Предметом исследования стала цепочка внедрения киберугроз. В контексте корпоративных технологий и современных тенденций развития сферы были рассмотрены три основных направления атак — эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Как показывает исследование, несмотря на широкое освещение более резонансных атак, проводником преобладающей части успешных атак, с которыми довелось столкнуться организациям, стала широкомасштабная инфраструктура «Киберпреступление как услуга». Для ознакомления с подробными результатами исследования руководителям по информационной безопасности рекомендуется посетить наш блог. Ниже приведены три основных вывода, изложенных в отчете.
1) Злоумышленники всегда учитывают прошлый опыт при разработке инструментов атак, готовых к применению в любое время и в любом месте
Благодаря современным инструментам и инфраструктуре «Преступление как услуга» злоумышленники могут оперативно действовать на общемировом уровне. Это означает, что в Интернете не существует расстояний или географических границ, так как большинство угроз функционирует в масштабе всего мира, а не отдельных регионов. Преступники всегда готовы к атаке и постоянно занимаются поисками уязвимостей на международном уровне.
Знание тенденций развития эксплойтов, а также принципов функционирования и распространения программ-вымогателей позволит избежать вредоносных последствий атак, которые придут на смену WannaCry. Вредоносные программы-вымогатели и их разновидности распространились по всему миру и одновременно поражают сотни организаций.
Чуть менее 10% организаций выявили активность программ-вымогателей. В каждый отдельно взятый день 1,2% организаций обнаруживали в своих корпоративных сетях ботнеты-вымогатели. Наибольшая активность наблюдалась в выходные дни: злоумышленники пытались внедрить вредоносный трафик в обход сотрудников службы безопасности, работающих на выходных. По мере роста среднего объема трафика разных ботнетов-вымогателей повысилось и среднее количество организаций, становящихся целями атак.
80% организаций сообщили о выявлении в системах эксплойтов, представляющих серьезную и критически серьезную опасность. Большинство этих целевых эксплойтов было разработано в течение последних пяти лет, однако злоумышленники использовали и те уязвимости, которые существовали еще в прошлом веке. Распределение эксплойтов по географическим областям достаточно равномерно. Вероятно, это обусловлено тем, что активность огромного количества эксплойтов полностью автоматизирована при поддержке инструментов, сканирующих сеть Интернет на наличие уязвимостей.
2) Взаимопроникновение инфраструктур и IoT способствуют ускорению распространения вредоносного ПО
По мере роста объемов передачи данных и ресурсов между пользователями и сетями увеличивается и количество атак в разных географических областях и сферах деятельности. Исследование вредоносного ПО позволяет получить представление о стадиях подготовки и внедрения атак. Следует отметить, что задачу обеспечения защиты от мобильного вредоносного ПО усложняют такие факторы, как незащищенность устройств в рамках внутренней сети, частые подключения к публичным сетям и отсутствие корпоративного контроля над устройствами, находящимися во владении пользователей.
Показатели распространенности мобильного вредоносного ПО за период с 4-го квартала 2016 г. по 1-й квартал 2017 г. оставались стабильными: около 20% организаций выявили мобильное вредоносное ПО. В этом квартале большинство в списке 10 наиболее распространенных угроз составили семейства вредоносного ПО, поражающего устройства Android. Общее соотношение по всем типам вредоносного ПО в 1-м квартале составило 8,7% — в 4-м квартале это значение было равно 1,7%.
Мобильное вредоносное ПО все шире распространяется во всех регионах, за исключением Ближнего Востока. Во всех случаях наблюдающийся рост статистически достоверен, его нельзя списать на случайные колебания. При рассмотрении в региональном разрезе тенденции распространения вредоносного ПО, поражающего устройства Android, демонстрируют наиболее очевидную географическую привязку.
3) Наблюдается снижение эффективности отслеживания состояния гибких распределенных инфраструктур
Тенденции развития угроз зависят от среды, поэтому очень важно быть в курсе изменений, которые с течением времени претерпевают информационные технологии, службы, элементы управления и поведение. Возможность доступа к актуальным данным позволяет составить представление о политиках безопасности и моделях управления в целом, а также успешно отслеживать развитие эксплойтов, вредоносного ПО и ботнетов по мере усложнения сетей и повышения степени их распределенности.
По мере увеличения количества потенциальных направлений атак в рамках расширенной сети эффективность отслеживания и управления современными инфраструктурами снижается. Такие тенденции, как повсеместное распространение частных и общедоступных облачных решений, развитие IoT, подключение к сетям большого количества самых разных интеллектуальных устройств и появление внеполосных направлений угроз, таких как теневые ИТ-ресурсы, привели к чрезмерному повышению нагрузки на специалистов по информационной безопасности.
Зашифрованный трафик. Среднее значение соотношения между трафиком HTTPS и HTTP достигло рекордного значения — около 55%. Эта тенденция способствует сохранению конфиденциальности, однако создает сложности в ходе отслеживания и выявления угроз. Многие средства безопасности недостаточно эффективны при отслеживании зашифрованных данных. Организации, особенно те, в которых объем трафика HTTPS более высок, могут столкнуться с угрозами, скрытыми в зашифрованных данных.
В среднем организация использует 62 облачных приложения, что составляет примерно треть от общего числа обнаруженных приложений. При этом количество приложений IaaS достигло нового максимума. Проблема многих организаций заключается в том, что при перемещении данных в облако эффективность отслеживания их состояния может заметно снизиться. Кроме того, наблюдается спорная тенденция к увеличению объема данных, для хранения которых используются подобные приложения и службы.
Как показал групповой анализ по отраслям, для большинства сфер опасность представляют одни и те же направления угроз. В числе немногих исключений оказались сферы образования и телекоммуникаций. Это означает, что злоумышленники могут с легкостью использовать схожие направления атак в разных сферах, особенно при наличии автоматизированных инструментов.
В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети устройств и датчиков рабочих сред в 1-м квартале 2017 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Кроме того, компания Fortinet публикует сводку данных об угрозах (при наличии подписки доступ бесплатен), в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований Fortinet.
Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet: «В прошлом году получившие широкую огласку инциденты в сфере информационной безопасности привлекли внимание общественности к тому, как ловко злоумышленники способны получить контроль над телевизорами и телефонами, чтобы лишить пользователей доступа в Интернет, а также уплаты выкупа, препятствуя оказанию медицинских услуг. Тем не менее, одного только знания о подобных угрозах недостаточно. К сожалению, по мере внедрения организациями удобных и экономичных ИТ-технологий, таких как облачные службы, и подключения к корпоративным сетям новых интеллектуальных устройств эффективность функций отслеживания и управления безопасностью снижается. Одновременно с этим злоумышленники приобретают новые и повторно используют существующие инструменты. В целях выявления и предотвращения попыток преступников атаковать уязвимые области корпоративных и правительственных сетей в стратегию обеспечения информационной безопасности следует включить меры по сегментации надежных сетей и повышению автоматизации».