Информбезопасность: смена приоритетов
Институт компьютерной безопасности (Computer Security Institute — CSI) провел 12-й ежегодный опрос, в котором приняли участие 494 специалиста по безопасности из госучреждений и частных организаций разных стран мира. Главный итог опроса вполне тянет на сенсацию: впервые за всю историю существования индустрии компьютерной безопасности проблемы, связанные с инсайдерами, опередили по важности вирусные атаки.
По мнению отдельных экспертов, в скором времени вирусы могут стать для компаний еще менее важными — их обойдет угроза потери носителей с важными данными. По данным опроса CSI, в 2006 году с инсайдерской угрозой сталкивались 59% респондентов, а с серьезной вирусной проблемой — 52%. На третьем месте по опасности (50% респондентов) оказалась угроза потери носителей с конфиденциальными данными (прежде всего, ноутбуков). Шокирующими оказались также темпы роста масштаба угроз информбезопасности. По итогам опроса CSI выяснилось, что средний ущерб от проблем с безопасностью вырос всего за год в два раза — с $168 тыс. до $350 тыс. Подобный рост зафиксирован впервые за последние пять лет — до 2007 года средний ущерб от проблем с безопасностью только падал. Роберт Ричардсон — автор исследования и директор CSI — так прокомментировал эти данные: "Специалисты давно говорили о росте сложности кибератак и профессионализма мошенников. Однако только в нынешнем году этот рост трансформировался в реальный ущерб для компаний". В аналитическом центре InfoWatch, в свою очередь, считают, что угроза потери носителей может опередить вирусы уже в 2008 году — по крайней мере, на это указывает обилие инцидентов подобного рода и их растущие масштабы.
Также специалисты InfoWatch заметили: "Еще лет пять назад было понятно, что инсайдерские угрозы опередят вирусы, но только сегодня эта тенденция оформлена официально. Мы находимся у истоков нового витка компьютерных угроз, связанных с внутренней безопасностью. Быть может, этот виток будет даже опаснее, чем череда вирусных эпидемий, которая наблюдалась на рубеже веков". А специалисты Cisco Systems прямо говорят, что "ничего удивительного в том, что вирусы были подвинуты с пьедестала, нет. Учитывая, что антивирусы — одни из старейших продуктов безопасности, и их активно рекламировали всеми доступными методами, должно было наступить время, когда вирусы уступили пальму первенства другим угрозам. В том, что инсайдерская угроза заняла первое место, тоже нет ничего удивительного — об этой угрозе последнее время говорят очень много. Это не значит, что раньше такой проблемы не было — просто настало время, когда технология борьбы с инсайдерами стала модной". Нужно заметить, что понятие инсайдерской угрозы в отчете CSI очень сильно отличается от того, что обычно подразумевают под этим в России и странах СНГ.
В частности, в отчете эта угроза полностью звучит как "Insider abuse of Net access", т.е. "злоупотребления при сетевом доступе" (загрузка пиратского ПО или просмотр порносайтов в рабочее время). В то же время, в наших краях под инсайдерской угрозой чаще всего понимают утечку или кражу информации, произошедшую по вине сотрудников. Кстати, о краже информации. Исследовательская компания Gartner в своем недавнем докладе "Консьюмеризация набирает обороты: гражданская IТ-война" утверждает: портативные флэш-диски с USB-интерфейсом занимают первое место в шестерке угроз IТ-безопасности компаний. На втором месте после USB стоят точки доступа Wi- Fi с ошибками безопасности. Третье — как средство "увода" большого количества информации из компании инсайдерами — занимает веб-почта с гигабайтными почтовыми ящиками. Замыкают шестерку P2P-сети включая BitTorrent, смартфоны, на которые перенаправляются деловые письма, и интернет- пейджеры.
