По данным исследования угроз Fortinet, количество атак, приходящееся на одну организацию, увеличилось на 82%

Увеличение количества, скорости и разнообразия массированных кибератак

Изощренность атак, ориентированных на поражение организаций, повышается с невиданной быстротой. Процесс цифровой трансформации не только преображает бизнес — также он создает большое количество новых направлений для разрушительных атак, чем охотно пользуются злоумышленники. На базе новой «роевой» технологии киберпреступники разрабатывают угрозы, способные поражать разные устройства, точки доступа и уязвимости. Организациям все сложнее противостоять такому деструктивному сочетанию тенденций, как быстрое развитие угроз и распространение их новых разновидностей.

Беспримерное количество угроз. В среднем на одну организацию приходится 274 зафиксированных угрозы. По сравнению с предыдущим кварталом этот показатель значительно увеличился: прирост составил 82%. Количество семейств вредоносного ПО также возросло на 25%, а число уникальных вариаций — на 19%. Эти данные свидетельствуют не только об увеличении количества угроз, но и об их продолжающемся развитии. Кроме того, наблюдается прирост процентной доли трафика, зашифрованного при помощи протоколов HTTPS и SSL: в среднем 60% от общего объема сетевого трафика. Безусловно, шифрование эффективно защищает данные, перемещающиеся между средами ядра, облака и конечной точки, однако в то же время эта технология усложняет задачу обеспечения безопасности с помощью традиционных решений.

Большое количество атак в сфере IoT. Из числа двадцати наиболее разрушительных атак три были ориентированы на поражение устройств IoT. Вчетверо увеличился уровень активности эксплойтов, поражающих такие устройства, как WiFi-камеры. Низкая защищенность устройств IoT обусловлена в том числе и тем, что ни одна из зафиксированных атак не была связана с какой-либо известной уязвимостью. Кроме того, в отличие от предыдущих атак, целью которых является определенная уязвимость, новые IoT-ботнеты, например [blog.fortinet.com]Reaper и Hajime, способны одновременно поражать несколько уязвимостей. Технологии атак по разным направлениям значительно сложнее противостоять. Благодаря гибкой инфраструктуре код ботнета Reaper оперативно обновляется и, в отличие от предыдущих статичных IoT-эксплойтов на базе запланированных атак, Reaper поддерживает развертывание новых, более вредоносных «роевых» атак по мере их появления. О большом потенциале массированных атак, которым обладает ботнет Reaper, свидетельствует скачок числа эксплойтов с 50 000 до 2,7 миллиона. Этот показатель был достигнут всего за несколько дней, после чего количество эксплойтов вновь снизилось до обычного.

Сохранение тенденции к широкому применению вредоносного ПО. Список вариаций вредоносного ПО возглавляют несколько разновидностей программ-вымогателей. Самая широко распространенная вредоносная программа — это Locky, второе место занимает GlobeImposter. Разработана новая разновидность Locky: прежде чем направить требование выкупа, она маскируется под спам. Кроме того, в глубоком Интернете произошел переход от биткойнов к другим формам цифровых валют, например Monero.

Распространение майнинга криптовалют. Количество вредоносных программ в сфере майнинга криптовалют растет. По всей видимости, это связано с колебаниями курса биткойна. Пользуясь распространением электронных денег, киберпреступники занимаются майнингом криптовалют в фоновом режиме за счет ресурсов ЦП компьютеров, пользователи которых даже не догадываются о происходящем. Для этого используется такая уловка, как криптоджекинг. Этот метод основан на загрузке сценария в веб-браузер и не требует установки программ или хранения файлов на компьютере.

Изощренное вредоносное ПО, направленное на поражение промышленных систем. Всплеск активности эксплойтов, целями которых являются системы управления производственными процессами (ICS) и инструментальные системы безопасности (SIS), свидетельствует о том, что эти скрытные атаки, вероятно, будут все чаще применяться злоумышленниками. В качестве примера можно привести атаку под кодовым названием Triton. Эта изощренная атака скрывает следы своей активности, перезаписывая вредоносный код с применением бессмысленной информации, что препятствует анализу. Упомянутые системы предназначены для управления важнейшими инфраструктурами, что делает их особенно привлекательными для злоумышленников. Успешные атаки чреваты огромным ущербом и долговременными негативными последствиями.

Разнообразие атак. Стеганографическая атака — это атака, основанная на встраивании вредоносного кода в изображения. На протяжении последних нескольких лет атаки этого типа происходили редко, однако в настоящее время их количество увеличивается. В наборе эксплойтов Sundown стеганография используется в целях хищения данных. За время своей активности этот набор эксплойтов стал рекордсменом по числу атакованных организаций. Он используется для распространения программ-вымогателей самых разных видов.

Противодействие массированным атакам при помощи интегрированной системы безопасности

Результаты проведенного в этом квартале исследования подтверждают многие из недавно обнародованных прогнозов отдела исследования угроз Fortinet FortiGuard Labs на 2018 г., согласно которым количество самообучающихся «роевых» сетей и больших групп ботов будет неуклонно увеличиваться. На протяжении ближайших нескольких лет количество направлений атак продолжит расти. В то же время возможности комплексного отслеживания и управления современными инфраструктурами снизятся. В целях обеспечения оперативного и широкомасштабного противодействия атакам злоумышленников организации должны внедрить стратегии, основанные на автоматизации и интеграции. Система безопасности должна функционировать на скорости, не уступающей скоростям цифровых подключений, что требует автоматизации реагирования, применения актуальных данных и внедрения функции самообучения. Благодаря этим мерам сети станут более эффективными и независимыми в принятии решений.

Методология исследования

В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети датчиков в 4-м квартале 2017 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Также в отчете приведены сведения об основных уязвимостях «нулевого дня» и обзор тенденций развития инфраструктуры, благодаря которым можно выявить закономерности проведения кибератак во времени и предотвратить будущие атаки, направленные на организации. Кроме того, компания Fortinet публикует сводку данных об угрозах (при наличии подписки доступ бесплатен), в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований Fortinet.

«Процесс цифровой трансформации мировой экономики сопряжен с увеличением количества, сложности и разнообразия киберугроз. В сфере киберпреступности происходит аналогичная трансформация, в результате которой инструменты разработки атак становятся более доступными. Киберпреступники применяют все более рискованные методы атак. Приходится констатировать факт: традиционные стратегии и архитектуры безопасности больше не способны обеспечить защиту организаций, выполнивших переход на цифровые технологии. Задача противодействия современным атакам стала как никогда актуальной и требует модернизации систем безопасности в соответствии с вехами на пути цифровой трансформации. Традиционные изолированные средства безопасности недостаточно эффективны. Специализированные продукты и статичные средства защиты должны уступить место интегрированным автоматизированным решениям, поддерживающим оперативное принятие мер широкого действия», — говорит Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet.