11 апреля 2017 г.
В результате исследования были выявлены динамично развивающиеся направления изощренных атак со стороны созданной кибепреступниками нелегальной экономики, целью которых является технологическая инфраструктура
Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet:
«В настоящее время организации сталкиваются со сложными проблемами в сфере информационной безопасности, в частности, с проблемой быстрого развития угроз. Угрозы становятся все более интеллектуальными, автономными и скрытными. Одновременно с появлением новых угроз возвращаются и старые, обновленные новым функционалом. Кроме того, благодаря доступности инструментов и услуг по разработке угроз, а также потенциальной прибыльности киберпреступлений объем международного теневого рынка достигает десятков миллиардов долларов США. Задача руководителей по информационной безопасности — обеспечить интеграцию и автоматизацию элементов системы безопасности в рамках всех корпоративных сред и устройств, от IoT до облака, а также наладить обмен данными между этими элементами».
Сводка новостей
Сегодня компания Fortinet® (NASDAQ: FTNT) обнародовала основные положения последнего отчета о всемирном исследовании угроз. В результате исследования были всесторонне изучены методики и стратегии, применяющиеся киберпреступниками, а также получены прогнозные показатели возможного ущерба для виртуальной экономики. На вопрос «Какую угрозу можно назвать наиболее существенной?» пока не удается дать ответ, так как наряду с возвращением старых угроз происходят и крупномасштабные автоматизированные атаки. В подробностях ознакомиться с результатами исследования можно в нашем блоге. Ниже приведены основные выводы:
Тенденции развития инфраструктуры и их влияние на угрозы
- Важно учитывать тенденции развития инфраструктуры и их связь с угрозами. Вредоносное ПО, эксплойты, ботнеты — все эти угрозы появляются отнюдь не в вакууме. По мере развития инфраструктуры выявлять угрозы и предотвращать нарушения становится все сложнее.
- Согласно данным, объем трафика с шифрованием SSL стабильно держится на отметке около 50% и составляет примерно половину веб-трафика, проходящего через корпоративную сеть. Важно отслеживать трафик HTTPS, так как он обеспечивает конфиденциальность, но в то же время может стать проводником угроз, скрытых в зашифрованных данных. Нередко организации пренебрегают проверкой трафика SSL, так как процедура его открытия, проверки и повторного шифрования сопряжена со значительными нагрузками. В силу этого специалисты вынуждены выбирать между производительностью и безопасностью.
- Количество облачных приложений на организацию возросло до 63 — около трети от общего количества приложений на организацию. Эта тенденция оказывает существенное влияние на безопасность, так как ИТ-специалистам сложнее отслеживать состояние, использование и доступ к данным, хранящимся в облачных приложениях. Резкого увеличения количества приложений, связанных с социальными сетями, потоковым воспроизведением аудио и видео, а также одноранговыми сеансами, выявлено не было.
Киберпреступники устанавливают контроль над устройствами
- Устройства IoT чрезвычайно привлекательны для киберпреступников по всему миру. Злоумышленники создают собственные «армии» устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы — вот основы экосистемы современной киберпреступности.
- В
4-м квартале 2016 г. отрасль была дестабилизирована утечкой данных Yahoo! и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое. - Подключенные к Интернету вещей (IoT) устройства, пораженные ботнетом Mirai, инициировали рекордное количество DDoS-атак. После запуска исходного кода Mirai активность ботнета в течение недели возросла в 25 раз. К концу года активность увеличилась в 125 раз.
- Исследование связанной с IoT активности эксплойтов в отношении нескольких категорий устройств показало, что наиболее уязвимыми являются домашние маршрутизаторы и принтеры, однако устройства DVR/NVR быстро опередили маршрутизаторы. Количество пораженных устройств этой категории увеличилось более чем на 6 порядков.
