortage in the industry. The question of boundaries—especially with regard to how governments collect data about citizens and businesses and share, or not share, that information between jurisdictions—is a significant hurdle to the type of cooperation needed to achieve cohesive cyber governance. As the Internet of Things takes shape and the world becomes more interconnected, industry, governments, and society will need to work together more effectively to address growing security and privacy challenges. Currently, cooperation—and trust—between entities on the global stage is limited at best between some players, and nonexistent between others. Even entities with strong alliances have competing philosophies about cyber governance, and they are naturally focused on enacting laws that benefit their sovereign interests and their citizens. Much like discussions about climate change, only a handful of players will come to the table to talk, and consensus is hard to achieve even for small measures. At the regional level, at least, there are some efforts to look beyond national borders. For instance, within the European Union (EU), there is movement to improve the coordination of information sharing through the proposed Network and Information Security (NIS) Directive. This directive “aims to ensure a high common level of cybersecurity in the EU” by, among other things, “improving cooperation between Member States, and between public and private sectors.” The EU and the United States also appear to be close to signing a data protection “umbrella agreement” that will set data protection standards for data shared between law enforcement authorities. This agreement will not answer the bigger questions as to how and what type of data can be accessed. But it may go some way to improve the tense atmosphere between the two powers, which has threatened to put companies in the middle of the jurisdictional conflict. Legal, technical, and security teams for organizations that operate in the EU and the United States will need to work together on access requirements if the umbrella agreement is signed. There is other legislation in the works in Europe that could end up creating more boundaries, however, especially for businesses. EU institutions are looking to finalize the new General Data Protection Regulation (GDPR) by the end of the year, replacing the existing EU Data Protection Directive. This regulation contains a broad definition of personal data and prescriptive rules on how such data should be managed under the threat of huge fines. It will have a significant impact on how organizations that do business with and in the EU gather, store, and use customer data, and how they report data breaches. Intended to create greater accountability and transparency, the GDPR will, at least, compel many organizations to examine their approach to data privacy and governance and adopt best practices. Technical teams, for example, will need to take into account design considerations around limitations or difficulties associated with moving data across borders. They will need to be aware of different regional sensitivities of data that is characterized as “personal” or not. Security teams will also need to be mindful of developments that affect data transfer, the definition of personal data, the legal bases for network and information security processing, and data breach reporting requirements. Greater harmonization of rulemaking could serve as a path toward building a cyber governance framework that elevates the advocacy of negotiations between governments regarding data protection regulations and at the same time prevents industry from getting caught in the middle. Until that happens, security practitioners need to play an active role in making sure decision makers in their organizations understand the impact that regulations issued by different countries may have on operations. Incompatible systems, burdensome or conflicting data requirements, privacy law violations, and data transfer and handling requirements are among the challenges.
  23. The pace at which malicious actors are able to innovate and advances in the security vendors’ ability to respond creates a dilemma for organizations. In order to keep pace, organizations will need to either build more effective security defenses, buy services to fill the gaps or increase their exposure to current and emerging security threats.
  24. Security vendors know they need to stay agile. If they or their networks let down their guard even briefly, attackers will get the upper hand. But the pace of innovation in the industry is not as rapid as it needs to be. Many vendors are offering piecemeal or individual solutions to security problems. And buyers—that is, the organizations that purchase security tools from vendors—are eagerly looking for stopgap products, not in-depth strategic solutions. But because they are not integrating technologies and processes across the entire security footprint, their management of security tools becomes unwieldy. On one side of the security industry are large, well-established players building security suites based on one or more standout products. However, these suites may also contain other solutions that are not as effective as, or do not work with, other leading solutions. Niche vendors, meanwhile, are developing products to help fill specific security gaps. Many organizations are quick to invest in the latest innovation that fills a known gap, instead of stepping back to look at security holistically. The result is a “patchwork quilt” of products that is difficult for security teams to manage. The solutions may have overlapping capabilities, may not meet industry standards, and are likely not interoperable. And niche technologies that cannot be deployed at scale to meet the needs of average users are typically short-lived, no matter how effective they may be. Additionally, many security technologies require organizations to overhaul their security architecture just to adapt to the latest risks. These technologies, whether they’re from one side of the security industry spectrum or the other, are not capable of evolving with the changing threat landscape. This is not a sustainable model.
