2017年のサイバーおよび情報セキュリティレポート

こんにちは、Habr。 2017年のサイバーおよび情報セキュリティに関する年次報告書のショートバージョンを、主なパートナーであるWallarmと共同で作成し、最も顕著な脆弱性とハッキングに関する情報を提供します。



2017年、Qrator LabsとWallarmは、攻撃ベクトルの数が増加しているため、脅威の多様化が進んでいることを指摘しました。 今日のグローバルネットワークの重大な脆弱性の範囲は非常に広いため、攻撃者はさまざまな方法を選択して、ほとんどすべての組織に問題を引き起こすことができます。 また、増え続けるツールが自動的に機能するため、集中管理が冗長になります。



2016年をボットネットとテラビット攻撃の年と呼ぶことができる場合、2017年はネットワークとルーティングの年でした。 Googleによる日本のネットワークルートの迂回 、米国における他の誰かのレベル3トラフィックの傍受、および他の多くのロシアのRostelecomなどのインシデントは、誤った管理とプロセスの自動化に基づく人的要因に関連する永続的かつ高いリスクを示しています。 重要な自動スクリプトを自信を持って停止する勇敢なエンジニアは、ネットワークリソースの可用性に深刻な問題を引き起こす可能性があります。





2016〜2017年の攻撃数のダイナミクス

うさぎの穴の深さ

昨年、ある国から別の州に世界がどれほど速く移行したかをすでに見てきました。 攻撃者がDDoS攻撃を仕掛けるという脅威によって暗号通貨を強要する電子メールは、従業員の間でパニックを引き起こす可能性があります。 パニック状態は、現在のリソースの長期計画にも積極的な保護にも寄与しません。 脅威は遠くから考慮し、習熟と準備の時間を探してください。

多くのIoTデバイスは、Webインターフェースの脆弱性などの簡単な方法を使用して依然としてハッキングされています。 これらの脆弱性のほとんどすべてが重要ですが、製造元はパッチを迅速に作成し、それをアップデートとして提供する能力が非常に限られています。

2017年にMiraiツールキットがボットネットを作成するための基本フレームワークになったため、IoTデバイスのハッキングがより頻繁になりました。 しかし、ボットネットフレームワークの初期の化身が知られるようになり、ミライは独自のコード、たとえばハジメのインスピレーションを引き出しました。



BlueBorneを見ると、はるかに大きいデバイスの外観、そしてもちろん、機能の面ではるかに危険なボットネットの外観を簡単に予測できます。



増幅プロトコルを使用しなくてもフラッド攻撃が可能な、Miraiよりもさらに大きなボットネットの出現を期待しています。



以前と同様に、アプリケーションレベルの攻撃は非常に危険です。 あなたの会社が専用のL2チャネルで通信プロバイダーに接続されている場合、操作性を維持するために別々に使用される安全でない機器またはサードパーティのサービスの脆弱性が使用されるのは時間の問題です。 2017年に商用DDoS攻撃はさらに複雑になりました。ここを迂回し、そこをハックし、最終的に損害を与える方法を見つけます。 2017年には、感染したWindowsマシンに基づくボットネットが消えていないことも実証されました。 WannaCry、Petya、NotPetyaなどのランサムウェアの流行の影響と結果は、目に見えないソフトウェアがあらゆる規模のネットワーク内の感染した各マシンからのトラフィックの生成を命令する場合、DDoS攻撃の形で再現できます。 私たちの観察によると、ボットネットのサイズは拡大しています。次世代のマルウェアが、インターネットの大規模な接続部分や大規模なプロバイダーの個々のネットワークを攻撃するのに十分な規模を獲得するポイントはそう遠くありません。



Windowsボットネットに基づく高速攻撃は、1 Tbpsでの攻撃に関する昨年のジョークを変えました。 頻繁に見られる悲しい現実への応用レベルで。 同じL7（アプリケーションレベル）で数百Gbit / sを叩き、私たちの日常生活に入る日はそれほど遠くありません。 おそらく、これは2018年に発生します。これは、このような攻撃によって破壊される可能性のあるすべてが、攻撃がチャネル容量の最大レベルに達するよりもはるかに速くオフになるためです。





特定の消費者セグメントにおける攻撃の平均数

インフラ遺産

2017年、ルーティングインシデントは2016年にボットネットと同じくらい悪名が高くなりました。DDoS攻撃が成功すると、常に単一の別個のリソースまたはアプリケーションにアクセスできなくなります。 開発者がインターネットサービスの通常の機能を作成および維持するために使用する一般的なソーシャルネットワークまたはライブラリの場合、攻撃は、インフラストラクチャの相互接続された部分（ホスティングおよび一般的なインターネットプロバイダーを含む）を使用するエコシステム全体を脅かす可能性があります。 これまで見てきたように、ルーティングインシデントは記録的なボットネットの攻撃と同じくらい大規模で危険なものであり、一般的なリソースへのアクセスがほとんどないままになります。 ある日、単一のWebページを開くことさえできない場合はどうなりますか？ これは、私たちがそれを知っており、当然のことと思っている形での電子通信を不可能にします。



日本のGoogleによって引き起こされたネットワークインシデントは、おそらく、BGPが大規模でありながら唯一のコンテンツプロバイダーによって正しく構成されていない場合に発生する可能性のある最も明確な例です。

BGPの場合、潜在的な損害は非常に大きくなる可能性があるため、非常に注意する必要があります。 BGPは1つのASから別のASへのすべてのトラフィックの転送を制御するため、ユーザーのリソースへのアクセスの遅延の増加だけでなく、さらに重要なことは、暗号化されたトラフィックに対するMiTM攻撃の可能性についてです。 このような事件は、さまざまな国の何百万人ものユーザーに影響を与える可能性があります。

私たちはまだオープンネットワークの世界に住んでいますが、遠くなるほど、それは贅沢品として認識され、当然のことではありません。 2017年、どの組織もLIRステータスを取得し、自律システムを習得することができ、それにより通信オペレーターになるという事実は、感謝の言葉に値します。

一方で、人的要因は、これまでも、また、今後も、あらゆる企業やインターネットサービスにとって最も脆弱なポイントです。 一方、人間の要素は最も強力な防御策でもあります。なぜなら、人々は自分の状況を完全に制御して仕事を遂行するからです。 すべてのコードは人間によって書かれているため、技術的な問題は相互に関連しています。

使用済み帯域に対する攻撃の数

脆弱性とイントラネット

2017年はハッキングの本当の年でした。 ランサムウェアの流行からVault7およびShadow Brokersアーカイブのオープンに加えて、ヒューマンエラーによる顕著なリークに加えて、UberとEquifaxが最も悪名高い2つの例です。



すべてが脆弱です。 したがって、会話は「最も脆弱なもの」ではなく、「脆弱性が以前に発見された場所」に関するものであるべきです。 脆弱性が存在する場合、攻撃があります。 さらに、脆弱性を再現する多くの広範な技術があります-1つが修正され、もう1つが壊れた場合。 攻撃者はこのような活動を注意深く監視します。目の前のサプライヤが大きいほど、更新プログラムを開発して顧客に提供するのに時間がかかることを知っています。



また、クラウドはレガシーになり、新しい世代のデバイスとテクノロジーに引き継がれるすべての問題が発生します。 UberとOneLoginのリークは、AmazonストアのキーがGitHubまたは他の場所で公開されたという事実から始まりました-ステッカーがモニターに貼り付いている可能性があります。



別の深刻な問題は、MongoDB、Cassandra、Memcached、およびその他の一般的なデータベースの状況です。 管理者が適切なレベルのセキュリティを確立することを忘れた場合、攻撃者が抜け穴を見つけることは難しくありません。 これは、Ai.Typeスマートフォン用のソフトウェアキーボードの場合にまさに起こったことであり、Ai.Typeスマートフォンは3,100万人のユーザーのデータをすべて失いました 。

