Отчет об угрозах интернетбезопасности Том XIV
Global Intelligence Network Выявляет больше угроз + быстрее реагирует + предотвращает удар
Глобальный масштаб и размах
Всемирный охват
Круглосуточная регистрация событий
Быстрое обнаружение Действия злоумышленников •240,000 датчиков •200+ стран
Выявление вредоносного Уязвимости •32 000+ уязвимостей кода •130 млн ПК, серверов, шлюзов •Глобальный охват
Предупредительные сигналы
•11 000 поставщиков •72 000 технологий
Спам/фишинг •2,5 млн подставных учетных • записей •8+ млрд сообщений email в день •1+ млрд веб-запросов в день
Реакция на угрозы
Защита информации ISTR XIV
2
Картина угроз
Общие темы
• Злоумышленники все чаще нацелены на конечных пользователей, которых атакуют через взломанные пользующиеся доверием веб-сайты с интенсивным трафиком • Они переносят свои операции в регионы с развивающейся инфраструктурой интернета, а в некоторых случаях создают и поддерживают свои собственные сети услуг • Межотраслевая кооперация сообщества безопасности становится жизненно необходимой
ISTR XIV
3
Взлом системы пользователя
1. Злоумышленник взламывает вебсервер
2. Пользователи посещают легитимный вебсайт
3. Пользователи переадресуются на вредоносный сервер
4. Вредоносный сервер использует уязвимость для установки вредоносного кода
ISTR XIV
4
Система угроз
Фишинговые сайты
Теневая экономика Бот-сети Взломанные компьютеры
ISTR XIV
5
Взлом веб-сайтов
% уязвимостей
• Злоумышленники находят и взламывают сайты с интенсивным трафиком при помощи специфической уязвимости этого сайта или работающего на нем веб-приложения. • Когда сайт взломан, злоумышленники подменяют страницы таким образом, чтобы загружать вредоносный контент в системы посетителей.
Период
Специфические уязвимости сайта
Период
Не-веб приложения Веб приложения
Уязвимости веб-приложений ISTR XIV
6
Атаки на посетителей • Во многих случаях атаки запускаются не из самого взломанного вебсайта • Наиболее распространенные атаки направлены против уязвимостей как веб-браузера, так и плагинов и клиентских приложений • Многие веб-атаки используют уязвимости средней степени опасности
Основные типы веб-атак ISTR XIV
7
Установка вредоносного кода • В 2008 году выявлялось в среднем 28,7 млн вредоносных программ в месяц. • Свыше 60% всех вредоносных программ, выявленных Symantec, было обнаружено в 2008 году. • Свыше 90% угроз – это угрозы для конфиденциальной информации. % выявленных угроз Удаленный доступ
Экспорт данных пользователей
Экспорт адресов
Регистрация клавиш
Число новых угроз
Экспорт системных данных
Период
Период
ISTR XIV
8
Продажа краденой информации • Сведения о кредитных картах (32%) и банковские реквизиты (19%) остаются наиболее часто рекламируемыми товарами. • Диапазон цен на кредитные карты в 2008 году остается постоянным: от $0,06 дo $30 за один номер карты. • Взломанные учетные записи эл. почты могут обеспечить доступ к другой конфиденциальной информации и дополнительным ресурсам
ISTR XIV
9
Отчет об угрозах интернетбезопасности, том XIV Основные факты и цифры
Тенденции в активности угроз Утечки данных по секторам • Сведения об утечках данных, которые могут привести к «краже личности». • Большинство случаев утечки данных произошло в секторе образования (27%), за которым следуют государственное управление (20%) и здравоохранение (15%) – свыше половины всех случаев утечки данных (57%) стали результатом кражи или потери, тогда как на долю недостаточных мер безопасности приходится 21%.
Утечка данных
Раскрытие персональной информации
ISTR XIV
11
Тенденции в активности угроз Утечки данных по типам • В большинстве случаев главными причинами утечки информации остаются кража и потеря данных. • Многие случаи связаны с потерей мелких портативных устройств, таких как USB-диски, сменные жесткие диски и смартфоны.
Утечка данных
Раскрытие персональной информации ISTR XIV
12
Тенденции в активности угроз Вредоносная деятельность • В 2008 году наиболее интенсивная вредоносная деятельность велась в США, на долю которых пришлись 23% всей такой деятельности. Второе место занял Китай с 9%. • По мере роста в некоторых странах инфраструктуры интернета и широкополосного доступа интенсивность вредоносной деятельности в этих странах также растет.
