Отчет IBM X-Force фиксирует удвоение числа уязвимостей мобильных устройств

Корпорация IBM  опубликовала «Отчет о тенденциях и рисках информационной безопасности по итогам первого полугодия 2011 года» ("2011 Mid-Year Trend and Risk Report"), подготовленный группой исследований и разработок в области информационной защиты IBM X-Force. Результаты исследования свидетельствуют о быстром изменении общей ситуации с информационной безопасностью, которая характеризуется хорошо спланированными, мощными и широкомасштабными атаками, растущим числом уязвимостей защиты мобильных устройств и более изощренными угрозами, такими, например, как «вейлинг» ("whaling"). Стремясь помочь клиентам в борьбе с этими и другими угрозами безопасности, IBM открывает Институт передовых технологий безопасности (Institute for Advanced Security) в Азиатско-тихоокеанском регионе, который присоединяется к уже действующим подобным центрам IBM в Северной Америке и Европе.

Работая в авангарде технологий безопасности, исследовательская группа IBM X-Force выступает в качестве «глаз и ушей» для тысяч клиентов IBM, изучая механизмы атак и создавая средства защиты еще до официальных сообщений о многих уязвимостях. Опубликованный отчет X-Force о тенденциях и рисках информационной безопасности основан на данных, собранных IBM в процессе изучения публично известных уязвимостей, а также ежедневного мониторинга и анализа, в среднем, 12 млрд. событий безопасности, происходивших с начала 2011 года.

2011 год – Год брешей в системах безопасности

Группа X-Force сообщает, что процентная доля критических уязвимостей утроилась за период с начала 2011 года до настоящего времени. X-Force объявила 2011 год «годом брешей в системах безопасности» ("Year of the Security Breach") из-за большого числа массированных широкомасштабных атак и «громких» случаев компрометации сетей, которые произошли в этом году. Вот как выглядит «кадровый состав» авторов и источников наиболее примечательных новых угроз безопасности этого года:

Команды профессиональных организаторов атак, которыми движет стремление собирать ценную стратегическую информацию, и которые способны получать и сохранять несанкционированный доступ к критически важным сетям посредством комбинации разнообразных хитростей и уловок, сложных технических возможностей и тщательного планирования. Такие хакерские группы и типы атак, которые они используют, часто называют Advanced Persistent Threats (APTs). (Этот термин, который можно перевести как «постоянные угрозы повышенной сложности», пока не имеет четкого общепринятого определения и, в действительности, характеризует новое развивающееся направление атак особой организованности и изощренности).
Успехи APT привели к распространению «вейлинга», разновидности фишинговой атаки, осуществляемой по методу "spear phishing" (когда злоумышленник обманом заставляет пользователей раскрывать свой пароли). Вейлинг (от англ. "whaling" – охота на китов) отличается от типичного фишинга одной особенностью – он нацелен на «китов», т.е., как правило, на высшее звено руководителей компаний и организаций, имеющих доступ к критически важным данным. Эти целевые (адресные) атаки часто запускаются после тщательного изучения онлайновых профилей VIP-персоны, дающих в руки злоумышленников необходимую информацию для создания убедительных фишинговых электронных писем, которые должны обмануть жертву.
Так называемые "hacktivist"-группы (этот термин состоит из комбинации слов «хакер» и «активист», т.е. деятельный член какой-либо организации), чьи атаки направлены на Web-сайты и компьютерные сети и имеют целью политические мотивы, а не только финансовую выгоду. Hacktivist-группы добились определенного успеха в использовании известных, стандартных типов атак подобно «SQL-инъекциям» (SQL Injection; модифицирование кода SQL-запросов к базам данных, с которыми взаимодействует легитимный сайт) – одного из наиболее распространенных методов атак в Интернете.
Анонимные прокси-серверы, число которых увеличилось за последние три года более чем в четыре раза. Необходимость отслеживания Web-сайтов анонимных прокси чрезвычайно важна, поскольку они позволяют людям скрывать потенциально зловредные намерения.

«Неожиданная вспышка «громких» широкомасштабных атак в этом году ярко демонстрирует проблемы, с которыми часто сталкиваются организации, реализующие свои стратегии безопасности, — подчеркнул Том Кросс (Tom Cross), руководитель отдела Threat Intelligence and Strategy в IBM X-Force. — Несмотря на то, что мы понимаем, как защититься от многих из таких нападений с технической точки зрения, организации далеко не всегда имеют и применяют у себя действенную межкорпоративную практику информационной защиты».

Отчет сообщает, что число уязвимостей защиты мобильных устройств уверенно удваивается

Широкое распространение в компаниях и организациях мобильных устройств, таких как смартфоны и планшетные компьютеры, поднимает новые проблемы безопасности. Способствует этому и популярный ныне подход "Bring Your Own Device" («приноси и пользуйся своим собственным устройством»), который позволяет сотрудникам использовать личные устройства для доступа к корпоративной сети. Группа IBM X-Force зафиксировала устойчивый рост выявленных уязвимостей систем безопасности таких устройств. Исследователи X-Force рекомендуют ИТ-специалистам применять специальное антивирусное (anti-malware) программное обеспечение и утилиты для управления внесением исправлений в программный код (patch management), которые разработаны для платформ мобильных устройств, используемых на предприятии. Среди других важных результатов и выводов отчета, связанных с «мобильными» уязвимостями:

X-Force прогнозирует, что число появившихся в 2010 году уязвимостей защиты мобильных устройств удвоится к концу 2011 года. В отчете подчеркивается, что многие поставщики мобильных телефонов не спешат выпускать обновления программного обеспечения своих устройств, устраняющие бреши в системах безопасности.
Вредоносные программы, ориентированные на мобильные устройства, часто распространяются через рынки приложений третьих фирм и индивидуальных разработчиков. Мобильные телефоны становятся все более привлекательной платформой для создателей вредоносного ПО, поскольку глобальная база пользователей этих устройств растет стремительными темпами, и существует простой способ извлечения незаконной финансовой выгоды из целевой атаки или инфицирования мобильного телефона вредоносным кодом. Распространители вредоносных программ могут, например, создавать сервисы отправки SMS-сообщений, которые берут плату с пользователей, посылающих текстовые сообщения на определенный номер. Вредоносная программа, внедренная в инфицированные телефоны, автоматически отправляет SMS на эти специальные платные номера.   
Некоторые вредоносные программы для мобильных устройств разрабатываются для сбора персональной информации о пользователях этих устройств. Эта информация может быть затем использована в фишинговых атаках или для кражи личных данных. Вредоносные программы для мобильных устройств часто применяются для скрытого наблюдения за личными и деловыми контактами жертвы, а также для отслеживания физических перемещений пользователя инфицированного мобильного телефона с помощью встроенного GPS-модуля.

«Исследователи давно задавались вопросом, когда же вредоносные программы станут реальной проблемой для новейшего поколения мобильных устройств. Похоже, что их ожидание закончилось», — добавил Том Кросс.

Успехи в области обеспечения безопасности, отмеченные в отчете

Несмотря на то, что группа X-Force объявила 2011 год переломным с точки зрения появления и дальнейшего развития массированных «резонансных» хакерских атак и широкомасштабных по своему распространению брешей в информационной защите, отчет также указывает на некоторые улучшения в области компьютерной безопасности, которые свидетельствуют об определенном прогрессе, достигнутом в борьбе с преступностью в Интернете.

В первой половине 2011 года отмечено неожиданное снижение количества уязвимостей Web-приложений – с 49% от общего числа выявленных уязвимостей до 37% – причем этот спад зарегистрирован впервые за пять лет исследований X-Force.
Доля серьезных и критичных уязвимостей в Web-браузерах также на самом низком уровне с 2007 года, несмотря на все более сложную структуру рынка браузеров. Эти улучшения безопасности Web-браузеров и приложений очень важны, поскольку многие атаки направлены против данных категорий программного обеспечения.
Отчет также указывает на тенденцию к снижению объема спама и числа традиционных фишинговых атак. Это во многом связано с активной борьбой правоохранительных органов с профессиональными спамерами, фишерами и операторами «ботнетов» (сетей из инфицированных компьютеров).
После нескольких лет устойчивого роста спама до середины 2010 года, произошло значительное снижение объема спама в первом полугодии этого года.
В первой половине 2011 года доля фишингового спама, регистрируемого на еженедельной основе, составляла менее 0,01 процента. Объем фишинга значительно уменьшился по сравнению с уровнем, отмеченным X-Force к середине 2010 года.    

