Киберугрозы в 2010 году стали значительно более масштабными и изощренными

Киберугрозы в 2010 году стали значительно более масштабными и изощренными

...

Корпорация Symantec обнародовала 16-й ежегодный отчет об угрозах безопасности в интернете. Отчёт свидетельствует о важных изменениях в ландшафте интернет-угроз в 2010 году, а также об усложнении этих угроз и увеличении их масштабов. За 2010 год Symantec обнаружила более 286 миллионов новых угроз. Такое огромное количество угроз сопровождалось появлением нескольких новых важных тенденций.



Во-первых, в 2010 году наблюдался резкий рост, как частоты, так и изощрённости направленных атак на предприятия. Во-вторых, социальные сети стали использоваться злоумышленниками как платформы для распространения атак. В-третьих, нападающие изменили тактику - они всё чаще стали использовать уязвимости Java для взлома традиционных компьютерных систем. Наконец, замечен резкий рост интереса мошенников к мобильным устройствам.

2010: Год направленных атак

Направленные атаки, такие как Hydraq и Stuxnet, представляли растущую угрозу для предприятий в 2010 году. Для успешного и незаметного проникновения в компьютерные сети предприятий злоумышленники использовали ранее неизвестные уязвимости (так называемые уязвимости нулевого дня). А, например, Stuxnet для осуществления атакиспользовал сразу четыре таких уязвимости.

В 2010 году злоумышленники атаковали целый ряд разнообразных крупных транснациональных корпораций и правительственных учреждений, а также на удивление много небольших компаний. Часто злоумышленники собирали информацию о конкретных сотрудниках атакуемой корпорации, а затем разрабатывали индивидульный подход к конкретной жертве (в основном с использованием методов социальной инженерии) для получения доступа в сеть компании-жертвы. Благодаря такому прицельному характеру, многие из этих атак достигли успеха даже в отношении таких организаций, где соблюдались основные меры безопасности.

«Stuxnet и Hydraq, два самых заметных кибер-события 2010 года, стали эпизодами настоящей кибер-войны – они кардинальным образом изменили ландшафт угроз, – заявил Стивен Триллинг (Stephen Trilling), Вице-президент Symantec по технологиям безопасности и ответных действий, – Фокус угроз расширился от попыток взлома частных банковских счетов до нанесения ущерба информационной и физической инфраструктуре целых государств».

Получившие широкую огласку направленные атаки 2010 года имели своей целью хищение интеллектуальной собственности или нанесение физического ущерба. Однако многие менее известные направленные атаки были нацелены и на частных лиц для получения доступа к их персональной информации. По данным отчета, в среднем в 2010 году один успешный взлом приводил к попаданию в открытый доступ персональных данных 260 000 человек.

Социальные сети: плодородная почва для кибер-преступности

Популярность социальных сетей продолжает расти, и создатели вредоносных программ не могли оставить это без внимания. Чаще всего злоумышленники используют короткие URL-адреса, которые обычно применяются для сокращения числа символов в сообщении на том же Твиттере, более аккуратного вида длинной ссылки на сайте или в письме. В 2010 году мошенники распространили миллионы таких ссылок по социальным сетям с целью заманить пользователей на фишинговые сайты или заразить вирусом или другим вредоносным ПО. Это спровоцировало рост количества случаев успешного инфицирования.

В отчёте отмечается, что злоумышленники по максимуму использовали возможности новостных лент популярных соцсетей для массовых вредоносных активностей. Типичный сценарий выглядел так: злоумышленник входит на взломанный аккаунт в социальной сети и вывешивает в статусе короткую ссылку на вредоносный веб-сайт. Затем сайт социальной сети автоматически отправляет ссылку в новостные потоки друзей жертвы, распространяя ее таким образом сотням или тысячам жертв в течение нескольких минут. Корпорация Symantec зафиксировала, что в 2010 году 65% вредоносных ссылок в новостных потоках использовали короткие URL-адреса. Из них на 73% кликали более 10 раз, а 33% – от 11 до 50 раз.

Готовые инструменты для осуществления атак сфокусировались на Java

Наборы эксплойтов для атак – это компьютерные программы, которые могут использоваться как продвинутыми хакерами, так и новичками для облегчения запуска широкомасштабных атак. Такие инструмемнты повсеместно применялись в 2010 году и всё чаще использовали уязвимости Java, на долю которой пришлось 17% всех уязвимостей плагинов веб-браузеров в 2010. Являясь популярной мульти-платформенной технологией, не привязанной к типу браузера, Java остаётся привлекательной мишенью для злоумышленников.

Набор Феникс (Phoenix) стал основой для большинства осуществленных веб-атак в 2010 году. Он, как и многие другие наборы, тоже содержит элементы, использующие уязвимости Java. За отчетный период топ-6 веб-атак использовали экспойты к уязвимостям Java.

