Отчет Symantec об угрозах Интернет-безопасности
Корпорация Symantec Corp. опубликовала восьмой том "Отчета об угрозах Интернет-безопасности", один из наиболее полных источников об угрозах Интернет-безопасности в мире. В полугодовом отчете, содержащем данные за первые шесть месяцев с 1 января по 30 июня 2005 года, представлены новые методы использования вредоносного кода с целью извлечения прибыли. В соответствии с данными отчета, 64% наиболее распространенных вредоносных программ, зарегистрированных сенсорами Symantec, призваны осуществлять рассылку спама. Кроме того, сенсоры Symantec определили атаки, организованные с помощью троянских программ, которые загружают и устанавливают программное обеспечение (adware), открывающее новые окна и отображающее рекламные сообщений в веб-браузере пользователей.
Помимо этого, появилась возможность приобрести или взять в аренду сети бот-модулей или бот-программы, разработанные специально под заказ. Сенсоры Symantec ежедневно регистрируют в среднем 10 352 активных бот-модулей, организуемых в сети, что более чем на 140 процентов выше по сравнению с аналогичным показателем в предыдущем отчете, составившим 4 348. Для получения более высокой прибыли, организаторы атак разрабатывают все более изощренные и сложноуловимые программы, которые внедряются в бот-модули, и в ряде случаев отключают антивирусную защиту, брандмауэры и прочие меры обеспечения безопасности.
Данные отчета также указывают на учащающиеся случаи компрометации конфиденциальной информации. Такие угрозы могут повлечь существенные финансовые потери, особенно в случае компрометации информации о кредитных картах или данных о банковских операциях. Более того, эти данные вызывают еще большие опасения в связи с тем, что все большую популярность получает Интернет-банкинг и онлайновые покупки. За первую половину 2005 года, около 74 процентов из 50 вредоносных программ, по отчетам Symantec, приходилось на такой вредоносный код, который компрометирует конфиденциальную информацию. Это на 54 процента выше показателя предыдущего полугодия.
"Организаторы атак постепенно отходят от практики крупных, многоцелевых атак, направленных против всего периметра сети, и постепенно переходят на более локализованные атаки, направленные против приложений, находящихся на веб-узлах или против клиентских приложений, - говорит Артур Вон (Arthur Wong), вице-президент подразделений Symantec Security Response and Managed Security Services. - Поскольку характер угроз постепенно изменяется, пользователям необходимо быть более внимательными, своевременно устанавливать надлежащие патчи и принимать другие меры обеспечения безопасности".
Все большее распространение получают модульные вредоносные коды - изначально обладающие минимальной функциональностью, после заражения системы они загружают дополнительные модули с дополнительной функциональностью. Увеличение использования модульного вредоносного кода указывает на то, что организаторы атак стремятся избежать определения атак и пытаются компрометировать систему, открывая ее изнутри или обеспечивая возможность загрузить дополнительный вредоносный код на атакуемую систему с определенных веб-сайтов.
Отчет также указывает на продолжение широкого распространения фишинговых атак. Количество фишинговых сообщений выросло в среднем с 2,99 миллионов сообщений в день до 5,70 миллиона сообщений в день. Одно из каждых 125 почтовых сообщений, просканированных противоспамной системой Symantec Brightmail AntiSpam было попыткой фишинга. По сравнению с последней половиной 2004 года этот показатель удвоился. Фильтры системы Symantec Brightmail AntiSpam, призванные предотвратить мошенничество, каждую неделю блокируют в среднем более 40 миллионов сообщений с попытками организации фишинговых атак. На начало января фильтры Symantec еженедельно блокировали приблизительно 21 миллион сообщений.
Ниже представлены основные выводы отчета:
- По данным отчета Symantec, количество атак типа "отказ в обслуживании" выросло за первую половину 2005 года со 119 в день до 927 в день, что на 680% выше по сравнению с данными предыдущего отчетного периода. Наиболее часто атакуемыми системами стали соответственно системы отрасли образования, малого бизнеса и финансовых услуг.
- Время между обнаружением уязвимости и появлением первого вредоносного кода, использующего эту уязвимость, сократилось с 6,4 дней до 6 дней. Кроме того, между обнаружением уязвимости и реакцией вендора (выпуском соответствующего патча) в среднем проходит около 54 дней. Это означает, что между появлением вредоносного кода, использующего уязвимость, и выпуском соответствующего патча проходит в среднем около 48 дней. В течение этого времени системы остаются открытыми для этих атак, либо администраторам приходится находить свои собственные решения данных проблем.
- В течение первой половины 2005 года Symantec задокументировал 1862 новых уязвимости - это самое большое количество уязвимостей, зарегистрированных в рамках Отчета об угрозах Интернет-безопасности. Девяносто семь процентов этих уязвимостей были классифицированы как уязвимости средней или высокой степени опасности. Около 59 процентов всех уязвимостей были связаны с технологиями веб-приложений, что на 59 процентов выше по сравнению с предыдущим отчетным периодом, и на 109 процентов выше по сравнению с первыми шестью месяцами 2004 года.
- По данным отчета за первую половину 2005 года произошло увеличение количества вирусов и червей Win32. Symantec зарегистрировала 10866 новых модификаций вирусов и червей Win32, что на 48 процентов выше по сравнению с предыдущим отчетным периодом или на 142 процента выше по сравнению с первым полугодием 2004 года.
- По результатам отчета, все большее распространение получает программное обеспечение, отображающее рекламу (adware), программное обеспечение, занимающееся нелегальным сбором и передачей информации о компьютерных системах пользователей (spyware) и спам. Восемь из десяти наиболее распространенных программ adware были установлены при помощи веб-браузера. По данным отчета, пять из десяти наиболее распространенных adware программ не позволяли удалять себя стандартными методами (hijacked browsers). Шесть из десяти spyware программ были установлены одновременно в пакете с другими программами, и шесть из десяти были установлены при помощи веб-браузеров. По наблюдениям Symantec на долю спама приходится 61 процент всего почтового трафика, и около 51 процента всего мирового спама пришло из Соединенных Штатов.
- При дальнейшем анализе тенденций в области Интернет-безопасности, становится очевидной высокая вероятность увеличения атак, организованных из беспроводных сетей. Кроме того, поскольку все больше предприятий начинают объединять сети передачи данных и голоса, ожидается появление уязвимостей протокола передачи голоса поверх IP (VoIP).
Помимо этого, появилась возможность приобрести или взять в аренду сети бот-модулей или бот-программы, разработанные специально под заказ. Сенсоры Symantec ежедневно регистрируют в среднем 10 352 активных бот-модулей, организуемых в сети, что более чем на 140 процентов выше по сравнению с аналогичным показателем в предыдущем отчете, составившим 4 348. Для получения более высокой прибыли, организаторы атак разрабатывают все более изощренные и сложноуловимые программы, которые внедряются в бот-модули, и в ряде случаев отключают антивирусную защиту, брандмауэры и прочие меры обеспечения безопасности.
Данные отчета также указывают на учащающиеся случаи компрометации конфиденциальной информации. Такие угрозы могут повлечь существенные финансовые потери, особенно в случае компрометации информации о кредитных картах или данных о банковских операциях. Более того, эти данные вызывают еще большие опасения в связи с тем, что все большую популярность получает Интернет-банкинг и онлайновые покупки. За первую половину 2005 года, около 74 процентов из 50 вредоносных программ, по отчетам Symantec, приходилось на такой вредоносный код, который компрометирует конфиденциальную информацию. Это на 54 процента выше показателя предыдущего полугодия.
"Организаторы атак постепенно отходят от практики крупных, многоцелевых атак, направленных против всего периметра сети, и постепенно переходят на более локализованные атаки, направленные против приложений, находящихся на веб-узлах или против клиентских приложений, - говорит Артур Вон (Arthur Wong), вице-президент подразделений Symantec Security Response and Managed Security Services. - Поскольку характер угроз постепенно изменяется, пользователям необходимо быть более внимательными, своевременно устанавливать надлежащие патчи и принимать другие меры обеспечения безопасности".
Все большее распространение получают модульные вредоносные коды - изначально обладающие минимальной функциональностью, после заражения системы они загружают дополнительные модули с дополнительной функциональностью. Увеличение использования модульного вредоносного кода указывает на то, что организаторы атак стремятся избежать определения атак и пытаются компрометировать систему, открывая ее изнутри или обеспечивая возможность загрузить дополнительный вредоносный код на атакуемую систему с определенных веб-сайтов.
Отчет также указывает на продолжение широкого распространения фишинговых атак. Количество фишинговых сообщений выросло в среднем с 2,99 миллионов сообщений в день до 5,70 миллиона сообщений в день. Одно из каждых 125 почтовых сообщений, просканированных противоспамной системой Symantec Brightmail AntiSpam было попыткой фишинга. По сравнению с последней половиной 2004 года этот показатель удвоился. Фильтры системы Symantec Brightmail AntiSpam, призванные предотвратить мошенничество, каждую неделю блокируют в среднем более 40 миллионов сообщений с попытками организации фишинговых атак. На начало января фильтры Symantec еженедельно блокировали приблизительно 21 миллион сообщений.
Ниже представлены основные выводы отчета:
- По данным отчета Symantec, количество атак типа "отказ в обслуживании" выросло за первую половину 2005 года со 119 в день до 927 в день, что на 680% выше по сравнению с данными предыдущего отчетного периода. Наиболее часто атакуемыми системами стали соответственно системы отрасли образования, малого бизнеса и финансовых услуг.
- Время между обнаружением уязвимости и появлением первого вредоносного кода, использующего эту уязвимость, сократилось с 6,4 дней до 6 дней. Кроме того, между обнаружением уязвимости и реакцией вендора (выпуском соответствующего патча) в среднем проходит около 54 дней. Это означает, что между появлением вредоносного кода, использующего уязвимость, и выпуском соответствующего патча проходит в среднем около 48 дней. В течение этого времени системы остаются открытыми для этих атак, либо администраторам приходится находить свои собственные решения данных проблем.
- В течение первой половины 2005 года Symantec задокументировал 1862 новых уязвимости - это самое большое количество уязвимостей, зарегистрированных в рамках Отчета об угрозах Интернет-безопасности. Девяносто семь процентов этих уязвимостей были классифицированы как уязвимости средней или высокой степени опасности. Около 59 процентов всех уязвимостей были связаны с технологиями веб-приложений, что на 59 процентов выше по сравнению с предыдущим отчетным периодом, и на 109 процентов выше по сравнению с первыми шестью месяцами 2004 года.
- По данным отчета за первую половину 2005 года произошло увеличение количества вирусов и червей Win32. Symantec зарегистрировала 10866 новых модификаций вирусов и червей Win32, что на 48 процентов выше по сравнению с предыдущим отчетным периодом или на 142 процента выше по сравнению с первым полугодием 2004 года.
- По результатам отчета, все большее распространение получает программное обеспечение, отображающее рекламу (adware), программное обеспечение, занимающееся нелегальным сбором и передачей информации о компьютерных системах пользователей (spyware) и спам. Восемь из десяти наиболее распространенных программ adware были установлены при помощи веб-браузера. По данным отчета, пять из десяти наиболее распространенных adware программ не позволяли удалять себя стандартными методами (hijacked browsers). Шесть из десяти spyware программ были установлены одновременно в пакете с другими программами, и шесть из десяти были установлены при помощи веб-браузеров. По наблюдениям Symantec на долю спама приходится 61 процент всего почтового трафика, и около 51 процента всего мирового спама пришло из Соединенных Штатов.
- При дальнейшем анализе тенденций в области Интернет-безопасности, становится очевидной высокая вероятность увеличения атак, организованных из беспроводных сетей. Кроме того, поскольку все больше предприятий начинают объединять сети передачи данных и голоса, ожидается появление уязвимостей протокола передачи голоса поверх IP (VoIP).