ISTR XIV
13
Тенденции в активности угроз Вредоносная деятельность • В 2008 году наиболее интенсивная вредоносная деятельность велась в США, на долю которых пришлись 23% всей такой деятельности. Второе место занял Китай с 9%. • По мере роста в некоторых странах инфраструктуры интернета и широкополосного доступа интенсивность вредоносной деятельности в этих странах также растет.
ISTR XIV
14
Тенденции в активности угроз Другие параметры • В 2008 году Symantec выявила 15 197 новых командно-управляющих серверов ботсетей, из которых 43% управлялись по каналам IRC и 57% — через HTTP. • В 2008 году наблюдалось в среднем 75 158 активных бот-инфицированных компьютеров в день, что на 31% больше, чем в предыдущий период. • В 2008 году источником наибольшего числа веб-атак были США, на долю которых пришлось 38% всех таких атак. • США были страной, наиболее часто подвергавшейся атакам на отказ в обслуживании – на их долю пришелся 51% всех таких атак в 2008 году.
Страны – источники атак ISTR XIV
15
Тенденции в активности угроз Другие параметры • В 2008 году Symantec выявила 15 197 новых командно-управляющих серверов ботсетей, из которых 43% управлялись по каналам IRC и 57% — через HTTP. • В 2008 году наблюдалось в среднем 75 158 активных бот-инфицированных компьютеров в день, что на 31% больше, чем в предыдущий период. • В 2008 году источником наибольшего числа веб-атак были США, на долю которых пришлось 38% всех таких атак. • США были страной, наиболее часто подвергавшейся атакам на отказ в обслуживании – на их долю пришелся 51% всех таких атак в 2008 году.
Ботнеты Страны – зараженные источники атак ПК, EMEA ISTR XIV
16
Тенденции в активности угроз Другие параметры • В 2008 году Symantec выявила 15 197 новых командно-управляющих серверов ботсетей, из которых 43% управлялись по каналам IRC и 57% — через HTTP. • В 2008 году наблюдалось в среднем 75 158 активных бот-инфицированных компьютеров в день, что на 31% больше, чем в предыдущий период. • В 2008 году источником наибольшего числа веб-атак были США, на долю которых пришлось 38% всех таких атак. • США были страной, наиболее часто подвергавшейся атакам на отказ в обслуживании – на их долю пришелся 51% всех таких атак в 2008 году.
Ботнеты Страны – центры зараженные источники управления, атак ПК, EMEA EMEA ISTR XIV
17
Тенденции в активности угроз Другие параметры • В 2008 году Symantec выявила 15 197 новых командно-управляющих серверов ботсетей, из которых 43% управлялись по каналам IRC и 57% — через HTTP. • В 2008 году наблюдалось в среднем 75 158 активных бот-инфицированных компьютеров в день, что на 31% больше, чем в предыдущий период. • В 2008 году источником наибольшего числа веб-атак были США, на долю которых пришлось 38% всех таких атак. • США были страной, наиболее часто подвергавшейся атакам на отказ в обслуживании – на их долю пришелся 51% всех таких атак в 2008 году.
Ботнеты Страны––источники зараженные центры источники управления, атак ПК, EMEA EMEA Страны веб атак, EMEA ISTR XIV
18
Тенденции в сфере уязвимостей Наиболее атакуемые уязвимости • Наиболее атакуемыми уязвимостями были те, которые использует червь Downadup (aka Conficker). • В 2008 году 95% атакованных уязвимостей были уязвимостями клиентских систем, а 5% - уязвимостями серверов
ISTR XIV
19
Тенденции в сфере уязвимостей Уязвимости плагинов браузеров • Уязвимости плагинов веб-браузеров часто используются для установки вредоносного ПО. • Среди технологий первое место опять заняли уязвимости плагинов браузеров, связанные с искажением данных в памяти – в 2008 году к этому типу относились 272 обнаруженные уязвимости.
ISTR XIV
20
Тенденции в сфере уязвимостей Неисправленные уязвимости по поставщикам • В 2008 году в ПО поставщиков корпоративного класса оставалось 112 неисправленных уязвимостей, против 144 в 2007 году. • Первое место занимает Microsoft с 46 неисправленными уязвимостями. • Из 112 неисправленных уязвимостей 37 имеют низкую степень опасности, 71 — среднюю и 4 — высокую.
