Высокая степень автоматизации атак и применение технологии «роя» становятся обычным делом
Противодействие «роевым» атакам, повторно появляющимся ботнетам и последним атакам с использованием программ-вымогателей — это сложная задача даже для самой квалифицированной команды стратегически мыслящих специалистов по безопасности. В настоящее время любая организация, будучи застигнута врасплох, может стать жертвой огромного количества атак. Наш последний отчет содержит актуальные данные, позволяющие с разных сторон оценить тенденции развития угроз. Отчет строится на сведениях о трех основных взаимодополняющих угрозах: это эксплойты-приложения, вредоносное ПО и ботнеты. Кроме того, в отчете приведены данные о важных уязвимостях «нулевого дня» и тенденциях развития соответствующих инфраструктур атак, что дает представление о будущем направлении деятельности киберпреступников, совершающих атаки на организации.
1.Возникновение неотложных проблем в связи с серьезностью атак. В 3-м квартале 2017 г. 79% организаций столкнулись с серьезными атаками. По данным исследований, проводившихся на протяжении квартала, было зафиксировано 5973 уникальных эксплойта, 14 904 уникальные вариации вредоносных программ, принадлежащих к 2646 семействам вредоносного ПО, и 245 уникальных ботнетов. Помимо этого, за текущий год компания Fortinet выявила 185 уязвимостей «нулевого дня».
2. Повторное появление ботнетов. Многие организации неоднократно подвергались атакам, при которых использовались одни и те же ботнеты. Это настораживающая статистика, из которой можно сделать два вывода. Во-первых, масштабы атаки могли уйти от внимания организаций, вследствие чего ботнеты перешли в состояние покоя и вновь активизировались после возобновления коммерческой деятельности на прежнем уровне. Во-вторых, первоисточник угрозы мог остаться неизвестным, и организации повторно подверглись поражению при помощи того же вредоносного ПО.
3. Поражение уязвимостей при помощи технологии «роя». Эксплойт-приложение, с помощью которого злоумышленники проникли в сеть компании Equifax, оказался наиболее распространенным в прошлом квартале: более 6000 уникальных экземпляров. В текущем квартале этот эксплойт сохранил за собой лидирующее положение по распространенности. Известно, что в число 10 наиболее распространенных угроз вошли три эксплойта, применявшиеся для атаки на инфраструктуру Apache Struts. Это пример того, как злоумышленники создают «рои» эксплойтов для атак на широко представленные уязвимые цели.
4. Мобильные угрозы. Каждая четвертая организация сталкивалась с мобильным вредоносным ПО. Впервые удалось выявить четыре наиболее распространенных семейства мобильного вредоносного ПО. Это свидетельствует о том, что мобильные устройства будут все чаще становиться целью злоумышленников, применяющих автоматизированное полиморфное ПО. Это чрезвычайно настораживающая тенденция, так как в разгаре сезона праздничных покупок многие люди прибегают к мобильному шопингу и приобретают устройства IoT в качестве подарков.
5. Широко распространенное и скрытое вредоносное ПО. Вредоносные программы, принадлежащие к основным семействам, оснащены одинаковыми функциями: загрузка, отправка и внедрение вредоносного ПО в системы. При помощи такой процедуры вредоносный код в составе динамически изменяющегося пакета успешно обходит устаревшие средства защиты. Кроме того, широко применяются разновидности вредоносного ПО, которые получают удаленный доступ к системе, захватывают вводимые пользователями данные и собирают сведения о системе. В последнее время эти продвинутые угрозы получают все более широкое распространение. По результатам наблюдений выявлены тенденции к повышению степени интеллектуальности и автоматизации вредоносного ПО.
6. Существование программ-вымогателей. В первой половине года активность на этом направлении атак была низкой, однако затем появилась новая серьезная угроза — программа-вымогатель Locky, которая применялась в трех кампаниях. Об атаках с использованием этой программы сообщили около 10% организаций. Кроме того, на протяжении квартала по меньшей мере 22% организаций столкнулись с другими типами программ-вымогателей.
7. Атаки киберпреступников на организации любого размера. Предприятия среднего бизнеса все чаще подвергаются атакам при помощи ботнетов, что вынуждает их решать проблемы безопасности на уровне, который превышает их возможности. Организации среднего бизнеса представляют собой привлекательную цель для злоумышленников, так как они не всегда обладают столь же обширными ресурсами безопасности и эффективными технологиями, что и более крупные организации, но при этом могут располагать ценными данными. Кроме того, атаки на предприятия среднего бизнеса становятся все более частыми вследствие распространения облачных технологий в средах этих предприятий.
8. Важность безопасности систем SCADA. Помимо широкомасштабных атак, например атаки на инфраструктуру Apache Struts, некоторые угрозы действуют скрытно или вызывают серьезные негативные последствия, которые затрагивают не только организацию, ставшую первоначальной целью. Из числа зафиксированных эксплойтов, направленных на поражение разных типов систем диспетчерского управления и сбора данных (SCADA), лишь один эксплойт преодолел значение порога распространенности 1/1000. Каждый зафиксированный эксплойт поразил менее 1% организаций. Проникновения в корпоративные сети и сбои — это серьезные проблемы, однако нарушения безопасности сред SCADA, к сожалению, еще более опасны, так как они ставят под удар физические инфраструктуры, от бесперебойной работы которых зависят человеческие жизни. Таким образом, приведенная статистика заслуживает внимания.
Противодействие автоматизированным атакам при помощи актуальных данных и автоматизированных систем безопасности
Результаты проведенного в этом квартале исследования подтверждают многие из недавно обнародованных прогнозов отдела исследования угроз Fortinet FortiGuard Labs на 2018 г. Как тенденции, так и данные об угрозах свидетельствуют о том, что в ближайшем будущем, вероятно, появится множество новых типов атак. Киберпреступники уже на протяжении некоторого времени успешно применяют современные технологии автоматизации в целях разработки атак, ориентированных на поражение уязвимостей. Новые коды атак отличаются высокой степенью вредоносности, оперативностью распространения и большим охватом.
Обеспечить защиту от угроз будущего может лишь инфраструктура безопасности с открытой архитектурой, которая поддерживает обмен данными о продвинутых угрозах и представляет собой созданную на основе компонентов безопасности и сетевых компонентов комплексную, автоматизированную, работающую в упреждающем режиме систему защиты и реагирования. Такой фактор, как постоянное изменение атак, требует оперативного и гибкого развертывания новейших стратегий безопасности и решений, поддерживающих интеграцию последних техник и технологий без ущерба для производительности существующей инфраструктуры.
По мере увеличения количества, скорости и степени автоматизации атак возникает необходимость в согласовании исправлений с происходящими событиями. Это означает, что приоритет будет отдаваться наиболее важным исправлениям. Кроме того, организации должны обеспечить внедрение стратегий выявления угроз и реагирования на инциденты. Такие стратегии эффективно дополняют имеющиеся технологии и данные, что ускоряет выполнение всех процедур.
Методология исследования
В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети датчиков в 3-м квартале 2017 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. Кроме того, компания Fortinet публикует сводку данных об угрозах (при наличии подписки доступ бесплатен), в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований Fortinet.