Корпорация IBM опубликовала ежегодный отчет своей исследовательской группы IBM X-Force о тенденциях и рисках информационной безопасности (2008 X-Force Trend and Risk Report). Результаты свидетельствуют о том, что многие компании непреднамеренно подвергают своих клиентов риску стать жертвами киберпреступников. Отмечен тревожный рост онлайновых преступлений, использующих вполне законопослушные коммерческие Web-сайты в качестве плацдарма для атак. Злоумышленники в постоянном стремлении завладеть персональными данными пользователей в буквальном смысле «поворачивают компании против собственных клиентов». Исследование X-Force выявило по итогам 2008 г. две главные тенденции, указывающие на то, как киберпреступники атакуют массового пользователя Интернета через Web-сайты.

Во-первых, Web-сайты стали настоящей «ахиллесовой пятой» корпоративных систем ИТ-безопасности. Злоумышленники все чаще используют Web-приложения в качестве источника инфицирования компьютеров пользователей. Дело в том, что компании активно пользуются общедоступными коммерческими приложениями, имеющими, как правило, массу уязвимостей, или, что еще хуже, специализированными заказными приложениями, уязвимости которых неизвестны и потому не устраняются «заплатками» программного кода. Более половины всех уязвимостей, выявленных в прошлом году, были связаны с Web-приложениями, и 74% из них не имели соответствующих «заплаток» (патчей). Таким образом, отмеченное в начале 2008 г. широкомасштабное распространение угрозы ИТ-безопасности, известной как «автоматическая SQL-инъекция» (способ взлома Web-сайтов, позволяющий злоумышленнику исполнить практически любой SQL-запрос), к концу года не ослабло. В конце прошлого года количество подобных атак подскочило в 30 раз по сравнению с летним периодом.

Вторая важная тенденция, установленная исследователями IBM X-Force, состоит в том, что хотя злоумышленники по-прежнему используют элементы управления браузером и ActiveX для захвата контроля над компьютерами пользователей, они все чаще обращаются к новым видам программ-«эксплойтов», которые связаны ссылками с вредоносными или инфицированными документами (например, формата PDF) и видеороликами (например, формата Flash). Только в четвертом квартале 2008 г. группа IBM X-Force выявила в 1,5 раза больше таких «зловредных» ссылок (URL-адресов) с эксплойтами, чем за весь 2007 г. Даже спамеры начинают использовать известные сайты для расширения охвата своей аудитории. Применение методов хостинга спам-сообщений на популярных блогах и новостных сайтах в 2008 г. более чем удвоилось.

Стоит отметить, что IBM предлагает новые функциональные возможности программного продукта IBM Rational AppScan Standard Edition 7.8, которые позволяют компаниям сканировать и тестировать флэш-контент и Web-приложения на наличие уязвимостей информационной безопасности до того, как этот контент и приложения будут развернуты в Интернете. Новое ПО может сканировать на ИТ-уязвимости и Web-сайты на основе технологии Ajax (Asynchronous JavaScript and XML). IBM Rational AppScan также поддерживает комплексные приложения сервис-ориентированной архитектуры (SOA). Это чрезвычайно важно для компаний, которые обеспокоены тем, что их Web-сервисы подвергаются тем же ИТ-угрозам, что и Web-приложения. Новая технология IBM предоставляет компаниям возможность сканировать критически важные для их бизнеса Web-сервисы на предмет уязвимостей, что значительно укрепляет информационную защиту корпоративных сред SOA.

Свежая версия IBM Rational AppScan обладает также функциональностью для оценки рисков. Эти функции призваны помочь клиентам лучше понять, где локализованы уязвимости безопасности, и предложить план действий для минимизации соответствующих рисков. Согласно исследованию IBM, 80% времени пользователей уходит на управление результатами работы сканера безопасности. Даже после выявления проблемы пользователи порой испытывают трудности с пониманием ее сути и значимости, лишний раз проверяя, действительно ли проблема существует, определяя, насколько она серьезна, и связываясь с другими пользователями, которые могли бы помочь в решении проблемы. Используя IBM Rational AppScan, они сэкономят свое драгоценное время и деньги, получая результаты проверок, изложенные на языке, доступном всем пользователям, а не только экспертам в области информационной безопасности. С помощью новых средств мониторинга, поставляемых в составе решения IBM Rational AppScan OnDemand, клиенты также смогут выявлять уязвимости, упрощая и ускоряя устранение ошибок в своих приложениях и сервисах и обеспечивая соблюдение нормативных требований по ИТ-безопасности. Это особенно важно для организаций, на сайтах которых часто появляются изменения и дополнения и которым вследствие этого необходимы проверки на наличие ИТ-уязвимостей на регулярной основе. Например, крупная компания, которая обновляет свой сайт каждые 15 мин, теперь может автоматически сканировать онлайновые приложения или сервисы с периодичностью четыре раза в час (96 раз в день), поддерживая безопасность своей онлайновой среды для персонала, клиентов и партнеров.

