Отчет IBM X-Force: 2010 год стал годом изощренных целенаправленных атак на системы безопасности

Согласно последнему по времени отчету X-Force, фишинг, спам и мобильные атаки стали более адресными; в то же время, активно развиваются и внедряются системы безопасности сред облачных вычислений

АРМОНК, штат Нью-Йорк, 31 марта 2011 г. — Корпорация IBM (NYSE: IBM (US)) сегодня опубликовала ежегодный отчет своей исследовательской группы IBM X-Force о тенденциях и рисках информационной безопасности (Trend and Risk Report) по итогам 2010 года. В отчете подчеркивается, что в 2010 году государственные и частные организации во всем мире столкнулись с еще более изощренными, специализированными и узконаправленными угрозами ИТ-безопасности.

Видеоролик YouTube:

http://www.youtube.com/watch?v=Rzk3IdaNCY0 (cсылка вне сайта ibm.com)

Ниже приводятся результаты и выводы исследования группы X-Force Research, основанные на данных, которые собраны в процессе изучения выявленных уязвимостей, а также в ходе ежедневного мониторинга и анализа событий безопасности, происходивших в 2010 году с частотой более 150 тыс. событий в секунду:

  • В 2010 году зарегистрировано свыше 8000 новых уязвимостей, что на 27% больше, в 2009 году (US). За период с 2009 по 2010 год отмечен также 21%-ный рост числа выложенных в свободном доступе эксплоитов (утилит, использующих ошибки программного обеспечения для выполнения определенных, как правило, деструктивных действий в атакуемой системе). Эти данные свидетельствуют о неблагоприятной ситуации усиления угроз, когда все более сложные вычислительные среды подвергаются все более изощренным атакам.
  • Традиционно высокий темп роста объема спама стабилизировался к концу года. Это указывает на то, что спаммеры теперь придают меньше значения наращиванию объема спама, а, вместо этого, концентрируют свои усилия на обходе спам-фильтров.
  • Несмотря на то, что, в целом, стало значительно меньше фишинговых атак по сравнению с предыдущими годами, в 2010 году все большее значение стал приобретать т.н. «направленный фишинг» ("spear phishing" – узконаправленные координированные атаки на организацию или конкретного пользователя с целью получения критически важных данных). Эта тенденция служит еще одним доказательством того, что киберпреступники стали уделять больше внимания качеству атак, а не количеству.
  • Поскольку популярность смартфонов и других мобильных устройств среди конечных пользователей продолжает расти, отделы ИТ-безопасности предприятий стремятся найти приемлемый способ интеграции этих устройств в корпоративные сети. Несмотря на то, что кибератаки против новейшего поколения мобильных устройств еще не были широко распространены в 2010 году, данные группы X-Force свидетельствуют о росте числа выявленных уязвимостей и эксплоитов, целью которых являются именно подобные устройства.

Диаграмма: Рост числа выявленных уязвимостей за период с 1996 по 2010 гг.

Chart: Vulnerability Disclosures Growth by Year 1996-2010.
http://www.flickr.com/photos/ibm_media/5577040874/ (cсылка вне сайта ibm.com)

В 2010 году IBM зарегистрировала свыше 8000 новых уязвимостей, что на 27% больше, в 2009 году. За период с 2009 по 2010 год отмечен также 21%-ный рост числа выложенных в свободном доступе эксплоитов. Эти данные свидетельствуют о неблагоприятной ситуации усиления угроз, когда все более сложные вычислительные среды подвергаются все более изощренным атакам.

«Каждый день появляются новые методы атак, от сетевого червя Stuxnet до ботнета Zeus (Зевс) и эксплоитов для мобильных устройств, и спектр этих атак неуклонно расширяется, — подчеркнул Том Кросс (Tom Cross), менеджер из IBM X-Force. — Многочисленные узконаправленные атаки в 2010 году говорят о существовании чрезвычайно искушенных и опытных киберпреступников, вероятно, хорошо финансируемых и действующих с уникальным знанием уязвимостей безопасности. Способность упреждать эти растущие угрозы и разрабатывать программное обеспечение и сервисы, которые изначально защищены от этих угроз, никогда еще не приобретала столь чрезвычайную важность».

