Вернуться на все новости от 27 октября 2009 г.

SANS о двух наибольших рисках для Web-безопасности

Согласно отчету, недавно опубликованному SANS Institute, изъяны в безопасности клиентского программного обеспечения и Web-приложений куда опаснее всех остальных видов уязвимостей. При этом предприятия не уделяют им должного внимания и вместо того, чтобы вкладывать средства с целью понизить данные риски, фокусируются на менее значимых аспектах безопасности.

Согласно отчету, недавно опубликованному SANS Institute, изъяны в безопасности клиентского программного обеспечения и Web-приложений куда опаснее всех остальных видов уязвимостей. При этом предприятия не уделяют им должного внимания и вместо того, чтобы вкладывать средства с целью понизить данные риски, фокусируются на менее значимых аспектах безопасности.

Анализ данных, полученных из нескольких тысяч организаций с марта по ноябрь этого года, позволяет авторам исследования утверждать, что предприятия не уделяют достаточного внимания сегодняшним рискам и подвергают свои информационные системы опасности, ограничиваясь пакетами обновлений операционных систем и другими устаревшими мерами по защите информационной безопасности. Данные о кибератаках были получены с использованием программного обеспечения компании TippingPoint, установленного на исследуемых сайтах, а данные об уязвимостях - с помощью сервисов сканирования компании Qualys.

Авторы исследования делают неожиданный вывод, что наибольшую угрозу для сетевой безопасности представляют уязвимости клиентского программного обеспечения, а вовсе не операционных систем, безопасность которых традиционно находится в поле зрения и к которым регулярно выпускаются пакеты обновлений. Как утверждается в отчете, большинство атак целевого фишинга (spear-phishing) как раз и использует уязвимости в широко распространенном программном обеспечении типа Adobe PDF Reader, QuickTime, Adobe Flash или Microsoft Office.

Согласно отчету, в большинстве крупных организаций устранение уязвимостей клиентского программного обеспечения затягивается по крайней мере вдвое больше, чем установка обновлений операционных систем. При этом угрозам с меньшими рисками присваивается более высокий приоритет.

По мнению исследователей из SANS, еще одним источником риска являются уязвимости Web-приложений, которые заслуживают самого пристального внимания сотрудников отделов информационной безопасности. Согласно отчету, 60% всех атак в Internet приходится на Web-приложения. Злоумышленники широко используют уязвимости Web-приложений, превращая добропорядочные сайты в источники эксплойтов - вредоносного программного кода, которые доставляются пользователю вместе с контентом и внедряются в его клиентское программное обеспечение.

Согласно результатам исследования, внедрения SQL-кода, межсайтовый скриптинг (Cross-Site Scripting), а также недостаточно хорошо защищенное заказное программное обеспечение составляют более 80% всех известных уязвимостей. Несмотря на массовый характер, который приобрели сетевые атаки, и доступность информации об основных видах уязвимостей, многие владельцы не производят тщательного тестирования своих сайтов на безопасность, становясь невольными пособниками киберпреступников в инфицировании компьютеров пользователей, доверяющих контенту таких сайтов.

Оба вида выявленных рисков при сложившейся ситуации, когда отделы безопасности не уделяют им должного внимания, создают благодатную почву для распространения киберинфекции. Наличие огромного числа кое-как защищенных Web-сайтов и приложений с дырами в безопасности делает возможным доставку вирусов через обычные браузеры. Достаточно пользователю зайти на такой с виду добропорядочный сайт, скачать или даже просто открыть документ, проиграть музыкальный или видеоконтент - и эксплойт уже проник на его компьютер, использовав дыру, возможно, не в самом браузере, но в модуле расширения для него.

Как отмечают авторы отчета, некоторые эксплойты даже не требуют, чтобы пользователи открывали документы. Достаточно просто зайти на инфицированный Web-сайт, и ПО пользователя подхватывает вирус. Зараженный компьютер затем используется для распространения киберинфекции на другие внутренние компьютеры и серверы, которые ошибочно считаются защищенными от неавторизованного доступа извне. Во многих случаях конечная цель злоумышленников - выкрасть у организации данные, которые могут представлять интерес, а также попутно установить программы для получения повторного доступа к системе.

Что касается уязвимостей операционных систем, то авторы делают вывод о том, что количество сетевых червей, действующих по удаленному принципу, за последнее время уменьшилось. Кроме Conficker/Downadup, за отчетный период не было обнаружено других червей для операционных систем. Однако количество атак, использующих уязвимость переполнения буфера в Windows, с июля по август возросло в три раза по сравнению с периодом с мая по июнь и составило 90% всех атак на эту операционную систему.

Авторы отмечают также увеличение количества атак, пытающихся использовать так называемые «уязвимости нулевого дня» (zero-day) - дыры, которые обнаруживают хакеры и для которых еще не выпущено исправлений или о которых ничего не известно соответствующим службам безопасности компаний. По данным многих независимых экспертов, за последние три года наблюдается значительное увеличение числа людей, занимающихся обнаружением таких уязвимостей. Некоторые уязвимости остаются неустраненными в течение двух лет.