Компания Fortinet обнародовала данные последнего отчета о всемирном исследовании угроз. Предметом исследования стала цепочка внедрения киберугроз. В контексте корпоративных технологий и современных тенденций развития сферы были рассмотрены три основных направления атак — эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Как показывает исследование, несмотря на широкое освещение более резонансных атак, проводником преобладающей части успешных атак, с которыми довелось столкнуться организациям, стала широкомасштабная инфраструктура «Киберпреступление как услуга».

Благодаря современным инструментам и инфраструктуре «Преступление как услуга» злоумышленники могут оперативно действовать на общемировом уровне. Это означает, что в Интернете не существует расстояний или географических границ, так как большинство угроз функционирует в масштабе всего мира, а не отдельных регионов. Преступники всегда готовы к атаке и постоянно занимаются поисками уязвимостей на международном уровне.

Знание тенденций развития эксплойтов, а также принципов функционирования и распространения программ-вымогателей позволит избежать вредоносных последствий атак, которые придут на смену WannaCry. Вредоносные программы-вымогатели и их разновидности распространились по всему миру и одновременно поражают сотни организаций.

Чуть менее 10% организаций выявили активность программ-вымогателей. В каждый отдельно взятый день 1,2% организаций обнаруживали в своих корпоративных сетях ботнеты-вымогатели. Наибольшая активность наблюдалась в выходные дни: злоумышленники пытались внедрить вредоносный трафик в обход сотрудников службы безопасности, работающих на выходных. По мере роста среднего объема трафика разных ботнетов-вымогателей повысилось и среднее количество организаций, становящихся целями атак.

80% организаций сообщили о выявлении в системах эксплойтов, представляющих серьезную и критически серьезную опасность. Большинство этих целевых эксплойтов было разработано в течение последних пяти лет, однако злоумышленники использовали и те уязвимости, которые существовали еще в прошлом веке. Распределение эксплойтов по географическим областям достаточно равномерно. Вероятно, это обусловлено тем, что активность огромного количества эксплойтов полностью автоматизирована при поддержке инструментов, сканирующих сеть Интернет на наличие уязвимостей.

По мере роста объемов передачи данных и ресурсов между пользователями и сетями увеличивается и количество атак в разных географических областях и сферах деятельности. Исследование вредоносного ПО позволяет получить представление о стадиях подготовки и внедрения атак. Следует отметить, что задачу обеспечения защиты от мобильного вредоносного ПО усложняют такие факторы, как незащищенность устройств в рамках внутренней сети, частые подключения к публичным сетям и отсутствие корпоративного контроля над устройствами, находящимися во владении пользователей.

Показатели распространенности мобильного вредоносного ПО за период с 4-го квартала 2016 г. по 1-й квартал 2017 г. оставались стабильными: около 20% организаций выявили мобильное вредоносное ПО. В этом квартале большинство в списке 10 наиболее распространенных угроз составили семейства вредоносного ПО, поражающего устройства Android. Общее соотношение по всем типам вредоносного ПО в 1-м квартале составило 8,7% — в 4-м квартале это значение было равно 1,7%.

Мобильное вредоносное ПО все шире распространяется во всех регионах, за исключением Ближнего Востока. Во всех случаях наблюдающийся рост статистически достоверен, его нельзя списать на случайные колебания. При рассмотрении в региональном разрезе тенденции распространения вредоносного ПО, поражающего устройства Android, демонстрируют наиболее очевидную географическую привязку.

Тенденции развития угроз зависят от среды, поэтому очень важно быть в курсе изменений, которые с течением времени претерпевают информационные технологии, службы, элементы управления и поведение. Возможность доступа к актуальным данным позволяет составить представление о политиках безопасности и моделях управления в целом, а также успешно отслеживать развитие эксплойтов, вредоносного ПО и ботнетов по мере усложнения сетей и повышения степени их распределенности.

По мере увеличения количества потенциальных направлений атак в рамках расширенной сети эффективность отслеживания и управления современными инфраструктурами снижается. Такие тенденции, как повсеместное распространение частных и общедоступных облачных решений, развитие IoT, подключение к сетям большого количества самых разных интеллектуальных устройств и появление внеполосных направлений угроз, таких как теневые ИТ-ресурсы, привели к чрезмерному повышению нагрузки на специалистов по информационной безопасности.

Среднее значение соотношения между трафиком HTTPS и HTTP достигло рекордного значения — около 55%. Эта тенденция способствует сохранению конфиденциальности, однако создает сложности в ходе отслеживания и выявления угроз. Многие средства безопасности недостаточно эффективны при отслеживании зашифрованных данных. Организации, особенно те, в которых объем трафика HTTPS более высок, могут столкнуться с угрозами, скрытыми в зашифрованных данных.

В среднем организация использует 62 облачных приложения, что составляет примерно треть от общего числа обнаруженных приложений. При этом количество приложений IaaS достигло нового максимума. Проблема многих организаций заключается в том, что при перемещении данных в облако эффективность отслеживания их состояния может заметно снизиться. Кроме того, наблюдается спорная тенденция к увеличению объема данных, для хранения которых используются подобные приложения и службы.

Как показал групповой анализ по отраслям, для большинства сфер опасность представляют одни и те же направления угроз. В числе немногих исключений оказались сферы образования и телекоммуникаций. Это означает, что злоумышленники могут с легкостью использовать схожие направления атак в разных сферах, особенно при наличии автоматизированных инструментов.