Учитывая результаты и выводы отчета этого года, IBM открывает европейский институт передовых технологий безопасности – IBM Institute for Advanced Security (cсылка вне сайта ibm.com) – чтобы помочь клиентам противостоять растущим угрозам ИТ-безопасности в Европе. В отчете отмечается, что в 2010 году целью почти четверти всех финансовых фишинговых (мошеннических) электронных писем были банки, расположенные в Европе. Кроме того, в списке первой десятки стран, из которых в 2010 году рассылалось больше всего спама, фигурируют Великобритания, Германия, Украина и Румыния. Европейский институт Institute for Advanced Security присоединяется к своему американскому предшественнику, недавно открытому в Вашингтоне, округ Колумбия, для содействия ИТ-защите клиентов в США.

Новый раздел отчета X-Force Trend & Risk Report посвящен тенденциям и лучшим методикам обеспечения безопасности, охватывающим возникающие и перспективные технологии мобильных устройств и облачных вычислений.

Диаграмма: Общее число уязвимостей мобильных операционных систем (2006-2010)

Chart: Total Mobile Operating Systems Vulnerabilities 2006-2010.
http://www.flickr.com/photos/ibm_media/5576455617/ (cсылка вне сайта ibm.com)

Поскольку популярность смартфонов и других мобильных устройств среди конечных пользователей продолжает расти, отделы ИТ-безопасности предприятий стремятся найти приемлемый способ интеграции этих устройств в корпоративные сети. Несмотря на то, что кибератаки против новейшего поколения мобильных устройств еще не были широко распространены в 2010 году, данные группы X-Force свидетельствуют о росте числа выявленных уязвимостей и эксплоитов, целью которых являются именно подобные устройства.

Облачные вычисления — В отчете подчеркиваются определенные положительные сдвиги в понимании клиентами важности обеспечения безопасности сред облачных вычислений по мере распространения этой современной технологии. Поскольку безопасность по-прежнему считается препятствием широкому признанию технологии облачных вычислений, поставщики cloud-сервисов должны заслужить доверие своих клиентов, предоставив инфраструктуру, изначально надежно защищенную, обладающую специальными встроенными возможностями обеспечения безопасности, которые соответствуют требованиям приложений, поставляемых через «облачную» среду. По мере того, как в cloud-среды все чаще переводятся критичные для бизнеса приложения, функции обеспечения безопасности этих сред становятся все более сложными и интеллектуальными. Со временем, как прогнозирует IBM, рынок заставит cloud-сервисы обеспечивать доступ к возможностям ИТ-защиты и экспертным службам информационной безопасности, использование которых будет более экономически эффективным, чем внутрикорпоративные реализации. Это может в корне изменить ситуацию с обеспечением безопасности cloud-сред, сделав спрос на лучшую защищенность облачных сервисов со стороны подписчиков сервисов катализатором широкого признания облачных вычислений, а не препятствием распространению этой модели.

Мобильные устройства — Организации все чаще беспокоит (с точки зрения последствий для безопасности) использование сотрудниками своих личных мобильных устройств, которые они приносят на предприятие. Организации должны гарантированно контролировать использование своих корпоративных данных, в том числе и на персональных или офисных смартфонах своих сотрудников. В 2010 году группа X-Force зарегистрировала увеличение количества уязвимостей, выявленных в мобильных устройствах, а также рост числа эксплоитов, использующих эти уязвимости. Желание пользователей тем или иным способом (через "jailbreak" или "root") «взломать» свои мобильные устройства (чтобы, например, устанавливать нелицензионные приложения) приводит к преднамеренному распространению вредоносного кода эксплоитов, который, затем, используется в атаках на эти устройства и сети. Тем не менее, вредоносные программы пока еще не часто встречается на новейшем поколении мобильных устройств, и ИТ-специалисты видят главную угрозу безопасности, связанную с подобными устройствами, в хранении в них важных данных, которые могут быть потеряны или использоваться недолжным образом. Как отмечается в отчете X-Force, лучшие методы мобильной ИТ-безопасности развиваются в направлении функций расширенного управлениями паролями и шифрования данных.

