Исследование Security Intelligence Report проводится дважды в год и содержит подробные сведения о наиболее распространенных угрозах для корпоративных и частных пользователей по всему миру, а также раскрывает географическое распределение вредоносного ПО. Отчет SIR v7 подготовлен на основе данных, полученных от известных независимых международных организаций (nvd.nist.gov и др.), а также от 450 млн пользователей бесплатного средства удаления вредоносных программ MSRT, по итогам результатов ежемесячного просмотра web-страниц поисковой системой Bing и ежедневного сканирования на вирусы и спам писем от 300 млн пользователей почтовой службы Windows Live Hotmail по всему миру. «Такая масштабная база данных, полученная из очень разных источников, представляет собой уникальную возможность для анализа состояния кибер-угроз. Выявленные в отчете тренды являются хорошим подспорьем для понимания существующих векторов атак», – отметил директор по информационной безопасности Microsoft в России Владимир Мамыкин.
Отчет содержит подробную информацию об эксплойтах, уязвимостях, связанных с веб-обозревателем, вредоносном и потенциально нежелательном ПО, утечках информации, угрозах спама и фишинга, ложном ПО для безопасности, атаках, связанных с форматами файлов, различиях угроз для домашних пользователей и корпоративного сегмента. Так, согласно отчету, в первом полугодии 2009 года общее количество уникальных уязвимостей, выявленных в отрасли, резко сократилось на 28,4 % по сравнению со вторым полугодием 2008-го, однако 46 % от общего числа оцениваются как уязвимости высокой степени опасности.
Владимир Мамыкин отметил снижение числа эксплойтов, целью которых является ПО Microsoft и сторонних производителей, установленных на компьютерах под управлением ОС Windows Vista, по сравнению с Windows XP. Так, в первом полугодии 2009 года программное обеспечение Microsoft явилось источником 6 из 10 основных уязвимостей браузеров на компьютерах под управлением Windows XP, в то время как для Windows Vista аналогичный показатель равен 1. Кроме того, было отмечено, что многие атаки стали возможными только по причине не установленных своевременно обновлений. Например, большинство атак на пакет офисных программ Microsoft Office в первом полугодии 2009 года (55,5 %) нанесли ущерб приложениям Office, которые в последний раз обновлялись между июлем 2003-го и июнем 2004 года. Больше всех пострадали пользователи Office 2003, которые не установили ни одного пакета обновления или обновления для системы безопасности со времени выхода первоначальной версии Office 2003 в октябре 2003 года.
В России в первой половине 2009 года индекс проникновения вредоносного ПО составил 15,5, что на 35 % ниже по сравнению с первым полугодием, однако значительно превышает среднее значение по миру, равное 8,7. Отметим, что данный показатель рассчитывается по количеству очищенных компьютеров на 1000 ПК, на которых запускалась программа MSRT. Уровень фишинга в январе-апреле был примерно на том же уровне, что и в конце 2008 года, но в мае наблюдался резкий скачок в 4 раза и еще увеличение в июне 2009 года. Причиной стала волна атак на социальные сети.
Что касается наиболее распространенных угроз, то черви, распространяющиеся через сообщения электронной почты, занимают второе место среди основных угроз безопасности для корпоративных пользователей, в том числе и в России. Наиболее «слабыми местами» на предприятиях являются незащищенные сетевые файловые хранилища и съемные устройства хранения данных, которые очень распространены в корпоративных сетях и подвергаются частым атакам. Согласно SIR v7, наиболее распространенными в России семействами вирусов-червей являются Win32/Conficker и Taterf. Червь Win32/Conficker стал № 1 среди вирусного ПО, которое поражает предприятия. В первом полугодии им было заражено около полумиллиона компьютеров. Conficker не входит в десятку угроз для простых пользователей, так как на домашних компьютерах установка критических обновлений ОС в большинстве случаев осуществляется автоматически, в отличие от корпоративных ПК. Червь Taterf, лидер прошлого отчета SIR v6, заразил более 119 тыс. ПК – его доля в первой половине 2009 года выросла на 156 % по сравнению со вторым полугодием 2008 года. Он распространяется через незащищенные сетевые файловые хранилища и подключаемые носители с целью кражи учетных записей и паролей для популярных ролевых онлайн-игр (MMORPGs). Активное распространение этих зловредов привело к увеличению количества заражений червями на 98,4 % по всему миру.
Менеджер по продуктам информационной безопасности Microsoft Максим Скида сообщил, что в мире также отмечается значительный всплеск использования еще одного вида угроз – ложного антивирусного программного обеспечения, также известного как Rogue Security Software. Эти программы, как правило, нацелены на кражу личных данных пользователя и получение денежных средств мошенническим путем. Владельцам зараженных машин предлагается установить «антивирус», заплатив за него через Интернет или с помощью банковского перевода. При этом пользователь получает лишь краткосрочную, а чаще всего мнимую защиту от вредоносного кода.
Что интересно, одной из самых распространенных причин утраты данных и возникновения нарушений в системе безопасности является отнюдь не вредоносный код, а утеря и кража физического компьютерного оборудования. Суммарно на долю краж и потерь оборудования приходится около 30 % зафиксированных случаев нарушений. Для снижения таких угроз Microsoft рекомендует аппаратное оборудование и операционные системы с должной защитой данных, предотвращающей вмешательство со стороны злоумышленников, например, встроенную в новую операционную систему Windows 7 функцию шифрования переносных устройств хранения данных BitLocker To Go.
На основе результатов отчета компания Microsoft предлагает ряд рекомендаций по обеспечению компьютерной безопасности. В их число входит регулярная установка доступных обновлений от Microsoft, причем использование не только ресурса Windows Update, но и Microsoft Update и обновление сторонних приложений, использование обновленного антивирусного ПО от надежного поставщика и др. Для обеспечения защиты компания Microsoft предлагает продукты семейства Forefront Server Security, объединяющие мощности лидирующих антивирусных движков от Microsoft и нескольких антивирусных лабораторий – «Лаборатории Касперского», Authentium, Norman, VirusBuster, CA, Sophos, AhnLab.
«Вопросы информационной безопасности становятся все более и более актуальными. С одной стороны, и корпоративные клиенты, и частные лица становятся все более продвинутыми, техника идет вперед, становятся все более мощными серверы, инфраструктура. Но, с другой стороны, возрастают различные угрозы. Они зачастую очень существенны для бизнеса, могут парализовать работу крупных компаний, лишить важной информации. Получается, то, что мы получаем от новых технологий, может обернуться большими проблемами. Поэтому Microsoft, заботясь о своих клиентах и являясь лидером ИТ-индустрии, уделяет информационной безопасности очень важное внимание. Для нас это стратегический приоритет – защищать наших клиентов и сотрудничать со всеми, кто работает в этом направлении», – прокомментировал президент Microsoft Россия Николай Прянишников.