Fortinet

Компания Fortinet представила результаты последнего всемирного исследования угроз*, по данным которого, за прошлый квартал количество атак, приходящихся на одну организацию, существенно увеличилось. Кроме того, ускорилось распространение автоматизированных массированных атак, изощренность которых усложняет защиту корпоративных пользователей, приложений и устройств. Ниже приведены основные выводы, изложенные в отчете.
Увеличение количества, скорости и разнообразия массированных кибератак
Изощренность атак, ориентированных на поражение организаций, повышается с невиданной быстротой. Процесс цифровой трансформации не только преображает бизнес, он также создает большое количество новых направлений для разрушительных атак, чем охотно пользуются злоумышленники. На базе новой «роевой» технологии киберпреступники разрабатывают угрозы, способные поражать разные устройства, точки доступа и уязвимости. Организациям все сложнее противостоять такому деструктивному сочетанию тенденций как быстрое развитие угроз и распространение их новых разновидностей.
• Беспримерное количество угроз. В среднем на одну организацию приходится 274 зафиксированных угрозы. По сравнению с предыдущим кварталом этот показатель значительно увеличился: прирост составил 82%. Количество семейств вредоносного ПО также возросло на 25%, а число уникальных вариаций — на 19%. Эти данные свидетельствуют не только об увеличении количества угроз, но и об их продолжающемся развитии. Кроме того, наблюдается прирост процентной доли трафика, зашифрованного при помощи протоколов HTTPS и SSL: в среднем 60% от общего объема сетевого трафика. Безусловно, шифрование эффективно защищает данные, перемещающиеся между средами ядра, облака и конечной точки, однако в то же время эта технология усложняет задачу обеспечения безопасности с помощью традиционных решений.
• Большое количество атак в сфере IoT. Из числа двадцати наиболее разрушительных атак три были ориентированы на поражение устройств IoT. Вчетверо увеличился уровень активности эксплойтов, поражающих такие устройства, как WiFi-камеры. Низкая защищенность устройств IoT обусловлена в том числе и тем, что ни одна из зафиксированных атак не была связана с какой-либо известной уязвимостью. Кроме того, в отличие от предыдущих атак, целью которых является определенная уязвимость, новые IoT-ботнеты, например Reaper и Hajime, способны одновременно поражать несколько уязвимостей. Технологии атак по разным направлениям значительно сложнее противостоять. Благодаря гибкой инфраструктуре код ботнета Reaper оперативно обновляется и, в отличие от предыдущих статичных IoT-эксплойтов на базе запланированных атак, Reaper поддерживает развертывание новых, более вредоносных «роевых» атак по мере их появления. О большом потенциале массированных атак, которым обладает ботнет Reaper, свидетельствует скачок числа эксплойтов с 50 000 до 2,7 млн. Этот показатель был достигнут всего за несколько дней, после чего количество эксплойтов вновь снизилось до обычного.
• Сохранение тенденции к широкому применению вредоносного ПО. Список вариаций вредоносного ПО возглавляют несколько разновидностей программ-вымогателей. Самая широко распространенная вредоносная программа — это Locky, второе место занимает GlobeImposter. Разработана новая разновидность Locky: прежде чем направить требование выкупа, она маскируется под спам. Кроме того, в глубоком Интернете произошел переход от биткойнов к другим формам цифровых валют, например Monero.
• Распространение майнинга криптовалют. Количество вредоносных программ в сфере майнинга криптовалют растет. По всей видимости, это связано с колебаниями курса биткойна. Пользуясь распространением электронных денег, киберпреступники занимаются майнингом криптовалют в фоновом режиме за счет ресурсов ЦП компьютеров, пользователи которых даже не догадываются о происходящем. Для этого используется такая уловка, как криптоджекинг. Этот метод основан на загрузке сценария в веб-браузер и не требует установки программ или хранения файлов на компьютере.
• Изощренное вредоносное ПО, направленное на поражение промышленных систем. Всплеск активности эксплойтов, целями которых являются системы управления производственными процессами (ICS) и инструментальные системы безопасности (SIS), свидетельствует о том, что эти скрытные атаки, вероятно, будут все чаще применяться злоумышленниками. В качестве примера можно привести атаку под кодовым названием Triton. Эта изощренная атака скрывает следы своей активности, перезаписывая вредоносный код с применением бессмысленной информации, что препятствует анализу. Упомянутые системы предназначены для управления важнейшими инфраструктурами, что делает их особенно привлекательными для злоумышленников. Успешные атаки чреваты огромным ущербом и долговременными негативными последствиями.
• Разнообразие атак. Стеганографическая атака — это атака, основанная на встраивании вредоносного кода в изображения. На протяжении последних нескольких лет атаки этого типа происходили редко, однако в настоящее время их количество увеличивается. В наборе эксплойтов Sundown стеганография используется в целях хищения данных. За время своей активности этот набор эксплойтов стал рекордсменом по числу атакованных организаций. Он используется для распространения программ-вымогателей самых разных видов.
Противодействие массированным атакам при помощи интегрированной системы безопасности
Результаты проведенного в этом квартале исследования подтверждают многие из недавно обнародованных прогнозов отдела исследования угроз Fortinet FortiGuard Labs на 2018 г., согласно которым количество самообучающихся «роевых» сетей и больших групп ботов будет неуклонно увеличиваться. На протяжении ближайших нескольких лет количество направлений атак продолжит расти. В то же время возможности комплексного отслеживания и управления современными инфраструктурами снизятся. В целях обеспечения оперативного и широкомасштабного противодействия атакам злоумышленников организации должны внедрить стратегии, основанные на автоматизации и интеграции. Система безопасности должна функционировать на скорости, не уступающей скоростям цифровых подключений, что требует автоматизации реагирования, применения актуальных данных и внедрения функции самообучения. Благодаря этим мерам сети станут более эффективными и независимыми в принятии решений.
* Методология исследования
В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети датчиков в 4-м квартале 2017 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Также в отчете приведены сведения об основных уязвимостях «нулевого дня» и обзор тенденций развития инфраструктуры, благодаря которым можно выявить закономерности проведения кибератак во времени и предотвратить будущие атаки, направленные на организации. Кроме того, компания Fortinet публикует сводку данных об угрозах, в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований Fortinet.