Число веб-атак, ежедневно фиксированных в 2010 году, возросло на 93% по сравнению с 2009 годом. И, учитывая то, что по данным Symantec две трети всех этих угроз были созданы с помощью готовых наборов инструментов, именно они могли стать причиной такого резкого роста.

Проясняется схема действий злоумышленников в мобильном пространстве

Повсеместное распространение мобильных платформ достигло того уровня, когда злоумышленники просто не могут не обращать на это внимания. В связи с этим Symantec ожидает увеличение числа атак на эти платформы. В 2010 году мобильные устройства атаковались преимущественно троянскими программами, маскировавшимися под легитимные приложения. И хотя некоторые из этих программ были разработаны злоумышленниками «с нуля», во многих случаях инфицирование пользователей происходило путём вписывания вредоносных алгоритмов в исходные официальные приложения. Затем злоумышленники распространяли эти зараженные приложения через общедоступные интернет-магазины. К примеру, именно таким способом воспользовались авторы Pjapps Trojan.

Несмотря на то, что новые архитектуры систем безопасности, используемые в современных мобильных устройствах, не уступают в эффективности настольным коппьютерам и серверам, злоумышленникам часто удаётся миновать эту защиту, используя внутренние уязвимости мобильных платформ. К сожалению, такие недочёты встречаются довольно часто: в течение 2010 года корпорация Symantec обнаружила 163 уязвимости, которые могли бы быть использованы злоумышленниками для получения частичного или полного контроля над устройствами, использующими популярные мобильные платформы. В течение первых месяцев 2011 года, злоумышленники уже воспользовались этими недочётами, чтобы инфицировать сотни тысяч устройств.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Более 50% компаний перекладывают непрерывность на ИТ, 20% имеют план

«Инфосистемы Джет» провела масштабное исследование практик восстановления после инцидентов и выяснила: большинство российских компаний относятся к киберустойчивости фрагментарно и чаще действуют по факту, а не по плану. Ключевая мысль исследования — сегодня именно инциденты информационной безопасности и крупные ИТ-сбои чаще всего прерывают бизнес-процессы.

При этом компании по-прежнему разделяют ответственность так, что получается разрыв между операциями и стратегией.

Основные выводы исследования:

  • Более половины компаний полностью возлагают заботу о непрерывности процессов на ИТ-отдел.
  • Только 20% организаций имеют согласованный с бизнесом план восстановления ИТ-инфраструктуры.
  • 37% полагаются исключительно на резервное копирование, а каждая пятая компания не защищает резервные копии дополнительно — это оставляет их уязвимыми.
  • Кризис-менеджмент преимущественно реактивный: команды действуют по мере возникновения проблем, а не по отработанным сценариям.
  • 70% организаций тестируют планы восстановления, но почти не моделируют реальные инциденты.
  • Лишь 40% готовы публично говорить о произошедших инцидентах, что мешает формированию прозрачной культуры киберустойчивости.

Исследование подчёркивает: базовых мер часто мало. Подразделения информационной безопасности фокусируются на защите периметра, ИТ — на восстановлении систем, но редко выстраивается сквозной, комплексный подход — от предотвращения инцидента до его отработки и анализа последствий. В результате у компании может быть «крепкий» периметр и надёжные бэкапы, но при этом игнорироваться защита критических контуров вроде СРК, а плохо настроенные процессы восстановления приводят к большим потерям даже при наличии отдельных сильных элементов.

Что нужно делать дальше:

  • Внедрять BIA (анализ влияния на бизнес), оценку рисков и регулярное тестирование планов восстановления.
  • Переходить от реактивного реагирования к отработанным сценариям и моделированию реальных инцидентов.
  • Защищать резервные копии отдельно и вводить лимиты/контроли на их доступ.
  • Вовлекать весь бизнес: киберустойчивость — это не только задача службы ИБ или ИТ, это общая ответственность ИТ-отдела, бизнеса, финансов, HR и руководства.
  • Стремиться к антихрупкости — архитектуре и процессам, которые не просто выдерживают удар, но учатся и укрепляются после инцидента.

«Главное отличие компаний, которые быстро восстанавливаются после кибератаки, — они готовились заранее», — говорит Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет». «Почти никогда не получается восстановиться с первого раза, если это ни разу не отрабатывалось на практике. Нужно проводить учения, моделировать атаки, проверять коммуникации и распределение ролей. И самое важное — вовлечённость всей компании: киберустойчивость невозможна, если в ней участвует только служба ИБ».

В итоге исследование показывает, что переход от точечных мер к стратегическому, системному подходу — не прихоть, а необходимость. Компании, которые начнут системно оценивать риски, тестировать сценарии и вовлекать все подразделения, будут восстанавливаться быстрее и получать меньше ущерба от будущих инцидентов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru