По словам Олега Шабурова, в 2011 году одним из методов привлечения посетителей на вредоносные сайты стали QR-коды |
В семнадцатом отчете компании по интегральному индексу вредоносной активности Россия поднялась с десятого места на шестое (в индексе учитывается количество сетевых атак и спама, инициированных на территории страны, а также количество зомбированных компьютеров и вредоносных сайтов, IP-адреса которых закреплены за местными провайдерами). По вредоносной активности наша страна теперь уступает только США, Китаю, Индии, Бразилии и Германии.
Особенно бросается в глаза рост такой активности в двух из четырех категорий: по количеству спам-зомби и по сетевым атакам. В 2010 году по числу спам-зомби Россия занимала шестое место, а в 2011-м поднялась на третье; по количеству сетевых атак — переместилась с восьмого места на пятое. «Скромнее» достижения отечественных распространителей вредоносного кода, но и они шагнули за год на одну ступеньку вверх — с десятого на девятое место. По числу веб-атак Россия, как и в позапрошлом году, сохранила за собой седьмое место.
Увеличение доли рассылаемого спама и сетевых атак связано, по-видимому, с увеличением числа зомбированных компьютеров и других устройств. Это, скорее, показатель незащищенности российских пользователей. Но связано ли это просто с увеличением числа устройств, подключенных к сети, с низкой грамотностью населения в вопросах информационной безопасности или с активностью хакеров — судить по представленным данным нельзя. Весьма возможно, количество зомби увеличилось из-за атак на мобильные устройства.
«Если в 2010 году одной из проблем безопасности были короткие ссылки, — отмечает Олег Шабуров, руководитель группы информационной безопасности в Symantec, — то в 2011-м для привлечения посетителей на вредоносные сайты стали использоваться QR-коды, распознавание которых встроено в мобильные устройства».
В то же время в рейтингах веб-атак и распространения вредоносных кодов отражается активность компьютерного андеграунда; а она, как это следует из отчета, увеличивается не сильно.
В этом году в процессе подготовки отчета в Symantec провели огромную работу, проанализировав так называемые целенаправленные атаки (Advanced Persistent Threat, APT), которые пришлось выявлять вручную. Всего было обнаружено более 26,9 тыс. подобных атак, почти половина из них проводились на крупные предприятия с числом сотрудников более 2,5 тыс. человек (48,9% зафиксированных инцидентов). В то же время оказалось, что и небольшие компании со штатом до 250 человек также находятся под ударом — они стали мишенью для APT в 17,8% случаев. Были зафиксированы целенаправленные атаки даже на отдельные почтовые адреса — с марта по ноябрь 2011 года таких было обнаружено 78.
Между тем, предлагаемые индустрией информационной безопасности механизмы для защиты от целенаправленных атак, такие как корреляционный анализ, выявление аномального поведения и репутационные фильтры, в основном ориентированы на крупные компании, поскольку сложны в настройке и требуют высокой квалификации. Даже предлагаемый сервис по удаленной защите корпоративной сети от целенаправленных угроз, который Symantec предлагает в том числе и российским клиентам, очень дорог и вряд ли по карману небольшим предприятиям. Таким образом, значительная часть компаний оказывается незащищенной перед целенаправленными атаками, не получая от индустрии приемлемого решения проблемы APT.
Следует отметить, что у метода сравнения стран по вредоносной активности есть ограничения — география сети датчиков, собирающих сведения, вносит искажение в статистику. Они, как правило, располагаются в центрах реагирования на инциденты самого вендора, либо на площадках крупных провайдеров, либо у клиентов. У Symantec в России собственного центра реагирования нет. В результате рейтинг может отражать, скорее, не активность компьютерного андеграунда, но активность самой компании на соответствующем региональном рынке. Именно поэтому США и Китай, скорее всего, не уступят первые места рейтинга в отчетах Symantec.
Размер не имеет значения
Проанализировав информацию о целенаправленных атаках, в Symantec установили, что заметная их часть осуществляется против небольших компаний.
Размер предприятия, чел. | Доля APT, % |
Более 2501 | 48,9 |
1501 — 2500 | 9,4 |
1001 — 1500 | 5,1 |
501 — 1000 | 8,4 |
251 — 500 | 10,4 |
Менее 250 | 17,8 |
Источник: Symantec, 2012