Также на минувшей неделе был опубликован взгляд на информбезопасность корпорации IBM. По данным IBM, вредоносное ПО в 2007 году стало более изощренным. Виной всему стало такое новшество, как аренда эксплойтов (программных средств для использования уязвимостей). Пиратские технологии перенимают бизнес-модели у "добропорядочных" софтверных компаний. Происходит это так: поставщики управляемых эксплойтов приобретают код эксплойтов у недобросовестных программистов, шифруют этот код для защиты от пиратов и затем продают его за большие деньги дистрибьюторам спама. В 2007 году поставщики эксплойтов начали не только продавать их, но и "сдавать в аренду". Самой распространенной категорией вредоносных программ в 2007 году, по мнению специалистов IBM, являются троянские программы, которые выглядят как вполне легитимные файлы, составляющие 28% от общего числа программ такого типа. Эти программы используются злоумышленниками для инициирования мощных целенаправленных атак. В 2006 году производились массовые рассылки так называемых "загрузчиков" (downloader), представляющих собой небольшие фрагменты вредоносных программ, которые после установки на атакуемом компьютере в удобный момент загружали и устанавливали полную версию вредоносной программы.
Еще одна важная деталь аналитического отчета IBM: уязвимости компьютеров все реже раскрываются. Так, в первой половине нынешнего года было идентифицировано в общей сложности 3273 уязвимости, что на 3,3% меньше, чем в первой половине 2006 г. Причина, говорят в IBM, в том, что часть уязвимостей используется (теми, кто их выявил) для незаконного обогащения и других преступных целей. Другая неожиданная тенденция — впервые количество писем со спамом начало уменьшаться, а не расти, как прежде, в геометрической прогрессии. Более того, начали сокращаться объемы "усовершенствованного" спама, использующего изображения. Специалисты IBM объясняют этот факт тем, что спамеры экспериментируют с применением усовершенствованных методик, которые оказывают большее противодействие антиспамовым технологиям. Теперь в IBM предсказывают, что во втором полугодии 2007 года и в 2008 году нас ожидает рост числа целенаправленных атак, при которых будут использоваться узкоспециализированные вредоносные программы (например, трояны). Также аналитики прогнозируют дальнейшее камуфлирование интернет-угроз.
Денис Лавникевич
По мнению отдельных экспертов, в скором времени вирусы могут стать для компаний еще менее важными — их обойдет угроза потери носителей с важными данными. По данным опроса CSI, в 2006 году с инсайдерской угрозой сталкивались 59% респондентов, а с серьезной вирусной проблемой — 52%. На третьем месте по опасности (50% респондентов) оказалась угроза потери носителей с конфиденциальными данными (прежде всего, ноутбуков). Шокирующими оказались также темпы роста масштаба угроз информбезопасности. По итогам опроса CSI выяснилось, что средний ущерб от проблем с безопасностью вырос всего за год в два раза — с $168 тыс. до $350 тыс. Подобный рост зафиксирован впервые за последние пять лет — до 2007 года средний ущерб от проблем с безопасностью только падал. Роберт Ричардсон — автор исследования и директор CSI — так прокомментировал эти данные: "Специалисты давно говорили о росте сложности кибератак и профессионализма мошенников. Однако только в нынешнем году этот рост трансформировался в реальный ущерб для компаний". В аналитическом центре InfoWatch, в свою очередь, считают, что угроза потери носителей может опередить вирусы уже в 2008 году — по крайней мере, на это указывает обилие инцидентов подобного рода и их растущие масштабы.
