Компания Fortinet представила результаты последнего всемирного исследования угроз. По данным исследования, недостаточный уровень безопасности и использование ненадежных приложений приводят к тому, что разработанные по типу «червей» атаки рекордно быстро распространяют разрушительные эксплойты, которые используют новейшие уязвимости. Злоумышленники затрачивают меньше времени на разработку способов проникновения в систему. Вместо этого они уделяют больше внимания развертыванию автоматизированных инструментов на основе целей, которые при попадании в инфраструктуру наносят более существенный ущерб устойчивости бизнеса.
Высокий уровень безопасности — решающий фактор успешной борьбы с атаками по типу «червей» Благодаря инфраструктуре «Преступление как услуга» и автономным инструментам атак злоумышленники могут действовать на общемировом уровне. Особенностью таких угроз, как WannaCry, является их способность стремительно распространяться и поражать самые разные отрасли. Однако большинство подобных атак можно было бы предотвратить, если бы организации позаботились о реализации согласованных стратегий безопасности. К сожалению, злоумышленники продолжают успешно использовать эксплойты, ориентированные на поражение уязвимостей, которые еще не были исправлены или устранены в ходе обновления. Еще больше усложняет ситуацию тот факт, что охват автоматизированных угроз увеличивается по сравнению с обычными целевыми угрозами, что приводит к росту ущерба.
Целью угроз WannaCry и NotPetya являлась уязвимость, исправление которой стало доступно всего несколько месяцев назад. Некоторым организациям удалось избежать атак благодаря одной из двух мер. Это развертывание обновленных средств безопасности, обнаруживающих атаки, целью которых является упомянутая уязвимость, и/или применение доступного исправления. В десятилетие, предшествовавшее появлению угроз WannaCry и NotPetya, распространение сетевых вирусов приостановилось.
Во 2-м квартале 2017 г. более двух третей организаций столкнулись с эксплойтами, представляющими серьезную и критически серьезную опасность. 90% организаций зафиксировали эксплойты, целями которых становились уязвимости, обнаруженные не менее трех лет назад. Даже через десять и более лет после исправления уязвимости 60% организаций сталкиваются с угрозами, пытающимися использовать эту уязвимость. По данным за 2-й квартал общее количество выявленных эксплойтов составило 184 миллиарда, случаев обнаружения вредоносного ПО — 62 миллиона, атак с помощью ботнетов — 2,9 миллиарда.
Для автоматизированных угроз не существует выходных дней и вечернего отдыха. Около 44% всех попыток внедрения эксплойтов приходится на субботу или воскресенье. Средний дневной показатель для выходных дней вдвое превышает аналогичный показатель для будних дней.
Скорость и эффективность имеют огромное значение для бизнес-деятельности в условиях виртуальной экономики. Это означает, что простои устройств и систем абсолютно недопустимы. По мере распространения и совершенствования конфигураций таких технологий, как приложения, сети и устройства, развиваются и эксплойты, ботнеты и вредоносное ПО, используемые киберпреступниками. Злоумышленники готовы использовать уязвимости новых технологий и служб — более того, они имеют такую возможность. В частности, использование организациями ненадежного ПО и уязвимых устройств IoT в рамках гиперподключенной сети в перспективе представляет собой фактор риска. Это обусловлено отсутствием согласованной стратегии управления, обновления и замены подобных устройств и ПО. Кроме того, зашифрованный веб-трафик не только обеспечивает конфиденциальность и безопасность интернет-подключений, но и создает сложности для средств защиты, не обладающих достаточной эффективностью при отслеживании зашифрованных данных.
Ненадежные приложения создают векторы риска, которые становятся направлениями атак. Организации, использующие большое количество одноранговых (p2p) приложений, в семь раз чаще подвергаются атакам с помощью ботнетов и вредоносного ПО, чем организации, не применяющие приложения p2p. Аналогичным образом организации, в которых широко применяются приложения прокси, почти в девять раз чаще сообщают об атаках с помощью ботнетов и вредоносного ПО, чем организации, не использующие приложения прокси. Тем не менее, следует отметить отсутствие достоверных сведений о том, что частое использование облачных приложений и социальных сетей чревато ростом числа атак с помощью ботнетов и вредоносного ПО.
Как показала группировка по типам элементов и отраслям, ведущее положение практически по всем показателям использования инфраструктуры и приложений занимает сфера образования. Наиболее традиционной сферой стала отрасль энергетики. Остальные отрасли заняли места в диапазоне между этими крайностями.
По крайней мере одна из пяти организаций столкнулась с атаками на мобильные устройства с помощью вредоносного ПО. Использование устройств IoT по-прежнему сопряжено с риском, так как показатели их управляемости, защищенности и эффективности отслеживания не соответствуют уровню традиционных систем.
По данным исследования, объем зашифрованных данных сети в этом квартале также достиг рекордного значения. Объем трафика HTTPS возрос до 57%, превысив аналогичный показатель для трафика HTTP. Эта тенденция остается значимой по той причине, что зашифрованные данные нередко выступают прикрытием для угроз.
В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети устройств и датчиков рабочих сред во 2-м квартале 2017 г. Сбор данных исследования осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Кроме того, компания Fortinet публикует сводку данных об угрозах (при наличии подписки доступ бесплатен), в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований Fortinet.
Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet: «Технологические инновации, лежащие в основе виртуальной экономики, не только предоставляют преимущества в сфере информационной безопасности, но и создают риски. Прискорбно мало внимания уделяется тому факту, что каждая организация может предотвратить наступление негативных последствий за счет реализации согласованных мер по обеспечению достаточного уровня информационной безопасности. Для проникновения в системы киберпреступники в основном используют не атаки „нулевого дня“, а уже известные уязвимости. Таким образом, злоумышленники перераспределяют свои ресурсы в целях поддержки новаторской деятельности, вследствие чего угрозы становятся все более сложными для обнаружения. Новые атаки, разработанные по типу „червей“, оперативно распространяют эксплойты и более эффективно масштабируются в зависимости от особенностей платформ и направлений атак. Важную роль в противодействии этой новой „норме“ играют подходы к обеспечению безопасности на основе целей, которые строятся на принципах автоматизации и интеграции».