Предупреждения о нарушениях безопасности можно по мере их появления посылать на мобильные устройства, что позволит клиентам быстро устранять угрозы. Раньше специалисты по информационной безопасности могли тестировать приложения лишь до их развертывания в онлайновой среде, что не давало возможности учитывать дальнейшие потенциальные риски. Сегодня оперативность и гибкость имеют решающее значение, когда речь идет о динамичных приложениях – принимая во внимание время и деньги, которые компания может потерять из-за невыполнения условий контракта или неспособности защитить персональные данные своих клиентов от онлайновых мошенников.

Интересно, что ряд критических уязвимостей, обнаруженных в 2008 г., не нашел у злоумышленников широкого применения. По мнению экспертов X-Force, индустрия средств обеспечения ИТ-безопасности должна более тщательно определять приоритеты в своей деятельности по устранению новых выявленных уязвимостей. В настоящее время для такой расстановки приоритетов служит специальный отраслевой стандарт – общая система оценки уязвимостей CVSS (Common Vulnerability Scoring System). Рекомендации CVSS главным образом сосредоточены на технических аспектах уязвимости, таких как степень «серьезности» ошибки программного кода и простота ее использования в деструктивных целях. Эти факторы, несомненно, чрезвычайно важны, однако они не в полной мере отражают основной – экономический – мотив киберпреступления. Группа X-Force занимается каталогизацией, анализом и изучением уязвимостей ИТ-безопасности с 1997 г. Каталог X-Force, содержащий около 40 тыс. уязвимостей, — это крупнейшая в мире база данных уязвимостей программного кода. Эта уникальная база данных помогает специалистам компании лучше понять динамику процесса, что помогает в исследовании известных уязвимостей и эффективном выявлении новых угроз.

В новом отчете X-Force приводятся также следующие цифры и факты.

  • 2008 г. был самым «урожайным» годом по выявленным уязвимостям – рост составил 13,5% по сравнению с 2007 г.
  • К концу 2008 г. 53% всех уязвимостей, выявленных в течение года, не имели программных «заплаток», выпущенных разработчиками соответствующих приложений. Более того, к концу 2008 г. соответствующих официальных исправлений не имели 46% уязвимостей, обнаруженных в 2006 г., и 44% уязвимостей, обнаруженных в 2007 г.
  • Наибольшее влияние на активность спамеров в 2008 г. оказало закрытие крупнейшего в мире спам-хостинга McColo. Это привело не только к значительному сокращению количества спам-рассылок – изменился также тип рассылаемого спама и состав стран, из которых спам рассылался наиболее часто.
  • Первенство по прямой рассылке спама после закрытия McColo захватил Китай, однако его в конце 2008 г. опередила Бразилия. Многие годы до закрытия McColo главным географическим источником (хостинг-центром) рассылки спама были США.
  • Основными информационными источниками спама в 2008 г. были Россия (12%), США (9,6%) и Турция (7,8%). Таким образом, контент-источник спама не всегда географически совпадает с местом хостинга спамера.
  • Впервые в 2008 г. Китай опередил США по количеству размещенных в национальном домене вредоносных Web-сайтов.
  • Фишеры (онлайновые финансовые мошенники) продолжают атаковать финансовые институты. Почти 90% фишинговых атак в 2008 г. были нацелены на эти организации, в большинстве случаев расположенные в Северной Америке.
  • 46% всех вредоносных программ, используемых в 2008 г., относились к категории «троянцев» и предназначались любителям онлайновых игр и пользователям систем онлайн-банкинга. По прогнозам специалистов X-Force, эти две специфические группы Интернет-пользователей останутся одной из главных мишеней киберпреступников и в 2009 г.