Компания McAfee, бизнес-подразделение Intel Security, представила новый отчет, который анализирует неоднозначность и неопределенность, характерные для техник обхода Advanced Evasion Techniques (AET), а также их роль в возникновении так называемых постоянно совершенствуемых угроз (Advanced Persistent Threats, APT). Исследование Vanson Bourne, проведенное по заказу McAfee, основано на опросе 800 директоров по информационным технологиям и специалистов в области информационной безопасности из Соединенных Штатов Америки, Великобритании, Германии, Франции, Австралии, Бразилии и Южной Африки. Результаты исследования показали, что в среде специалистов, которые отвечают за обеспечение безопасности конфиденциальных данных, нередки непонимание, ошибочное толкование и использование неэффективных инструментов защиты.
Произошедшие недавно крупные утечки важных конфиденциальных данных продемонстрировали, что преступная деятельность подобного рода может оставаться незамеченной в течение долгого периода времени. Участники опроса, подтверждая этот факт, отмечают, что в среднем у одного из пяти специалистов по информационной безопасности случалась утечка данных (22% респондентов). Около 40% респондентов уверены в том, что техники AET играли не последнюю роль в данных инцидентах. В целом, компании, столкнувшиеся с утечкой данных за последние 12 месяцев, потеряли до 1 млн. долларов.
«Мы больше не работаем с заурядными сканнерами, которые пытаются проникнуть в сеть через очевидные „тонкие“ места. Сегодня, когда окружающий мир отличается широкими возможностями коммуникации, нам приходится сталкиваться со злоумышленниками, которые тратят недели и месяцы на изучение сетевой инфраструктуры организации с целью найти любой способ внедриться в нее, — прокомментировал Джон Мазерини (John Masserini), вице-президент и главный специалист по информационной безопасности компании MIAX Options. — Advanced Evasion Techniques как раз является этим уязвимым местом сетевой инфраструктуры любой компании. Брандмауэр McAfee Next Generation Firewall позволяет обеспечить дополнительный уровень защиты от таких угроз и сводит на нет возможность внедриться в сетевую инфраструктуру извне».
Около 40% руководителей в сфере ИТ не верят в существование методов, способных определить и отследить AET внутри своей организации, а почти две трети опрошенных считают, что самая большая проблема, с которой они сталкиваются при попытке внедрить технологии защиты от AET, — это убедить руководство в том, что техники AET представляют собой реальную и серьезную угрозу.
«Многие компании настолько сосредоточены на идентификации новых вредоносных кодов, что уже не замечают атак АЕТ, которые, в конечном итоге, могут позволить вредоносному коду обходить системы ИБ, — подчеркнул Джон Олтсик (Jon Oltsik), главный аналитик в Enterprise Strategy Group. — AET представляют из себя значительную угрозу, так как большинство решений в области информационной безопасности не могут определить или остановить их. Специалисты по безопасности и управляющие должны обратить внимание на действительно реальную и все более совершенствующуюся угрозу».
Из примерно 800 миллионов известных техник AET всего менее 1% могут быть определены сетевыми экранами других производителей. Количество существующих методов обхода данного типа значительно возросло с 2010 года: на данный момент известно о миллионах комбинаций и модификаций сетевых AET.
Профессор Университета Южного Уэльса Эндрю Блит (Andrew Blyth) изучал распространение и влияние AET в течение многих лет. «Надо просто признать, что существование Advanced Evasion Techniques (AET) — это сверившийся факт. Шокирует то, что большинство ИТ-руководителей и профессионалов сферы безопасности недооценили степень развития AET, оценив их количество в 329 246, тогда как на самом деле эта цифра примерно 2500 раз больше и составляет около 800 миллионов AET, притом число данных техник обхода растёт».
AET — это методы маскировки, используемые для незаметного вторжения в выбранные злоумышленниками сети с целью оказания дополнительной нагрузки на инфраструктуру. Впервые они были обнаружены в 2010 году специалистами по безопасности из компании Stonesoft, которая была приобретена MCAfee в 2013 году. Используя AET, хакер имеет возможность разделить эксплойт на части, обойти сетевой экран или IPS-системы, а, внедрившись в сеть, снова объединить части кода, чтобы продолжить атаку типа APT.
Причина, по которой данные методы внедрения недостаточно известны и не до конца поняты, кроется в том, что при проведении платного тестирования сетевых экранов производителям удаётся внести усовершенствования. Таким образом, в ходе тестирования разрабатываются патчи только для части эксплойтов, определенных во время теста, но не для всех методик внедрения, которые быстро становятся оружием в руках преступных организаций.
«Хакеры уже используют AET каждый день, — утверждает Пэт Калхун (Pat Calhoun), руководитель отдела сетевой безопасности компании McAfee. — Наша задача — помочь предприятиям определять возможные угрозы такого типа и научить их защищаться от подобных атак».
Респонденты из организаций, которые пострадали от сетевых вторжений за последние 12 месяцев, оценивают потери для бизнеса в результаты в размере 931 006 долларов. В Австралии, где оценка количества вторжений составила меньший процент (15%), средний урон от вторжения составляет 1,5 млн. долларов. Размер убытка для американских компаний превысила в среднем 1 млн. долларов. Самый тяжелый удар пришелся по финансовому сектору, где потери составили 2 млн. долларов на вторжение.