Компания Symantec провела пресс-брифинг, посвященный опубликованию нового отчета Symantec об угрозах интернет-безопасности (Internet Security Threat Report -Volume XV). На мероприятии были озвучены данные об активности интернет-угроз в 2009 году в России и в мире, даны обзоры показателей в динамике в сравнении с предыдущим годом, по странам и типам вредоносных активностей. Отчет основывается на данных крупнейшей в мире исследовательской инфраструктуры в области информационной безопасности - Symantec Global Intelligence Network, которая насчитывает свыше 240 тыс. датчиков, собирающих данные об атаках более чем в 200 странах мира. В частности, выяснилось, что в 2009 году компания Symantec в среднем блокировала около 100 потенциальных угроз в секунду. (21 апреля 2010 г. )
Перед журналистами выступили Ник Росситер (Nick Rossiter), региональный директор Symantec в России и странах СНГ и Олег Шабуров (Oleg Shaburov), старший системный инженер Symantec в России и странах СНГ. Как отметил Ник Росситер, экономическое и географическое развитие киберпреступности в период кризиса не останавливается.
Итак, корпорация Symantec выпустила 15-й ежегодный отчет о киберугрозах (Internet Security Threat Report (ISTR) vol. XV), который описывает ключевые тренды в области Интернет-преступности с 1 января по 31 декабря 2009 г. Период, отмеченный двумя мощнейшими атаками — Downadup в начале года и Hydraq в конце, — характеризуется продолжением роста объемов и изощренности киберугроз.
«Киберпреступники переходят от простых атак к крайне изощренным шпионским кампаниям, целью которых становятся крупнейшие мировые корпорации и правительственные структуры, — подчеркнул Стивен Триллинг (Stephen Trilling), старший вице-президент Symantec по технологиям защиты. — Масштаб таких угроз и тот факт, что они возникают по всему миру, переводит данную проблему на международный уровень. Необходима совместная работа коммерческих компаний и мировых правительств».
■ В отчете отмечены следующие тенденции:
▪ Увеличение количества направленных угроз на конкретные компании. Возможность получения выгоды от публикации корпоративной информации заставляет киберпреступников уделять пристальное внимание корпоративному сектору. Аналитики отмечают, что хакеры используют распространенную в социальных сетях персональную информацию для организации массовых атак на ключевых менеджеров целевых компаний. Hydraq, получивший широкую известность в начале 2010 г., является всего лишь последней популярной угрозой из числа многочисленных аналогичных вредоносных кампаний, таких, как Shadow Network в 2009 г. и Ghostnet в 2008 г.
▪ Готовые инструменты делают Интернет-атаки все более простыми. Специальные инструменты позволяют новичкам гораздо легче взламывать компьютеры и воровать информацию. Один из таких пакетов Zeus (Zbot), стоимость которого составляет всего $700, автоматизирует процесс создания кастомизированного вредоносного кода, с помощью которого можно получить доступ к персональным данным. Используя этот и другие аналогичные инструменты, злоумышленники создали буквально миллионы вариантов программ, предназначенных для того, чтобы обходить средства защиты.
▪ Количество веб-атак продолжает расти. Современные злоумышленники используют техники социальной инженерии для привлечения ничего не подозревающих пользователей к зараженным веб-сайтам. Затем такие порталы атакуют браузер жертвы и используют уязвимые плагины, необходимые для просмотра видеоматериалов или документов. В частности, 2009 г. был богат на веб-угрозы, нацеленные на PDF-просмотр, — их доля в общем объеме веб-атак достигла 49% процентов. Данный показатель существенно превысил 11%, зафиксированные в 2008 г.
▪ Угрозы исходят из развивающихся стран. Аналитики подтвердили, что кибератаки приходят из развивающихся стран, где активно расширяется инфраструктура широкополосного доступа в сеть, — таких, как Бразилия, Индия, Польша, Вьетнам и Россия. В 2009 г. эти страны взлетели на первые позиции в рейтинге источников и целей вредоносной активности злоумышленников. Активное преследование киберпреступников со стороны развитых стран заставило мошенников уйти в развивающиеся государства, где вероятность наказания за такие действия существенно ниже.
■ Другие ключевые выводы:
▪ Вредоносный код становится все более распространенным. В 2009 г. Специалисты Symantec обнаружили более 240 млн. абсолютно новых образцов кода, что обеспечивает стопроцентный прирост по сравнению с 2008 г.
▪ Самыми распространенными угрозами 2009 г. стали вирус Sality.AE, троян Brisv Trojan и червь SillyFDC.
▪ Вредоносный код Downadup (Conficker) продолжает распространяться. К концу 2009 г. Downadup заразил более 6,5 млн. компьютеров по всему миру. Несмотря на то что машины, инфицированные Downadup/Conficker, еще не были замечены в какой-либо вредоносной деятельности, угроза их активации сохраняется.
▪ Количество компромитированных данных продолжает расти. 60% всех случаев кражи конфиденциальных данных стали результатом хакерской деятельности. Этот вид угроз касается не только к деятельности крупных корпораций, отчет Symantec State of Enterprise Security Report 2010 показывает, что в 2009 г. 75 % бизнес-структур подвергались разного рода кибер-атакам.
▪ Еще один год спама. В 2009 г. доля спама в общем объеме почты составила 88 %. Аналитики Symantec подчеркивают, что наибольший всплеск нежелательных сообщений пришелся на май (90,4%), а самый низкий показатель был зафиксирован в феврале (73,7 %). Из 107 млрд. спам-сообщений, распространяемых ежедневно, около 85% пришлось на ботнеты. Десять ведущих бот-сетей, включая Cutwail, Rustock и Mega-D, контролируют сегодня более 5 млн. компьютеров пользователей. По наблюдениям Symantec в 2009 году бот-машины предлагались на «черном» рынке всего лишь по 3 цента за штуку.
▪ Установка обновлений безопасности продолжает оставаться непростой задачей для многих пользователей. Аналитики подчеркивают, что поддерживать безопасную, регулярно обновляемую систему в 2009 г. оказалось все более и более трудно. К тому же многие пользователи не смогли устранить ряд старых, давно известных уязвимостей. Например, сведения об уязвимости Microsoft Internet Explorer ADODB.Stream Object File Installation Weakness были опубликованы 23 августа 2003 г., а 2 июля 2004 г. компания выпустила соответствующую «заплатку», однако даже в минувшем году эта уязвимость была на втором месте по частоте атак.
Global Intelligence Network (Глобальная аналитическая сеть); определяет больше угроз, быстрее реагирует и защищает эффективнее
Об отчете Symantec Internet Security Threat Report. Информация для отчета ISTR использует данные десятков миллионов датчиков в Интернете, результаты работы аналитиков и переговоров хакеров в Интернете, формируя глобальное представление об Интернет-безопасности. 15-е исследование ISTR охватывает период с января по декабрь 2009 г.
О подразделении STAR / Security Technology and Response (STAR), включающая службу Security Response, — это международная команда инженеров по безопасности, вирусных аналитиков и исследователей, которые занимаются разработкой функциональности, контента и реализацией поддержки для всех корпоративных решений и продуктов для домашних пользователей Symantec. Центры разработки STAR открыты по всему миру, компания изучает вредоносные коды с помощью 133 млн. систем, расположенных в Интернете, получает данные от 240 000 сетевых сенсоров в более чем 200 странах и отслеживает более 35 000 уязвимостей, которые охватывают 55 000 технологий от 11 000 вендоров. Команда использует получаемые данные для разработки наиболее комплексных технологий в мире информационной безопасности.
■ Symantec Internet Security Threat Report, том XV. Цифры и факты
• Symantec создала 2895802 новых сигнатур вредоносных кодов в 2009 году, это на 71 процент больше, чем в 2008 году, и составляет 51 процент всех сигнатур вредоносных кодов, когда-либо созданных Symantec
• На сектор образования пришлось 20 процентов нарушений, которые могли бы привести к краже персональных данных, больше чем в любом другом секторе. Это сокращение по сравнению с 27 процентами в 2008 году, но также наивысший показатель
• Финансовый сектор понес наибольшие потери при утечках данных в 2009 году, что составляет 60 процентов от общего числа; это значительно больше, чем 29 процентов в 2008 году
• Кредитные карты является наиболее часто рекламируемым товаром для продажи на серверах теневой экономики, известных Symantec, на ихдолю приходилось 19 процентов от всех рекламируемых товаров и услуг. Это сокращение с 2008 года, когда информация о кредитных картах составляла 32 процента такой рекламы
• Информация о кредитных картах была самым рекламируемым товаром на серверах теневой экономики, известных Symantec и стоила от $ 0,85 до $ 30 за номер, в зависимости от таких факторов, как объем покупки, редкость типа карты и количества персональной информации, продаваемой в комплекте с номером карты
• В 2009 году физические кражи или потери составили 37 процентов от нарушений защиты данных, которые могли привести к краже персональных данных. Это спад в сравнении с 48% в 2008 году
• Наибольшее количество Web-атак в 2009 году было связано с вредоносной активностью Adobe Acrobat PDF, на долю которой пришлось 49 процентов от общего числа
• Взломы составили 60 процентов от утечек данных в 2009 году - значительный рост с 22% в 2008 году
• Symantec наблюдал в среднем 46541 активных бот-компьютеров в сутки в 2009 году, это на 38 процентов меньше, чем в 2008 (75158 в день)
• В 2009, Symantec определил 17432 новых контролирующих бот-серверов, (в 2008 году было 15197), из них 31 процентов действуют через каналы IRC и 69 процентов использовать HTTP
