Онлайн-семинар вел бизнес-консультант по безопасности Cisco Алексей Лукацкий, уже неоднократно выступавший в роли эксперта по современным мерам противодействия интернет-угрозам, а также изучению поведения злоумышленников, стремящихся похищать пользовательские и корпоративные данные из сети, а также вовлекающие пользователей в схемы распространения спама и вредоносных кодов.
Исследование, результаты которого огласил докладчик, было проведено на основе данных, полученных специалистами Cisco, работающими по всему земному шару и имеющими доступ к статистике, касающейся характера трафика, передаваемого в сетях. На основе полученных и обработанных сведений компанией Cisco были сделаны два отчета: Cisco Annual Security Report 2013 (входящий в плеяду ежегодных отчетов по безопасности) и Cisco Connected World Technology Report (отчет, посвященный поведению пользователей в Интернете). В отчетах были использованы данные, полученные из 13 млрд веб-запросов, 35 % мирового трафика электронной почты, 75 Тбайт ежедневно получаемых данных, 1,6 млн глобально развернутых устройств и 150 млн глобально развернутых оконечных устройств.
«Для того чтобы динамично обеспечивать защиту своего информационного пространства, необходимо постоянно отслеживать все изменения и тенденции, касающиеся как самого контент-наполнения сети, так и изменений в поведении пользователей», – сообщил г-н Лукацкий и добавил, что именно согласно изменениям в поведении пользователей происходят изменения в ландшафте интернет-угроз.
По словам Алексея Лукацкого, злоумышленники активно исследуют поведение пользователей и подстраивают свою деятельность под него. В частности, от их взора не укрылось и то, что пользователи от обмена информацией перешли к ее поиску. Информации в сети стало действительно очень много, и статус пользователей изменился от создателей контента к его потребителям. Теперь интернет-юзеры совершают мощный обмен видеопотоками, а также объединяются внутри социальных медиа: как массовых (Facebook), так и специализированных (LinkedIn) или же узкоспециализированных. В подобных условиях пользователи стали более искушенными и «приземленными». Времена, когда вредоносный код распространялся через пиратское программное обеспечение или через ссылки на сайтах с видео для взрослых, уже прошли.
Диаграмма, указывающая на частоту проявления в Интернете различных факторов, угрожающих сетевой безопасности
«Увещевания о том, что не стоит качать такие-то файлы и не посещать такие-то сайты, уже не работают, – отметил г-н Лукацкий. – Сегодня в Интернете уже нет безопасных сайтов. Интернет-угрозы могут скрываться где угодно и когда угодно. Любые черные или белые списки бесполезны, значение имеет только своевременное информирование пользователей».
По словам Алексея Лукацкого, гораздо большую угрозу, чем посещение ресурсов со «взрослым контентом», влекут за собой клики по картинкам или ссылкам с обновляющимся контентом (иконки и картинки «мне понравилось»), благодаря которым можно размещать контент в социальных сетях и вместе с тем подгрузить вредоносный контент.
Отдельную осторожность следует проявлять, работая с веб-сайтами, использующими веб-статистику. Если сайт, входящий в такую систему, взломать, то вредоносный контент начнет автоматически распространяться на миллионы пользовательских машин через сайты, апеллирующие к нему. При этом, как отметил г-н Лукацкий, речь не идет ни о каком нелегальном контенте. Все сайты, распространяющие вредоносный код, являются легальными. Более того, практически каждый из них является также и «проверенным временем» со стороны конкретного пользователя, который, возможно, обращается к нему ежедневно.
«Еще один распространенный миф гласит о том, что только крупные компании подвержены реальным угрозам взлома страниц и заражения вредоносным кодом, – заявил Алексей Лукацкий. – Таким угрозам подвержены любые компании и любые пользователи. У злоумышленников подчас нет задачи атаковать кого-то конкретного, более того, «беспорядочные атаки» используются для «запутывания следов» в случае, если злоумышленники также имеют дело с «крупной добычей».
Сводка наиболее посещаемых интернет-ресурсов. Именно на основе данных о популярности того или иного ресурса злоумышленники делают выводы о том, целесообразно ли его атаковать
В целом, как выяснилось, сайты крупных компаний подвержены риску атак в 2,5 раза выше остальных компаний. Тем не менее и тем и другим необходимо предпринимать организационные технические меры по предотвращению угроз.