  25. Another challenge is complexity and fragmentation. The average number of security vendors for enterprise customers is 50. The big conference for Security is the RSA conference held at the Moscone center every year. 373 vendors were registered for it in 2014. Finally, the demand for cyber security professionals is twelve times greater than it is for general IT professionals. Customers are unable to get talent they need to run operations themselves. They need somebody else who has the skill to help them.
  26. Traditional‘defense-in-depth’ architectures typically force organizations to buy multiple disparate security solutions (such as firewalls, VPN gateways, Web filters, and other appliances) from different vendors to get best-of-breed multilayer protection. This approach creates silos and increases complexity, as these pieces don’t always work well together. Second, this lack of unified protection creates multiple blind spots in a security defense. Attackers exploit these ‘visibility’ gaps, leaving organizations vulnerable and too often unaware. And third, enterprises usually need to hire multiple dedicated teams to install and manage security solutions. Security teams often ‘fill the gaps’ with tedious labor and manual processes that are inefficient and costly. Response is slowed, preventing rapid response to the adapting landscape.
  27. As more consolidation and integration in the security industry unfolds over the next five years, organizations that purchase new security products and services will need to make sure those solutions are effective, sustainable, and trusted. They should take time to understand what security and other IT vendors are doing to build security into their products. They must verify that these products remain trustworthy through every point in the supply chain that delivers those products to them. More than that, they should ask vendors to demonstrate that their products can be trusted and contractually back up their claims.
  28. Security vendors have an important role to play in helping end users understand the importance of investing in trustworthy solutions and keeping security technology up to date. Organizations that rely on outdated infrastructure are placing their data, systems, and users—their entire business—at risk. The worsening shortage of security talent means that many organizations have limited skilled resources to monitor developments in both the risk environment and vendor landscape. Lack of access to in-house security expertise is a key factor for the piecemeal or “patchwork quilt” approach that many companies take when building their security defenses. Enlisting third-party expertise offers organizations the flexibility to pivot with the shifting threat landscape. Security services providers are well positioned to look at security holistically and to help business invest in and get the most from its security investments. In addition to augmenting lean security teams, third-party experts can offer assessments that test the strength of an organization’s security posture. And they can help identify effective strategies for addressing vulnerabilities and other risks. They can also help organizations deploy automation and manage solutions that provide the analytics and real-time threat correlation needed to combat hard-to-detect and rapidly emerging threats. Some organizations look to security services providers for guidance as they embrace mobile, social, cloud, and other emerging business models. Some seek help in navigating data privacy and data sovereignty requirements in markets where they operate. Others, including small and midsize businesses looking to take advantage of security technologies and operations that larger enterprises use, tap third-party experts to help them find managed and hosted models that meet the needs of their business.
  29. In a world where the compromise of users and systems is both assured and assumed, detection of evasive threats is obviously a necessary focus for organizations and security teams. Threat activity, including activity from nation-states, is only increasing. Many organizations are therefore thinking even more seriously about developing business continuity plans that can help them recover critical services following a cyber attack against their business or the infrastructure that helps to support it. However, we also see noticeable demand from both businesses and individual users for the security industry to develop capabilities that can more effectively deflect—and not just detect—cyber attacks. At the very least, they seek solutions that provide faster time to detection and resolution. Security complexity stands in the way of meeting these demands—for now.
  30. Many organizations are quick to invest in the latest innovation that fills a known gap, instead of stepping back to look at security holistically. The result is a “patchwork quilt” of products that is difficult for security teams to manage.
