Компания Palo Alto Networks, специализирующаяся на сетевой безопасности, опубликовала аналитический обзор «Modern Malware Review» о новых и скрытых вредоносных программ в реальных корпоративных сетях. В обзоре отмечается, что традиционные антивирусные решения не в состоянии идентифицировать подавляющее большинство вредоносных программ, инфицирующих сети через приложения реального времени, в том числе веб-браузинг. Это первое в индустрии исследование, описывающее поведение вирусов на протяжении всего жизненного цикла: с момента попадания в сеть до поведения на зараженной машине и генерации трафика.

Ключевые результаты исследования выглядят следующим образом. 94% полностью не детектируемых образцов вредоносного ПО доставляется через веб-браузеры или через веб-прокси.

70% вредоносов оставляют идентификаторы при исполнении или передаче данных, которые можно использовать для детектирования.

40% на первый взгляд уникальных вредоносных программ на самом деле являются версий одного и того же кода.

Самым эффективным методом для внедрения вредоносного ПО в сеть аналитики признали FTP. 95% вредоносных программ проникают в сеть через FTP и остаются незамеченными антивирусными программами более чем 30 дней.

Было выявлено 30 различных методов уклонения от систем безопасности и более половины всех методов были нацелены на то, чтобы вредоносы оставались незамеченными.

«Недостаточно просто обнаружить вредоносное ПО, которое способно уклоняться от традиционных средств защиты. Корпоративным предприятиям следует требовать более комплексного подхода по предотвращению заражения от производителей используемых ими средств, — считает старший аналитик Palo Alto Networks Уэйд Уильямсон. — Это как раз то, о чем сообщается в Modern Malware Review. Анализ незамеченных традиционными средствами защиты вредоносных программ в реальных сетях позволил нам вооружить ИТ-службы безопасности необходимой и полезной информацией в отношении угроз, которые они могли бы пропустить».

В обзоре есть рекомендации, которые помогут службам безопасности лучше защитить свои сети от распространения вредоносного ПО и сетевых атак. Зная, что большинство вредоносных программ — это просто локализованные и переупакованные версии одного и того же кода (например, Zeus botnet), службы безопасности могут использовать различные показатели для его детектирования и автоматического блокирования.

«Службы безопасности ежедневно получают огромное количество предупреждений о последних вредоносах и анализ вручную каждой угрозы с целью создания правильной блокирующей политики сделал бы невозможной нормальную работу администраторов ИБ, — заявил администратор безопасности Health Information Technology Services of Nova Scotia Фил Каммингс. — Такие отчеты как Modern Malware Review от Palo Alto Networks, основанные на реальных данных, дают действенные рекомендации по созданию политики безопасности, которые значительно облегчают мою работу».

Отчет Modern Malware Review основан на данных, собранных в октябре-декабре 2012 г. с помощью сервиса WildFire. Было обнаружено 26 тыс. различных образцов новых сетевых вредоносов, ранее неизвестных ни одному антивирусному продукту на рынке.

Пресс-релиз

Версия для печати