Отчет об исследовании угроз Fortinet дает представление о том, как киберпреступники пытаются изменить баланс сил в сфере информационной безопасности

Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet

«В настоящее время организации сталкиваются со сложными проблемами в сфере информационной безопасности, в частности, с проблемой быстрого развития угроз. Угрозы становятся все более интеллектуальными, автономными и скрытными. Одновременно с появлением новых угроз возвращаются и старые, обновленные новым функционалом. Кроме того, благодаря доступности инструментов и услуг по разработке угроз, а также потенциальной прибыльности киберпреступлений объем международного теневого рынка достигает десятков миллиардов долларов США. Задача руководителей по информационной безопасности — обеспечить интеграцию и автоматизацию элементов системы безопасности в рамках всех корпоративных сред и устройств, от IoT до облака, а также наладить обмен данными между этими элементами».

Сводка новостей

Сегодня компания Fortinet, мировой лидер в области высокоэффективных решений по обеспечению информационной безопасности, обнародовала основные положения последнего отчета о всемирном исследовании угроз. В результате исследования были всесторонне изучены методики и стратегии, применяющиеся киберпреступниками, а также получены прогнозные показатели возможного ущерба для виртуальной экономики. На вопрос «Какую угрозу можно назвать наиболее существенной?» пока не удается дать ответ, так как наряду с возвращением старых угроз происходят и крупномасштабные автоматизированные атаки. В подробностях ознакомиться с результатами исследования можно в нашем блоге. Ниже приведены основные выводы:

Тенденции развития инфраструктуры и их влияние на угрозы

• Важно учитывать тенденции развития инфраструктуры и их связь с угрозами. Вредоносное ПО, эксплойты, ботнеты — все эти угрозы появляются отнюдь не в вакууме. По мере развития инфраструктуры выявлять угрозы и предотвращать нарушения становится все сложнее.
• Согласно данным, объем трафика с шифрованием SSL стабильно держится на отметке около 50% и составляет примерно половину веб-трафика, проходящего через корпоративную сеть. Важно отслеживать трафик HTTPS, так как он обеспечивает конфиденциальность, но в то же время может стать проводником угроз, скрытых в зашифрованных данных. Нередко организации пренебрегают проверкой трафика SSL, так как процедура его открытия, проверки и повторного шифрования сопряжена со значительными нагрузками. В силу этого специалисты вынуждены выбирать между производительностью и безопасностью.
• Количество облачных приложений на организацию возросло до 63 — около трети от общего количества приложений на организацию. Эта тенденция оказывает существенное влияние на безопасность, так как ИТ-специалистам сложнее отслеживать состояние, использование и доступ к данным, хранящимся в облачных приложениях. Резкого увеличения количества приложений, связанных с социальными сетями, потоковым воспроизведением аудио и видео, а также одноранговыми сеансами, выявлено не было.

Киберпреступники устанавливают контроль над устройствами

• Устройства IoT чрезвычайно привлекательны для киберпреступников по всему миру. Злоумышленники создают собственные «армии» устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы — вот основы экосистемы современной киберпреступности.
• В 4-м квартале 2016 г. отрасль была дестабилизирована утечкой данных Yahoo! и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое.
Подключенные к Интернету вещей (IoT) устройства, пораженные ботнетом Mirai, инициировали рекордное количество DDoS-атак. После запуска исходного кода Mirai активность ботнета в течение недели возросла в 25 раз. К концу года активность увеличилась в 125 раз.
• Исследование связанной с IoT активности эксплойтов в отношении нескольких категорий устройств показало, что наиболее уязвимыми являются домашние маршрутизаторы и принтеры, однако устройства DVR/NVR быстро опередили маршрутизаторы. Количество пораженных устройств этой категории увеличилось более чем на 6 порядков.
• Большое значение также приобрела проблема вредоносного ПО, поражающего мобильные устройства. Несмотря на то, что этот вид вредоносного ПО занимает лишь 1,7 процента в общем объеме, одна из каждых пяти организаций, сообщивших об атаках с помощью вредоносного ПО, столкнулась с его мобильным вариантом. Практически все эксплойты были разработаны на базе Android. В структуре атак с помощью мобильного вредоносного ПО были выявлены значительные отличия в зависимости от региона: 36 процентов атак приходятся на организации Африки, 23 процента — Азии, 16 процентов — Северной Америки и лишь 8 процентов — Европы. Эти показатели следует учесть при работе с доверенными устройствами в современных корпоративных сетях.