  31. The solutions may have overlapping capabilities, may not meet industry standards, and are likely not interoperable. And niche technologies that cannot be deployed at scale to meet the needs of average users are typically short-lived, no matter how effective they may be. Additionally, many security technologies require organizations to overhaul their security architecture just to adapt to the latest risks. These technologies, whether they’re from one side of the security industry spectrum or the other, are not capable of evolving with the changing threat landscape. This is not a sustainable model. Innovative malicious actors leverage speed, agility, adaptability and destruction to achieve their objectives
  32. Our security experts suggest that the need for adaptive solutions will lead to significant change in the security industry within the next five years. We will see industry consolidation and a movement toward an Integrated Threat Defense  architecture  that provides visibility, control, intelligence, and context across many solutions. This detection-and-response framework will support a faster response to both known and emerging threats. Core to this architecture is a visibility platform that delivers full contextual awareness. It must be continuously updated to assess threats, correlate local and global intelligence, and optimize defenses. Local intelligence will provide context regarding infrastructure while global intelligence correlates all detected events and indicators of compromise for analysis and immediate, shared protection. The intent of the visibility platform is to build a foundation that all vendors can operate on and contribute to. This system would take in and act on the massive volume of security information available from the security community. The visibility it provides would give security teams more control. They will be able to deliver better protection across more threat vectors and thwart more attacks. This is the direction the security industry must take to help all end users defend themselves from the sophisticated tactics of today’s threat actors. However, developing an integrated threat defense ,  as it is described here, will require better cooperation, dialogue, and coordinated action among all security vendors—niche innovators and long-standing players alike.
  33. So Now What? We need to evolve. Evolve our thinking. Evolve our strategy.
  34. We need to be threat­–centric, and think like an attacker. Why? You are up against a highly motivated and compensated workforce. Who are using advances in technology, changing business models and user behaviors to their advantage . The dynamic threat landscape is demanding an adapt or die strategy.   We think like you do. We have taken a threat–centric approach in creating our cybersecurity solutions to tackle your biggest issues .  
  35. Lets be upfront, we are not proposing that we have a magic bullet. It doesn’t exist. And those who tell you it does are only perpetuating your problem. [CLICK]  You can go back to a number of “point in time” cybersecurity solutions, such as a stand-alone firewall. We too have learned and adapted to the effects of IT Sprawl, and the industrialization of hacking. Any stand-alone solution, even a firewall on its own in not sufficient in a threat-centric strategy and does not cover the entire attack continuum. What we need to stop these criminals is a security strategy that provides protection [CLICK] Before-During and After and attack. Protection across the entire attack continuum, [CLICK]  that is visibility-driven, threat–focused with a platform based approach. Pervasive, continuous and always-on cybersecuirty, across the entire attack continuum .   At Cisco, our mission states our intentions…intelligent cybersecurity for the real world. Not claims that we have a fantasy solution to solve your real word cyberthreats.  
  36. Lets be upfront, we are not proposing that we have a magic bullet. It doesn’t exist. And those who tell you it does are only perpetuating your problem. [CLICK]  You can go back to a number of “point in time” cybersecurity solutions, such as a stand-alone firewall. We too have learned and adapted to the effects of IT Sprawl, and the industrialization of hacking. Any stand-alone solution, even a firewall on its own in not sufficient in a threat-centric strategy and does not cover the entire attack continuum. What we need to stop these criminals is a security strategy that provides protection [CLICK] Before-During and ПОСЛЕ and attack. Protection across the entire attack continuum, [CLICK]  that is visibility-driven, threat–focused with a platform based approach. Pervasive, continuous and always-on cybersecuirty, across the entire attack continuum .   At Cisco, our mission states our intentions…intelligent cybersecurity for the real world. Not claims that we have a fantasy solution to solve your real word cyberthreats.
  37. Lets be upfront, we are not proposing that we have a magic bullet. It doesn’t exist. And those who tell you it does are only perpetuating your problem. [CLICK]  You can go back to a number of “point in time” cybersecurity solutions, such as a stand-alone firewall. We too have learned and adapted to the effects of IT Sprawl, and the industrialization of hacking. Any stand-alone solution, even a firewall on its own in not sufficient in a threat-centric strategy and does not cover the entire attack continuum. What we need to stop these criminals is a security strategy that provides protection [CLICK] Before-During and After and attack. Protection across the entire attack continuum, [CLICK]  that is visibility-driven, threat–focused with a platform based approach. Pervasive, continuous and always-on cybersecuirty, across the entire attack continuum .   At Cisco, our mission states our intentions…intelligent cybersecurity for the real world. Not claims that we have a fantasy solution to solve your real word cyberthreats.