В подробностях ознакомиться с результатами исследования можно в нашем блоге. Ниже приведены основные выводы:
Тенденции развития инфраструктуры и их влияние на угрозы
1. Важно учитывать тенденции развития инфраструктуры и их связь с угрозами. Вредоносное ПО, эксплойты, ботнеты — все эти угрозы появляются отнюдь не в вакууме. По мере развития инфраструктуры выявлять угрозы и предотвращать нарушения становится все сложнее.
2. Согласно данным, объем трафика с шифрованием SSL стабильно держится на отметке около 50% и составляет примерно половину веб-трафика, проходящего через корпоративную сеть. Важно отслеживать трафик HTTPS, так как он обеспечивает конфиденциальность, но в то же время может стать проводником угроз, скрытых в зашифрованных данных. Нередко организации пренебрегают проверкой трафика SSL, так как процедура его открытия, проверки и повторного шифрования сопряжена со значительными нагрузками. В силу этого специалисты вынуждены выбирать между производительностью и безопасностью.
3. Количество облачных приложений на организацию возросло до 63 — около трети от общего количества приложений на организацию. Эта тенденция оказывает существенное влияние на безопасность, так как ИТ-специалистам сложнее отслеживать состояние, использование и доступ к данным, хранящимся в облачных приложениях. Резкого увеличения количества приложений, связанных с социальными сетями, потоковым воспроизведением аудио и видео, а также одноранговыми сеансами, выявлено не было.
Киберпреступники устанавливают контроль над устройствами
1. Устройства IoT чрезвычайно привлекательны для киберпреступников по всему миру. Злоумышленники создают собственные «армии» устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы — вот основы экосистемы современной киберпреступности.
2. В 4-м квартале 2016 г. отрасль была дестабилизирована утечкой данных Yahoo! и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое.
3. Подключенные к Интернету вещей (IoT) устройства, пораженные ботнетом Mirai, инициировали рекордное количество DDoS-атак. После запуска исходного кода Mirai активность ботнета в течение недели возросла в 25 раз. К концу года активность увеличилась в 125 раз.
4. Исследование связанной с IoT активности эксплойтов в отношении нескольких категорий устройств показало, что наиболее уязвимыми являются домашние маршрутизаторы и принтеры, однако устройства DVR/NVR быстро опередили маршрутизаторы. Количество пораженных устройств этой категории увеличилось более чем на 6 порядков.
5. Большое значение также приобрела проблема вредоносного ПО, поражающего мобильные устройства. Несмотря на то, что этот вид вредоносного ПО занимает лишь 1,7 процента в общем объеме, одна из каждых пяти организаций, сообщивших об атаках с помощью вредоносного ПО, столкнулась с его мобильным вариантом. Практически все эксплойты были разработаны на базе Android. В структуре атак с помощью мобильного вредоносного ПО были выявлены значительные отличия в зависимости от региона: 36 процентов атак приходятся на организации Африки, 23 процента — Азии, 16 процентов — Северной Америки и лишь 8 процентов — Европы. Эти показатели следует учесть при работе с доверенными устройствами в современных корпоративных сетях.
Преобладание крупномасштабных автоматизированных атак
1. Взаимосвязь между количеством и распространенностью эксплойтов свидетельствует о повышении степени автоматизации атак и снижении стоимости вредоносного ПО и инструментов распространения, доступных в глубоком Интернете. Организация атак стала проще и дешевле, чем когда-либо.
2. Первое место в списке выявленных эксплойтов, представляющих значительную опасность, занял SQL Slammer, главным образом поражающий образовательные учреждения.
3. Вторым по распространенности является эксплойт, свидетельствующий о попытках проведения атак на протокол удаленного рабочего стола (RDP) Microsoft методом подбора. Эксплойт запускает 200 запросов RDP каждые 10 секунд, чем объясняется его значительная активность в сетях глобальных организаций.
4. Третье место в списке самых распространенных эксплойтов заняла сигнатура, привязанная к уязвимости «Повреждение памяти» диспетчера файлов Windows. С помощью этой сигнатуры злоумышленник может удаленно запустить выполнение произвольного кода внутри уязвимых приложений с помощью файла JPG.
5. Наибольшие показатели численности и распространенности продемонстрировали семейства ботнетов H-Worm и ZeroAccess. С помощью обоих ботнетов киберпреступники берут зараженные системы под контроль и похищают данные либо занимаются мошенничеством с рекламными объявлениями и майнингом биткоинов. Наибольшее количество попыток проведения атак с помощью этих двух семейств ботнетов было зафиксировано в технологическом и государственном секторах.