- Большое значение также приобрела проблема вредоносного ПО, поражающего мобильные устройства. Несмотря на то, что этот вид вредоносного ПО занимает лишь 1,7 процента в общем объеме, одна из каждых пяти организаций, сообщивших об атаках с помощью вредоносного ПО, столкнулась с его мобильным вариантом. Практически все эксплойты были разработаны на базе Android. В структуре атак с помощью мобильного вредоносного ПО были выявлены значительные отличия в зависимости от региона: 36 процентов атак приходятся на организации Африки, 23 процента — Азии, 16 процентов — Северной Америки и лишь 8 процентов — Европы. Эти показатели следует учесть при работе с доверенными устройствами в современных корпоративных сетях.
Преобладание крупномасштабных автоматизированных атак
- Взаимосвязь между количеством и распространенностью эксплойтов свидетельствует о повышении степени автоматизации атак и снижении стоимости вредоносного ПО и инструментов распространения, доступных в глубоком Интернете. Организация атак стала проще и дешевле, чем когда-либо.
- Первое место в списке выявленных эксплойтов, представляющих значительную опасность, занял SQL Slammer, главным образом поражающий образовательные учреждения.
- Вторым по распространенности является эксплойт, свидетельствующий о попытках проведения атак на протокол удаленного рабочего стола (RDP) Microsoft методом подбора. Эксплойт запускает 200 запросов RDP каждые 10 секунд, чем объясняется его значительная активность в сетях глобальных организаций.
- Третье место в списке самых распространенных эксплойтов заняла сигнатура, привязанная к уязвимости «Повреждение памяти» диспетчера файлов Windows. С помощью этой сигнатуры злоумышленник может удаленно запустить выполнение произвольного кода внутри уязвимых приложений с помощью файла JPG.
- Наибольшие показатели численности и распространенности продемонстрировали семейства ботнетов H-Worm и ZeroAccess. С помощью обоих ботнетов киберпреступники берут зараженные системы под контроль и похищают данные либо занимаются мошенничеством с рекламными объявлениями и майнингом биткоинов. Наибольшее количество попыток проведения атак с помощью этих двух семейств ботнетов было зафиксировано в технологическом и государственном секторах.
Программы-вымогатели продолжают распространяться
- Независимо от того, в какой отрасли промышленности они применяются, программы-вымогатели заслуживают внимания. Вероятнее всего, эта эффективная технология атак продолжит развитие в рамках концепции «программы-вымогатели как услуги» (RaaS). За счет этого потенциальные преступники, не обладающие соответствующими навыками, могут загрузить инструменты и незамедлительно применить их на практике.
- 36% организаций зафиксировали активность ботнетов, связанную с применением программ-вымогателей. Наибольшую активность продемонстрировал троян TorrentLocker, на третьем месте оказался Locky.
- Широкое распространение получило вредоносное ПО, принадлежащее двум семействам — Nemucod и Agent. 81,4 процента собранных образцов вредоносного ПО относится к этим двум семействам. Как известно, семейство Nemucod связано с программами-вымогателями.
- Программы-вымогатели были выявлены во всех регионах и отраслях, однако наиболее широкое распространение они получили в учреждениях здравоохранения. Это весьма тревожная тенденция: под угрозой находятся данные пациентов, которые по сравнению с другими типами данных отличаются большей длительностью хранения и значимостью, что чревато серьезными последствиями.
Все новое — это хорошо забытое старое
- Злоумышленники ничего не списывают со счетов. К сожалению, попыткам исправления и устранения недостатков устаревших устройств и программного обеспечения уделяется чрезмерное внимание, что негативно отражается на противодействии современным атакам, проводниками которых являются цифровые устройства.
- 86% организаций зафиксировали атаки, которые используют уязвимости, существующие уже более десятилетия. Почти в 40% случаев целями становились еще более старые уязвимости.
- В среднем на одну организацию приходится 10,7 уникальных эксплойтов-приложений. В 9 из 10 компаний были выявлены эксплойты, представляющие собой серьезную опасность.
- В целом при сравнении средних показателей численности выявленных в каждом регионе мира уникальных эксплойтов, вредоносного ПО и семейств ботнетов наибольшее количество и разнообразие угроз в каждой категории наблюдается в Африке, на Ближнем Востоке и в Латинской Америке. Наиболее отчетливо эта тенденция проявляется в категории ботнетов.
Методология исследования
В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs в
Источник: Пресс-служба компании Fortinet