Поиск по этому блогу

вторник, 28 января 2014 г.

Большие данные в информационной безопасности: предостережения Gartner для рынка SIEM.



Аналитика больших данных все чаще упоминается как возможный следующий шаг в развитии классических средств обеспечения информационной безопасности. Системы мониторинга событий и выявления инцидентов (SIEM) стали, пожалуй, одними из первых направлений ИБ, куда большие данные пришли в виде готовых технологий. Речь идет о переходе к нереляционным базам данных при хранении в SIEM-системе событий и логов получаемых от источников. Такой переход позволил существенно увеличить мощность систем (количество обрабатываемых событий) и скорость их корреляции для выявления инцидентов. Между тем SIEM-системы все так же в виде поступающих данных принимают классические логи, файлы и отчеты.

Возможность применения уже не просто хранения, а аналитики больших данных и сбора всей доступной информации становится новым витком в развитии SIEM систем и переходом к SIEM следующего поколения. Неспроста в январе 2014 года компания Gartner посвятила этой теме свою новую листовку о решениях мониторинга событий и выявления инцидентов (SIEM). В данной листовке аналитики компании описали свой взгляд и прогнозы развития SIEM систем на ближайшие несколько лет. 

Документ Gartner  посвящен преимущественно  использованию функционала SIEM при обработке больших данных для повышения уровня информационной безопасности компаний.

Широкой общественности доступны  некоторые тезисы указанного документа, обобщившие результаты годичной работы по мониторингу, сравнению и анализу  предлагаемых на рынке технологий анализа больших данных для мониторинга безопасности и выявления инцидентов:
  •         В условиях появления новых классов мониторинга при помощи аналитики больших данных (Security Intelligence) SIEM системы были и остаются ключевым и центральным звеном мониторинга информационной безопасности для большинства крупных организаций;
  •         Шумиха вокруг применения аналитики больших данных в информационной безопасности имеет свои причины, но пока что большие данные остаются лишь словами, а не практическими  технологиями. Многие компании находятся на стадии принятия решения о внедрении  SIEM и пока что не готовы  к адаптации аналитики больших данных для нужд обеспечения информационной безопасности;
  •          В ближайшие годы аналитику больших данных активно будут внедрять при обеспечении информационной безопасности лишь самые крупные компании. Информационная безопасность непременно станет еще одной «проблемой больших данных», но в ближайшее время аналитика больших данных будет оставаться слишком дорогой технологией для средних и малых организаций;
  •          Компаниям стоит начинать, прежде всего, с аналитики существующих данных. Никаких новых данных! Рекомендуется анализировать уже собранные данные в SIEM, NFT, ETDR и других подобных системах. Расширение объема данных и их формата должно происходить постепенно. Успешная аналитика больших данных возможна лишь только после эффективного и полного анализа уже собранной информации из используемых источников;
  •          Не стоит покупать новые решения для аналитики ИБ, особенно промаркированные как «большие данные». До той поры пока аналитики  компаний не приняли новую технологию в качестве рабочей, она будет существовать на рынке в качестве «гламурной темы».  При этом практический результат может быть  нулевой, а инвестиции большими и чрезмерно рискованными.

Очевидно, что при всей нагнетаемой на рыке шумихи вокруг технологий анализа больших данных, пока рано говорить об их полноценном выходе на рынок средств обеспечения информационной безопасности. Не стоит забывать про высокие требования к компетенции специалистов, которые должны будут создать и поддерживать алгоритмы для анализа больших данных при обеспечении защиты: выявлении аномалий, сложных атак, методов сокрытия следов и других передовых видов атак на корпоративную инфраструктуру, против которых классические средства защиты могут быть малоэффективны.


вторник, 14 января 2014 г.

Прогноз развития мошенничеств в финансовом секторе на 2014 год.



К концу 2013 года многие зарубежные компании выпустили прогнозы по противодействию мошенничествам на следующий год. Большинство таких прогнозов содержат разнообразную информацию по рынку антифрод решений, типах  атак и средствах  защиты по разным отраслевым рынкам. Предлагаю Вашему вниманию дайджест для финансового сектора из фрод- прогнозов  компаний EasySolutions, ThreatMetrix и консалтингового агентства UKFraud.