2017年は、さまざまな種類の機器がさまざまな種類のサイバー攻撃に対して脆弱であることを示しました。 将来的には、時代遅れのソフトウェアとハ​​ードウェアに関連するさらに多くのインシデントが発生します。

スマートフォンを使用した攻撃は、悪意のあるアプリケーション（公式ストアからインストールされた場合でも）による感染と、BlueBorneなどの脆弱性を使用して実行できます。 ブラウザーの拡張機能とプラグイン、ネットワークデバイス（過去3年で既に多くの被害を受けています）、プロバイダーの接続点にある機器-すべてが攻撃に対する耐性について何度もテストでき、おそらく長期的には存続しません。



DDoSを無効化するソリューションを作成する主な目標は、最終的に保護を確立することであり、そのサポートは攻撃を組織するよりも安価です。 攻撃者から経済的利益を得ることによってのみ、同じ条件で戦うことができます。 そして、これは主に次の2つの要因の観点から難しい作業です。

A.情報セキュリティと脅威分析の基本に対する無謀なアプローチ。

B.ニュースや宣伝の恐怖。問題が発生した場合に情報を隠そうとします。

クリプトマニア

新しい大規模なICO市場は、2017年のハッカーにとって真の啓示でした。 組織にとって最もストレスの多い瞬間の攻撃傾向（資金調達、広告キャンペーン）は継続しており、暗号通貨プロジェクトの増加に伴い、ハッキング攻撃はDDoSと組み合わされています。 暗号通貨トークン発行市場が成長し続けると、この傾向は強まります。



ICOは、すべての市場関係者にとって特に重要です。 暗号通貨とICOにより、新しいハッキング業界は私たちの目の前で成長しました。 この市場にはすでに膨大な資金が関与しており、多くのプロジェクトの実装の技術的側面は率直に言って弱いものであり、2017年に私たちが話しました。 彼らは常にハッキングされています。



競合するプールによってブロックに署名することに対する報酬を受け取るために、マイニングプールは各ブロックの署名の最後の数秒間に攻撃されます。 クラウドの暗号通貨ウォレットは絶えず攻撃を受けています-2017年、そのようなサービスの大規模なハッキングが発生し、作成者はすべての暗号通貨を失いました。 犠牲者を犠牲にして計算を実行するマルウェアが多数の古いコンピューター、サーバー、またはゲームコンソールに感染することは言うまでもなく、ブラウザーでスクリプトを使用してマイニングすることも有益です。

ハイパーレジャーインフラストラクチャへのネットワーク攻撃（各ブロック計算の最後のマイニングプールに対するDDoS攻撃など）は、暗号通貨プロジェクトの成長に比例して増加します。 すべての洗練されたテクノロジーには基盤があります。 ひび割れが見つかったら、どんなサイズの家でも破壊できます。

攻撃の持続時間、分

エピローグ

APIは、大規模な顧客にとってますます重要になっています。プロフェッショナルであり、トラフィックのクリーニングとフィルタリングのプロセスを最大限に制御したいと考えています。 このプロセスを過小評価しないでください。



この分野で最も注目すべき事実は、攻撃そのものでさえありませんが、対抗などの現代の最も深刻な質問への答えを見つけるために、競争だけでなく、すべてのセキュリティソリューションプロバイダーがトレーニング、コミュニケーション、協力のプロセスで行った進歩ですボットネット。 個別のWebサービスではなく、業界全体の存在に疑問を投げかけるような大規模な脅威が現れると、企業はいくつかのレベルで結ばれます：公式、非公式、B2G、B2C。 情報セキュリティの分野で活動している大企業の間で、2017年に大規模なボットネットに対抗するこのような協力に関連した成功を見てきました。これが将来より頻繁に起こることを願っています。



読んでくれてありがとう。



ロシア語のPDFへの直接リンク 。