Сначала хорошие новости. Согласно данным Microsoft, касающихся реальных
случаев нарушения безопасности, связанных с Windows, атаки, использующие
уязвимости нулевого дня, достаточно редки. А теперь плохие новости: 99%
вредоносных заражений происходят от нежелания организаций и пользователей
применять обновления для систем безопасности.
Последний отчет
Microsoft Security Intelligence Report (SIR), опубликованный вчера,
демонстрирует, что вина организаций и пользователей в атаках на их компьютеры
выше, чем можно подумать. Менее одного процента атак, совершенных на машины с
Windows в первой половине этого года, использовали уязвимости нулевого дня.
Одиннадцатая версия отчета SIR включает в себя данные, собранные с 600 миллионов
машин с Windows в более чем ста странах и регионах. Данные были собраны с
помощью Malicious Software Removal Tool от Microsoft, сканирования Hotmail,
данных Microsoft Security Essentials и сканирования веб-страниц Bing.
Эксперты в области безопасности разделились на два лагеря касательно того,
раздута ли угроза нулевого дня или нет. Маркус Кэри, исследователь безопасности
в компании Rapid7, сказал, что это очередной показатель того, что подобные
угрозы "переоценены".
"Мы возвращаемся в старые добрые времена в смысле обеспечения безопасности.
Компании выпускают патчи, ты устанавливаешь их на свой компьютер. Легко и
просто", - объяснил Кэри. "Хакеры, тем временем, знают, что люди не любят
возиться с патчами, поэтому используют зловреды, эксплуатирующие известные
уязвимости, а также применяют проверенные методы социальной инженерии, чтобы
заражать компьютеры пользователей", - добавил он. "Именно в этом кроется главная
опасность для организаций, а не в нулевом дне".
Но Крис Уайзопэл, технический директор Veracode, сказал, что отчет Microsoft
еще не означает, что можно отметать угрозу нулевого дня. "Это скорее "проблема
шума". Атак, использующих давно известные уязвимости, в сто раз больше, и на их
фоне угрозы нулевого дня могут показаться незначительными".
Он добавил, что угрозы нулевого дня нельзя переоценить. "Они являются
результатом естественной эволюции уязвимостей", - сказал Уайзопел. "Если бы
машины с Windows обновлялись автоматически, то количество систем, зараженных с
помощью стандартных атак, чрезвычайно снизилось бы, но зато увеличился бы
процент атак, использующих уязвимости нулевого дня", - добавил он. "Однако общее
количество пострадавших систем было бы ниже".
Джефф Джонс, директор Trustworthy Computing Group компании Microsoft, сказал,
что данные компании позволяют оценить угрозы нулевого дня в контексте и должны
уменьшить панику, которая царит вокруг. "Контекст – это именно то слово, которое
приходит на ум. Ни в коем случае не стоит игнорировать угрозу. Мы лишь хотим
снабдить работников IT отделов, имеющих ограниченные ресурсы, данными, чтобы они
могли должным образом оценить риск", - говорит Джонс.
Так что же это значит для целевых атак, вроде advanced persistent threat (APT)?
Они никуда не денутся, но никогда не будут заражать столько машин, сколько
удается заразить тем, кто совершает "мейнстримовые" атаки.
"Сам факт существования уязвимостей нулевого дня, позволяющих совершать атаки
на крупные цели, не означает, что все остальные атаки сойдут на нет", - сказал
Джонс.
Кэри из Rapid7 рассказал, что данные о том, что атаки, использующие
уязвимости нулевого дня, составляют менее одного процента от всех атак,
означают, что некоторые организации незаслуженно винят кого-то другого, а не
самих себя в утечках. "Если таких атак всего 1%, значит кто-то недостаточно
честен. Ведь 99% атак не используют уязвимости нулевого дня. Некоторые
характеризуют атаки нулевого дня как те, что их антивирус не способен увидеть,
например, но ведь то же самое может произойти и с известной уязвимостью".
"В крупной утечке данных у компании RSA, произошедшей в марте, использовалась
стандартная уязвимость. Объект Flash в файле Excel. Это не была атака нулевого
дня", - поведал Уайзопэл из Veracode. "На тот момент уязвимость была известна
уже в течение пары дней, но патча для нее так и не было выпущено. Это
показывает, как быстро действуют атакующие, обнаружив уязвимость".
В целом, как выяснила Microsoft, 45% вредоносных программ распространились
методом социальной инженерии. То есть для их распространения требовалось
взаимодействие с пользователем. Они, например, переходили по ссылке или
открывали зараженный файл. Более 25% распространялись через функцию AutoRun в
устройствах USB; 17% использовали AutoRun через сеть; и менее 4%
распространялись с помощью вирусов.
Все еще часты случаи использования поддельных антивирусов, также как и случаи
email мошенничества, фишинга и переупакованного вредоносного ПО на сайтах с
легальными программами. Фишинг-атаки, нацеленные на сайты социальных сетей,
достигли а апреле 84%, что составило половину всех фишинг-атак месяца, говорится
в отчете Microsoft.
Примерно 27 наиболее тяжелых угроз составили 83% от всех, удаленных
инструментами Microsoft за период январь-июнь 2011 года.
"Атак, совершенных с помощью AutoRun, несколько больше, чем я ожидал", -
сказал Джонс. "Обычно данные о таких атаках добавляются к другим векторам".
Многие атаки использовали старые баги. Менее половины всех атак, совершенных
за первую половину этого года, использовали уязвимости, обнаруженные в течение
предыдущего года. Большинство же из них использовали баги, патчи для которых
были доступны уже более года. "Компаниям нужно было позаботиться об этом и
закрыть уязвимости", - добавил он.
Джонс также сказал, что помимо важности применения обновлений как можно
скорее, переход на более новые платформы Windows и выбор ПО, использующего самые
последние методы защиты, могут значительно снизить вероятность атаки.