Еще один миф, по словам г-на Лукацкого, – это утверждение, что наибольшую опасность в Интернете представляют собой вирусы и черви. На самом деле угрозы уходят в онлайн и распространяются не через закачку вредоносного ПО самим пользователем, а через загрузку страниц на взломанном сайте. Такой метод распространения вредоносного кода гораздо эффективнее, так как угроза заражения оказывается реальной для каждого посетителя сайта, а таковых могут быть миллионы человек. Таким образом, основной целью обеспечения сетевой безопасности должна стать именно борьба с веб-угрозами.
Что касается мобильных угроз, то, как сообщил Алексей Лукацкий, они преувеличены, так как составляют менее 1 % от числа всех интернет-угроз (и эта цифра является актуальной вместе с колоссальным ростом угроз для платформы Android (2577 % в последний год)). Основной «ахиллесовой пятой» мобильных телефонов является скачивание приложений из app-store (невозможно сказать, насколько защищен тот или иной магазин приложений от проникновения в него вредоносных программ).
«К сожалению, рост числа вредоносных программ опережает рост популярности платформы Android, – посетовал г-н Лукацкий. – Особенно много нареканий в этом плане получает Google Play, политика данного онлайн-магазина приложений делает его весьма уязвимым для угроз со стороны вредоносного кода».
Основная идея злоумышленников, создающих вредоносный код, по словам Алексея Лукацкого, – это повышенное внимание ко всему популярному: ресурсам, операционным системам, языкам программирования, приложениям и конкретным сетевым явлениям.
«Уязвимость Java вовсе не означает, что Java – это плохо, – сообщил докладчик. – Просто данный скрипт является самым распространенным среди себе подобных. В настоящее время Java поддерживают до 3 млрд устройств. Вполне логично предположить, что злоумышленники денно и нощно ищут «дыры» в Java и пытаются распространять вредоносный контент через них».
Алексей Лукацкий сообщил, что в случае если Java оказывается защищен, то злоумышленники пытаются пробиться через PDF, Flash или Active-X. По сути, их действия напоминают обычную бизнес-модель, по которой может выстраивать свою деятельность любая коммерческая компания. Злоумышленники узнают новые аспекты поведения интернет-пользователей, работают по многим направлениям сбыта своей вредоносной продукции, создают партнерские сети, предлагают сезонные скидки покупателям инструментов совершения киберпреступлений, отслеживают структуру издержек и стараются делать бизнес максимально прибыльным.
Схема, показывающая, в какие из дней недели пользователи наиболее подвержены спам-атакам
В частности, киберпреступники, как добавил г-н Лукацкий, уже давно перешли к использованию технологий таргетированной рекламы для рассылки спама. «Массовые рассылки спама – это уже прошлый век, – заявил докладчик. – Сейчас идет увеличение эффективности каждого спам-сообщения, меняется инструментарий, в большинстве случаев эксплуатируются особенности поведения определенного человека в определенное время».
Кроме того Алексей Лукацкий заявил, что вредоносное ПО может идти не во вложении, а в теле самого письма, и всего лишь 3 % сообщений с вредоносным кодом имеют какие-либо вложения.
Сведения об актуальном поведении интернет-пользователей, ставшие фактологической базой для отчета Cisco Connected World Technology Report, также не слишком добавляют оптимизма. Как выяснили специалисты компании Cisco, до 91 % людей не думают о приватности, размещая пользовательские данные в сети, и не собираются приобретать средства защиты своих данных. Более того, до 66 % пользователей считают, что работодатели имеют право контролировать трафик, идущий с их рабочих машин, что также влияет на психологию отношения к соблюдению безопасности приватных данных. С другой стороны, сами работодатели, поддерживая концепцию BYOD («каждый приносит свой девайс») часто бывают не в состоянии обезопасить трафик для каждого из разнородных корпоративных устройств, что опять-таки ведет к уязвимости всей системы.
Общие выводы, сделанные бизнес-консультантом по безопасности Cisco Алексеем Лукацким в ходе вебинара
«В любом случае сегодня в Интернете ситуация с информационной безопасностью очень тревожная, игнорировать эту проблему больше нельзя, – сказал в заключение Алексей Лукацкий. – Антивирусы и межсетевой экран уже не спасают, злоумышленники постоянно находят новые способы проникать в корпоративную систему и красть данные. Мир угроз меняется так стремительно, что и средства обеспечения сетевой безопасности должны адаптироваться к новым атакам не менее оперативно. А для этого просто необходимо иметь собственный центр исследований и анализа в области информационной безопасности».