Апрель 2014 скачать эту статью как PDF

Обзор

Серия лекций Тим размещается программа управления инновационной технологии (TIM) в Карлтонском университете в Оттаве, Канада. Лекции служить форумом для содействия передаче знаний между университетских исследований по технологии компании руководителей и предпринимателей, а также научных исследований и развития персонала. Читателям предлагается делиться соответствующие идеи или обеспечить обратную связь на презентации или Тим серии лекций, включая рекомендации о будущих ораторов.

Третья лекция Тим 2014 в Карлтонском университете состоялась 26 марта и был представлен Дэвид Гро, вице-президент и руководитель угрозы реагирования, разведки и оборонительных технологий в TD Bank Group и Чарльз Кеннеди, вице-президент кредитной карты технологии. Кеннеди и Грау обсудили состояние информационной безопасности индустрии и нынешние тенденции в области управления угрозами и сосредоточены свои лекции на банковской отрасли и опыт группы банка TD с кибербезопасности в нем. Однако многие из сообщений применимы для более широкого и междисциплинарных областях.

Резюме

Лекция началась с обзором состояния отрасли, включая типы общих угроз, с которыми сталкивается сегодня, таких как вредоносные программы, физические нападения, социальная инженерия, социальные медиа, неправильного использования, ошибки и воздействия на окружающую среду. Кеннеди отметил, что взлом является особое внимание, которое непропорционально вводит риск для банка и его клиентов. Взлом может принимать форму системы взлома (например, операционные системы), инфраструктуры взлома (например, беспроводные, оборудование, сетевые устройства), или приложения и данных взлома (например, порты, код пользователей). Как правило события, которые возникают в результате этих видов деятельности не являются дела одного индивидуальные преступления ориентации индивидуальные пользователя; более общие и значительные угрозы исходят от автоматизированных систем.

Эти угрозы не воспринимаются так же всех людей или организаций. Кеннеди объяснил, что степень и характер проблем – или позы – в отношении угроз кибербезопасности варьируется от граждан, правительств и организаций инфраструктуры:

  1. Граждане обычно беспокоятся по поводу защиты личности и кражи личных данных, социальные сети, удобство, неприкосновенность частной жизни, конфиденциальности и вопросы, связанные с мобильным (например, платежи, оговорки, местоположение, розничных приложений). В этой группе типичные демографической ситуации указывают на высокие показатели использования и внедрения Интернета и мобильных технологий среди молодых людей.
  2. Правительства обычно беспокоятся о защите данных и кражи, а также надежность государственного и частного секторов. Озабоченности правительств индивидуальные может быть уникальным, и существует широкий спектр поз во всем мире. Первые шаги принимаются для определения международных правил применения вооруженной силы для борьбы с кибертерроризм и кибервойна правительств. Примеры включают Таллинн руководство по международному праву, применяемому кибер-войны (НАТО, 2013)
  3. Банки и инфраструктура обычно беспокоятся о сохранении финансовых услуг (например, платежи и обмены), коммунальные услуги и коммерческой деятельности. Инновации, исследования и ответ зависит от сотрудничества между отраслями, а также между правительством и промышленностью. Возрастающая сложность угроз обусловливает необходимость расширения сотрудничества в будущем.

Актеры угрозы и мотивы

Грау подчеркнул естественную тенденцию информационной безопасности персонала – как технологов – взглянуть на проблемы с технологической точки зрения. При оценке угрозы безопасности или инцидента, эта тенденция ведет к акценту на материальные ценности-что, когда и где – которые могут быть проанализированы и обработаны. Часто, этот анализ приходит на счет из учитывая человеческий фактор – кто и почему- и приводит к созданию инструментов, которые усиливают технологии предвзятости и оставляет персонал перегружены с массовым и увеличение объема неуправляемых данных. В ответ на нынешнее положение дел в области информационной безопасности необходимо гораздо больше внимания, к факторам, которые мотивируют актеров. Если усилия сосредоточены на indentifying и понять, кто и почему, недостаточно контекст для выявления важных моделей в больших объемах данных событий и принимать взвешенные решения на основе этих данных.

Вообще говоря, угрозы, стоящие перед граждане, правительства и организации инфраструктуры поступают из трех видов актера:

  1. Преступник: мотивирована прибыли; сосредоточены на мошенничестве; «вершина пищевой цепи»
  2. Hactivist: мотивировано общественно-политических причин; сосредоточены на обращая внимание путем нарушения и посрамление; принимает инструменты и методы от преступных субъектов; Примеры: Аноним, AntiSec
  3. Национальное государство: мотивировано политическими или экономическими преимуществами; основное внимание на шпионаж; конце усыновителей, которые учатся от преступных актеров и Карена

Из этих трех типов субъектов преступных субъектов имеют наибольшую озабоченность в банковской отрасли, и поэтому большая часть лекции сосредоточена на описании угрозы со стороны преступных субъектов и стратегии банка не только для защиты от них, но принятия активных мер по сокращению опасности, которую они представляют. Уровни угрозы от двух других типов актера увеличивается; Однако уголовные субъекты по-прежнему наибольшую угрозу для банковской отрасли, отчасти из-за их прибыли, но и потому, что большинство инноваций, как правило, приходят из этой группы – hactivist и национальное государство субъекты обычно принять методы и технологии, которые были впервые разработаны преступных субъектов.