Другие тенденции, на которые обращает внимание отчет:

Новый, изощренный образ киберпреступности — С точки зрения безопасности, 2010 год запомнится, главным образом, как год, который был отмечен наиболее высоким, из когда-либо зарегистрированных отраслью, уровней целенаправленности, адресности атак. Так, червь Stuxnet убедительно продемонстрировал, что риск атак, направленных против узкоспециализированных промышленных систем управления и контроля, является не только чисто теоретическим. Эти типы атак свидетельствуют о высоком уровне организации и финансирования электронного шпионажа и вредительства, которые по-прежнему представляют серьезную угрозу широкому спектру общедоступных и частных сетей.

Значительное сокращение объема фишинга — В качестве положительного итога 2010 года с точки зрения ИТ-безопасности можно рассматривать уменьшение числа фишинговых атак. Хотя фишинговые атаки еще существуют, пиковый уровень числа фишинговых (мошеннических) электронных писем составил в 2010 году менее четверти от соответствующего пикового уровня предыдущих двух лет. Эта тенденция может свидетельствовать о переходе к другим, более перспективным и выгодным для злоумышленников методам атак, таким как ботнеты (сети компьютеров, зараженных вредоносными программами) и скимминг (мошенничество с кредитными картами, когда преступник копирует с них магнитную информацию, чтобы затем незаконно снять с карты деньги в банкомате). Несмотря на снижение объема традиционного фишинга, в 2010 году все большее значение стал приобретать «направленный фишинг» (spear phishing) – метод более целенаправленных атак. Письма электронной почты с вредоносным кодом в виде присоединенных файлов или ссылок в тексте сообщения стали одним из видов наиболее изощренных атак, направленных против корпоративных сетей.

Кривая изменения суммарного объема спама достигла максимального значения и, затем, выровнялась — В 2010 году объем спама резко возрос, достигнув своего наивысшего уровня за всю историю этого явления. К концу года, однако, рост объема прекратился, и уровень спама стабилизировался. В конце года, вообще, создалось впечатление, что спаммеры ушли в отпуск, поскольку непосредственно перед Рождественскими праздниками уровень спам-трафика упал на 70% и восстановился только в самом начале 2011 года. Говорит ли это о том, что рынок спама «насытился»? Вполне возможно, что игроки этого рынка столкнулись с проблемой сокращающихся доходов в результате роста общего объема спама, и мы теперь можем видеть, как спаммеры концентрируются на задаче обхода спам-фильтров.

Почти половина выявленных в 2010 году уязвимостей приходится на Web-приложения — Эта категория программного обеспечения больше всего пострадала от «слабых мест», доля которых от общего числа уязвимостей, выявленных в прошлом году, составила 49%. Большинство этих уязвимостей по своему типу представляют собой «межсайтовый скриптинг» ("cross site scripting" – внедрение вредоносных скриптов или сценариев в генерируемые сервером Web-страницы) и «SQL-инъекции» ("SQL injection" – модифицирование кода SQL-запросов к базам данных, с которыми взаимодействует сайт). Результаты исследования X-Force показывают, что именно такого рада уязвимости становятся мишенью атакующих злоумышленников. Согласно отчету, каждое лето на протяжении последних трех лет фиксируются осуществляемые в глобальном масштабе массированные атаки вида "SQL injection", которые, зачастую, не прекращаются с мая по август. Направленность у всех этих атак одинакова – они нацелены на файлы Web-страниц с расширением *.asp, которые уязвимы к SQL-инъекциям.

ИТ-защиту можно улучшить, если следовать принципу "Secure By Design", т.е. «безопасность, заложенная изначально» — IBM пришла к выводу, что осуществление активных упреждающих мер по оценке уровня безопасности Web-приложений и совершенствованию процессов разработки и гарантии качества ПО может привести к значительному укреплению защиты программного кода Web-приложений. Отчет содержит данные, показывающие, что Web-приложения, которые сканируются на предмет наличия уязвимостей, часто демонстрируют существенные улучшения во время повторного тестирования. Как правило, дополнительная проверка уровня безопасности свидетельствует, что после этого сканирования и исправления ошибок больше половины уязвимостей каждого конкретного типа устраняются. Это обнадеживающая информация указывает путь к устойчивому улучшению безопасности в Интернете.

Больше половины уязвимостей остаются неустраненными — Для того чтобы предотвратить использование злоумышленниками уязвимостей, организации должны сосредоточить свое внимание на сокращении периода времени между выявлением уязвимости и установкой «программной заплатки» (или «патча» – patch), устраняющей эту ошибку. К концу 2010 года почти половина всех уязвимостей (44%) не имела таких официальных «заплаток» от разработчика соответствующего ПО. Тем не менее, даже в тех случаях, когда патчи доступны в то же день, когда были публично выявлены соответствующие уязвимости, может пройти очень много времени, прежде чем эти патчи будут установлены на уязвимых системах. Киберпреступники часто специально разрабатывают эксплоиты, которые «эксплуатируют» публично выявленные уязвимости безопасности, и используют их для запуска атак. Позже, когда эти эксплоиты теряют свою ценность как инструменты нападения, информация об этих эксплоитах становится общедоступной. Согласно данным X-Force, эти эксплоиты часто публично выявляются десятки или, даже, сотни дней спустя выявления уязвимостей, которые они используют. Если проходит слишком много времени, пока такие эксплоиты не «всплывут на поверхность», то и устранение соответствующей угрозы в системе безопасности сетей также может быть выполнено с большой задержкой.

Продолжающийся рост активности ботнетов Интернета — В 2010 году IBM отметила рост активности ботнет-троянов (формирующих компьютерную сеть, состоящую из хостов с запущенными троянскими программами). Это рост весьма значителен, поскольку, несмотря на все более энергичные и координируемые усилия по снижению активности ботнетов и их устранению, эта угроза, похоже, набирает темп. Тем не менее, данные IBM отражают положительные результаты успешных усилий, предпринятых в начале 2010 года для борьбы с ботнетом Waledac, следствием которых стало практически мгновенное снижение объема регистрируемого трафика. С другой стороны, ботнет Zeus продолжает эволюционировать – на его долю приходится значительная часть ботнет-активности, выявленная IBM в 2010 году. Как результат огромной популярности Zeus среди предпринимающих атаки злоумышленников, в любой конкретный момент времени фиксируются сотни или, даже, тысячи отдельных случаев активности этого ботнета. Вредоносный ботнет Zeus обычно используется злоумышленниками для кражи банковской информации с зараженных компьютеров.

Об отчете IBM X-Force Trend & Risk Report

Отчет исследовательской группы IBM X-Force о тенденциях и рисках информационной безопасности IBM X-Force (Trend and Risk Report) представляет собой ежегодную оценку общего состояния безопасности, выполняемую с целью помочь клиентам лучше понять и осмыслить новейшие риски, связанные с нарушением безопасности, и предпринимать необходимые меру по опережению этих угроз. Отчет содержит фактическую информацию из многочисленных интеллектуальных источников, включая каталог X-Force с более 50000 уязвимостями компьютерной безопасности; глобальный поисковый робот (Web crawler), сканирующий Web-страницы; многоязыковые спам-коллекторы; а также системы мониторинга в реальном времени, ежедневно регистрировавшие 13 миллиардов событий безопасности для почти 4000 клиентов более чем из 130 стран мира. Эти 13 млрд. событий, регистрировавшихся каждый день (или свыше 150 тыс. событий в секунду), являются результатом работы девяти международных центров IBM по управлению безопасностью (Security Operations Centers, SOC), которые предоставляют клиентам профессиональные услуги категории Managed Security Services.

Обладая более чем 40-летним опытом разработок и инноваций в области безопасности, IBM является единственной в мире компанией с беспрецедентными по своей широте и глубине ресурсами – включая исследовательские лаборатории, центры разработки продуктов и услуг, консалтинговые и сервисные службы, а также глобальную сеть бизнес-партнеров – способной поставлять функционально исчерпывающие сквозные решения по обеспечению безопасности. IBM открыла девять исследовательских лабораторий по всему миру, создающих инновационные технологии безопасности, и девять международных центров управления безопасностью, которые помогают глобальным организациям совершенствовать и обслуживать их системы ИТ-защиты.

Отчет доступен на Web-сайте IBM по адресу www.ibm.com/security/landscape.html (US). For more information on IBM Security Solutions, visit: www.ibm.com/security (US) and www.ibm.com/press/us/en/presskit/33537.wss (US)

©  IBM developerWorks