Сергей Лосев

Первая массовая вирусная эпидемия была отмечена почти 20 лет назад, когда пакистанский вирус проник в компьютеры домашних и корпоративных пользователей. С тех пор прошло много времени, выросло и качество, и количество средств защиты от всевозможных видов угроз, однако проблема не потеряла своей актуальности. Более того, за это время появились не только сотни новых вирусов, но и новые виды уязвимостей, новые способы проникновения в компьютеры и сети. Почему же до сих пор не удалось обуздать проблемы вирусов, червей и спама, какие новые источники угроз ожидаются в ближайшем будущем и как с ними можно бороться?

Рост по экспоненте...

Для начала немного цифр. В 1995 году, когда, как известно, впервые появилась операционная система Microsoft Windows 95, число известных вирусов составляло около семи тысяч; сегодня, по данным "ДиалогНауки", оно увеличилось в 20 раз. Стремительно выросли и ежедневные рассылки спамовых писем: в 2001-м IDC оценило общемировой объем спама в 3 млрд. сообщений (тогда и была обозначена эта проблема), в 2005-м он превысил 20 млрд., а к 2008-му прогнозирует рост до 43 млрд. таких писем. Рост объема вирусов и спама, по словам генеральный директор ЗАО "ДиалогНаука", Сергея Антимонова, объясняется недооценкой проблемы уязвимостей и вредоносного кода на всех уровнях государства, бизнеса, потребляющего средства защиты, разработчиков этих средств и отдельных пользователей, работающих на персональных компьютерах дома и в офисе.

  Основные общемировые тенденции в области угроз и уязвимостей
 

По данным Symantec за первую половину 2006 года

  • наиболее часто атакуемый веб-браузер Microsoft Internet Explorer (47% всех атак на веб-браузеры);
  • на США пришлось 54% всех мировых DoS-атак;
  • наибольшее число бот-инфицированных компьютеров в первом полугодии 2006 года зарегистрировано в Китае 20% от общемирового уровня;
  • максимальное число атак исходило из США - 37% от общемирового;
  • наиболее интенсивно атакуемым сектором были домашние пользователи, на долю которых пришлись 86% всех целенаправленных атак;
  • уязвимости веб-приложений составили 69% всех уязвимостей, обнаруженных за первое полугодие 2006 года;
  • пять из десяти наиболее активных семейств вредоносных программ были "троянскими конями";
  • самым распространенным новым семейством вредоносных программ за этот период оказался вирус Polip;
  • на долю червей пришлись 75% всех сообщений о TOP-50 вредоносных программах;
  • 30 из 50 наиболее известных вредоносных программ раскрывали конфиденциальную информацию;
  • самым интенсивным атакам фишинга подвергался сектор финансовых услуг, на долю которого пришлось 84% всех фишинговых атак;
  • наиболее часто обнаруживаемым типом спама в первом полугодии 2006 года был спам, относящийся к медицинским услугам и продуктам;
  • 58% всего зарегистрированного в мире спама исходило из США;
  • 8 из 10 главных угроз для безопасности были рекламными программами.

Последствия столь масштабного "наплыва" вредоносного кода могут быть самые разные. В отчете ICSA Computer Virus Prevalence Survey, опубликованном в 2005 году, в первую пятерку таковых входят падение производительности (с этой проблемой согласились 240 респондентов из 300 участников опроса), недоступность компьютера (201), потеря данных и доступа к ним (по 174 респондента соответственно), а также повреждение файлов (163). Время "инфицирования" большинства компьютеров, подключенных к сети, сегодня составляет не более 12 минут, а в ряде случаев (об этом см. далее) и того меньше. В денежном исчислении четыре ключевые проблемы безопасности - вирусы, спам, хакеры и фишинг - обходятся потребителям в миллиарды долларов.

Статистика подтверждает, что предприятия понимают необходимость антивирусной и антиспамовой защиты - число установленных шлюзов, прокси-серверов и межсетевых экранов, используемых для безопасности периметра корпоративной сети, продолжает расти. Так, если в 1997 году антивирусные шлюзы ставились лишь в 30% случаев, по оценкам ICSA Labs, то начиная с 2002 года это число приближается к 100%.