Преобладание крупномасштабных автоматизированных атак

• Взаимосвязь между количеством и распространенностью эксплойтов свидетельствует о повышении степени автоматизации атак и
снижении стоимости вредоносного ПО и инструментов распространения, доступных в глубоком Интернете. Организация атак стала проще и дешевле, чем когда-либо.
Первое место в списке выявленных эксплойтов, представляющих значительную опасность, занял SQL Slammer, главным образом поражающий образовательные учреждения.
• Вторым по распространенности является эксплойт, свидетельствующий о попытках проведения атак на протокол удаленного рабочего стола (RDP) Microsoft методом подбора. Эксплойт запускает 200 запросов RDP каждые 10 секунд, чем объясняется его значительная активность в сетях глобальных организаций.
• Третье место в списке самых распространенных эксплойтов заняла сигнатура, привязанная к уязвимости «Повреждение памяти» диспетчера файлов Windows. С помощью этой сигнатуры злоумышленник может удаленно запустить выполнение произвольного кода внутри уязвимых приложений с помощью файла JPG.
• Наибольшие показатели численности и распространенности продемонстрировали семейства ботнетов H-Worm и ZeroAccess. С помощью обоих ботнетов киберпреступники берут зараженные системы под контроль и похищают данные либо занимаются мошенничеством с рекламными объявлениями и майнингом биткоинов. Наибольшее количество попыток проведения атак с помощью этих двух семейств ботнетов было зафиксировано в технологическом и государственном секторах.

Программы-вымогатели продолжают распространяться

• Независимо от того, в какой отрасли промышленности они применяются, программы-вымогатели заслуживают внимания. Вероятнее всего, эта эффективная технология атак продолжит развитие в рамках концепции «программы-вымогатели как услуги» (RaaS). За счет этого потенциальные преступники, не обладающие соответствующими навыками, могут загрузить инструменты и незамедлительно применить их на практике.
• 36% организаций зафиксировали активность ботнетов, связанную с применением программ-вымогателей. Наибольшую активность продемонстрировал троян TorrentLocker, на третьем месте оказался Locky.
• Широкое распространение получило вредоносное ПО, принадлежащее двум семействам — Nemucod и Agent. 81,4 процента собранных образцов вредоносного ПО относится к этим двум семействам. Как известно, семейство Nemucod связано с программами-вымогателями.
• Программы-вымогатели были выявлены во всех регионах и отраслях, однако наиболее широкое распространение они получили в учреждениях здравоохранения. Это весьма тревожная тенденция: под угрозой находятся данные пациентов, которые по сравнению с другими типами данных отличаются большей длительностью хранения и значимостью, что чревато серьезными последствиями.

Все новое — это хорошо забытое старое

• Злоумышленники ничего не списывают со счетов. К сожалению, попыткам исправления и устранения недостатков устаревших устройств и программного обеспечения уделяется чрезмерное внимание, что негативно отражается на противодействии современным атакам, проводниками которых являются цифровые устройства.
• 86% организаций зафиксировали атаки, которые используют уязвимости, существующие уже более десятилетия. Почти в 40% случаев целями становились еще более старые уязвимости.
• В среднем на одну организацию приходится 10,7 уникальных эксплойтов-приложений. В 9 из 10 компаний были выявлены эксплойты, представляющие собой серьезную опасность.
• В целом при сравнении средних показателей численности выявленных в каждом регионе мира уникальных эксплойтов, вредоносного ПО и семейств ботнетов наибольшее количество и разнообразие угроз в каждой категории наблюдается в Африке, на Ближнем Востоке и в Латинской Америке. Наиболее отчетливо эта тенденция проявляется в категории ботнетов.

Методология исследования

В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs в 4-м квартале 2016 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты.

Дополнительные ресурсы

• Узнайте больше об адаптивной системе сетевой безопасности Fortinet.
• Ознакомьтесь с подробностями отчёта на нашем блоге и ознакомьтесь с инфографикой или посмотрите видео
• Оснокомтесь с полной версией отчёта
• Подпишитесь на страницы Fortinet в сетях Twitter, LinkedIn и Facebook.

Об отделе FortiGuard Labs

Отдел FortiGuard Labs состоит более чем из 200 квалифицированных исследователей и аналитиков со всего мира. С помощью специально разработанных инструментов и технологий мирового класса исследователи выявляют и изучают новые угрозы, а также разрабатывают меры защиты от них. В состав команды входят профессиональные эксперты, занимающиеся исследованием всех критически важных областей, в том числе вредоносного программного обеспечения, ботнетов, мобильных угроз и уязвимостей «нулевого дня». Аналитики изучают коды и разрабатывают подписи, предназначенные для устранения угроз с помощью сервисов FortiGuard. Одновременно с этим разработчики технологий создают новые механизмы защиты для борьбы с постоянно развивающимися угрозами. В целях обеспечения безопасности более 300 000 клиентов сотрудники отдела FortiGuard Labs используют данные, собранные по всему миру. 

О компании Fortinet

Компания Fortinet обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру. Fortinet предлагает систему безопасности, предназначенную для обеспечения всесторонней интеллектуальной защиты от постоянно появляющихся угроз. 

Продукты компании Fortinet легко подстраиваются под растущие требования к производительности, что соответствует последней тенденции развития сетей, не ограниченных никакими рамками. Адаптивная система сетевой безопасности Fortinet – единственное средство, с помощью которого можно добиться безопасности без компромиссов и решить наиболее важные вопросы, связанные с защитой сетевых сред, сред приложений, облачных сетей и мобильных устройств. Компания Fortinet занимает 1-е место по количеству проданных средств безопасности и обеспечивает защиту более 300 000 клиентов по всему миру. 

Подробнее см. на сайте, в блогах Fortinet Blog или FortiGuard Labs.