PT опубликовала статистику атак на веб-приложения в 2016 году

PT опубликовала статистику атак на веб-приложения в 2016 году

Статистика собрана по результатам проведения пилотных проектов внедрения межсетевого экрана PT Application Firewall. В документе особое внимание уделено тому, как злоумышленники атакуют организации из сферы информационной безопасности — эти тенденции рассматриваются на примере собственных ресурсов Positive Technologies.

Чаще всего злоумышленники, атаковавшие веб-ресурсы компании, пытались обойти средства защиты для несанкционированного доступа к интерфейсу CMS. При этом, зачастую атакующие не знают, какая CMS используется на конкретном сайте, и действуют наугад — пытаются обойти форму аутентификации, которая может быть расположена по разным адресам в зависимости от CMS. 

Около половины от общего числа атак на ресурсы Positive Technologies (45%) приходится на долю атак «Внедрение операторов SQL», что приблизительно соответствует показателю для IT-отрасли, полученному в ходе пилотных проектов. Четверть от общего числа составили атаки «Подделка межсайтовых запросов», а пятую часть – «Неконтролируемое перенаправление». 5% и менее составляют такие атаки, как «Межсайтовое выполнение сценариев», «Отказ в обслуживании» и «Удаленное выполнение кода и команд ОС». Другие атаки в сумме набирают 1%. 

 

 

Основные источники атак — Россия (43% атак) и Украина (20% атак). Третье место занимает Великобритания — Соединенное Королевство является источником 17% атак. Это объясняется, с одной стороны, присутствием Positive Technologies на европейском рынке ИБ, а с другой – использованием прокси-серверов провайдеров, зарегистрированных на территории Королевства. По 6% атак зафиксировано со стороны США и Турции.

Всплеск активности нарушителей зафиксирован в мае — он связан с проведением в этом месяце международного форума по практической безопасности Positive Hack Days. Непосредственно перед мероприятием и в даты его проведения нарушители предпринимают попытки нелегальной регистрации для посещения конференции на сайте phdays.com или подделки результатов конкурсов. Такой вывод основан на изучении характера атак в эти даты: главным образом взломщики пытались обойти средства защиты для несанкционированного доступа к веб-интерфейсу администрирования CMS. Помимо прочего, исследователи регистрировали большое количество внедрений операторов SQL на страницах, где публиковались результаты соревнований.

Начиная с июля фиксировался постепенный рост числа атак на веб-ресурсы Positive Technologies, но в ноябре произошел всплеск активности хакеров. Вырос и процент атак высокой степени риска — в этом месяце они составили 79% от общего числа. Другой интересный факт — увеличилась доля атак со стороны Украины (40% от общего числа) и Турции (12%); активность злоумышленников из других стран, в том числе России, колебалась незначительно. Эти факты соотносятся с предупреждениями Федеральной службы безопасности о готовящихся кибератаках на финансовую систему России.

«Спланированные массовые атаки с большой долей вероятности должны затрагивать не только непосредственно банковские системы, но и СМИ, в частности профессиональные порталы, которые могут быть использованы для распространения ложной информации от лица официальных представителей известных компаний или экспертов по безопасности. Кроме того, злоумышленники могут отрабатывать планируемые стратегии атак на сторонних ресурсах. Эта статистика соотносится с недавними предупреждениями Федеральной службы безопасности о готовящихся кибератаках на финансовую систему России, в частности, из-за рубежа», − отмечает Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies.

По результатам проведенных пилотных проектов и работы PT AF на ресурсах Positive Technologies, можно сделать вывод, что большинство атак, совершаемых злоумышленниками, достаточно просты как в исполнении, так и в обнаружении средствами защиты, такими как WAF. Для обнаружения длительных целевых атак необходимо анализировать сотни событий и находить между ними корреляции, чтобы затем выстроить последовательную цепочку одного вектора атаки. Полученные результаты подтвердили эффективность PT Application Firewall в обнаружении атак различных типов и уровней сложности, а также в выявлении векторов длительных многоступенчатых атак.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Нейробраузер Яндекса ежедневно пресекает 1,5 млн визитов к фишерам

С начала тестирования обновленный Яндекс Браузер выявил более 400 тыс. мошеннических сайтов. Встроенная нейросеть позволяет ежедневно фиксировать 1,5 млн попыток перехода на фишинговые ресурсы, в 90% случаев юзер при этом использует телефон.

Проверка сайтов теперь осуществляется в реальном времени. При подозрении на фишинг Браузер запускает глубокий анализ с привлечением серверов «Яндекса». Ресурс проверяется по сотням параметров: когда создан, на кого зарегистрирован, как часто посещается и каким способом (по ссылкам или напрямую), появляется ли в поисковой выдаче и т. п.

Данные пользователей и текстовое содержимое страниц при этом на серверы не передаются. Комплексная проверка длится менее 0,01 секунды; если сайт опасен, пользователю выводится предупреждение.

Ранее такая защита работала иначе. Фишинговые сайты отыскивал в Сети поисковый робот «Яндекса», заходя на сомнительные страницы по несколько раз в сутки. Оценка производилась с помощью ML-моделей на сервере; опасные ресурсы заносились в базу, и Браузер с ней сверялся каждый раз, когда пользователь заходил на новый ресурс.

Весь процесс занимал много времени, от нескольких часов до суток. Столько в среднем и живут фишинговые сайты, и солидное количество по этой причине не попадало в базу «Яндекса».

Теперь клиентская нейросеть помогает выявлять не только ловушки-однодневки, но также новые приманки фишеров — такие как фейки приложений подсанкционных банков и платформ для работы с криптобиржами.

Каждый месяц через Яндекс Браузер в Сеть выходят свыше 85 млн человек. Запуск версии со встроенными нейросетями состоялся в прошлом месяце. Новые функции доступны на десктопах Windows, macOS, Linux, а также на мобильных устройствах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru