© 2009 IBM Corporation Информационная безопасность: тенденции и риски. Отчет IBM X-Force® за 2009 год Олег Летаев, специалист по решениям IBM Security Solutions

© 2010 IBM Corporation The mission of the IBM X-Force ® research and development team is to: Исследовать и оценивать угрозы и способы защиты Предоставлять защиту от сегодняшних угроз Разрабатывать новые технологии для защиты от завтрашних угроз Распространять информацию в мировом сообществе Исследования X-Force 10млрд проанализированных web- страниц и изображений 150млн попыток вторжения ежедневно 40млн спам- и фишинговых атак 48тыс документированных уязвимостей Миллионы экземпляров вредоносного кода Целенаправленный анализ: Уязвимостей и атак Вредоносного кода Вредоносных/нежелательных web- сайтов Спама и фишинга Других новых тенденций X-Force R&D – Лидерство в области безопасности

© 2010 IBM Corporation Резюме отчета – атаки продолжаются по всем доменам безопасности Уязвимости формата PDF далеко превзошли Office. Преобладающее большинство атак на Web-приложения выполняется посредством специальных инструментальных средств. США – топ-хостер вредоносных web-линков. 6,601 новых уязвимостей в 2009, на 11% меньше, чем в 2008, в основном за счет сокращения числа новых уязвимостей в инъекциях SQL injection и Active X. 49% всех уязвимостей – уязвимости Web-приложений. 52% всех уязвимостей не имеют заплатки от производителя на конец 2009 года. Большая часть спама (80%) - это URL-спам. Количество URL-спама, приходящего с известных и доверенных доменов продолжает расти. 60.9% фишинга нацелено на финансовую отрасль, 20.4% - на государственные организации. 7.5 Интернета имеет социально неприемлемое, нежелательное или вредоносное содержание. Количество новых вредоносных web-линков увеличилось на 345% по сравнению с 2008.

© 2010 IBM Corporation Низковисящий фрукт пропадает: Количество новых уязвимостей сокращается Сокращение количества новых уязвимостей. Web applications continue to be the largest category of disclosure. SQL Injection and File Include, have declined. ActiveX controls which mostly impact client applications has also declined. Вторник – самый урожайный на уязвимости день недели. Соотношение по степени кртичности то же, что и в 2008.

© 2010 IBM Corporation Экономика киберпреступности Экономика играет значительную роль – важна прибыльность уязвимости Уязвимости веб-браузеров и PDF-ридеров просты в использовании и весьма прибыльны

© 2010 IBM Corporation Экономика киберпреступности Эволюция угроз: –Злоумышленники принимают во внимание ROI и постоянно совершенствуют свои инструменты, чтобы повторно использовать их для следующей волны атак –Для того чтобы правильно приоритезировать риски, необходимо принимать во внимание экономическую составляющую хакерства

© 2010 IBM Corporation Apple, Sun и Microsoft – лидеры по уязвимостям На первую десятку приходится почти четверть ( 23% ) уязвимостей, против 19% в Существенные изменения в рейтинге: Microsoft dropped from #1 to #3 after holding top spot since Adobe makes it's debut on the top ten list at number nine. Note: In 2009, web application vendors are not on the top ten list because we now only count vulnerabilities in the base platform. We are not including plug ins associated with Web application platform vulnerabilities because they are often not produced by the vendor themselves. Не стоит думать, что ПО от производителей, не попавших в этот список, безопасно!

© 2010 IBM Corporation На половину уязвимостей по-прежнему нет патчей Более половины ( 52% ) уязвимостей, обнаруженных в 2009 году, не имеют патча от производителя на конец года. 45% of vulnerabilities from 2006, 43% from 2007 and 50% from 2008 still have no patches available at the end of 2009.

© 2010 IBM Corporation Наиболее уязвимые операционные системы Во втором полугодии 2009 Linux и Microsoft рванули вверх, в отличие от Sun Solaris. BSD вытеснил с пятой позиции IBM AIX. Для критических и высококритических уязвимостей Microsoft 1, Apple 2.

© 2010 IBM Corporation Мотивация атакующего 2009 Получение доступа и Манипуляция данными Gain access remains the primary consequence of vulnerability exploitation. Approaching the 50% mark that was previously seen throughout 2006 and Data Manipulation took a plunge but still higher in comparison to 2006 and Bypass Security and Denial of Service is increasing. Вопросы: Уверены ли Вы, что злоумышленник не сможет получить доступ к вашим системам? Защищены ли Ваши конфиденциальные данные? IBM Security Offerings: IBM Security Network, Server and Endpoint Intrusion Detection and Prevention products and services IBM Web Application Security IBM Data Security products and services

© 2010 IBM Corporation Эффективность защиты: Опережая угрозы – Top Vulnerabilities of 2009 Top 61 Vulnerabilities 341Average days Ahead of the Threat 91Median days Ahead of the Threat 35Vulnerabilities Ahead of the Threat 57%Percentage of Top Vulnerabilities – Ahead of the Threat 9Protection released post announcement 17same day coverage

© 2010 IBM Corporation Уязвимости Web-приложений продолжают доминировать 49% of all vulnerabilities are Web application vulnerabilities. Cross-Site Scripting disclosures surpassed SQL injection to take the top spot. 67% of web application vulnerabilities had no patch available at the end of 2009.

© 2010 IBM Corporation Уязвимы плагины Web-приложений 81% of web application vulnerabilities affect plug-ins and not the base platform. 80% or more of the vulnerabilities affecting plug-ins for Apache and Joomla! had no patch.

© 2010 IBM Corporation Выводы из аудита реальных Web-приложений Доля уязвимостей, позволяющие подделку http-запросов (Cross-Site Request Forgery-CRSF) увеличилась с 22% в 2007 до 59% в Инъекции SQL сократились с 33% в 2007 до 18% в Межсайтовый скриптинг (Cross-Site Scripting-XSS) сократился с 83% в 2007 до 64% в Недостаточный контроль ввода – основная причина этих уязвимостей. Вероятность обнаружить такую страницу – почти 70%.

© 2010 IBM Corporation Преобладающие уязвимости Web-приложений в зависимости от отрасли CSRF уязвимости растут во всех отраслях. Самый высокий показатель в телекоме 74%, самый низкий в рознице и логистике 16%. Инъекции SQL чаще встречаются в ИТ ( 37% ), чем в финансовой отрасли ( 8% ). XSS в телекоме 95%, в финансовой отрасли 58%. Note: Charts show which vulnerabilities were 50% or more likely to appear in a Web assessment for each industry

© 2010 IBM Corporation Уязвимости на стороне клиента: документы и мультимедиа идут в гору Наибольшая доля клиентских уязвимостей затрагивает браузеры и их плагины. Уязвимости ридеров и мультимедиа превзошли ОС в 2009.

© 2010 IBM Corporation Уязвимости PDF-ридеров взлетают до небес Уязвимости Portable Document Format (PDF) доминируют в Уязвимости документов Microsoft Office сокращаются.

© 2010 IBM Corporation Злоумышленники используют продукты Adobe, чтобы запустить свой код 4 из 5 наиболее активно используемых атак нацелены на Adobe. Уязвимости браузеров и Active X уступили место PDF.

© 2010 IBM Corporation Плохие веб-страницы учатся обманывать фильтры 7.5% Интернета содержит нежелательный контент (порнография, криминал). Анонимные прокси-сервера позволяют скрыть целевой URL от веб-фильтра. Их количество увеличилось в 3 раза с 2007.

© 2010 IBM Corporation Количество подозрительных web-страниц и файлов растет Уровень техник маскировки (obfuscation) во вредоносном коде, распространяющемся через Интернет, растет. Специальные инструментальные средства позволяют включить вредоносный код в Adobe Flash и PDF. Adobe PDF files saw increases in obfuscation complexity throughout 2009.

© 2010 IBM Corporation Вредоносные web-линки выросли на 345% США и Китай лидируют как хостеры вредоносных линков. Все больше стран вступают в эту игру. Countries hosting at least one malicious link nearly doubled from 2008 to 2009

© 2010 IBM Corporation Web-сайты с вредоносными линками Профессионально плохие веб-сайты (порнография, азартные игры, наркотики) увеличили свою долю. Блоги и доски объявлений также увеличили свою долю.

© 2010 IBM Corporation Вредоносный код, использующий методы социальной инженерии, набирает обороты Социальные сети предоставляют злоумышленнику уникальную возможность распространять свой код способом, который непросто заблокировать. Например: Antivirus 2009 – ложный антивирусный продукт. Червь Koobface проникал через Facebook, Myspace и другие сайты. Троян Jahlav использовал Twitter, чтобы инфицировать пользователей Mac. Эти типы атак становятся все интенсивнее. Another upward trend is the use of software toolkits to deliver malware.

© 2010 IBM Corporation Zeus Crimeware Service Hosting for costs $50 for 3 months. This includes the following: # Fully set up ZeuS Trojan with configured FUD binary. # Log all information via internet explorer # Log all FTP connections # Steal banking data # Steal credit cards # Phish US, UK and RU banks # Host file override # All other ZeuS Trojan features # Fully set up MalKit with stats viewer inter graded. # 10 IE 4/5/6/7 exploits # 2 Firefox exploits # 1 Opera exploit We also host normal ZeuS clients for $10/month. This includes a fully set up zeus panel/configured binary Hosting for costs $50 for 3 months. This includes the following: # Fully set up ZeuS Trojan with configured FUD binary. # Log all information via internet explorer # Log all FTP connections # Steal banking data # Steal credit cards # Phish US, UK and RU banks # Host file override # All other ZeuS Trojan features # Fully set up MalKit with stats viewer inter graded. # 10 IE 4/5/6/7 exploits # 2 Firefox exploits # 1 Opera exploit We also host normal ZeuS clients for $10/month. This includes a fully set up zeus panel/configured binary

© 2010 IBM Corporation Спам продолжает видоизменяться, чтобы избежать обнаружения 80% спама – это URL spam. Спамеры продолжают использовать доверенные домены и легитимные ссылки. Бразилия, США и Индия – 30% спама в Во втором полугодии 2009 Вьетнам вышел на 2 место среди рассыльщиков спама.