Также специалисты InfoWatch заметили: "Еще лет пять назад было понятно, что инсайдерские угрозы опередят вирусы, но только сегодня эта тенденция оформлена официально. Мы находимся у истоков нового витка компьютерных угроз, связанных с внутренней безопасностью. Быть может, этот виток будет даже опаснее, чем череда вирусных эпидемий, которая наблюдалась на рубеже веков". А специалисты Cisco Systems прямо говорят, что "ничего удивительного в том, что вирусы были подвинуты с пьедестала, нет. Учитывая, что антивирусы — одни из старейших продуктов безопасности, и их активно рекламировали всеми доступными методами, должно было наступить время, когда вирусы уступили пальму первенства другим угрозам. В том, что инсайдерская угроза заняла первое место, тоже нет ничего удивительного — об этой угрозе последнее время говорят очень много. Это не значит, что раньше такой проблемы не было — просто настало время, когда технология борьбы с инсайдерами стала модной". Нужно заметить, что понятие инсайдерской угрозы в отчете CSI очень сильно отличается от того, что обычно подразумевают под этим в России и странах СНГ.
В частности, в отчете эта угроза полностью звучит как "Insider abuse of Net access", т.е. "злоупотребления при сетевом доступе" (загрузка пиратского ПО или просмотр порносайтов в рабочее время). В то же время, в наших краях под инсайдерской угрозой чаще всего понимают утечку или кражу информации, произошедшую по вине сотрудников. Кстати, о краже информации. Исследовательская компания Gartner в своем недавнем докладе "Консьюмеризация набирает обороты: гражданская IТ-война" утверждает: портативные флэш-диски с USB-интерфейсом занимают первое место в шестерке угроз IТ-безопасности компаний. На втором месте после USB стоят точки доступа Wi- Fi с ошибками безопасности. Третье — как средство "увода" большого количества информации из компании инсайдерами — занимает веб-почта с гигабайтными почтовыми ящиками. Замыкают шестерку P2P-сети включая BitTorrent, смартфоны, на которые перенаправляются деловые письма, и интернет- пейджеры.
Также на минувшей неделе был опубликован взгляд на информбезопасность корпорации IBM. По данным IBM, вредоносное ПО в 2007 году стало более изощренным. Виной всему стало такое новшество, как аренда эксплойтов (программных средств для использования уязвимостей). Пиратские технологии перенимают бизнес-модели у "добропорядочных" софтверных компаний. Происходит это так: поставщики управляемых эксплойтов приобретают код эксплойтов у недобросовестных программистов, шифруют этот код для защиты от пиратов и затем продают его за большие деньги дистрибьюторам спама. В 2007 году поставщики эксплойтов начали не только продавать их, но и "сдавать в аренду". Самой распространенной категорией вредоносных программ в 2007 году, по мнению специалистов IBM, являются троянские программы, которые выглядят как вполне легитимные файлы, составляющие 28% от общего числа программ такого типа. Эти программы используются злоумышленниками для инициирования мощных целенаправленных атак. В 2006 году производились массовые рассылки так называемых "загрузчиков" (downloader), представляющих собой небольшие фрагменты вредоносных программ, которые после установки на атакуемом компьютере в удобный момент загружали и устанавливали полную версию вредоносной программы.
Еще одна важная деталь аналитического отчета IBM: уязвимости компьютеров все реже раскрываются. Так, в первой половине нынешнего года было идентифицировано в общей сложности 3273 уязвимости, что на 3,3% меньше, чем в первой половине 2006 г. Причина, говорят в IBM, в том, что часть уязвимостей используется (теми, кто их выявил) для незаконного обогащения и других преступных целей. Другая неожиданная тенденция — впервые количество писем со спамом начало уменьшаться, а не расти, как прежде, в геометрической прогрессии. Более того, начали сокращаться объемы "усовершенствованного" спама, использующего изображения. Специалисты IBM объясняют этот факт тем, что спамеры экспериментируют с применением усовершенствованных методик, которые оказывают большее противодействие антиспамовым технологиям. Теперь в IBM предсказывают, что во втором полугодии 2007 года и в 2008 году нас ожидает рост числа целенаправленных атак, при которых будут использоваться узкоспециализированные вредоносные программы (например, трояны). Также аналитики прогнозируют дальнейшее камуфлирование интернет-угроз.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 38 за 2007 год в рубрике безопасность
