Bericht des Informationssicherheits-Überwachungszentrums für das erste Quartal 2017

    In dem Bericht haben wir zusammengefasste Statistiken zu Ereignissen und Vorkommnissen im Bereich der Informationssicherheit gesammelt, die von unserem Unternehmenscenter zur Überwachung von Ereignissen im Bereich der Informationssicherheit im ersten Quartal 2017 aufgezeichnet wurden.

    Event-Trichter

    Da wir einen ziemlich großen Datensatz haben:

    • 12.000 überwachte Knoten;
    • 137.873.416 Informationssicherheitsereignisse;
    • 98 bestätigte Vorfälle;

    Dann gilt die Statistik für jede mittlere und große Organisation.

    Die Daten in dem Bericht entsprechen den angezeigten Daten, und Sie können das Bild in Ihrem Informationssicherheitssystem „schätzen“.

    Das Monitoring Center (CM) der Firma „Perspective Monitoring“ ist ein Dienst, der Informationssicherheitsereignisse von verbundenen Systemen verarbeitet, feststellt, ob eine Ereignissequenz ein Vorfall ist oder nicht, und Mitarbeitern der verbundenen Überwachungsorganisation hilft, auf Vorfälle zu reagieren.

    So funktioniert es:

    Arbeitszeitplan der Beobachtungsstelle

    Mit diesem Bericht schließen wir das erste Jahr der regelmäßigen Veröffentlichung von Ereignissen und Vorfällen im Bereich der Informationssicherheit ab, die von der Beobachtungsstelle festgestellt wurden.

    In diesem Jahr haben sich die Regeln für das Erkennen und Aufzeichnen von Ereignissen geändert (einige Ereignisse werden zu einem "zusammengehalten") und die Anzahl der Knoten wird überwacht, sodass ein direkter Vergleich der Anzahl der Ereignisse und Vorfälle vor und nach einem Jahr nicht ganz korrekt ist. Alle Statistiken für frühere Perioden sind jedoch in früheren Berichten verfügbar (pdf von unserer Website).


    Was und wie denken wir?


    Im Rahmen dieses Berichts:

    • IS-Ereignis ist das festgestellte Auftreten eines bestimmten Status eines Systems, Dienstes oder Netzwerks, das auf einen möglichen Verstoß gegen die IS-Richtlinie oder das Versagen von Schutzmaßnahmen oder das Auftreten einer zuvor unbekannten Situation hinweist, die möglicherweise mit der Sicherheit in Zusammenhang steht.
    • IS-Vorfall - das Auftreten eines oder mehrerer unerwünschter oder unerwarteter IS-Ereignisse, die mit einer erheblichen Wahrscheinlichkeit verbunden sind, den Geschäftsbetrieb zu beeinträchtigen und eine IS-Bedrohung zu verursachen.

    Ereignisquellen sind Netzwerk- und Host-IDSs, Netzwerkgeräte, Sicherheitsscanner, Antivirenlösungen und Honeypots.

    Für die interne Verarbeitung klassifizieren wir Vorfälle nach den beteiligten Ressourcen.
    Hohe Kritikalität Vorfälle im Zusammenhang mit Schlüsselressourcen des Serversegments oder kritischen Ressourcen des Benutzersegments (Ressourcen, die Informationen verarbeiten, die aus geschäftlicher, finanzieller oder rechtlicher Sicht kritisch sind).
    Mittlere Kritikalität Vorfälle im Zusammenhang mit nicht kritischen Ressourcen des Serversegments.
    Geringe Kritikalität Vorfälle im Zusammenhang mit nicht kritischen Ressourcen des Benutzersegments (normaler Benutzer).

    Ein Analyst der Beobachtungsstelle bestimmt willkürlich den Grad der Kritikalität, wenn er glaubt, dass der Vorfall zu schwerwiegenden negativen Konsequenzen führen kann.

    Ergebnisse überwachen


    Im Zeitraum vom 1. Januar bis 31. März 2017 kontrollierten die Mitarbeiter der Beobachtungsstelle die Informationssysteme mehrerer Organisationen mit einer Gesamtzahl von etwa 12.000 verbundenen Knoten (Workstations, Web, Mail, Dateispeicher, VPN usw.).

    Drei Monate lang haben Sensoren 137.873.416 Informationssicherheitsereignisse aufgezeichnet und analysiert und 98 Vorfälle identifiziert .

    Anteile von Ereignistypen pro Jahr

    Die bedeutendste Änderung im Vergleich zur Vorperiode ist ein Anstieg des Anteils von Ereignissen im Zusammenhang mit dem Scannen von Informationsressourcen und dem Versuch, Kennwörter für verschiedene Informationssysteme auszuwählen. Die Malware-Aktivität nahm ebenfalls leicht zu.