Уязвимости-2006

По исследованиям Symantec, публикуемым дважды в год (последний опубликованный отчет касался уязвимостей и угроз за первую половину 2006-го(1) ), с января по июль 2006 года произошел сдвиг в общей картине угроз: злоумышленники стали действовать более сконцентрировано, нацеливаясь на клиентские приложения (веб-браузеры, интернет-пейджеры, почтовые клиенты и др.), применяемые для связи по сети и взаимодействия со службами и программами на базе веб-технологий. Главной мишенью злоумышленников стали конечные пользователи. Поскольку домашние компьютеры защищены меньше всего, а в ряде случаев не защищены никак, они оказываются уязвимыми для целенаправленных атак, предпринимаемых в целях мошенничества и других финансово мотивированных преступлений. Злоумышленники прибегают к разнообразным методам, помогающим избежать обнаружение и замести следы их присутствия в системах, чтобы у них оставалось больше времени для кражи информации, использования компьютера в маркетинговых целях, получения удаленного доступа и иных способов раскрытия конфиденциальной информации в целях финансового обогащения.

Рис. 1. Основные целевые сектора целенаправленных DDoS-атак

 

Поскольку технологии защиты становятся все более зрелыми и уже справляются с традиционными видами атаках, кибермошенники сместили свой фокус на новые векторы атак, в частности на нетехнические средства вторжения, такие как социальный инжиниринг (по определению исследовательской компании Gartner, социальный инжиниринг - это "манипулирование людьми, а не машинами с целью проникновения в защищенные системы предприятия или потребителя"): они сосредотачиваются на конечном пользователе как наиболее слабом звене в цепи безопасности. Мелкие, целенаправленные атаки, как уже отмечалось, повышают вероятность успешного взлома. В корпоративной среде такие атаки служат для получают несанкционированного доступа к привилегированной информации и представляют угрозу для интеллектуальной собственности организации.

Рис. 2. Время разработки исправлений ОС

  Комментарии экспертов
 

Какие внешние угрозы сегодня наиболее негативно сказываются на деятельности предприятий?

Николай Ионов, руководитель экспертной группы компании "Антивирусный центр". В целом наиболее негативно сказываются вирусные атаки. Именно они ответственны за б?льшую часть простоев компьютерных систем, за потерю информации, отвлечение ресурсов организаций. Однако и ущерб от спама также все сильнее начинает влиять на деятельность предприятий -- особенно тех, которые в своей работе используют адреса, публикуемые в Интернете.

Михаил Кондрашин, руководитель центра компетенции Trend Micro в России и странах СНГ. Несмотря на усилия антивирусных компаний, на сегодняшний день основной угрозой для корпоративных сетей остается вредоносный код. Сам этот термин включает в себя не только традиционные вирусы и троянцов, но и множество других программ, таких как программы-шпионы, программы-шантажисты, программы -- воры паролей. Именно эти угрозы приносят финансовые убытки и ущерб репутации компаний.
Спектр угроз на сегодняшний день очень широк. Если на заре Интернета боялись только хакеров, то сегодня кроме вредоносного кода есть еще и спам, и другие "родственные" угрозы (например, фишинг). В таких условиях компании стараются приобретать решения, в которых защита от всего спектра угроз обеспечивается минимальным количеством продуктов, так как это позволяет наиболее эффективно реализовать защиту.

Изменились ли критерии и подходы к выбору продуктов и технологий по обеспечению информационной безопасности? Каковы они сегодня?

Николай Ионов. Да, по сравнению с предыдущими годами критерии к выбору изменились довольно сильно. Прежде всего -- в сторону большей комплексности и интегрированности решения для защиты от вредоносного кода. Сейчас как стандарт уже практически все крупные организации используют решения, интегрирующие защиту от вирусов, другого вредоносного кода (например, шпионского и рекламного), сетевых атак и спама. Тот же подход становится стандартом и для обеспечения безопасности отдельно взятой рабочей станции. Растет интерес к средствам фильтрации контента электронной почты и веб-трафика для защиты от утечек и несанкционированной активности пользователей. Такой функционал также становится стандартом в комплексных системах защиты.

Появились ли новые способы обнаружения и отражения внешних угроз? В чем они заключаются? Помимо технологических средств что еще, на ваш взгляд, позволит снизить объем внешних и внутренних ИТ-угроз?

Николай Ионов. Новых способов не появилось. Все так же основными методами являются сигнатурный (по известным образцам), эвристический (по схожести с известными угрозами) и поведенческий анализ. Однако эти методы развиваются в сторону улучшения чувствительности. Если ранmiе поведенческий анализ использовался довольно мало (в основном для защиты от макросов в документах Microsoft Office), то сейчас он становится стандартной функцией защитного ПО и включает анализ активности приложений, реестра и многие другие функции. Снизить объем угроз, на мой взгляд, можно только техническими способами. Других просто не вижу.

