Киберпреступники предпочитают покупать готовые эксплойты для масштабных атак, а не разрабатывать собственные.
Компания Skybox Security проанализировала уязвимости, эксплойты и угрозы в сфере кибербезопасности, зафиксированные в 2017 году. Результаты исследования подтверждают тезис о том, что злоумышленники стараются превратить зловреды в машины по зарабатыванию денег. Преступники идут по пути наименьшего сопротивления и чаще всего приобретают готовые эксплойты, чтобы атаковать максимальное количество жертв.
Как показал анализ, 76% выявленных зловредов использовали уязвимости в серверном программном обеспечении. Это на 17% больше, чем в прошлом году. Уменьшение количества эксплойтов, которые работают на стороне клиента, объясняется в первую очередь ростом популярности облачных технологий и ростом операций, выполняемых удаленно.
Большую часть атак приняли на себя программные продукты Microsoft — почти 40% зловредов использовали ошибки в системах этого вендора. В тройку наиболее уязвимых производителей вошли также Oracle и Cisco. Последняя забралась на третью строчку, и есть основания полагать, что она останется там какое-то время — продукты сетевого гиганта продолжают испытывать проблемы с безопасностью и в 2018 году.
Рынок эксплойт-китов сокращается. Авторы популярных наборов Angler, Neutrino и Nuclear не проявляют активности с 2016-го, а нового лидера в этом сегменте пока нет. Это не означает, что эпоха готовых к использованию зловредов прошла. Возможно, новые разработчики используют другую бизнес-модель и концентрируются на обслуживании узкой группы крупных клиентов.
Между тем общее количество обнаруженных образцов вредоносного ПО возросло за год на 60%. С минимальными исправлениями или вовсе без них такие программы могут применяться для масштабных кибератак. К примеру, эксплойт NSA EternalBlue от команды The Shadow Brokers, который использовали при распространении WannaCry, Retefe и NotPetya.
Промышленные системы — одна из главных целей IT-злоумышленников. Отчет зафиксировал 120-процентный рост уязвимостей в сфере операционных технологий, куда входят устройства для измерения и контроля, которые используются на производстве и в сфере энергетики. В первую очередь это связано со слабой прозрачностью инфраструктуры в области OT (operational technology).
«Операционные технологии часто недоступны для полноценного мониторинга, а значит, и для управления их кибербезопасностью, — отметила Марина Кидрон (Marina Kidron), старший аналитик и руководитель группы исследователей. — Даже когда уязвимость обнаружена, специалисты не всегда имеют возможность установить обновление из-за опасности нарушения технологических процессов и угрозы жизни людей».
Количество уязвимостей, зарегистрированных в 2017 году независимой базой данных MITRE, удвоилось. Немалую роль в этом сыграло увеличение числа исследований в сфере кибербезопасности со стороны вендоров и независимых специалистов. Поставщики программного и аппаратного обеспечения нередко предлагали вознаграждения за поиск ошибок в своих продуктах. Крупнейшие игроки рынка инициировали несколько bug bounty, а суммы премиальных показали устойчивый рост. Результатом совместных усилий стали сведения о 14 000 новых CVE.