Угрозы безопасности и тенденции в отчете IBM X-Force
Согласно отчету 2010 Mid-Year Trend and Risk Report, подготовленному группой исследований и разработок в области информационной защиты IBM X-Force, с февраля 2010 г. российский Интернет-домен (.ru) находится на первом месте по количеству зарегистрированного на нем спама, обогнав такие домены, как .com, .net, .cn (Китай) и .info. По географическому местоположению источники спама распределились следующим образом: США (9.7% спама), Бразилия (8.4%), Индия (8.1%), Россия (5.3%), Вьетнам (4.6%). При этом более 60% зарегистрированных в Китае URL-адресов, содержащих спам, имеют домен высшего уровня .ru. Таким образом, согласно исследованию, типичное спам-сообщение рассылается с компьютера, физически расположенного в США, Индии или Бразилии, имеет URL-адрес на домене .ru, а его хостинг находится в Китае.
Результаты исследования X-Force также показывают рекордный рост числа выявленных уязвимостей ИТ-безопасности за первое полугодие 2010 г. В целом за первые шесть месяцев этого года команда X-Force Research and Development зарегистрировала 4396 новых уязвимостей, что на 36% больше аналогичного показателя первого полугодия прошлого года. На конец отчетного периода больше половины (55%) обнаруженных уязвимостей еще не были закрыты фирменными «заплатками» разработчиков и поставщиков ПО.
Согласно отчету, главной угрозой ИТ-безопасности продолжают оставаться Web-приложения – на их долю пришлось больше половины всех публично обнародованных уязвимостей. Причем приводимые в отчете показатели не учитывают внутрикорпоративные Web-приложения собственной разработки, которые также могут содержать слабые места.
Возросла частота и изощренность скрытых атак, использующих уязвимости сценариев JavaScript. Наиболее популярная среди киберпреступников всех мастей тактика сокрытия деструктивного кода в файлах документов и Web-страниц основана на методике обфускации JavaScript (JavaScript obfuscation), т.е. «запутывании» программного кода. IBM зарегистрировала 52%-ный рост числа таких «запутывающих» атак категории JavaScript obfuscation в течение первой половины 2010 года по сравнению с аналогичным периодом 2009 года.
Продолжает расти число эксплойтов, использующих уязвимости формата PDF. Начиная с первого полугодия 2009 г. X-Force установила три из пяти основных временных периодов широкого использования уязвимостей браузера. Наиболее значительный скачок числа атак, связанных с форматом PDF, был зарегистрирован в апреле 2010 г. Этот пик совпал с широкомасштабной спам-кампанией, в которой использовались присоединенные к почтовым сообщениям PDF-файлы с внедренным вредоносным кодом – с целью распространения ботнетов Zeus и Pushdo, одних из наиболее коварных на сегодняшний день угроз в Интернете.
Значительно уменьшилась активность фишинговых атак, их спад в первой половине 2010 г. по сравнению с пиковым периодом 2009 г. составляет более 80%. Тем не менее финансовые институты все еще продолжают оставаться самыми привлекательными объектами для фишинга (около 49% всех фишинговых почтовых сообщений). Объектами большей части остальных являются государственные учреждения и службы интерактивных платежных систем (включая кредитные карты).
В качестве ключевых тенденций на будущее команда X-Force Research and Development определила облачные вычисления и виртуализацию. Для успешной миграции организаций в cloud-среды IBM рекомендует начать с тщательного изучения требований к безопасности рабочих нагрузок, планируемых к хостингу в среде облачных вычислений, а не с изучения предложений разных поставщиков cloud-сервисов.
Что касается виртуализации, по мере того как организации переводят рабочие нагрузки в среды виртуальных серверов, у них возникают вопросы относительно разумного согласования этих рабочих нагрузок с различными требованиями по безопасности на одних и тех же физических аппаратных средствах. По данным X-Force, 35% уязвимостей, связанных с системами виртуализации уровня сервера, оказывают воздействие на гипервизор. Это означает, что злоумышленник, захвативший контроль над одной виртуальной системой, может манипулировать с этой машины другими системами.