Михаил Кондрашин. На данном этапе количество угроз, возникающих ежедневно, столь велико, что при использовании любого продукта часть из них оказывается ему неизвестна. Компания Trend Micro старается не только представить своим клиентам защиту от известных угроз, но и предлагает ряд инновационных технологий защиты от угроз неизвестных. Одним небольшим примером этого подхода являются сервисы сетевой репутации (Network Reputation Services), которые обеспечивают блокировку сообщений электронной почты, поступающей из опасных источников. Такой подход позволяет, например, блокировать почтовых червей, для которых еще нет сигнатуры в антивирусной базе. Кроме средств защиты нужно в компаниях обязательно вести просветительскую деятельность, которая позволит обеспечить наиболее эффективную и безопасную работу сотрудников в Интернете.

Помогает ли российская законодательная база бороться со спамерами, фишерами, хакерами и -- отдельно -- с инсайдерами? Что может и должно улучшить ситуацию с внешними угрозами?

Николай Ионов. Нет, не помогает. Законы либо неэффективны, либо отсутствуют в принципе. Вообще, на мой взгляд, в условиях глобального характера угроз даже "правильные" законы, принятые в отдельно взятом государстве, не спасают от общей проблемы.

Михаил Кондрашин. На сегодняшний день законодательная российская база фактически не позволяет бороться со спамерами, хотя эта угроза весьма актуальна для нашей страны. Если даже не рассматривать криминальное содержимое спам-рассылок, для России актуален лишний трафик, порождаемый спамом. Ведь интернет-трафик у нас зачастую платный.

Главным мотивом атак и взломов остается финансовое обогащение. При этом для распространения вредоносных программ, спама и фишинговых сообщений, загрузки рекламеного и шпионского ПО применяются бот-сети. За первое полугодие компанией Symantec выявлено более 4,6 млн. уникальных компьютеров в действующих бот-сетях. Такие сети широко применяются и в атаках на отказ в обслуживании (DoS), приводящих к нарушению связи, потере дохода, подрыву бренда и репутации предприятия, а также к вовлечению в преступные схемы вымогательства. В первом полугодии 2006 года компания Symantec подвергалась в среднем 6110 DoS-атакам в день. В атаках используется модульный вредоносный код, который самообновляется или, обосновавшись в компьютере жертвы, инициирует более опасные угрозы чтобы раскрывать конфиденциальную информацию.

Рис. 3. Окно экспозиции для популярных веб-браузеров

Что касается спама, то по данным Symantec за первые шесть месяцев 2006 года 16% спама исходило из региона ЕМЕА. Источником 58% всего обнаруженного за этот период спама были США. Причиной - в большом количестве пользователей широкополосного интернет-доступа в этой стране, а также бот-инфицированных компьютеров, особенно если учесть, что спамеры часто используют боты для рассылки своих многочисленных сообщений.

Рис. 4. Число уязвимостей
в веб-браузерах

По оценкам Symantec, за первое полугодие 2006 года 0,81% спамерских (вирусные вложения в каждом 122-ом спамерском сообщении) сообщений содержали вредоносный код, причем с января по май уровень спама, содержащего вредоносный код, снижался, но в июне снова несколько вырос. Снижение в объеме объясняется более тщательной настройкой средств блокирования вредоносных вложений в сообщения, а также изменением принципа формирования спамерского сообщения: вместо вложений в сообщения включаются ссылки на веб-сайты, содержащие вредоносный код; при этом на веб-сайте размещается код, использующий уязвимости в веб-браузерах. Другие сведения об угрозах и уязвимостях, собранных Symantec, приведены на диаграммах и в таблицах во врезках к статье.

Электронная почта - источник бед

Продолжающие же вирусные эпидемии участниками рынка и производителями антивирусных пакетов объясняются тем, что разработчики антивирусов не всегда успевают вовремя выпустить, протестировать и доставить потребителю обновления и сигнатуры для лечения новых разновидностей вирусов. А потребители этой продукции вовремя обновить антивирусные системы. В результате новый вирус "пробивает" стандартную антивирусную защиту и проникает внутрь периметра корпоративной сети. Многочисленные исследования, регулярно проводимые и ICSA Labs, и Symantec, подтверждают факт, что подавляющее число вирусов сегодня проникает в компьютеры через электронную почту.

Тип атаки
Доля атакующих IP-адресов %
Затрагиваемая служба %
Microsoft SQL Server 2000 Resolution Service Stack Overflow Attack
12
Microsoft SQL Server
Net Flood TCP Denial of Service Attack
6
Generic Denial of Service
Generic SMTP Invalid Domain Name Attack
6
Email (SMTP)
Microsoft FrontPage Sensitive Page Attack
5
Microsoft FrontPage
Generic HTTP Double Decode Attack
4
Web (HTTP)
Apache Possible Directory Index Disclosure Attack
4
Apache Web Server
Possible Incoming Malicious Attachment Event
4
Email (SMTP)
Microsoft IIS 'fpcount.exe' Attack
4
Microsoft IIS Server
Generic Extra SYN in TCP Connection Event
3
Generic TCP/IP Service
Generic X86 Buffer Overflow (TCP NOPS) Attack
3
Generic Buffer Overflow

