Ахиллесова пята корпоративной ИТ-безопасности

9 февраля 2009 г.

Корпорация IBM опубликовала ежегодный отчет своей исследовательской группы IBM X-Force о тенденциях и рисках информационной безопасности (2008 X-Force Trend and Risk Report).

Результаты отчета свидетельствуют, что корпорации непреднамеренно подвергают своих клиентов риску стать жертвами киберпреступников.

Отмечен тревожный рост онлайновых преступлений, использующих вполне законопослушные коммерческие Web-сайты в качестве плацдарма для атак на компьютеры потребителей.

Злоумышленники, в своем постоянном стремлении завладеть персональными данными пользователей, в буквальном смысле «поворачивают компании против собственных клиентов».

Новое исследование X-Force выявило по итогам 2008 г. две главные тенденции, указывающие на то, как киберпреступники атакуют массового пользователя Интернета через Web-сайты.

Во-первых, Web-сайты стали настоящей ахиллесовой пятой корпоративных систем ИТ-безопасности. Злоумышленники все чаще используют Web-приложения в качестве источника инфицирования компьютеров конечных пользователей.

Корпорации активно пользуются общедоступными коммерческими приложениями, имеющими, как правило, массу уязвимостей, или, что еще хуже, специализированными заказными приложениями, уязвимости которых неизвестны и, поэтому, не могут быть устранены «заплатками» программного кода.

Более половины всех уязвимостей, выявленных в прошлом году, были связаны с Web-приложениями, и 74% из них не имели соответствующих «заплаток» (patches). Таким образом, отмеченное в начале 2008 г. широкомасштабное распространение угрозы ИТ-безопасности, известной как «автоматическая SQL-инъекция» (способ взлома Web-сайтов, позволяющий злоумышленнику исполнить практически любой SQL-запрос), к концу года не ослабло.

В конце 2008 г. количество подобных атак подскочило в 30 раз по сравнению с летним периодом.

«Эти автоматизированные атаки, цель которых заключается в обмане и перенаправлении Web-сёрферов на инфицированные ресурсы, используют уязвимости стандартных Интернет-браузеров, — говорит Крис Лэмб (Kris Lamb), старший операционный директор группы X-Force подразделения IBM Internet Security Systems по исследованиям и разработкам (X-Force Research and Development).

- Этот один из старейших видов массовых онлайновых атак все еще существует и, как мы видим, активно применяется сегодня. Поразительно, но атаки посредством SQL-инъекций по-прежнему широко используются в течение почти 10-ти лет после того, как они впервые были выявлены, причем без каких-либо адекватных исправлений программного кода пользовательских приложений.

- Объектом внимания киберпреступников становятся сайты компаний, поскольку они являются удобными площадками для запуска атак против любого пользователя Web».

Вторая важная тенденция, установленная исследователями IBM X-Force, состоит в том, что, хотя злоумышленники по-прежнему используют элементы управления браузером и ActiveX для захвата контроля над компьютерами конечных пользователей, они все чаще обращаются к новым видам программ-«эксплоитов» («эксплуатирующих» конкретные уязвимости ПО), которые связаны ссылками с вредоносными или инфицированными документами (например, формата PDF) и видеороликами (например, формата Flash).

Только в IV квартале 2008 г. группа IBM X-Force выявила на 50 с лишним процентов больше таких зловредных ссылок (URL-адресов) с эксплоитами, чем за весь 2007 г.

Даже спаммеры начинают использовать известные Web-сайты для расширения охвата своей аудитории. Применение методов хостинга спам-сообщений на популярных блогах и новостных сайтах более чем удвоилось в 2008 г.

В отчете IBM X-Force отмечен еще один важный факт: ряд критических уязвимостей, обнаруженных в 2008 г., не нашел широкого применения злоумышленниками.

По мнению экспертов X-Force, индустрия средств обеспечения ИТ-безопасности должна более тщательно определять приоритеты в своей деятельности по устранению новых выявленных уязвимостей.

В настоящее время эта расстановка приоритетов осуществляется на базе специального отраслевого стандарта – т.н. общей системы оценки уязвимостей «Common Vulnerability Scoring System» (CVSS).

Рекомендации CVSS главным образом сосредоточены на технических аспектах уязвимости, таких как степень «серьезности» ошибки программного кода и простота ее использования в деструктивных целях. Эти факторы, несомненно, чрезвычайно важны, однако они не в полной мере отражают основной – экономический – мотив киберпреступления.

«Система CVSS представляет собой важную базовую основу, на которую описается индустрия ИТ-безопасности в оценке киберугроз, — продолжает Крис Лэмб. — Но мы также понимаем, что киберпреступниками движут корыстные мотивы, и мы должны четко понимать, как злоумышленники устанавливают баланс между финансовой отдачей и издержками от эксплуатации уязвимости или, иными словами, как они определяют «рентабельность» данной уязвимости.

Если индустрия информационной безопасности сможет лучше понять мотивы киберпреступников, она сможет более точно определять необходимость и первоочередность создания программных «заплаток» для устранения тех или иных уязвимостей в условиях непосредственной угрозы.

Мы также сможем лучше определять, эксплуатация каких уязвимостей получит широкое распространение, а какие из них не будут востребованы злоумышленниками. Таким образом, этот анализ мог бы привести к более эффективному использованию времени и ресурсов».

Группа X-Force занимается каталогизацией, анализом и изучением уязвимостей ИТ-безопасности с 1997 г. Каталог X-Force, содержащий около 40 тыс. уязвимостей, является крупнейшей в мире базой данных уязвимостей программного кода.

Эта уникальная база данных помогает специалистам X-Force лучше понять динамику процесса, что помогает в исследовании известных уязвимостей и эффективном выявлении новых угроз.

В новом отчете X-Force, опубликованном IBM, также отмечается, что:

- 2008 г. был самым «урожайным» годом по выявленным уязвимостям – рост составил 13,5% по сравнению с 2007 г.  

- К концу 2008 г. 53% всех уязвимостей, выявленных в течение года, не имели программных «заплаток», выпущенных разработчиками соответствующих приложений. Более того, к концу 2008 г. 46% уязвимостей, обнаруженных в 2006 г., и 44% уязвимостей, обнаруженных в 2007 г., также не имели соответствующих официальных исправлений.

- Наибольшее влияние на активность спаммеров в 2008 г. оказало закрытие крупнейшего в мире спам-хостинга McColo. Это привело не только к значительному сокращению количества спам-рассылок – изменился тип рассылаемого спама и состав стран, из которых спам рассылался наиболее часто.

- Первенство по прямой рассылке спама после закрытия McColo захватил Китай, однако его в конце 2008 г. опередила Бразилия. Многие годы до закрытия McColo главным географическим источником (хостинг-центром) рассылки спама были США.

- Основными информационными источниками спама в 2008 г. были Россия (с 12%-ной долей), США (9,6%) и Турция (7,8%). Таким образом, контент-источник спама не всегда географически совпадает в местом хостинга спаммера.

- Впервые в 2008 г. Китай опередил США по количеству размещенных в своем национальном домене вредоносных Web-сайтов.
- Фишеры (онлайновые финансовые мошенники) продолжают атаковать финансовые институты. Почти 90% фишинговых атак в 2008 г. были нацелены на эти организации, которые в большинстве случаев расположены в Северной Америке.

- 46% всех вредоносных программ, используемых в 2008 г., были из категории «троянцев» и предназначались любителям онлайновых игр и пользователям систем онлайнового банкинга. По прогнозам специалистов X-Force, эти две специфические группы Интернет-пользователей останутся одной из главных «мишеней» киберпреступников и в 2009 г.

Источник: Пресс-служба IBM East Europe/Asia