© 2010 IBM Corporation HTML-спам возвращается Spam volume increased through Image-based spam declined in the second half of 2009 and HTML-based spam recovered.

© 2010 IBM Corporation Коммерческие спам-инструменты

© 2010 IBM Corporation Количество фишинговых атак значительно возросло По сравнению с 1 полугодием 2009 – фишеры вернулись. Изменились страны: Испания и Италия лидировали в 2008 и практически исчезли в Лидер – Бразилия, догоняют США, третье место - Россия. Top subject lines are back Top 10 subject lines represent more than 38% of all phishing s. In 2008 the top subject lines made up only 6.23%.

© 2010 IBM Corporation Фишинг направлен на финансовые и государственные организации 60.9% фишинга направлено на финансовые институты вместо 90% в Более 95% целей финансового фишинга находится в Северной Америке. During the 4 th quarter of 2009, 0.3% of all financial phishing s were targeted to Australia or New Zealand, making them bigger targets than all of Europe ( 0.2% ). 20.4% фишинга нацелено на государственные организации.

© 2010 IBM Corporation Инструменты фишинга Коммерческие доступные инструментальные средства позволяют даже новичку заняться этим бизнесом

© 2010 IBM Corporation 2009 X-Force Trend & Risk Report – Mapping to IBM Portfolio Area of RiskIBM Security Solutions Vulnerabilities - IBM Security Intrusion Prevention System (IPS) products: Network IPS, Server IPS, RealSecure Server Sensor, Desktop & Multifunction Security (MFS) - (Formerly IBM ISS Proventia products) - IBM Managed Protection Services for IPS - Tivoli Security Information and Event Manager (TSIEM) Web Application Vulnerabilities - Web application security for Network IPS, Server IPS and MFS - Managed Protection Services for IPS - Rational Appscan for assessment - IBM AppScan Source Edition - Rational Appscan Enterprise - Tivoli Security Information and Event Manager - Tivoli Security Policy Manager - IBM Secure Web Gateway Service PC Vulnerabilities including Malicious Web Exploits - IBM Security Intrusion Prevention System (IPS) product lines (see above list under vulnerabilities) - (Formerly IBM ISS Proventia products) - Managed Protection Services for IPS - Managed Security Services for Web Security Spam - IBM Lotus Protector/ Network Mail - IBM Multifunction Security (MFS) - Managed Security Services for Mail Security - IBM Security Content Analysis Software Development Kit (SDK) Unwanted Web Content - IBM Multifunction Security - Managed Security Services for Web Security - - IBM Secure Web Gateway Service Malware - IBM Desktop & Multifunction Security (MFS) - Managed Security Services for Mail and Web Security - IBM Lotus Protector/Network Mail

© 2010 IBM Corporation Задайте себе эти вопросы –Vulnerability Assessment IBM Rational AppScan Application Security Assessment Services Vulnerability Management Services IBM Security Network Enterprise Scanner –Превентивная защита при помощи IBM Protocol Analysis Module (PAM) во всех продуктах IBM Security. –IBM Web Application Security Bundle –IBM Secure Web Gateway Service –Технология Virtual Patch –Есть ли у Вас процедуры выявления уязвимостей во внедряемых (web-) приложениях? –Уверены ли вы в том, что в разрабатываемых у Вас (web-) приложениях вопросам безопасности уделяется должное внимание на всех стадиях разработки и жизненного цикла? –Как Вы противостоите уязвимостям, о которых Вы не знаете? –Как Вы защищаете уязвимости, на которые пока нет патча? Вопросы Решения IBM Security

© 2010 IBM Corporation X-Force Trend Reports The IBM X-Force Trend & Risk Reports provide statistical information about all aspects of threats that affect Internet security,. Find out more at X-Force Security Alerts and Advisories Only IBM X-Force can deliver preemptive security due to our unwavering commitment to research and development and 24/7 global attack monitoring. Find out more at X-Force Blogs and Feeds For a real-time update of Alerts, Advisories, and other security issues, subscribe to the X-Force RSS feeds. You can subscribe to the X-Force alerts and advisories feed at or the Frequency X Blog at For More IBM X-Force Security Leadership