• Из 374 уязвимостей документами в веб-браузерах в 2009 году, 14 процентов из них остаются незащищенныеми производителем на момент написания отчета. Из 232 уязвимостей веб-браузеров, задокументированных в 2008 году, 18 процентов остаются незащищенными
• Из всех браузеров проанализированных Symantec в 2009 году, Safari имел наиболее длинное «окно воздействия» (время между выпуском кода эксплойта для уязвимости и выпуском патча), в среднем 13 дней; Internet Explorer, Firefox и Opera характеризовались наиболее коротким окном в 2009 году, в среднем менее, чем один день
• В 2009 году идентифицирована 321 уязвимость в плагинах браузеров (в 2008 году было идентифицироовано 410). Технологии ActiveX по-прежнему составляли большинство из них, однако, это 53-процентное снижение с 287 в 2008 году до 134 в 2009-м
• Наиболее атакуемой уязвимостью в 2009 году стала уязвимость удаленного запуска кода _Smb2ValidateProviderCallback Microsoft Windows SMB2 '()'
• В 2009, Symantec задокументировал 12 уязвимостей "нулевого дня", (в 2008 году – девять)
• доля зарегистрированных образцов вредоносного кода, которые используют уязвимости немного увеличилась с 5 процентов в 2008 году до 6 процентов в 2009 году
• В 2009, Symantec обнаружили 59526 фишинговых хостов, это рост на 7 процентов по сравнению с 2008, когда Symantec было обнаружено 55389 фишинговых хостов
• В 2009 году, спам составил 88 процентов всей электронной почты, наблюдаемой Symantec
• В 2009 году бот-сетями распространялось примерно 85 процентов всего спама.
Кроме того, на пресс-брифинге было отмечено, что Россия поднялась на седьмое место в мире по уровню вредоносной активности в Интернете. В 2009 году Россия поднялась сразу на 5 пунктов в топ-листе стран - источников и целей интернет-атак.
Россия впервые вошла в топ-10 стран с наиболее высокой вредоносной активностью в Интернете согласно отчету Symantec об угрозах интернет-безопасности за 2009 год (Symantec Internet Security Threat Report 15). Это резкий скачок на пять позиций вверх, с 12-го на 7-е место. Первое и второе места в списке неизменно занимают Соединенные Штаты и Китай.
Опубликованный отчет, в котором Россия занимает седьмое место, основан на анализе количества злонамеренного ПО, спам-зомби, фишинг-хостов, бот-сетей и источников нападений. Примечательно, что Россия занимает второе место в мире по количесту спам-зомби и пятое по количеству фишинг-хостов.
В предыдущих докладах Symantec отмечались и обсуждались признаки того, что доля в мировой вредоносной активности таких стран, как Россия, Бразилия, Турция, Польша и Индия будет и дальше расти. Это связано, прежде всего, с развитием широкополосного доступа и расширения общей инфраструктуры сети Интернет. В России эта тенденция объясняется тем, что операторы продолжают активную экспансию технологий и развитие инфраструктуры в регионах. Кроме того, запуск услуг 3G всеми основными операторами связи, а также ряд слияний между ключевыми игроками отрасли вдвойне стимулировали развитие Интернет-инфраструктуры. По данным Минкомсвязи России только за первый квартал 2009 года количество точек широкополосного доступа в Интернет выросло в сравнении с предыдущим годом на 38%, достигнув более 9 миллионов домохозяйств. Согласно отчетам Министерства, объем передаваемых данных растет еще более стремительно - за 1-е полугодие 2009 года он составил 1,41 экзабайт (1018 байт), увеличившись в 3,8 раз.
Фокус развития ИТ-отрасли перемещается из Москвы в регионы, а слияния компаний и связанные с этим объединения инфраструктур предоставляют определенные возможности для создателей вредоносного кода для использования уязвимостей. Как показывает история, такие тенденции характерны для стран, переживающих период консолидации в телекоммуникационном секторе.
■ Symantec в сети
▪ Служба Интернет-безопасности в Twitter
▪ Symantec в Facebook
■ Дополнительные ресурсы
▪ Symantec Internet Security Threat Report XV Microsite
▪ Threat Landscape Overview on Slide Share
▪ Symantec Security Response Blog
▪ 2010 State of Enterprise Security Report
▪ 2010 State of Enterprise Security on SlideShare
Серия сообщений "Защита информации":Шифрование. Антивирусы
Часть 1 - Электронные ключи и смарт-карты eToken ГОСТ совместимы с операционной системой ALT Linux
Часть 2 - Как защитить персональные данные в социальных сетях
Часть 3 - Защита для Android AVG Mobilation
Часть 4 - Вышло комплексное обновление AVG Internet Security
Часть 5 - Отчет Symantec об угрозах интернет-безопасности
Часть 6 - Тест AV-Test.org выявил программный продукт для решения задач Интернет-безопасности
Часть 7 - Подробности распространения угрозы, эксплуатирующей уязвимость Windows
...
Часть 38 - Компьютерные накопители
Часть 39 - Выставка спецтехники
Часть 40 - ESET о вирусах для Android