Распределенные инфраструктуры все сложнее контролироватьПредметом исследования о ландшафте угроз (Global Threat Landscape Report) компании Fortinet стала структура кибератак (kill chain). Три основных разновидности атак — эксплойты уязвимостей приложений, вредоносное программное обеспечение и ботнеты — рассматриваются в контексте развития корпоративных технологий и отраслевых сегментов.

Как показывает исследование, несмотря на широкое освещение наиболее резонансных атак, успешные атаки, с которыми довелось столкнуться организациям, носят спонтанный характер. Они оказались возможны благодаря широкомасштабной инфраструктур «Киберпреступление как услуга». Успешное противодействие таким атакам требует применения средств защиты с высокой степенью автоматизации.

ОСНОВНЫЕ ВЫВОДЫ ИССЛЕДОВАНИЯ

1) Инструменты атаки ничего не прощают и всегда готовы к применению в любое время и в любом месте

Благодаря современным инструментам и инфраструктуре «Преступление как услуга» злоумышленники могут действовать в общемировом масштабе. Это означает, что в Интернете не существует расстояний или географических границ, так что большинство угроз носит глобальный, а не региональный характер. Преступники всегда готовы к атаке и постоянно занимаются поисками уязвимостей на международном уровне.

Знание тенденций развития эксплойтов, а также принципов функционирования и распространения программ-вымогателей позволит избежать негативных последствий вредоносных атак, наподобии WannaCry. Вредоносные программы-вымогатели и их разновидности распространились по всему миру и одновременно поражают сотни организаций.

  • Программы-вымогатели. Чуть менее 10% организаций столкнулись с активностью программ-вымогателей. В каждый отдельно взятый день 1,2% организаций обнаруживали в своих корпоративных сетях ботнеты-вымогатели. Наибольшая активность наблюдалась в выходные дни: злоумышленники пытались внедрить вредоносный трафик тайком от сотрудников службы безопасности, отдыхающих в эти дни. По мере роста среднего объема трафика разных ботнетов-вымогателей повысилось и среднее количество организаций, становящихся целями атак.
  • Тенденции развития эксплойтов. 80% организаций сообщили о выявлении в системах эксплойтов, представляющих серьезную и критически серьезную опасность. Большинство целевых уязвимостей появилось в течение последних пяти лет, однако злоумышленники не прекращали попыток использовать и гораздо более уязвимости, даже обнаруженные еще в прошлом веке. Распределение эксплойтов по географическим областям достаточно равномерно. Вероятно, это обусловлено тем, что активность огромного количества эксплойтов полностью автоматизирована при поддержке инструментов, сканирующих сеть Интернет на наличие уязвимостей.

2) Гиперконвергенция и IoT способствуют ускорению распространения вредоносного ПО

По мере роста объемов обмена данными и ресурсами между пользователями и сетями увеличивается и количество атак в разных географических областях и сферах деятельности. Исследование вредоносного ПО позволяет получить представление о стадиях подготовки и внедрения атак. Следует отметить, что задачу обеспечения защиты от мобильного вредоносных программ усложняют такие факторы, как открытость устройств в рамках внутренней сети, частые подключения к публичным сетям и отсутствие корпоративного контроля над устройствами, находящимися во владении пользователей.

  • Мобильное вредоносное ПО. Показатели распространенности мобильного вредоносного ПО за период с IV квартала 2016 г. по I квартал 2017 г. оставались стабильными: около 20% организаций выявили мобильное вредоносное ПО. В этом квартале большинство позиций в списке 10 наиболее распространенных угроз пришлось на вредоносные программы, поражающие устройства Android. Общая доля среди всех типов вредоносных программ в I квартале составила 8,7% — в IV квартале это значение было равно 1,7%.
  • Распространение по регионам. Мобильное вредоносное ПО все шире распространяется во всех регионах, за исключением Ближнего Востока. Во всех случаях наблюдающийся рост статистически достоверен, его нельзя списать на случайные колебания. По сравнению с другими региональными угрозами зловредный код для Android имеет наиболее отчетливую географическую привязку.

3) Распределенные и эластичные инфраструктуры становятся все менее контролируемыми

Тенденции развития угроз зависят от среды, в которой они реализуются, поэтому очень важно быть в курсе изменений, которые с течением времени претерпевают информационные технологии, службы, элементы управления и поведенческие шаблоны. Возможность доступа к актуальным данным позволяет составить представление о политиках безопасности и моделях управления в целом, а также успешно отслеживать развитие эксплойтов, вредоносного ПО и ботнетов по мере усложнения сетей и повышения степени их распределенности.

По мере увеличения количества потенциальных направлений атак в результате расширегия сети эффективность контроля за современными инфраструктурами снижается. Такие тенденции, как повсеместное распространение частных и общедоступных облачных решений, развитие IoT, подключение к сетям большого количества самых разных интеллектуальных устройств и появление скрытых угроз, таких как теневые ИТ-ресурсы, привели к чрезмерному повышению нагрузки на специалистов по информационной безопасности.

  • Зашифрованный трафик. Среднее значение соотношения между трафиком HTTPS и HTTP достигло рекордного значения — около 55%. Эта тенденция способствует сохранению конфиденциальности, однако создает сложности в ходе отслеживания и выявления угроз. Многие средства безопасности недостаточно эффективны при отслеживании зашифрованных данных. Организации, особенно те, в которых объем трафика HTTPS более высок, могут столкнуться с угрозами, скрытыми в зашифрованных данных.
  • Приложения. В среднем организация использует 62 облачных приложения, что составляет примерно треть от общего числа обнаруженных приложений. При этом количество приложений, размещенных с помощью IaaS, достигло нового максимума. Проблема многих организаций заключается в том, что при перемещении данных в облако контроль за ними заметно ухудшается. Кроме того, объема данных, для хранения которых используются подобные приложения и службы, увеличиваются вместо того, чтобы сокращаться, что может представлять проблему.
  • Сферы деятельности. Как показал анализ по отраслям, для большинства из них опасность представляют одни и те же направления угроз. В числе немногих исключений оказались сферы образования и телекоммуникаций. Это означает, что злоумышленники могут с легкостью использовать схожие направления атак в разных сферах, особенно при наличии автоматизированных инструментов.