Вестник цифровой трансформации

Киберпреступники пытаются изменить баланс сил
Киберпреступники пытаются изменить баланс сил




22:29 16.04.2017  |  5192 просмотров



В результате исследования, проведенного Fortinet, были выявлены динамично развивающиеся направления изощренных атак со стороны созданной кибепреступниками нелегальной экономики, целью которых является ИТ-инфраструктура. Однако на вопрос «Какую угрозу можно назвать наиболее существенной?» аналитикам пока не удается дать ответ, так как наряду с крупномасштабными автоматизированными атаками возвращаются и старые угрозы.

В настоящее время организации сталкиваются со сложными проблемами в сфере информационной безопасности, в частности, с угрозами, которые становятся все более интеллектуальными и скрытными. Одновременно с появлением новых угроз возвращаются и старые, обновленные новым функционалом. Кроме того, благодаря доступности инструментов и услуг по разработке угроз, а также потенциальной прибыльности киберпреступлений объем международного теневого рынка достигает десятков миллиардов долларов. Задача руководителей по информационной безопасности — обеспечить интеграцию и автоматизацию элементов системы безопасности в рамках всех корпоративных сред и устройств, включая Интернет вещей и облака.

Тенденции развития инфраструктуры и их влияние на угрозы

Важно учитывать тенденции развития инфраструктуры и их связь с угрозами. Вредоносное ПО, эксплойты, ботнеты – все эти угрозы появляются отнюдь не в вакууме. По мере развития инфраструктуры выявлять угрозы и предотвращать нарушения становится все сложнее.

Согласно статистике, объем трафика с шифрованием SSL стабильно держится на отметке около 50% и составляет примерно половину веб-трафика, проходящего через корпоративную сеть. Важно отслеживать трафик HTTPS, так как он обеспечивает конфиденциальность, но в то же время может стать проводником угроз, скрытых в зашифрованных данных. Нередко организации пренебрегают проверкой трафика SSL, так как процедура его открытия, проверки и повторного шифрования сопряжена со значительными нагрузками. В силу этого специалисты вынуждены выбирать между производительностью и безопасностью.

Среднее количество облачных приложений в компаниях возросло до 63 — это около трети от общего количества приложений в организациях. Эта тенденция оказывает существенное влияние на безопасность, так как ИТ-специалистам сложнее отслеживать состояние, использование и доступ к данным, хранящимся в облачных приложениях. Резкого увеличения количества приложений, связанных с социальными сетями, потоковым воспроизведением аудио и видео, а также одноранговыми сеансами, не произошло.

Киберпреступники устанавливают контроль над устройствами

Устройства Интернета вещей чрезвычайно привлекательны для киберпреступников. Злоумышленники создают собственные «армии» устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы — вот основы экосистемы современной киберпреступности.

В IV квартале 2016 года отрасль была дестабилизирована утечкой данных Yahoo! и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое.

Подключенные к Интернету вещей устройства, пораженные ботнетом Mirai, инициировали рекордное количество DDoS-атак. После появления исходного кода Mirai активность ботнетов в течение недели возросла в 25 раз. К концу года активность увеличилась в 125 раз.

Исследование в отношении нескольких категорий устройств показало, что наиболее уязвимыми являются домашние маршрутизаторы и принтеры, однако устройства DVR/NVR быстро опередили их. Количество пораженных устройств этой категории увеличилось более чем на шесть порядков.

Большое значение также приобрела проблема вредоносного ПО, поражающего мобильные устройства. Несмотря на то, что этот вид ПО занимает менее 2% в общем объеме, 20% организаций, сообщивших об атаках с помощью вредоносных программ, столкнулась с его мобильным вариантом. Практически все эксплойты были разработаны на базе Android.

Преобладание крупномасштабных автоматизированных атак

Взаимосвязь между количеством и распространенностью эксплойтов свидетельствует о повышении степени автоматизации атак и снижении стоимости вредоносного ПО и инструментов его распространения. Организация атак стала проще и дешевле, чем когда-либо.

Первое место в списке выявленных эксплойтов, представляющих значительную опасность, занял SQL Slammer, главным образом поражающий образовательные учреждения. Вторым по распространенности является эксплойт, свидетельствующий о попытках проведения атак на протокол удаленного рабочего стола (RDP) Microsoft методом подбора. Эксплойт запускает 200 запросов RDP каждые 10 секунд, чем объясняется его значительная активность в сетях глобальных организаций.

Третье место в списке самых распространенных эксплойтов заняла сигнатура, привязанная к уязвимости «Повреждение памяти» диспетчера файлов Windows. С помощью этой сигнатуры злоумышленник может удаленно запустить выполнение произвольного кода внутри уязвимых приложений с помощью файла JPG.

Наибольшие показатели численности и распространенности продемонстрировали семейства ботнетов H-Worm и ZeroAccess. С помощью обоих ботнетов киберпреступники берут зараженные системы под контроль и похищают данные либо занимаются мошенничеством с рекламными объявлениями и майнингом биткоинов. Наибольшее количество попыток проведения атак с помощью этих двух семейств ботнетов было зафиксировано в госсекторе.

Программы-вымогатели продолжают распространяться

Независимо от того, в какой отрасли промышленности они применяются, программы-вымогатели заслуживают внимания. Вероятнее всего, эта эффективная технология атак продолжит развитие в рамках концепции «программы-вымогатели как услуги» (RaaS). За счет этого потенциальные преступники, не обладающие соответствующими навыками, могут загрузить инструменты и незамедлительно применить их на практике.

36% организаций зафиксировали активность ботнетов, связанную с применением программ-вымогателей. Наибольшую активность продемонстрировал троян TorrentLocker, на третьем месте оказался Locky.

Широкое распространение получило вредоносное ПО, принадлежащее двум семействам — Nemucod и Agent. 81% собранных образцов относится к этим двум семействам. Как известно, семейство Nemucod связано с программами-вымогателями.

Программы-вымогатели были выявлены во всех регионах и отраслях, однако наиболее широкое распространение они получили в учреждениях здравоохранения. Это весьма тревожная тенденция: под угрозой находятся данные пациентов, которые по сравнению с другими типами данных отличаются большей длительностью хранения и значимостью, что чревато серьезными последствиями.

Все новое — это хорошо забытое старое

Как напоминают в Fortinet, злоумышленники ничего не списывают со счетов. К сожалению, попыткам исправления и устранения недостатков устаревших устройств и программного обеспечения уделяется чрезмерное внимание, что негативно отражается на противодействии современным атакам, проводниками которых являются цифровые устройства.

86% организаций зафиксировали атаки, которые используют уязвимости, существующие уже более десятилетия. Почти в 40% случаев целями становились еще более старые уязвимости. В среднем на одну организацию приходится почти 11 уникальных эксплойтов-приложений. В 90% компаний были выявлены эксплойты, представляющие собой серьезную опасность.

В целом при сравнении средних показателей численности выявленных в каждом регионе мира уникальных эксплойтов, вредоносного ПО и семейств ботнетов наибольшее количество и разнообразие угроз в каждой категории наблюдается в Африке, на Ближнем Востоке и в Латинской Америке. Наиболее отчетливо эта тенденция проявляется в категории ботнетов.

Теги: Автоматизация предприятий Информационная безопасность Fortinet

На ту же тему: