Компания Fortinet, мировой лидер по разработке комплексных интегрированных и автоматизированных решений для кибербезопасности, опубликовала результаты своего новейшего ежеквартального исследования глобальных угроз кибербезопасности Global Threat Landscape Report. Согласно опубликованным данным, киберпреступники прибегают ко все более изощренным методам атак, осуществляя их, например, через устройства Интернета вещей, которые в подавляющем большинстве случаев никак не защищены, или адаптируя вредоносные программы на базе открытых исходных кодов, чтобы превращать их в новые угрозы. С более подробными выкладками исследования и с рейтингами угроз Threat Landscape Indices, в которых представлена информация о различных уязвимостях, ботнетах и вредоносных программах, а также некоторыми важными выводами для директоров по информационной безопасности, можно ознакомиться в нашем блоге. Среди основных выводов исследования:
Согласно индексу угроз Fortinet Threat Landscape Index, киберпреступники продолжали без устали работать даже в праздники. После драматичного начала рост индекса Exploit Index во второй половине квартала остановился. Несмотря на то, что общая активность кибер-злоумышленников несколько снизилась, количество уязвимостей на компанию (exploits per firm) увеличилось на 10%, а число зафиксированных уникальных уязвимостей выросло на 5%. В то же время, более сложными становятся ботнеты, и их теперь труднее обнаружить. Время инфицирования ботнетом выросло на 15%, примерно до 12 дней на фирму. Поскольку для распространения атак киберпреступники используют средства автоматизации и алгоритмы машинного обучения, департаментам безопасности необходимо использовать те же инструменты для противодействия столь современным и изощренным методам атак.
Конвергенция физических вещей и аспектов кибербезопасности приводит к расширению поверхности атаки, то есть приводит к увеличению числа атакуемых объектов. Шесть из двенадцати наиболее распространенных уязвимостей имели отношение к Интернету вещей, и четыре из шести наиболее распространенных уязвимостей были направлены на IP камеры наблюдения. Доступ к этим устройствам позволяет киберпреступникам следить за частной жизнью, планировать противоправную деятельность на физическом объекте, или получать доступ к сетевым системам для запуска DDoS атак или атак с целью вымогательства выкупа. Важно понимать, что атаки могут осуществляться даже посредством устройств, которые мы используем для контроля и обеспечения безопасности.
Вредоносные инструменты с открытым исходным кодом являются весьма полезными для сообщества профессионалов в области информационной безопасности: с их помощью специалисты могут тестировать защиту, исследователи могут изучать различные угрозы, а ведущие семинаров – использовать реальные примеры из практики. Исходные коды подобных инструментов опубликованы на многочисленных сайтах, например, на GitHub. Поскольку эти коды доступны для всех желающих, ими могут воспользоваться и злоумышленники для своих противоправных действий. В частности, они могут адаптировать и модернизировать эти вредоносные инструменты для реализации новых угроз, в значительной степени для создания так называемого ransomware, то есть вредоносных программ с целью вымогательства выкупа. В качестве примера того, где подобный вредоносный код был использован для осуществления новых атак, можно назвать ботнет Mirai IoT. С момента его появления в 2016 году количество различных вариантов этого ботнета продолжает неуклонно расти. Для киберпреступников инновации открывают невероятные возможности.
Достижения в области стеганографии позволяют вдохнуть новую жизнь в старые типы атак. Стеганография обычно не используется в наиболее часто встречающихся атаках, однако в прошлом квартале топ-лист наиболее активных ботнетов возглавил Vawtrak. Это свидетельствует о том, что злоумышленники все пристальнее присматриваются к этому типу атак. Кроме того, в течение квартала исследователи обнаружили образцы вредоносных программ, использующие стеганографию для того, чтобы спрятать непосредственно вредоносный код в мемах, которые распространяются по социальным сетям. В ходе атаки после попытки связаться с командным сервером, код ищет изображения в соответствующей ленте в Twitter, загружает их и затем ищет в них спрятанные команды для дальнейшего распространения. Этот скрытый подход показывает, что злоумышленники продолжают экспериментировать с различными вариантами развития своего вредоносного кода.
Бесплатные программные продукты с размещенной в них рекламой по-прежнему не просто досаждают, а несут в себе угрозу. На глобальном уровне рекламное ПО является наиболее распространенным способом заражения вредоносными программами для большинства регионов – на его долю приходится более четверти всех заражений в Северной Америке и Океании, и почти четверть – в Европе. Поскольку рекламное ПО весьма распространено в магазинах мобильных приложений, этот тип атак представляет серьезную угрозу особенно для ничего не подозревающих пользователей мобильных устройств.
В связи с продолжающейся конвергенцией информационных технологий (ИТ) и операционных технологий (OT), в рассматриваемом периоде были отмечены относительные изменения распространения и частоты атак на эти окружения. К сожалению, в большинстве случаев увеличился и уровень распространения, и частота атак. В частности, возвращение вредоносной Shamoon в виде волны атак в декабре указывает на то, что эти разрушительные атаки могут повторяться с еще большей силой. Кибератака, нацеленная на ОТ-систему, или даже просто на подключенные к сети устройства, например, на клапаны, датчики или выключатели, может привести к разрушительным физическим последствиям, в том числе для критически важной инфраструктуры и сервисов, окружающей среды или даже угрожать жизням людей.
Данные об угрозах, представленные в исследовании за минувший квартал, в очередной раз подтверждают многие из тех тенденций, которые были спрогнозированы глобальной исследовательской фирмой FortiGuard Labs. Чтобы предвосхищать действия злоумышленников, организациям необходимо трансформировать свои стратегии безопасности в рамках своей общей работы по цифровой трансформации. Им необходима платформа безопасности, которая бы охватывала все сетевое окружение, от устройств Интернета вещей до облачных инфраструктур, и которая бы интегрировала все элементы безопасности для минимизации современных угроз и для защиты расширяющейся поверхности атак. Этот подход позволит организациям оперативно и на должном уровне обмениваться информацией об угрозах, сокращает необходимые окна обнаружения (windows of detection), и обеспечивает автоматизированный инструмент для нейтрализации современных угроз.
Новейший отчет Fortinet Threat Landscape Report представляет собой ежеквартальную сводку общей аналитики, составленную FortiGuard Labs на основе данных многочисленных источников Fortinet за 4 квартал 2018 года. Результаты исследования дают представления об общей картине как на глобальном уровне, так и по отдельным регионам. Кроме того, в отчет включен рейтинг Fortinet Threat Landscape Index (TLI), который состоит из отдельных индексов по трем основным аспектам – уязвимостям, вредоносным программам и ботнетам, что позволяет судить о динамике их распространенности и об их количестве в отчетном периоде. Вместе с тем, отчет охватывает и дополнительные аспекты, в том числе информацию о значимых уязвимостях нулевого дня и о инфраструктурных тенденциях, что обеспечивает дополнительный контекст о деятельности злоумышленников, направленной против организаций.
Более подробную информацию об исследовании, а также полный отчет об исследовании можно получить в блоге компании.