ТЕНДЕНЦИИ
С развитием информационных систем и средств их защиты одновременно эволюционируют и способы нападения со стороны злоумышленников. О реальности угрозы нарушения работы ИС (и, следовательно, функционирования организации в целом) из-за их действий говорят данные регулярных исследований "CSI/FBI Computer Crime and Security Survey". Ежегодный отчет, в составлении которого принимают участие специалисты Института компьютерной безопасности США (Computer Security Institute, CSI) и ФБР (FBI), предоставляет информацию, одинаково интересную как для специалистов ИБ, так и для руководителей всех уровней. Как правило, участниками данного исследования являются представители ведущих американских компаний и государственных организаций, финансовых институтов и учебных заведений. В обзоре отражена ситуация, сложившаяся в области информационной безопасности в США, и, надо признать, она довольно удручающая (см. диаграмму).
По данным исследования, превалирующими по объему потерь преступлениями в информационной сфере являются распространение вирусов (42,8 млн. долл.), неавторизованный доступ (31,2 млн. долл.) и кража конфиденциальной информации (30,9 млн. долл.). По последним двум источникам угроз в этом году наметилась устойчивая тенденция роста.
Довольно заметное снижение уровня потерь от DoS-атак и вирусов свидетельствует об эффективном противодействии эпидемиям интернет-червей и автоматизированным атакам. Технологии антивирусной защиты шагнули далеко вперед, хотя время реакции ведущих мировых производителей антивирусов на появление нового червя все еще может составлять несколько часов. Использование же передовых решений на основе систем предотвращения атак (IPS) в большинстве случаев снижает эффект от атак типа "отказ в обслуживании", да и злоумышленникам становится неинтересно инициировать массовые атаки и заражения. Но это еще не повод для ликования. Широкий спектр средств информационной защиты и их постоянное совершенствование только стимулируют хакеров и вирусописателей на создание более сложных и изощренных способов доступа к конфиденциальной информации. Злоумышленники переходят на качественно новый уровень, предпочитая атаковать конкретные, самые крупные цели. На смену прыщавым юнцам, ради забавы и самоутверждения распространяющим "интернет-червей", приходят профессиональные киберпреступники.
Финансовые потери от преступлений различных видов
(по данным CSI/FBI Computer Crime and Security Survey)
Такие же выводы фигурируют и в отчете компании IBM - "Global Business Security Index" за первую половину 2005 г. В этом отчете специалисты IBM Global Security Intelligence и их партнеры по всему миру описывают и анализируют тенденции развития безопасности информационных систем. Отмеченные в нем уникальные вирусы и атаки, специально созданные для проникновения в конкретную информационную систему и не использующие уже готовые разработки, постепенно набирают все большую популярность у злоумышленников. Из-за уникальности подобных программ и применения методов социальной инженерии для них тяжело создать эвристические методы детектирования, а одноразовое их использование дает им шанс не попасть в антивирусные базы - в отличие, например, от "червей", расходящихся по миру миллионами копий. Кроме того, у точечных атак есть большой плюс для злоумышленника. Точечные атаки обычно расследуются локально, без привлечения серьезных сил правоохранительных органов и лишней шумихи, что также играет на руку злоумышленнику.
Новая категория "дефэйс (взлом) сайтов", появившаяся в исследовании в 2004 г., не может похвастать большими принесенными убытками. Но обращает на себя внимание то, что по сравнению с прошлым годом количество инцидентов в этой категории значительно возросло. Так, в 2004 г. 89% опрошенных заявили о фиксировании подобного рода инцидентов в количестве от 1 до 5 раз и только 5% - о более чем 10 инцидентах. В 2005-м ситуация резко изменилась: 95% опрошенных заявили о более чем 10 произошедших инцидентах и 2% только об 1-5 случаях. Отсутствие роста на диаграмме в этой категории объясняется низкой стоимостью устранения результатов инцидентов. Необходимо отметить тот факт, что становятся широко распространенными услуги злоумышленников, когда сайт взламывается или делается недоступным по заказу третьих лиц с целью навредить имиджу компании, сформировать негативное мнение о ней в СМИ и т. д.
Статистика - неумолимая вещь, она демонстрирует опасную тенденцию: атаки злоумышленников становятся все более сфокусированными, адресными. Атаки на приватную информацию наносят все больший урон. Внимание интернет-преступников все чаще привлекают конкретные компании, атаки нацеливаются на конкретную информационную систему. Можно сделать вывод о постепенном изменении направленности атак с конечных пользователей в сторону непосредственных владельцев интересующей преступников информации.
Результаты действий таких преступников обычно не становятся достоянием общественности, однако наносят гораздо больший ущерб, чем проделки подростков. Высокий уровень латентности (сокрытия) подобных атак не позволяет увидеть истинных масштабов такого рода преступлений. Большая часть организаций в случае обнаружения инцидента предпочитает не разглашать сведения о нем из-за боязни повредить своему конкурентному положению, имиджу в глазах общественности, негативного влияния на стоимость акций на фондовой бирже и т. п. Существует несколько мнений о реальном количестве происходящих инцидентов нарушения информационной безопасности. Наиболее правдоподобный уровень в 3-4 раза больше статистического показателя.
На самом деле за многими громкими преступлениями, связанными с кражами конфиденциальной информации, в этом году просматривается новое лицо киберпреступности, преступности нового поколения. Хакеры, становясь частью организованных преступных сообществ, все чаще осуществляют заказные взломы. Злоумышленникам мало-помалу начинает надоедать заниматься взломом и распространением вирусов ради куража и искусства.
Что касается нашей страны, то, конечно, исследование "CSI/FBI computer crime and security survey" вряд ли отражает реальное положение дел в России, но тенденции, указанные в обзоре, просматриваются и у нас. В силу закрытости, присущей отечественным компаниям, судить о масштабах нарушений в сфере информационной безопасности в нашей стране достаточно тяжело. Но многие эксперты предрекают продолжение бурного роста преступлений в информационной сфере в связи с ускоряющимся переходом российских компаний на электронное ведение бизнеса.
Рост числа преступлений в области информации, направленных на конкретную цель, ставит новые задачи перед производителями средств информационной защиты. Причем проявления подобного сфокусированного подхода злоумышленников встречаются практически повсеместно: во взломах сайтов, в спам-рассылках, в распространении новых вредоносных программ, в проникновении в закрытые базы данных и т. д. Поэтому в ближайшем будущем стоит ожидать появления высокоинтеллектуальных решений, способных адекватно ответить на направленный характер действий киберпреступников.
Автор - ведущий специалист компании "Информзащита", связаться с ним можно по адресу: l.fisenko@infosec.ru.
