Компания Fortinet обнародовала основные положения последнего отчета о всемирном исследовании угроз. В результате исследования были всесторонне изучены методики и стратегии, применяющиеся киберпреступниками, а также получены прогнозные показатели возможного ущерба для виртуальной экономики. На вопрос «Какую угрозу можно назвать наиболее существенной?» пока не удается дать ответ, так как наряду с возвращением старых угроз происходят и крупномасштабные автоматизированные атаки. В подробностях ознакомиться с результатами исследования можно в нашем блоге. Ниже приведены основные выводы:

Тенденции развития инфраструктуры и их влияние на угрозы

  • Важно учитывать тенденции развития инфраструктуры и их связь с угрозами. Вредоносное ПО, эксплойты, ботнеты — все эти угрозы появляются отнюдь не в вакууме. По мере развития инфраструктуры выявлять угрозы и предотвращать нарушения становится все сложнее.
  • Согласно данным, объем трафика с шифрованием SSL стабильно держится на отметке около 50% и составляет примерно половину веб-трафика, проходящего через корпоративную сеть. Важно отслеживать трафик HTTPS, так как он обеспечивает конфиденциальность, но в то же время может стать проводником угроз, скрытых в зашифрованных данных. Нередко организации пренебрегают проверкой трафика SSL, так как процедура его открытия, проверки и повторного шифрования сопряжена со значительными нагрузками. В силу этого специалисты вынуждены выбирать между производительностью и безопасностью.
  • Количество облачных приложений на организацию возросло до 63 — около трети от общего количества приложений на организацию. Эта тенденция оказывает существенное влияние на безопасность, так как ИТ-специалистам сложнее отслеживать состояние, использование и доступ к данным, хранящимся в облачных приложениях. Резкого увеличения количества приложений, связанных с социальными сетями, потоковым воспроизведением аудио и видео, а также одноранговыми сеансами, выявлено не было.

Киберпреступники устанавливают контроль над устройствами

  • Устройства IoT чрезвычайно привлекательны для киберпреступников по всему миру. Злоумышленники создают собственные «армии» устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы — вот основы экосистемы современной киберпреступности.
  • В 4-м квартале 2016 г. отрасль была дестабилизирована утечкой данных Yahoo! и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое.
  • Подключенные к Интернету вещей (IoT) устройства, пораженные ботнетом Mirai, инициировали рекордное количество DDoS-атак. После запуска исходного кода Mirai активность ботнета в течение недели возросла в 25 раз. К концу года активность увеличилась в 125 раз.
  • Исследование связанной с IoT активности эксплойтов в отношении нескольких категорий устройств показало, что наиболее уязвимыми являются домашние маршрутизаторы и принтеры, однако устройства DVR/NVR быстро опередили маршрутизаторы. Количество пораженных устройств этой категории увеличилось более чем на 6 порядков.
  • Большое значение также приобрела проблема вредоносного ПО, поражающего мобильные устройства. Несмотря на то, что этот вид вредоносного ПО занимает лишь 1,7 процента в общем объеме, одна из каждых пяти организаций, сообщивших об атаках с помощью вредоносного ПО, столкнулась с его мобильным вариантом. Практически все эксплойты были разработаны на базе Android. В структуре атак с помощью мобильного вредоносного ПО были выявлены значительные отличия в зависимости от региона: 36 процентов атак приходятся на организации Африки, 23 процента — Азии, 16 процентов — Северной Америки и лишь 8 процентов — Европы. Эти показатели следует учесть при работе с доверенными устройствами в современных корпоративных сетях.

Преобладание крупномасштабных автоматизированных атак

  • Взаимосвязь между количеством и распространенностью эксплойтов свидетельствует о повышении степени автоматизации атак и снижении стоимости вредоносного ПО и инструментов распространения, доступных в глубоком Интернете. Организация атак стала проще и дешевле, чем когда-либо.
  • Первое место в списке выявленных эксплойтов, представляющих значительную опасность, занял SQL Slammer, главным образом поражающий образовательные учреждения.
  • Вторым по распространенности является эксплойт, свидетельствующий о попытках проведения атак на протокол удаленного рабочего стола (RDP) Microsoft методом подбора. Эксплойт запускает 200 запросов RDP каждые 10 секунд, чем объясняется его значительная активность в сетях глобальных организаций.
  • Третье место в списке самых распространенных эксплойтов заняла сигнатура, привязанная к уязвимости «Повреждение памяти» диспетчера файлов Windows. С помощью этой сигнатуры злоумышленник может удаленно запустить выполнение произвольного кода внутри уязвимых приложений с помощью файла JPG.
  • Наибольшие показатели численности и распространенности продемонстрировали семейства ботнетов H-Worm и ZeroAccess. С помощью обоих ботнетов киберпреступники берут зараженные системы под контроль и похищают данные либо занимаются мошенничеством с рекламными объявлениями и майнингом биткоинов. Наибольшее количество попыток проведения атак с помощью этих двух семейств ботнетов было зафиксировано в технологическом и государственном секторах.

Программы-вымогатели продолжают распространяться

  • Независимо от того, в какой отрасли промышленности они применяются, программы-вымогатели заслуживают внимания. Вероятнее всего, эта эффективная технология атак продолжит развитие в рамках концепции «программы-вымогатели как услуги» (RaaS). За счет этого потенциальные преступники, не обладающие соответствующими навыками, могут загрузить инструменты и незамедлительно применить их на практике.
  • 36% организаций зафиксировали активность ботнетов, связанную с применением программ-вымогателей. Наибольшую активность продемонстрировал троян TorrentLocker, на третьем месте оказался Locky.
  • Широкое распространение получило вредоносное ПО, принадлежащее двум семействам — Nemucod и Agent. 81,4 процента собранных образцов вредоносного ПО относится к этим двум семействам. Как известно, семейство Nemucod связано с программами-вымогателями.
  • Программы-вымогатели были выявлены во всех регионах и отраслях, однако наиболее широкое распространение они получили в учреждениях здравоохранения. Это весьма тревожная тенденция: под угрозой находятся данные пациентов, которые по сравнению с другими типами данных отличаются большей длительностью хранения и значимостью, что чревато серьезными последствиями.

Все новое — это хорошо забытое старое

  • Злоумышленники ничего не списывают со счетов. К сожалению, попыткам исправления и устранения недостатков устаревших устройств и программного обеспечения уделяется чрезмерное внимание, что негативно отражается на противодействии современным атакам, проводниками которых являются цифровые устройства.
  • 86% организаций зафиксировали атаки, которые используют уязвимости, существующие уже более десятилетия. Почти в 40% случаев целями становились еще более старые уязвимости.
  • В среднем на одну организацию приходится 10,7 уникальных эксплойтов-приложений. В 9 из 10 компаний были выявлены эксплойты, представляющие собой серьезную опасность.
  • В целом при сравнении средних показателей численности выявленных в каждом регионе мира уникальных эксплойтов, вредоносного ПО и семейств ботнетов наибольшее количество и разнообразие угроз в каждой категории наблюдается в Африке, на Ближнем Востоке и в Латинской Америке. Наиболее отчетливо эта тенденция проявляется в категории ботнетов.

Методология исследования

В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs в 4-м квартале 2016 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты.