31 января 2018
Meltdown и Spectre - как бороться с уязвимостями нового поколения.
Самое главное событие в мире информационной безопасности за последние несколько лет — обнаружение 2х новых уязвимостей, получивших название Meltdown и Spectre. Обе они позволяют злоумышленнику получить доступ к информации из оперативной памяти рабочих станций. При этом бурную реакцию со стороны IT-сообщества во всем мире вызвало несколько особенностей, которые выделяют Meltdown и Spectre из ряда всех остальных угроз.
Во-первых, уязвимости используют особенности архитектуры процессоров рабочих станций, а не программного обеспечения. Другими словами, процессоры физически устроены таким образом, что обработка информации происходит небезопасным способом. Полностью устранить угрозу можно только заменив старый процессор на новый, с другой архитектурой. А таких процессоров на сегодня не существует.
Во-вторых, вызывают вопросы обстоятельства, при которых информация об уязвимостях была обнаружена. В течении одного месяца 2017 года 4 независимых команды исследователей из разных стран обнаружили обе угрозы, при этом уязвимыми оказались все процессоры, выпущенные с 1995 года. Соответственно, это либо уникальнейшее совпадение, либо контролируемая утечка информации, которая позволит производителям процессоров получить сверхприбыль. Получается, что все уже выпущенные процессоры — небезопасны и нуждаются в замене на новые. Старые же процессоры резко теряют в цене и привлекательности, потому что даже с выпущенными апдейтами от производителей они не являются защищенными от угрозы Spectre, а «заплата» от Meltdown тормозит систему, по разным оценкам, на значения от 5 до 30%.
Как отмечают эксперты, в кратком виде проблему можно описать так — все ваши данные уже скомпрометированы (так как неизвестно, сколько злоумышленников и какое время назад использовали обнаруженные уязвимости с 1995 года) и вам нужен новый процессор в каждый сервер или рабочую станцию.
Пока новые процессоры в разработке, необходимо придерживаться стратегии, которая позволит минимизировать возможный ущерб.
Итак, первое, что нужно сделать — это обновить прошивку процессора, каждый из производителей уже выпустили свои апдейты.
Второе — обновить все пользовательские интернет-браузеры.
Третье - провести ревизию системы кибербезопасности на предприятии.
Обнаруженные уязвимости могут быть использованы не сами по себе — это просто пути проникновения в операционную систему, для полноценной атаки злоумышленнику будет нужен софт, который будет использовать новые возможности. Это может быть встроенный и замаскированный эксплойт в программах, либо скрипт с обычного веб-сайта.. Соответственно, необходимо провести обучение персонала, посвященное безопасности работы в сети. Важнейшие темы — запрет на инсталляцию нового софта, посещение небезопасных сайтов, работа с подозрительными письмами и вложениями, проверка установки критических обновлений.
Должен быть составлен «белый список» из допустимых в работе программ, остальные должны быть блокированы.
Каждый сотрудник должен быть проинформирован об угрозах, рекомендуется провести тестовую рассылку писем для определения «слабых звеньев» с последующим обучением.
Системы DLP и системы анализа поведения пользователей — должны быть настроены на немедленное реагирование на подозрительную активность в сети предприятия в соответствии с новыми протоколами безопасности.
Публикации по теме
|
|
29 апреля 2014
Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
|
|
28 февраля 2014
Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
|
|
28 января 2014
По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
|
|
30 декабря 2013
Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
|
|