ISTR XIV
21
Тенденции в сфере уязвимостей Другие параметры • В 2008 году Symantec зарегистрировала 5 491 уязвимость, на 19% больше, чем в 2007. • По степени опасности: высокая - 2%, средняя - 67% и низкая - 30%. • 80% выявленных за этот период уязвимостей были легко эксплуатируемыми, против 74% в предыдущий период. • 99 уязвимостей 2008 года относятся к браузерам Mozilla, больше, чем к любому другому браузеру; в Internet Explorer было выявлено 47 новых уязвимостей, в Apple Safari - 40, в Opera - 35 и в Google Chrome - 11. • В 2008 году Symantec зарегистрировала 9 уязвимостей «нулевого дня», против 15 в 2007 году.
ISTR XIV
22
Тенденции в сфере вредоносных программ. Типы • 68% всего объема 50 наиболее распространенных образцов вредоносного кода в 2008 году были троянами – чуть меньше, чем в 2007 (69%). • Доля червей немного увеличилась – с 26% в 2007 году до 29% в 2008. • Доля «лазеек» (back doors) в текущий отчетный период сократилась с 21% дo 15%. Тип
Доля среди топ-50 потенциальных инфекций ISTR XIV
23
Тенденции в сфере вредоносных программ. Механизмы распространения • 66% потенциальных инфекций распространялось в виде исполняемых файлов – значительно больше, чем в 2007 году (44%). • Доля вредоносного кода, использующего протоколы файлообмена Р2Р, сократилась с 17% в 2007 году до 10% в 2008.
ISTR XIV
24
Тенденции в сфере вредоносных программ. Другие параметры • Среди 10 основных семейств вредоносных программ, обнаруженных в 2008 году, три относились к троянам, три – к троянам с компонентом лазейки, два – к червям, один – к червям с компонентом лазейки и один – к червям с компонентом лазейки и компонентом вируса. • В 2008 году наиболее заметный рост числа потенциальных инфекций произошел в регионе ЕМЕА (Европа, Ближний Восток и Африка) • Доля документированных образцов вредоносного кода, использующих уязвимости, существенно сократилась – с 13% в 2007 до 3% в 2008 году. • Среди 50 потенциальных инфекций 10% составили вредоносные программы, нацеленные на онлайновые игры, против 7% в 2007 году. ISTR XIV
25
Тенденции в области фишинга Наиболее интенсивно атакуемые сектора • В 2008 году на долю сектора финансовых услуг пришлось 76% всех случаев фишинга, против 52% в 2007. • Учетные записи ISP могут быть привлекательными мишенями для фишеров, так как люди часто используют одни и те же пароли для нескольких учетных записей, включая учетные записи эл. почты.
ISTR XIV
26
Фишинг Другие параметры • В 2008 году Symantec обнаружила 55 389 хост-серверов фишинговых вебсайтов, что на 66% больше, чем в 2007, когда Symantec выявила 33 428 таких серверов. • В 2008 году 43% всех фишинговых веб-сайтов, обнаруженных Symantec, были расположены в США – значительно меньше, чем в 2007 (69%). • В 2008 году один набор автоматических инструментов для фишинга, выявленных Symantec, отвечал в среднем за 14% всех фишинговых атак.
Страны хостинга фишинговых сайтов, EMEA ISTR XIV
27
Спам Страны-источники • За прошедший год Symantec наблюдала рост уровня спама в интернете в целом на 192% - с 119,6 млрд сообщений в 2007 году до 349,6 млрд в 2008. • В 2008 году бот-сети распространили около 90% всех электронных сообщений со спамом • Значительный рост уровня спама в этом году продемонстрировали Россия, Турция и Бразилия.
Страны – источники спама ISTR XIV
28
Спам Страны-источники • За прошедший год Symantec наблюдала рост уровня спама в интернете в целом на 192% - с 119,6 млрд сообщений в 2007 году до 349,6 млрд в 2008. • В 2008 году бот-сети распространили около 90% всех электронных сообщений со спамом • Значительный рост уровня спама в этом году продемонстрировали Россия, Турция и Бразилия.
Страны – источники спама Страны – источники спама, EMEA ISTR XIV
29
Спам Категории • Основной категорией был спам, связанный с интернетом (24%), за которым следует спам, относящийся к коммерческим продуктам (19%) • Доля финансового спама сократилась с 21% до 13%, во многом благодаря продолжающемуся снижению уровня биржевых афер типа «накачка и сброс».
ISTR XIV
30
Спам Другие параметры • Большая часть спама, зарегистрированного в 2008 году, состоит из сообщений в форме неформатированного текста или HTML. • 8% спама 2008 года имеет вложения; спам в виде изображений составляет 49% от общего объема спама.
ISTR XIV
31
Спасибо!
Copyright © 2008 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Report on the Underground Economy
32