В пору переходного периода в экономике бизнес считает информационную безопасность критически важной областью, о чем свидетельствует сохранение расходов на ИБ в среднем на прежнем уровне при общем сокращении корпоративных бюджетов. При этом, озаботившись проблемами повышения эффективности бизнеса, компании хотят реструктуризировать свои ИБ-бюджеты в соответствии с изменениями, происходящими в области ИБ-угроз.

Регионы и страны

Согласно данным недавно опубликованного отчета корпорации Symantec об интернет-угрозах за 2008 г. (ISTR XIV), наиболее высокая вредоносная активность в этот период была отмечена в США (23% всей зарегистрированной вредоносной деятельности), Китае (11%) и Германии (7%). Эти же страны лидируют по числу исходящих с их территории веб-атак: первое место у США (38% всех атак), второе — у Китая (13%), а вот третье место по этому показателю Германия уступила Украине (12%). Тем не менее шесть из десяти стран, являющихся, согласно данным ISTR XIV, главными источниками веб-атак, — находятся в регионе ЕМЕА, на который приходится 45% всех исходящих атак — больше, чем на любой другой регион мира. Одна из причин этого, как считают эксперты Symantec, — такие созданные в России (и, предположительно, распространяемые с нашей территории) пакеты эксплойтов, как MPack, IcePack и NeoSploi. При этом, согласно данным Trend Micro, в 2008 г. больше остальных стран спама получила не Россия, а США (22,5% от мирового объема). Зато мы наряду с такими странами, как Турция и Бразилия, продемонстрировали высокий рост спам-трафика, перегнав по этому показателю Китай.

Направления атак и активные вредоносы

В 2008 г. Symantec обнаружила более 2,7 млн. новых сигнатур вредоносных программ — примерно 60% когда либо выявленных ею. Аналитики Trend Micro тоже отметили рекордные темпы роста числа вредоносного кода в данный период. При этом свыше 90% своих угроз злоумышленники направили на похищение конфиденциальной информации, автоматизируя этот процесс и отыскивая общие признаки сразу для целого класса уязвимостей.

Около 63% выявленных Symantec в 2008 г. уязвимостей нацелены на веб-приложения, причем 95% атакованных уязвимостей относятся к уязвимостям клиентских систем и только 5% — к уязвимостям серверов. Большинство веб-атак направлено на известные уязвимости веб-браузеров и других популярных клиентских веб-приложений.

Самым распространенным видом веб-атак (30% от общего числа, по данным ISTR XIV) стали атаки с использованием уязвимостей MS Internet Explorer. На втором месте (11%) по числу атак уязвимость Acrobat PDF Suspicious File Download. В России заметно активизировался червь Win32/Taterf, который распространяется через подключаемые носители с целью кражи учетных записей и паролей для популярных онлайновых игр.

В 2008 г. Symantec отметила некоторое снижение количества уязвимостей в плагинах браузеров и уязвимостей типа межсайтового скриптинга, зато из числа обнаруженных таких уязвимостей за весь год было исправлено всего 3%. На исправление каждой установленной уязвимости веб-сайта в среднем уходило 60 дней, что, по мнению экспертов, давало преимущества злоумышленникам. Количество неисправленных в 2008 г. уязвимостей в ПО корпоративного класса представлено в таблице. Из 112 упомянутых там уязвимостей 37 имеют низкую степень опасности, 71 — среднюю и 4 — высокую.

Специалисты по ИБ отмечают, что вредоносная деятельность ведется главным образом через веб и поэтому перемещается в страны с быстро развивающимся, но с пока еще слабо защищаемым широкополосным доступом в Интернет. Кстати, в прошлом году Китай вышел на первое место в мире по числу абонентов услуг широкополосного доступа (21%), обогнав США (20%). Практикуются взломы веб-сайтов с целью организации атак не на собственно сайты, а на их посетителей. В первую очередь заражаются сайты, пользующиеся доверием. Активно используется вредоносный код, содержащий средства экспорта данных или регистрации нажатия клавиш. С помощью социального инжиниринга подменяются адреса доверенных веб-ресурсов с целью переренаправления жертв на вредоносные сайты.

Проведенное в США исследование Identity Theft Resource Center (ITRC) зарегистрировало в 2008 г. увеличение числа утечек данных на 47% (по сравнению с 2007 г.), при этом отмечается, что реальное количество утечек намного больше, чем было зарегистрировано. Статистика свидетельствует, что во всех регионах мира более половины зарегистрированных случаев утраты данных происходит из-за утери и кражи физического компьютерного оборудования (USB-устройств, сменных жестких дисков и смартфонов), а не из-за хакерских атак (около 20% зарегистрированных утечек).

В 2008 г. Symantec выявляла более 75 тыс. активных бот-инфицированных компьютеров в день (на 31% больше, чем в 2007 г.). Со своей стороны Trend Micro зарегистрировала в мире с января по ноябрь 2008 г. зомбирование 34,3 млн. компьютеров. Особенно резкий подъем заражений (на 476%) произошел в июне — августе. Здесь надо сказать, что управление бот-сетями перешло с защищенного протокола IRC на уязвимый HTTP.

В прошлом году злоумышленники сосредоточились на взломе систем конечных пользователей. Цель, как и прежде, — финансовое обогащение. Злоумышленники предпочитали вводить вредоносный контент во взломанные системы, чтобы затем атаковать других пользователей и эксплуатировать доверие к организациям, вместо того чтобы охотиться за информацией только этих организаций. Так, 78% угроз для конфиденциальной информации экспортировали данные пользователей, и уже потом собранные данные применялись для кражи всей доступной персональной информации пользователей и для организации новых атак.

Symantec зафиксировала около 55 тыс. хост-серверов фишинговых веб-сайтов против 33 тыс. в 2007 г. Этот всплеск эксперты связывают с использованием автоматических фишинговых инструментов, которые ускоряют процесс создания таких сайтов. Наряду с технологиями, рассчитанными на массовый фишинг, злоумышленники развивают и вейлинговые способы атак (от whaling — охота на китов), ориентированные на отдельные конкретные персоны. За прошедший год наблюдался существенный рост объема спама в Интернете (по данным Symantec, на 192% — 349,6 млрд. сообщений, из которых примерно около 90% раccылались бот-сетями). Распределение спама по контентным категориям представлено на диаграмме 1.

Спам является мощным средством проведения фишинговых атак. В 2008 г. 76% из них были нацелены на бренды сектора финансовых услуг. Этот же сектор продемонстрировал самый большой уровень краж персональных данных в результате их утечек — 29% от общего числа согласно отчету ISTR XIV. Утечки данных в секторе образования составили 27% от общего числа, за ними следуют госорганизации (20%) и здравоохранение (15%).

В 2008 г. на долю сектора финансовых услуг пришлось 76% всех случаев фишинга. Учетные записи клиентов у сервис-провайдеров Интернета стали привлекательными мишенями для фишеров, так как люди часто используют одни и те же пароли для нескольких учетных записей, включая учетные записи электронной почты. Распределение случаев фишинга по отраслевым сегментам представлено на диаграмме 2.

О новом и опасном по своему происхождению трояне Trojan.Skimer сообщила служба вирусного мониторинга компании “Доктор Веб”. Этот троян, появившейся в закрытых сетях банкоматов некоторых российских банков, собирает информацию о кредитных картах. Злоумышленникам, использующим данный вирус, нужно только ввести определенный код на зараженном банкомате, и он распечатает данные потенциальных жертв. Как правило, сети банкоматов не связаны с Интернетом, поэтому в распространении этого вредоноса предполагается участие людей, тесно связанных с банками.

Товары и цены криминального компьютерного бизнеса

Данные кредитных карт возглавляют размещенный в ISTR XIV список товаров и услуг, рекламируемых преступниками в теневой экономике, на их долю приходится 32% от всех криминальных кибер-товаров. Цены на товары и услуги черного рынка, согласно данным Symantec, остаются стабильными. Так, стоимость краденых кредитных карт в 2008 г. находилась в диапазоне от 0,06 дo 30 долл. за один номер. Украденная информация о банковских счетах, второго по популярности товара, рекламируемого в теневой кибер-экономике, стоила от 10 до 1000 долл. за счет. Учетная запись и адрес электронной почты (третье и четвертое места в списке украденных товаров) на черном рынке продавались за 0,10-100 долл. за одну запись и 0,33-100 долл. за 1 Мб адресов.

В число лидирующих услуг, рекламируемых на черном рынке, входят обналичивание денег, хостинг фальшивых сайтов и трудоустройство в преступном кибер-сообществе (например, разработчиком нелегальных схем или партнером по фишингу). Эксперты подтверждают, что функционирование теневой экономики хорошо организовано в международном масштабе. Например, такие товары, как чистые пластиковые карты с магнитной полосой, могут изготавливаться в одной стране, пересылаться в другую для записи краденых реквизитов кредитных карт, а затем переправляться для продажи в страны, откуда исходят эти краденые данные.

ISTR XIV показывает, что преступники сосредоточены на приобретении информационных товаров, которые позволяют им быстро делать большие деньги, а покупка эксплойтов, которые требуют для получения прибыли больше времени и ресурсов, уходит на второй план.

Направления развития антивирусной защиты

Ведущие разработчики антивирусов из числа наиболее известных в России реагируют на изменения в сфере ИБ-угроз по-разному. Так, Владимир Мамыкин, директор по информационной безопасности ООО “Майкрософт Рус”, сказал, что нынешняя стратегия Microsoft в области обеспечения ИБ была сформулирована еще в 2002 г. как Trustworthy Computing (стратегия создания защищенных информационных систем). Исходными посылками в ней является не столько развитие самих угроз, сколько требования бизнеса к системам обеспечения ИБ. Конкретизируя фокусы реализации Trustworthy Computing в настоящее время, Владимир Мамыкин особо отметил такие, как обеспечение защищенного доступа к ресурсам из любого места, упрощение работы с различными компонентами ИБ, совершенствование технологий ИБ во всех производимых Microsoft продуктах — от ОС и серверов до приложений и онлайновых сервисов.

Михаил Кондрашин, руководитель центра компетенции компании Trend Micro в России и СНГ, назвал разработку сети Smart Protection Network, которая представляет собой семейство “облачных” сервисов, ассиметричным ответом компании Trend Micro на экспоненциальный рост количества уникальных образцов вредоносного кода и смещение центра тяжести угроз в веб. По его словам, репутационные сервисы, предоставляемые по “облачной” технологии, блокируют угрозы на уровне Интернета, не позволяя им добраться до компьютеров и серверов пользователей.

Однако, по мнению Кирилла Керценбаума, руководителя группы технических специалистов Symantec в России и СНГ, использование “облачных” технологий в защите информации преждевременно, если иметь в виду российские условия, прежде всего из-за низкого уровня распространения необходимого для этого широкополосного доступа в Интернет. Корпорация Symantec в разработке антивирусной защиты сосредоточена сегодня на развитии проактивных технологий. “Даже обновляя у себя базы данных наших антивирусных продуктов каждые 5—15 мин [имеется в виду так называемое импульсное обновление, реализованное в новых версиях ПО Symantec. — Прим. автора], пользователи все равно не успевают за появлением новых образцов вирусов”, — пояснил он недостаточность сигнатурных методов детектирования вирусов.

Другим важным для Symantec направлением в разработке антивирусов Кирилл Керценбаум назвал производительность, которой, по его мнению, сегодня, к сожалению, нередко жертвуют другие разработчики. “Несмотря на то что безопасность должна быть на первом месте и для домашних, и для корпоративных пользователей, антивирусы не должны требовать непременного апгрейда компьютера или превращать работу в муку”, — сказал он.

Таблица. Количество обнаруженных, но неисправленных уязвимостей в ПО корпоративного класса, 2008 г.
Вендор Количество неисправленных уязвимостей

Microsoft

46

Sun

25

Cisco

15

IBM

8

HP

6

Oracle

3

VMWare

3

CA

2

Check Point

2

McAfee

1

SAP

1

Данные ISTR XIV, 2008 г.