Среди основных направлений развития мошенничеств в финансовом секторе на 2014 год аналитики  выделяют 5 трендов:


Мошенничества с мобильными платежами будут развиваться быстрее, чем механизмы противодействия им. 


Мобильные платежи вырастут на 40% в 2014 году и достигнут отметки 325 миллиардов долларов США. Такое развитие рынка непременно вызовет еще большее «внимание» со стороны злоумышленников. Между тем ситуация уже сегодня находится в критической точке. Об этом свидетельствует то, что в конце 2013 года 4 крупнейших мобильных оператора США были вынуждены пойти на крайние меры и начать блокировку премиальных сервисов и SMS-платежей. Причиной стало то, что более 75% из известного мобильного вредоносного ПО использовали именно эти сервисы операторов для вывода денежных средств. Такая кардинальная борьба с подобного рода мошенничествами неизбежно приведет к тому, что злоумышленники будут искать новые методы несанкционированного списания денежных средств. Другим фактором, влияющим на развитие мобильных мошенничеств, становится большое число новых компаний, которые вышли на рынок мобильных платежей в 2013 году. Большинство подобных стартапов было создано на слабой или неподготовленной в вопросах информационной безопасности базе. Крупные холдинги и венчурные фонды охотно инвестировали в такие компании в 2013 году, при этом создавая фактически «бомбы замедленного действия», которые могут стать легкой добычей для квалифицированных злоумышленников.


Мошенничества с онлайн платежами получат еще большее распространение.


В 2014 году мошенничества при проведении онлайн платежей будут более частыми и экзотическими. Связано это с тем, что сложные механизмы, разработанные для атак на крупные финансовые организации и сайты крупнейших банков, будут использованы для атак на предприятия других сегментов финансового рынка. Большие организации либо уже пострадали в 2012-2013 году, либо смогли обезопасить себя от направленных атак. Небольшие же банки, торговые сети и онлайн магазины не так хорошо подготовлены и не имеют таких ресурсов на обеспечение ИБ и противодействия фроду.

Как следствие финансовый рынок испытает рост количества атак на малый и средний бизнес.


В условиях кризиса и роста бизнеса гибких и небольших компаний (стартапов, компаний с облачной инфраструктурой IaaS и тд.) получение доступа к денежным средствам таких фирм будет очень прибыльно для мошенников.  С другой стороны, для банков появится новая сложная задача выявления мошеннических платежей юр. лиц, которые легко могут быть скрыты в большом потоке транзакций при больших суммах единичных переводов.


Рост количества атак авто настройки прокси (PAC).


Мошенничества, основанные на авто настройке прокси переадресации, используют встроенных функционал в любом текущем браузере. Впервые подобного рода атака была использована против пользователей онлайн банка в Латинской Америке в 2013 году, она  является более развитым и сложным типом фарминг-атаки. PAC-атака позволяет мошенникам динамически перенаправлять пользователей на прокси сервера, когда выполняется навигация по определенным сайтам (банка, торговой площадки, сервиса оплаты и тд.). Фактически применение подобного метода позволяет успешно реализовывать мошенническую схему человек посередине (man-in-the-middle), но имеет специфические особенности, что приводит к существенному затруднению обнаружения следов такой атаки.


Развитие технологий банковского обслуживания будет стимулировать  появление новых видов мошенничеств.


Появление новых атак в финансовом секторе  США и стран Латинской Америки становится обыденностью.  в 2014 году прогнозируется серьезный рост количества уникальных методов атак в других странах. Прежде всего,  этот прогноз  связывают с серьезным развитием средств защиты в финансовых организациях США (системы антифрода, аутентификации, профилирования) и ростом долей рынка банковского обслуживания в развивающихся странах. При этом для классических видов банковского обслуживания мошенники ,скорее всего, будут адаптировать  высоко эффективные и прибыльные мошеннические схемы, которые уже зарекомендовали себя в других странах. Для новых же методов платежей и развивающихся технологий злоумышленники придумывают экзотические виды атак, например нацеленные на такие финансовые системы, как криптовалюты, кредиты Facebook, подарочные карты и другие средства финансового взаимодействия между людьми, которые фактически связываются в том числе с транзакциями по банковским картам. Новые виды платежей для мошенников становятся простым и анонимным способом отъема денежных средств, их отмывания и вывода в наличные.