Блог Cisco в России и СНГ
Поделиться
tweet

Злоумышленники осваивают Agile-разработку

- Апрель 5, 2016 08:54

После публикации на русском языке отчета Cisco по информационной безопасности и вспоминая прошлогоднюю запись,  меня уже несколько раз спрашивали — когда появится запись по новому отчету. Я все тянул-тянул, не находя времени на эту работу, но вот на днях, будучи в командировке, все-таки выделил некоторое время и записал ролик по опубликованному нами отчету. Точнее два ролика. Учитывая, что наш отчет в этом году был посвящен не только анализу происходящего по ту сторону баррикад (у хакеров), но и немало внимания уделил произошедшему по эту сторону (у безопасников), я решил что и роликов должно быть два.

Первый я посвятил обзору ключевых тенденций в области угроз. Если посмотреть в целом, то тенденции прошлого года сохранились — злоумышленники становятся все быстрее и адаптивнее, их творения — незаметнее и разностороннее. Более того, войдя во вкус и получив доступ к большим деньгам (несколько десятков миллионов долларов на кампанию), злоумышленники начинают перенимать все самое лучшее из мира обычного ИТ-бизнеса.

Например, agile-разработка, то есть создание программного обеспечения в условиях непрерывных изменений. Злоумышленники поступают ровно также, подчас внося десятки изменений в своей вредоносный код в течение дня. Сайты однодневки, смена IP-адресов, изменение названий файлов с вредоносным содержанием… Все это примеры того, как злоумышленники скрывают следы своей активности от традиционных подходов в области информационной безопасности — сигнатур, шаблонов, белых и черных списков, которые обновляются один-два раза в день.

Другой пример — обеспечение непрерывности бизнеса и контроль работоспособности вредоносной инфраструктуры. Помимо прокси-серверов, перенаправляющих ничего не подозревающих пользователей на регулярно меняющиеся сайты с вредоносным кодом, создаются специальны узлы, следящие за работоспособностью, активностью и загрузкой таких прокси-серверов. В случае большой нагрузки, или выхода из строя, или перехвата управления ими со стороны специализированных компаний, происходит автоматическое переключение на дублирующие площадки, тем самым обеспечивая непрерывность функционирования всей вредоносной инфраструктуры.

И это только два примера того, что нам удалось увидеть, анализируя действия злоумышленников в прошлом году. О других наших наблюдениях можно прочитать в самом отчете, прослушать подготовленное нами видео и просмотреть короткую презентацию:

Ежегодный отчет Cisco по ИБ. Состояние защиты from Cisco Russia

В следующей заметке мы рассмотрим вторую часть нашего отчета, посвященную тенденциям по эту сторону баррикад.

Tags:
Оставить комментарий

Поделиться
tweet