Исследование Symantec выявило рост комбинированных угроз

   ЗАЩИТА ДАННЫХ

Аналитики корпорации Symantec (www.symantec.com), которые работают в шести центрах Security Operations Center и девяти лабораториях Response Lab, расположенных в разных странах, постоянно отслеживают и оценивают данные о происшествиях, что позволяет получать информативные глобальные обзоры о состоянии безопасности. Недавно корпорация выпустила отчет об опасностях, связанных с использованием Интернета (Internet Security Threat Report), проанализировав в нем тенденции в области Интернет-угроз. Выводы этого документа основаны на анонимных данных, полученных от пользователей службы Symantec Managed Security Services, а также собранных с 20 тыс. защитных устройств, развернутых в 180 странах.

Анализ текущих тенденций, выявленных исследователями, показывает, каких угроз Интернет-безопасности можно ожидать в будущем.

Основные тренды

Рост комбинированных угроз, увеличение уязвимости компонентов Windows, ускоренное выявление злоумышленниками серьезных уязвимостей ИС - вот существенные проблемы, с которыми компании сталкиваются в последнее время.

В течение второй половины прошлого года комбинированные угрозы составили 54% от десяти наиболее часто доставляемых в Symantec образцов вредоносного кода. Эти угрозы вели к повсеместному ущербу быстрее, чем когда-либо ранее, поскольку увеличилась скорость их распространения (чему отчасти способствовал рост пропускной способности сетей и сокращение времени задержек).

Blaster, один из наиболее "успешных" Интернет-червей, был нацелен на уязвимость базовых компонентов Windows. Угрозы, направленные против этих компонентов, распространяются шире, чем сетевые черви предыдущего поколения, поражавшие серверное программное обеспечение; в результате резко возрастает плотность уязвимых систем.

Число вновь обнаруженных уязвимостей практически не растет, но атаки на эти новые бреши куда более опасны. Такая оценка основана на их доступности, размере потенциального ущерба, а также на росте возможностей дистанционного несанкционированного доступа и проверки подлинности. Кроме того, сокращается время между публикацией сведений об уязвимости и попытке ее использования со злым умыслом. Изучение этих тенденций подсказывает, что неизбежно появление угроз, которые потребуют немедленного обнаружения. Такие атаки будут поражать уязвимые места еще до того, как обнародованы сведения об уязвимости, и до разработки исправлений. Вследствие этого крайне усложнятся задачи предупреждения и сдерживания эпидемий.

Тенденции атак

В первой половине прошлого года только в одной из каждых шести обследованных компаний были обнаружены серьезные изъяны в системе безопасности. Во втором полугодии такие уязвимости были найдены уже в половине компаний. Этот рост в основном связан с появлением все более изощренных червей, которые остаются самым распространенным источником опасности. Более того, свыше трети всех атак были нацелены на уязвимость, используемую червем Blaster.

Среди наиболее пострадавших от значительных происшествий оказались финансовые компании, организации здравоохранения, предприятия энергетического сектора. В то же время доля подобных случаев в корпоративном секторе второй год подряд продолжала снижаться. Свыше 70% клиентов Symantec со сроком обслуживания более шести месяцев избежали серьезных атак.    

При атаках все чаще используются "потайные ходы", оставленные другими злоумышленниками, а также Интернет-червями. Хакеры очень эффективно с их помощью получают контроль над атакуемой системой: они могут сами открывать новые лазейки или применять пораженную систему в качестве источника распределенной атаки типа "отказ в обслуживании" (Distributed Denial of Service, DDoS).

Эта тенденция отчетливо проявляется и в настоящее время. В январе 2004 г. червь MyDoom начал распространяться примерно с той же скоростью, что и Sobig.F, проникая в заражаемые системы через потайной ход и ведя целенаправленную атаку. Новые черви, Doomjuice и Deadhat, которые последовали за MyDoom, распространялись через оставленный им потайной ход.

Тенденции, связанные с уязвимостями

В 2003 г. было обнаружено чуть больше уязвимых мест, чем в 2002-м (2636 против 2587 - в среднем семь в день).

Число относительно серьезных уязвимостей возросло: если в 2002 г. оно составляло в среднем 98 в месяц, то в 2003-м - 115 в месяц. Кроме того, 70% уязвимостей, выявленных в прошлом году, было отнесено к категории легких для использования (в предыдущем году таких оказалось 60%).

Большинство уязвимостей, проникновение через которые связано со специально разработанным кодом, было классифицировано как очень серьезные (2002 г. - 175, 2003 г. - 231). Количество мест, для которых такой код был опубликован, возросло в 2003-м на 5%, а тех, использование которых не требовало применения специализированных средств, увеличилось за тот же период на 6%.

На 70% возросла доля уязвимых мест на стороне клиента в обозревателе Microsoft Internet Explorer - с 20 в первой половине до 34 во второй половине 2003 г. Многие из этих "дыр" позволяют злоумышленникам поражать системы пользователей, случайно или преднамеренно посещающих инфицированные веб-узлы. Основная причина беспокойства в связи с этой тенденцией - господство Internet Explorer на рынке браузеров.

Тенденции, связанные с вредоносным кодом

В прошедшем году комбинированные угрозы лежали в основе ряда наиболее существенных инцидентов, которые произошли в августе, когда всего за 12 дней в Интернете появилось три новых опасных червя - Blaster, Welchia и Sobig.F. Они заразили миллионы компьютеров по всему миру, причем, согласно оценкам компании Computer Economics, ущерб составил приблизительно 2 млрд. долл.

Число доставленных в Symantec вирусов и червей для 32-разрядных версий Windows во втором полугодии 2003 г. по сравнению с тем же периодом 2002-го возросло в два с половиной раза - с 687 до 1702. Сюда включены черви Blaster, Welchia, Sobig.F и Dumaru. С этими новыми угрозами связан ряд тенденций. Во-первых, сокращается время между публикацией сведений об уязвимости и ее широкомасштабным использованием. Во-вторых, хакеры все активнее применяют упаковщики для маскировки вредоносного кода. Упаковщики сжимают и шифруют исполняемые файлы Windows, что усложняет задачу обнаружения в них вредоносного кода.

Из десяти наиболее часто доставляемых образцов вредоносного кода во второй половине 2003 г. по сравнению с его первой половиной доля почтовых червей с собственными средствами рассылки сообщений возросла на 61%. Такие самодостаточные почтовые модули не взаимодействуют с электронной почтой пользователя, поэтому острое заражение внешне проявляется слабо. Антивирусные программы со средствами обнаружения на основе эвристического анализа в состоянии отражать подобные угрозы.

Во втором полугодии 2003 г. быстрее всего росли угрозы нарушения конфиденциальности. По сравнению с первой половиной, среди десяти наиболее часто доставляемых образцов вредоносного кода наблюдался рост числа обнаружений на 519%. Если раньше нарушение конфиденциальности происходило при экспорте случайно выбранных документов, то недавно появившиеся вирусы и комбинированные угрозы извлекают также пароли, ключи дешифровки и последовательности символов, вводимых с клавиатуры.