Check Point, Кит Маскелл
Кит Маскелл: «63% организаций, участвующих в исследовании, оказались инфицированы ботами, притом большинство из них — несколькими ботами»

3 июля компания Check Point представила в России результаты очередного исследования в области информационной безопасности и рассказала о своем новом программном лезвии Threat Emulation.

Кроме того, были проанализированы значимые события, выявленные с помощью облачной системы Check Point ThreatCloud, которая представляет собой глобальную базу данных по информационной безопасности, обновляемую в реальном времени.

Полученные данные свидетельствуют: одной из наиболее серьезных угроз в сфере сетевой безопасности сегодня являются ботнеты. Как заявил Кит Маскелл, генеральный директор Check Point в России, 63% организаций, участвующих в исследовании, оказались инфицированы ботами, притом большинство из них — несколькими ботами. В среднем почти трижды в час боты связываются со своими управляющими центрами, передавая туда конфиденциальные сведения. Это представляет огромную угрозу для предприятий.

Как оказалось, 58% центров управления ботами, выявленных в ходе сканирования трафика Check Point, сосредоточено в США, 9% — в Германии, по 7% центров находится во Франции и Нидерландах. А вот в Китае, Канаде, Аргентине, Румынии и ряде других стран количество командных центров ботнетов невелико и находится на уровне 3%.

В Check Point отмечают две главные тенденции, связанные с распространением ботнетов. Во-первых, это увеличение доли инцидентов, направленных на получение преступных доходов. В современном мире сформировалсь настоящая индустрия киберпреступлений с международным разделением труда, включающая в себя собственно злоумышленников, операторов вредоносных программ, поставщиков необходимого инструментария, кодировщиков и сопутствующие программы. Сейчас готовые для использования наборы ботов продаются онлайн за жалкие 500 долл., но они могут принести предприятию миллионный ущерб, подчеркивают аналитики Check Point.

Во-вторых, атаки, организуемые с помощью ботнетов, все чаще носят идеологический характер, инициируются правительственными структурами некоторых стран и направлены на достижение определенных политических целей. Это значительно осложняет борьбу с ботнетами.

Check Point предлагает «двухфазный» вариант защиты от этой напасти — сначала обнаруживать, а затем блокировать боты. Как отмечают в компании, повысить вероятность своевременного обнаружения бота в сети можно на основе многоуровневого анализа различных аспектов поведения бота. Такой механизм должен оперировать репутационными данными, обнаруживать IP-адреса, URL и DNS, используемые уделенными операторами для соединения с ботами. Важно, чтобы защита могла обнаруживать уникальные шаблоны и протоколы для каждой категории ботов. Защитная система также должна уметь идентифицировать типичные действия ботов, такие как рассылка спама, подделка кликов и самораспространение. На заключительном этапе, после обнаружения ботов, система должна блокировать трафик, исходящий от них к серверам управления, предотвратив их потенциальную активность и ущерб для организаций.

Второй по значимости угрозой после ботнетов в отчете Check Point названы веб-сайты, зараженные вредоносным кодом. Исследователи компании установили, что сетевые узлы 75% организаций контактируют с вредоносными сайтами. Более половины предприятий имеют как минимум пять хостов, которые контактировали с зараженными сайтами. Наибольшее количество таких сайтов было обнаружено в США. Одним из методов защиты от последствий подобных контактов являются антивирусы, но исследование показало, что только 23% сетевых узлов организаций своевременно обновляют антивирусные базы данных. Более того, оказалось, что 14% хостов вообще не имеют антивирусной защиты. И первые и вторые могут стать легкой добычей злоумышленников. А вот список вирусов обновляется злоумышленниками с завидной регулярностью. Например, ранее выявленный опасный вирус Flame, как установили в Check Point, уже обзавелся «младшим братом» miniFlame, который позволяет осуществлять удаленное управление ИТ-системами, способен красть данные и снимать копии с экрана.

Помочь заказчикам минимизировать риски заражения ботами и другими видами вредоносного кода призван новый программный модуль (лезвие) Check Point Threat Emulation, анонсированный в феврале. Он открывает все подозрительные файлы в безопасной зоне, «песочнице», и, если файлы инициируют нетипичные действия, например непредусмотренные политикой безопасности сетевые подключения или изменения в системном реестре, своевременно нейтрализует такие файлы, не допуская зловредный код в рабочую информационную зону предприятия.