Киберпреступники атакуют индивидуальных пользователей

Блог вице-президента компании Cisco, генерального менеджера отдела по разработке технологий информационной безопасности Тома Гиллиса (Tom Gillis)

Сегодня всем нужно не количество, а качество. За это ратуют все, от биржевых брокеров до любителей сетевых знакомств. А теперь вопросами качества заинтересовались даже киберпреступники, перешедшие от массовой рассылки спама к целенаправленным атакам, способным принести куда больший куш. Эта тенденция подробно описана в новом отчете компании Cisco по вопросам информационной безопасности. Отчет составлен по результатам глобального исследования, проведенного подразделением Cisco Security Intelligence Operations (SIO) в 50 странах.

Исследование показало, что объемы спама падают. За период с июня 2010 по июнь 2011 года количество ежедневно передаваемых спам-сообщений сократилось с 300 млрд до 40 млрд. Наряду с этим за тот же период произошел трехкратный рост целенаправленных фишинг-атак (spearphishing) и четырехкратный рост мошеннических атак против конкретных лиц, а также заражений вредоносными программными кодами.

Атаки киберпреступников наносят большой ущерб: корпорации ежегодно терпят от них убытки в размере 1,29 млрд долларов США. При этом атаки начинаются с малоприметных действий злоумышленников против конкретного человека или группы сотрудников. Для этого обычно используются вредоносные программные коды или устойчивые вредоносные системы долгосрочного действия, рассчитанные на то, чтобы в течение определенного времени постепенно добыть нужные киберпреступникам данные. К примеру, атака, обнаруженная службой Cisco SIO в начале текущего года, состояла в том, что высшим руководителям одной крупной корпорации было отправлено некое сообщение. Отправитель был неизвестен, но сообщение поступило с легального (но зараженного) сервера из Австралии. В сообщении содержалась ссылка на опять-таки легальный, но зараженный юридический блог. При нажатии на эту ссылку браузер пользователя направлялся на ранее неизвестный экземпляр хакерского средства Phoenix, которое устанавливало на пользовательский компьютер троян "Зевс".

Другой пример целенаправленной атаки - распространение печально известного червя Stuxnet, способного серьезно нарушить работоспособность промышленных компьютерных систем. По некоторым сведениям, этот червь притормозил реализацию иранской ядерной программы. Stuxnet и его клоны, которые могут появиться в будущем, особенно коварны, так как могут передаваться по несетевым системам и подвергать опасности даже те ресурсы, которые не подключены к Интернету и другим сетям.

Даже в тех случаях, когда киберпреступники организуют целенаправленную атаку на десяток руководителей крупной компании (в отличие от грубой массовой рассылки спама), они обычно сосредоточивают усилия на ком-то одном в надежде получить максимальную прибыль. Средняя окупаемость целенаправленной атаки может в 40 раз превысить окупаемость массовых рассылок, если жертва имеет доступ к корпоративным банковским счетам.

Кроме того, каждая атака наносит компании репутационный ущерб, ведущий к потере бизнеса и снижению курса акций. По данным Cisco SIO, в среднем репутационный ущерб составляет 1.900 долларов на каждую взломанную пользовательскую систему, в 6,4 раза превышая прямые финансовые потери.

Cisco предпринимает активные превентивные действия по борьбе с целенаправленными атаками, используя для этого информацию об угрозах, поступающую в реальном времени из Cisco SIO. Эта самая крупная в мире «облачная» экосистема информационной безопасности использует базу данных SensorBase, куда поступает информация от миллиона работающих решений Cisco для электронной почты, веб-сервисов, межсетевых экранов и систем предотвращения вторжений. Собранные данные Cisco SIO анализирует и обрабатывает, автоматически классифицируя угрозы и создавая правила на основании более двухсот параметров. Кроме того, специалисты по информационной безопасности принимают и передают информацию об угрозах, способных принести наибольший ущерб сетям, приложениям и устройствам. Правила предотвращения угроз передаются на устройства безопасности Cisco в динамическом режиме в течение 3-5 минут. При этом сотрудники Cisco SIO публикуют основанные на передовом опыте рекомендации по информационной безопасности и тактические руководства по отражению угроз.

Ни одна система не способна работать со 100-процентной надежностью, но в условиях нарастающих целевых атак ИТ-директора и специалисты, приобретающие средства информационной безопасности, ни на секунду не должны забывать о полномасштабных решениях, работающих в реальном времени.