Следует также отметить, что «бестелесный» вирус SQL Slammer Worm продолжал оставаться одним из наиболее распространенных источников вредоносных пакетов в Интернете с момента своего появления и описания группой IBM X-Force в 2003 году, пока он не «сдал свои позиции» после резкого исчезновения, зафиксированного в марте 2011 года. Результаты последнего анализа убедительно показывают, что исчезновение SQL Slammer Worm связано с неизвестным источником, программой-агентом или исполнителем. Как показал анализ, синхронизированная по времени автоматическая процедура, использовавшая системные часы сервера Slammer, «отключила» этого интернет-червя. Это говорит о том, что SQL Slammer Worm был деактивирован по одной-единственной причине.

Статистика по регионам

·     Согласно X-Force, по итогам 1 половины 2011 года, Россия находится на втором месте в мире (около 7%) после Индии по количеству рассылаемого спама (около 10%). В пятерку лидеров стран-источников спама также вошли Бразилия, Южная Корея и Индонезия.

·     Как и в аналогичный период 2010 года, в первой половине 2011 года по количеству спама лидирует домен .ru. В апреле 2011 года Россия появляется в списке самых спамосодержащих доменов дважды – с доменами .ru  и .рф.

Открытая регистрация домена высшего уровня .рф для юридических и физических лиц началась в ноябре 2010 года. В апреле 2011 г. около 5% всех новых российских интернет-доменов уже регистрировались на кириллическом домене .рф. При этом за полгода после появления домен .рф вошел в пятерку лидеров по количеству содержащегося на нем спама. С марта по июнь 2011 года этот домен оставался в числе 15 самых спамосодержащих доменов в мире.

Как следует из отчета X-Force, национальный домен .рф используется спаммерами в среднем гораздо дольше, чем традиционный домен .ru. Так, значительная часть содержащих спам традиционных доменов .ru (около 43%) используются менее 24 часов, и лишь 12% используются дольше, чем 1 месяц. Напротив, лишь менее трети национальных доменов .рф содержащих спам, используются только в течение суток и меньше, а около трети (32%) используются свыше 1 месяца.

Что касается количества фишинговых атак по e-mail, в 2011 Северная Америка остается на первом месте по этому показателю. Тем не менее, во второй четверти 2011 года доля Европы по фишинговым атакам значительно выросла, достигнув 30%.
Среди стран-источников фишинговых писем лидируют США (41.5%) и Великобритания (6.8%). Россия в этом списке на 10 месте, уступая Бразилии, Болгарии, Румынии, Индии, Франции, Тайваню и Германии – из России отправляется 2.6% фишинговых писем.

Традиционные уязвимости по-прежнему остаются проблемой

Отчет X-Force сообщает о многочисленных атаках, нацеленных на традиционные уязвимости. Согласно отчету, атаки на компьютеры, ресурсы или учетные записи, защищенные слабыми паролями – это обычное явление в Интернете, как и атаки, использующие метод SQL-инъекций для инфицирования Web-приложений, взаимодействующих с внутрикорпоративными базами данных. Базы данных стали важной мишенью для злоумышленников. Критически важные данные, которые используются в процессе деятельности наших организаций – включая финансовую информацию, данные ERP-систем, данные о персонале, клиентах и партнерах, а также информацию, являющуюся интеллектуальной собственностью – хранятся в реляционных базах данных. Исследователи IBM проверили около 700 Web-сайтов – включая сайты крупных компаний из списка Fortune 500 и наиболее популярные порталы – и выяснили, что 40% этих онлайновых ресурсов несут в себе угрозы безопасности, которые относятся к категории JavaScript-уязвимостей на стороне клиента. Подобные уязвимости в программном коде очень многих корпоративных Web-сайтов свидетельствуют о наличии «зон нечувствительности» в системах информационной безопасности соответствующих организаций.

IBM открывает Институт передовых технологий безопасности в Азиатско-тихоокеанском регионе

Стремясь помочь в борьбе с рисками безопасности и содействовать сотрудничеству между лидерами индустрии безопасности, IBM открывает Институт передовых технологий безопасности (Institute for Advanced Security) в Азиатско-тихоокеанском регионе – в ответ на растущие угрозы безопасности в этой части мира. В опубликованном недавно отчете X-Force отмечается, что главные источники происхождения спама переместились в страны Азии и Тихоокеанского региона. Так, примерно 10% от общего объема регистрируемого спама рассылается сегодня из Индии, а в первую пятерку списка стран-рекордсменов по спаму входят также Южная Корея и Индонезия. Новый институт IBM Institute for Advanced Security в Азиатско-тихоокеанском регионе присоединится к уже действующим подобным центрам IBM в Брюсселе (Бельгия) и Вашингтоне (федеральный округ Колумбия, США), ориентированным на европейских и американских клиентов соответственно.