Поэтому, по словам Сергея Антимонова, первое, что надо защищать, это почтовые сервисы. Причём все больше предприятий отказывается от практики защиты периметра продуктами одного производителя в пользу "многовендорной" защиты. Достоинством первого способа является сравнительная простота: администратору сети, занимающемуся вопросами безопасности, проще разобраться и настроить какой-то один продукт, чем интегрировать и обеспечить совместную работу нескольких систем защиты. В то же время многовендорная защита, при которой для выявления вирусов и другого вредоносного кода применяются продукты нескольких производителей, дает более высокое качество проверки, но сложнее в установке и эксплуатации.

Страна
Доля атак %
Общемировая доля атак %
США
30
37
Великобритания
18
5
Китай
14
10
Франция
4
5
Норвегия
4
<1
Италия
3
2
Германия
3
6
Испания
3
3
Швейцария
2
1
Нидерланды
2
1

Производители антивирусных систем и сами поняли преимущества такого подхода и начали выпускать соответствующие решения; одно из них - многоядерный пакет Microsoft Antigen, выполняющий роль "интегратора" и управляющей консоли для средств антивирусной, антиспамовой системы, а также для управления политиками.ТАК? С этим решением совместимы продукты компаний Sophos, Computer Associates, "Лаборатория Касперского", Virus Buster и ряда других.

Концепции и политики безопасности

Однако недостаточно и антивирусной программы, пусть даже базирующейся на многоядерном принципе. Предприятиям нужен комплексный подход - нормативные документы и политики, концепции, интеграция различных средств информации, а также просвещение. По словам Сергея Антимонова: "Если не обучить людей элементарной грамотности, компьютерной гигиене, то ничто не поможет, не получится, поскольку люди самый слабый компонент в корпоративной системе защиты".

Страна
Доля ботов %
Общемировая доля ботов %
Великобритания
22
7
Франция
18
6
Германия
12
4
Испания
9
3
Польша
5
2
Италия
5
2
Португалия
3
1
Индия
3
1
Турция
3
1
Израиль
2
1

Основная цель концепции антивирусной безопасности заключается в создании нормативной базы для обеспечения комплексной защиты от вирусных угроз, предусматривающей применение как организационных, так и программно-технических методов защиты. При этом надо соблюдать ряд простых принципов. Например, регулярно обновлять системы защиты ПО, резервировать данные, не использовать нелицензионное ПО и не загружать исполняемые файлы и документы из сомнительных источников в Сети. А также не отвечать на спам-письма, не активировать содержащиеся в них веб-ссылки и не запускать вложенные в спам-рассылки исполняемые файлы, документы и электронные таблицы. В дополнение к этому компания Symantec рекомендует отключить и удалить незайдествованные службы, а также запретить доступ к эксплуатируемым вредоносным кодам сетевых служб, придерживаться эффективной политики назначения паролей, изолировать зараженные компьютеры для предотвращения риска дальнейшего распространения инфекции, обеспечить процедуры экстренного реагирования для восстановления потерянных и поврежденных данных в результате успешной атаки или вирусной эпидемии.

  Прогнозы и ожидания на ближайший год
 

по оценкам Symantec

  • возобновление интереса к полиморфным вирусам, способным при размножении изменять расположение байтов, тем самым затрудняя распознавание и лечение;
  • усиление угроз Web 2.0 - технологии, используемой для коллективной работы или общения в веб-приложениях, а также AJAX-приложений для Интернета;
  • появление в 2007 году Microsoft Vista приведет к возникновению новых и уникальных угроз безопасности, связанных, в частности, с управлением сетевым стеком ОС и подписями драйверов PatchGuard;
  • рост уязвимостей, связанных с использованием программ типа fuzzer - сценариев, предназначенных для поиска уязвимостей в программах.

 

Страна
1-е полуг. 2006г. %
2-е полуг. 2005 г. %
США
58
56
Китай
13
12
Канада
5
7
Южная Корея
5
9
Великобритания
4
3
Остальные страны ЕС
4
2
Бельгия
4
4
Япония
3
3
Франция
2
2
Польша
2
N/Д


  1. Десятый выпуск отчета Symantec об угрозах интернет-безопасности охватывает шестимесячный период с 1 января по 30 июня 2006 года и включает анализ сетевых атак, выявленных уязвимостей, сообщений о вредоносном коде и угроз для безопасности, а также рекомендации по защите. Полный отчет доступен для загрузки по адресу: www.symantec.com/threatreport.