По сравнению с всего 15 лет назад, уголовные ландшафт значительно изменился. В то время как преступной деятельности в киберпространстве обычно инициативе «шоу одного актера», есть в настоящее время сложные уголовные экосистемы, которые являются расслаиваются и сервис ориентированной. Например ярусы актеров в экосистеме может включать следующее:

  1. Спонсоры (например, организованной преступности)
  2. Создатели вредоносных программ
  3. операторы ботнета
  4. ботнет пользователей
  5. деньги мулов (то есть, те, кто перевести деньги из экосистемы)
  6. Mule животноводам, (то есть, те, кто линии соединения деньги мулов)
  7. финансируемые государством «skunkworks»

В прошлом усилия по обеспечению безопасности могли бы направлены индивидуальные который пишет вредоносный код, который вероятно также играли все или большинство из ролей, перечисленных выше. Теперь servitization преступной экосистемы означает, что субъекты, желающие совершить мошенничество, не требуют дополнительных технических навыков; необходимые инструменты и услуги легко доступны и проста в использовании. Однако после того, как мошенничество было совершено, она остается проблемой для преступных актеров, чтобы получить деньги. Как люди, которые берут деньги из экосистемы деньги мулов являются слабым звеном в цепи – скорее всего, будут обнаружены и скорее всего, отправной точкой для дальнейшего изучения экосистемы. Чтобы проиллюстрировать сложность и стратификации преступных экосистем, Грау приводятся примеры услуг, предлагаемых в рамках таких сетей, таких как мошенничество агрегаторы, которые являются сайты, которые собирают и организовывать украденные данные (например, номера кредитных карт), которые могут запрашивать преступных субъектов.

Текущие и новые тенденции

Грау рассмотрели некоторые из текущих и новых тенденций в методах, используемых участниками угроз, включая:

  1. Человек в браузере атаки: метод использования вредоносных программ для создания ложного, но действительно убедительно, браузер опыт к жертве и собирать учетные данные и другие ценные данные в фоновом режиме. Этот тип вредоносных программ, полностью автоматизированный, проста в использовании и очень мощный. Потому что это так убедительно – даже URL-адреса в адресной строке браузера отображаются правильно – такой подход является гораздо более эффективным, чем традиционные Фишинг-методы. Это также очень трудно обнаружить с анти-вирус и анти spyware приложений, и поэтому существует настоятельная необходимость в инновационной деятельности в этой области.
  2. Вымогателей: вредоносное по, которое устанавливается на компьютер и делает вид, что анти-вирус или другие благие программного обеспечения. Например он может предоставить пользователю выбор или не разрешать программное обеспечение «чистый» компьютер, но если пользователь отклоняет, либо постоянно наносит ущерб жертве жесткий диск или требования онлайн выкуп платежей.
  3. Полиморфизм: вредоносные программы, которые настроены для каждого пользователя, означает, что каждая версия вредоносной программы является уникальным для этого пользователя, даже если оно может быть функционально идентична другой версии. Такой подход может преодолеть типы общих правил и определения баз данных, которые зависят от традиционных антивирусных программ.
  4. Упакованных Эксплойт комплекты: рамки вредоносных программ, которые обеспечивают индивидуальные пакеты вредоносных компонентов, которые соответствуют особой уязвимости жертвы. Если пользователь может обманом посетить веб-сайт, где установлен упакованный набор, платформа проверяет компьютер жертвы и затем упаковывает набор эксплойтов, предназначенных специально для того, чтобы удовлетворить уязвимости жертвы. Это индивидуальные подход также означает, что уголовные субъекты не должны «показать все свои карты» с точки зрения полного дополнения подвиги что они доступны. Такой подход может также воспользоваться полиморфизма для запутывать новый, настроенный пакет.
  5. Распределенных атак типа "отказ в обслуживании" (DDoS): подход, который эффективно создает массовый цифровой пробки в целевой организации инфраструктуры, обычно путем усиления и перенаправления трафика на целевой сети. Хотя в прошлом, DDoS-атак обычно «ньюснс» атаки, этот подход в настоящее время часто используется как тактика persionary для облегчения мошенничества.
  6. Бот-сети нового поколения: сети компьютеров под управлением внешнего актера для целей отправки спама или участие в DDoS-атак. В прошлом бот-сети главным образом завербованы тысячи домашних компьютеров индивидуальные; Однако масштаб ботнет подход вырос массово не путем увеличения набора дополнительных компьютеров, а также путем сосредоточения внимания на серверах, которые обеспечивают гораздо большую мощность на инфекцию, что приводит к меньше, но более мощный бот-сети, которые могут иметь огромный разрушительный потенциал.

В описании текущих и возникающих угроз, Грау предупредил, что термин «передовые постоянную угрозу», или APT, часто злоупотребляют и злоупотреблять, потому что все современные вредоносные программы advanced, является стойким, и представляет собой угрозу, в дополнение к сложным, скрытый и уклончивые. Истинный APT разделяет все эти характеристики, но это также редкие, целенаправленные, индивидуальные и объясняется (то есть, не конъюнктурных).

К сожалению традиционное антивирусное программное обеспечение во многом неэффективны против нынешних и новых методов, используемых преступных субъектов. Verizon (2011) сообщил 37% успеха для антивирусных программ в своем исследовании данных нарушений; другие наборы данных отчета еще более низкие цифры. Основной причиной является растущая сложность проблемы: дополнительные устройства и компоненты появляются, поверхность атаки увеличивается. Поскольку все больше и больше способов для преступных организаций для проникновения в систему, она становится все более трудным для защиты всей атак. Гро представил несколько примеров промышленности, в том числе Зевса троянский конь и Cryptolocker вымогателей и нарушение данных целевых 2013 для усиления сложности текущих и возникающих угроз.

Инновационные возможности

Основываясь на своем опыте, Грау и Кеннеди определили следующие области, где необходимы инновации в области кибербезопасности:

  1. Квалифицированные рабочие и новаторов: существует нехватка талантливых специалистов в области информационной безопасности.
  2. Borderless сети: Организации не имеют четко определенных периметр – эта парадигма стала устаревшей. Сегодня Организации более пористые и не были четко определены «двери», которые просто нужно заблокировать по безопасности персонала. В настоящее время существует потребность в вездесущих безопасности (например, портативный безопасности стека), который не только предполагает оборонительные позиции, но проворные, всепроникающей и динамичный.
  3. Во избежание фрагментации Интернета: изменения в Интернете с течением времени в ответ на угрозы кибербезопасности служит стимулом для государств фрагментировать Интернета (например, Великий брандмауэр Китая). Основная проблема заключается в том, что усилия по укреплению кибербезопасности зачастую противоречат идеалам, на которых основывается Интернет и требует, чтобы эффективно функционировать.
  4. Безопасность как аналитика больших данных: существует потребность в режиме реального времени обнаружения событий с в линии корреляции и принятия решений на основе баллов, полученных от Google analytics.
  5. Ресурсы по сравнению с программным обеспечением: существует несоответствие между экспертами данных, которые не понимают сценарии угрозы, и специалистов по безопасности, которые не понимают анализ данных.
  6. Интеллект разрыв: угроза разведки является чрезвычайно ценным,-это помогает сконцентрировать усилия и значительно увеличивает скорость реакции. Существует необходимость для инструментов и процессов, которые позволяют более зрелых анализ разведывательных данных; Однако никогда не заменит инструменты анализа и интерпретации человеком, и все чаще, наличие навыков разведки угрозы отстают от спроса.

Извлеченные уроки

В ходе обсуждений, которые последовали за каждую часть презентации аудитории члены разделяют уроки они из презентации и вводят свои собственные знания и опыт в разговор.

Зрители определили следующие ключевые вынос из презентации:

  1. Безопасность дорого, но отсутствие безопасности является более дорогим.
  2. Кибербезопасность в настоящее время является глобальной проблемой с глобальными игроками.
  3. Доступные автоматизированные инструменты и процессы позволяют достаточно легко поймать неискушенных преступников; решительные, современные актеры не делают его легким.
  4. Понимание мотиваций субъектов угрозы жизненно важно: кто и почему.
  5. С точки зрения инноваций, «плохие парни» (уголовные субъекты) ведущие отрасли. И мы должны стремиться, чтобы учиться у них.
  6. Антивирусное программное обеспечение дает пользователям ложное чувство безопасности.
  7. Аналитика больших данных приобретает все большее значение как мы пытаемся разобраться в больших объемов данных и выявления моделей интереса, поскольку индивидуальные вредоносные события или мошеннических действий могут выглядеть аналогичные или даже идентичны обычных, повседневных операций.
  8. Эта проблема остро стоит в банковской отрасли, но это не только к нему. Однако реальная проблема проистекает из отрасли программного обеспечения, которая лежит в основе этих других коммерческих отраслях.
  9. Малые и средние предприятия являются особенно уязвимыми и практики должны убедиться, что они имеют хороший Интернет «гигиена».
  10. Существует нехватка skillset: нам нужно больше ученых экспертов и данных разведки.
  11. Наши нынешние подходы не работают – существует потребность в инновационной деятельности, которая будет, скорее всего через парадигмы.
  12. Отрасль слишком фрагментированными. Существует необходимость расширения сотрудничества между правительствами, технологов и промышленности: целостный подход к безопасности.

Этот доклад был написан Крис Макфи

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
Нет голосов были поданы еще. Скажи свое слово!

Ключевые слова: аналитика, банковское дело, кибербезопасность, взлом, реагирования на инциденты, информационной безопасности, разведки, цели, угрозы

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.