SANS о приоритетах в сетевой защите

Согласно результатам совместного исследования о корпоративных рисках, сопряженных с использованием Интернета, организациям надлежит прежде всего уделять внимание латанию дыр в клиентском ПО и веб-приложениях.

В проведении исследования приняли участие специалисты Центра по сетевым угрозам (Internet Storm Center, ISC) института SANS, а также эксперты компаний-поставщиков решений в области сетевой безопасности — TippingPoint и Qualys. За основу были взяты данные о кибератаках за март-август и непропатченных уязвимостях, обнаруженных при обследовании 9 млн. компьютерных систем.

Оказалось, что в настоящее время главным объектом эксплуатации являются уязвимости в приложениях на стороне клиента, таких как Adobe PDF Reader, QuickTime, Adobe Flash и Microsoft Office. Во многих случаях целью злоумышленников является кража данных или инсталляция бэкдора.

Ситуацию усугубляют сами держатели корпоративных сетей, подчас не имеющие информации об истинном положении дел. По итогам исследования, патчи для операционных систем устанавливаются вдвое быстрее, чем «заплатки» для приложений. Однако за последние полгода, кроме Kido, другой массовой угрозы для ОС обнаружено не было, хотя в 90% атак, реализованных через брешь в Windows, злоумышленники использовали переполнение буфера (MS098-067) — излюбленную лазейку этого сетевого червя.

Свыше 60% попыток проникновения, зафиксированных в отчетный период, были ориентированы на эксплуатацию уязвимостей в веб-приложениях. В более чем 80% таких атак злоумышленники в качестве инструмента использовали SQL-инъекции или искали ошибки в механизме XSS. Исследователи отмечают, что, несмотря на широкое освещение случаев массового взлома и обилие информации об этих уязвимостях, большинство владельцев веб-сайтов плохо проверяют свои ресурсы на надежность, подвергая опасности их посетителей.

Что касается «уязвимостей нулевого дня», некоторые из них остаются непропатченными в течение двух лет. Этот результат обусловлен общей нехваткой квалифицированных кадров, работающих над выявлением узких мест в программном обеспечении.

В отчет также включены описания техники проведения кибератак, последствия которых могут нанести серьезный ущерб ресурсам и той критически важной информации, которая создается, обрабатывается, пересылается и хранится в корпоративных сетях.