Корпорация Symantec опубликовала свой отчет Internet Security Threat Report (ISTR) о наиболее важных событиях 2011 г. в области информационной безопасности (ИБ), выявленных в результате анализа собранных данных. Данные для ISTR собираются корпорацией со всего мира от пользователей продуктов Symantec и ее партнеров, которые по договоренности устанавливают в своих информационных сетях программное обеспечение и устройства (сенсоры и агенты), необходимые для репутационного и поведенческого анализа подключенных к Сети ресурсов.

Особенности вредоносных кодов. За прошедший год специалисты Symantec зарегистрировали рост количества кибератак в мире (примерно на 80%, до 5,5 млрд.) и уникального вредоносного кода (на 40%, до 403 млн.). Отмечено, что 45% вредоносов принадлежит десяти семействам. Остальное же их разнообразие достигается злоумышленниками за счет использования различных приемов — шифрования, полиморфизма, обфускации и т. п. Работу киберпреступников облегчает представленный на теневом рынке широкий ассортимент средств автоматизации разработки вредоносных программ и услуг по организации кибератак. Это помогает им быстро создавать уникальные образцы вредоносов, нередко предназначенные для установки лишь на один конкретный компьютер и организовывать целенаправленные атаки.

Целевые атаки. Symantec предупреждает, что жертвами целенаправленных атак становятся не только крупные структуры. Примерно из 27 тыс. атак этого типа, зарегистрированных компанией в прошлом году, только около половины пришлось на структуры с количеством компьютерных пользователей более 2,5 тыс., все остальные — на более мелкие, в том числе около 18% — на компании с числом компьютеров менее 250.

Если рассматривать профиль деятельности структур, подвергающихся целенаправленным атакам, то с долей в 30% лидируют государственный и публичный сектора. За ними с долями приблизительно в 15 и 10% следуют производство и финансы, а далее с примерно равными долями в несколько процентов ИТ-обслуживание, химия и фармацевтика, транспорт, медийные ресурсы, образование и сети розничных продаж.

Следует учитывать, что согласно собранным Symantec данным, целевым атакам подвергается не только высший менеджмент, но также и его ассистенты, средние управленцы, сотрудники отделов разработки и исследований, специалисты по продажам и связям со СМИ, кадровики.

Спам. При зарегистрированном специалистами Symantec спаде количества спама на 34%, которое руководитель группы ИБ Symantec в Росси и СНГ Олег Шабуров связывает с налаживанием защиты против этого вида вредоносной активности, он отметил повышение её результативности за счет более изощренных методов проведения спам-атак и прежде всего за счет активизации спамеров в социальных сетях, где пользователи ведут себя довольно расслабленно, полагая, что находятся в сформированном ими более доверенном окружении.

Уязвимости ПО. За 2011-й эксперты из Symantec зарегистрировали сокращение на 20% количества новых уязвимостей в ПО и на 43% -- уязвимостей нулевого дня (всего за год их было обнаружено восемь). Аналитики отмечают, что многие поставщики ПО стали гораздо активнее использовать технологии безопасной разработки. При этом они поощряют на поиск уязвимостей в их продуктах индивидуальных тестировщиков и пользователей. Однако, как полагает г-н Шабуров, делать заключение об общем повышении безопасности программных разработок рано: нужно дождаться результатов нынешнего года, поскольку зарегистрированное снижение может оказаться связанным с тем, что уязвимости пока просто не обнаружены.

Зараженные сайты. Блокируя каждый месяц все больше зараженных и распространяющих заражения веб-сайтов, Symantec отмечает, что лидируют среди них веб-ресурсы с религиозным контентом — в среднем на каждом из зараженных сайтов с такой тематикой, по подсчетам Symantec, содержится 115 вредоносных кодов. За ними следуют сайты, предоставляющие услуги персонального хостинга (39 заражений на сайт), и только потом -- порнографические (25 злонамеренных кодов на каждый зараженный сайт этой категории).

Основной причиной, приводящей к заражению посетителей указанных сайтов, в Symantec считают невнимательное отношение к обеспечению ИБ этих веб-ресурсов со стороны их владельцев, в результате чего на их веб-страницах злоумышленники без особых усилий размещают ложные антивирусы и трояны, которые и становятся главной угрозой для посетителей.

Утечки данных. Symantec продолжает регистрировать по всему миру рост количества утечек данных. В 2011 г. была зарегистрирована весьма крупная утечка, в ходе которой была похищена примерно треть всей украденной за год информации. Крадут в основном ФИО пользователей, почтовые и электронные адреса, номера кредитных карт, пользовательские имена, пароли, номера телефонов.

Угрозы мобильным подключениям. В ISTR отмечается рост количества угроз для мобильных устройств связи: за прошлый год, по данным отчета, активность злоумышленников в этом направлении практически удвоилась. Причём эксперты из Symantec говорят о том, что киберпреступники практически полностью переключились на инструментарий и способы организации атак, учитывающие специфику функционирования мобильных устройств и поведение их пользователей. Так, теперь примерно 7% вредоносов для мобильных устройств меняют их настройки, а остальные предназначены для контроля действий пользователей, загружаемой ими на устройства информации и ее передачи злоумышленникам. Основным объектом атак киберпреступников оказалась платформа Android.

Как рассказал технический директор Symantec в России и СНГ Николай Починок, рост популярности среди корпоративных пользователей движения “принеси в офис собственное устройство” (BYOD) привел к активизации злоумышленников, направленной на захват управления такими аппаратами. При этом среди первых мер их защиты Symantec рекомендует предусмотреть защиту от потери. Проведенный компанией социальный эксперимент показал, что даже если человек, нашедший потерянное устройство, возвращает его владельцу, сначала он изучает содержащуюся на нем информацию.

Как отметил г-н Починок, в отчете ISTR подчеркивается, что компьютеры компании Apple по мере роста их популярности все чаще демонстрируют тот факт, что они не обладают иммунитетом от киберугроз (об обратном, кстати, на протяжении многих лет немало было говорено). При этом он напомнил, что Java-технологии, которые широко применяются в программировании (в том числе и злоумышленниками), работают по кроссплатформенному принципу.

Россия в ISTR. Кратко остановившись на состоянии киберпреступности в нашей стране, г-н Шабуров сообщил, что по вредоносной активности (т. е. по количеству всевозможных веб-угроз угроз, IP-адреса которых привязаны к нашей стране), Россия за прошедший год переместилась с десятого места на шестое. Увы, но последствия интернетизации страны сказываются и в этом.

Ближайшие перспективы. Высокая изменчивость вредоносных кодов наряду с распространением облачных вычислений, как считают в Symantec, требует новых технологий и методов детектирования вредоносов и борьбы с ними. О них представители корпорации пообещали рассказать в ближайшем будущем.