    Die obige Abbildung zeigt, wie sich die Beziehung zwischen den Arten von Informationssicherheitsereignissen geändert hat. Zur Beurteilung der Größe der eingehenden Daten ist zu erwähnen, dass der „Scan“ im ersten Quartal 2017 30% beträgt und
    41 646 524 Ereignisse aufgezeichnet wurden; und Passwortabgleich - 15% und fast 21 Millionen Ereignisse.

    Ereignistypbeschreibungen
    "Informationsereignis" - Ereignisse mit informativer Ausrichtung, die beim Analysieren eines Vorfalls hilfreich sein können.

    "Verstoß gegen die IS-Richtlinie" - Ereignisse, die auf Aktionen hinweisen, die angeblich gegen die Anforderungen der IS-Richtlinie der kontrollierten Organisation verstoßen.

    "Angriff oder Ausnutzung" - Ereignisse, die darauf hinweisen, dass versucht wird, Code aus der Ferne auszuführen oder Sicherheitslücken in kontrollierten Ressourcen auszunutzen.

    "Scan" - Ereignisse, die das Studium des Netzwerks vor einem Angriff anzeigen.

    „Passwortauswahl“ - Ereignisse, die darauf hinweisen, dass versucht wird, durch Auswahl von Authentifizierungsdaten auf kontrollierte Ressourcen zuzugreifen.

    "Trojaner und Viren" - Ereignisse, die auf die Infektion kontrollierter Ressourcen mit Viren oder Malware hinweisen.

    "DDoS" - Ereignisse, die auf Versuche hinweisen, verteilte Denial-of-Service-Angriffe auszuführen.

    "Sonstige" - Ereignisse, die von Natur aus keiner der oben genannten Klassen zugeordnet werden können.

    Unter 98 identifizierten Vorfällen:
    Ereignisklasse Hohe Kritikalität Mittlere Kritikalität Geringe Kritikalität Zwischenfälle insgesamt Anteil der Vorfälle
    Malware 16 20 15 51 52%
    Angriff 9 5 1 15 16%
    Passwortabgleich 11 3 14 14%
    Verletzung der Sicherheitsrichtlinien 2 4 3 9 9%
    Ausnutzung von Schwachstellen 3 3 6 6%
    DDoS 3 3 3%
    Gesamt: 98 100,0%

    Viren greifen wieder an!

    Anteil der Vorfälle,%
    Ereignisklasse II Viertel 2016 III Viertel 2016 IV Viertel 2016 IQ 2017
    Malware 43.5 42.8 51 52
    DDoS 8.7 14.3 1.9 3
    Verletzung der Sicherheitsrichtlinien 30,4 14.3 13,2 9
    Passwortabgleich 17.4 23.8 13,2 14
    Angriff 11.3 16
    Ausnutzung von Schwachstellen 4.8 9,4 6

    Die relevantesten und kritischsten der identifizierten sind Angriffe im Zusammenhang mit Versuchen, unbefugten Zugriff auf die Ressourcen von Organisationen zu erlangen.

    Eine interessante Beobachtung. Mitarbeiter nutzen Unternehmensressourcen häufig für ihre persönlichen Zwecke: vom Drucken eines Berichts an ein Kind zur Schule bis zum Zugriff auf ihr persönliches Online-Banking. Jetzt sind wir mit der Tatsache konfrontiert, dass die Mitarbeiter Bitcoin und Ethereum auf die Rechenressourcen der Organisation abbauen. Solche Vorfälle wurden zu einem „Richtlinienverstoß“.

    Für das vorangegangene vierte Quartal 2016 verzeichnete die Beobachtungsstelle 21.788.201 IS- Ereignisse und 53 Vorfälle .

    Die Verteilung der IS-Vorfälle nach Wochentagen im 1. Quartal 2017:
    Vorfälle nach Wochentag

    Die Verteilung der IS-Vorfälle im 1. Quartal 2017:

    IS-Vorfälle für das erste Quartal 2017

    Wenn Sie sich die beiden Diagramme oben genau ansehen, können Sie feststellen, dass der „Freitag“ -Höchstwert der Vorfälle auf einen bestimmten Tag fällt - den 17. Februar. An diesem Tag kamen Ereignisse aus dem Netzwerk einer ziemlich großen Organisation in unser Überwachungszentrum, und dementsprechend wurde die in diesem Netzwerk bereits vorhandene böswillige Aktivität sofort sichtbar und in der Statistik aufgezeichnet. Als Reaktion auf diese Vorfälle nahm die Anzahl der neu erfassten Vorfälle allmählich ab.

    Mit Ausnahme dieses bestimmten Tages ereignen sich die meisten Vorfälle zu Beginn der Woche. Sie sind in erster Linie mit der Tätigkeit von Schadsoftware an den Arbeitsplätzen der Mitarbeiter verbunden. Solche Vorfälle haben keine schwerwiegenden negativen Folgen für kontrollierte Informationssysteme. Administratoren verbringen jedoch Zeit mit der Virenprüfung und Benutzer können zu diesem Zeitpunkt nicht vollständig arbeiten.

    TOP Quellen


    In diesem Fall sind die Angriffsquellen die IP-Adressen, von denen die Netzwerksicherheitstools negative Aktionen aufgezeichnet haben.

    Das Diagramm zeigt die Position der ersten hundert IP-Adressen nach Anzahl der registrierten Ereignisse. Die meisten dieser Adressen befinden sich in Russland, den USA und Deutschland, obwohl natürlich nicht behauptet werden kann, dass die Angreifer aus diesen Ländern stammten.

    Karte der Angriffsquellen

    Es gibt ein interessantes Merkmal. Im zweiten und dritten Quartal 2016 lag China hinsichtlich der Anzahl der IP-Adressen, von denen aus die Angriffe durchgeführt wurden, an der Spitze. Im vierten Quartal 2016 und im ersten Quartal 2017 hat sich die Situation stark verändert - von dort aus haben wir keine böswilligen Aktivitäten registriert. Wir gehen davon aus, dass die Angreifer zu russischen Proxies gewechselt sind.

    TOP Incident-Segmente


    Die Situation in Bezug auf die Ziele der Angriffe hat sich grundlegend geändert: Die aktivsten Angreifer zeigten sich in Bezug auf Benutzeraufträge. Dieses Segment macht mehr als die Hälfte aller Vorfälle aus.

    Das Benutzersegment leidet mehr als andere

    Die am häufigsten verwendeten Techniken zur Beeinflussung von Systemen, die einen IS-Vorfall ausgelöst haben

    Bedrohung Belichtungstechnik
    Adware Infektion des Endsystems, Übermittlung von Benutzerinformationen an den Kommandoserver, Anzeige gezielter Werbung.
    Passwort Brute Force Versuche, Authentifizierungsinformationen für den Zugriff auf Dienste und Ressourcen kontrollierter Organisationen auszuwählen - RDP, SSH, SMB, DB, Web.
    Verletzung der Sicherheitsrichtlinien Verletzung der Anforderungen der IS-Richtlinien hinsichtlich der Verwendung veralteter Versionen oder nicht vertrauenswürdiger Software durch Benutzer / Administratoren kontrollierter Ressourcen. Diese Software kann von einem Angreifer verwendet werden, um eine Sicherheitsanfälligkeit auszunutzen. Auch die Verwendung der Ressourcen des Unternehmens, um seine eigenen Vorteile zu erzielen (Bergbau Bitcoin / Ethereum). Torrent-Tracker verwenden.
    Virensoftware Die Infektion des endgültigen Systems, die Ausbreitung des Virus im lokalen Netzwerk, das Deaktivieren / Blockieren von Diensten, die die Ausbreitung des Virus verhindern, führen andere Angriffe im Netzwerk durch, um wichtige Informationen zu erhalten und diese an die Befehlsserver zu übertragen.
    DDoS unter Verwendung von Organisationsressourcen Die DDoS-Verstärkung ist eine Technik, mit der Sie Ihre Adresse durch die Adresse des Opfers ersetzen und kleine Anfragen nach offenen Diensten generieren können. Der Dienst sendet eine Antwort auf die Anfrage, die um ein Vielfaches größer ist, an die Absenderadresse. Mit einer großen Anzahl von Ressourcen verschiedener Organisationen führt der Angreifer einen DDoS-Angriff auf das Opfer durch.
    Versuche, Sicherheitslücken auszunutzen Verwendung von Fehlern im System, um die Integrität zu verletzen und den ordnungsgemäßen Betrieb des Systems zu stören. Die Sicherheitsanfälligkeit kann das Ergebnis von Programmierfehlern, Fehlern beim Systemdesign, schwachen Kennwörtern, Viren und anderen Schadprogrammen, Skript- und SQL-Injections sein. Einige Sicherheitslücken sind nur theoretisch bekannt, während andere aktiv genutzt werden und bekannte Exploits aufweisen.
    Entstellen von Webressourcen Ein Hackerangriff, bei dem Seiten und wichtige Informationen durch andere ersetzt werden, in der Regel vom aufrufenden Typ (Werbung, Warnung, Bedrohung, Propaganda). Oft wird der Zugriff auf den Rest der Website blockiert oder der alte Inhalt wird gelöscht.

    Vielen Dank an Maxim Baymaxx und Alina Eris für die für den Bericht bereitgestellten Daten. Wenn sie dir in den Kommentaren antworten, kann man ihnen vertrauen.

    Andere Blog-Artikel


    Leben ohne SDL. Winter 2017

    Jetzt auch beliebt: