По итогам оценки уязвимости ИТ-инфраструктур, проведенной компанией Trend Micro, оказалось, что корпорации, потратившие огромные средства и ресурсы на внедрение продуктов для обеспечения безопасности, защищены далеко не столь надежно, как полагают.
Участие в проверке уязвимости приняли компании из финансовой сферы, промышленности, здравоохранения, образования и государственного сектора, с численностью сотрудников в среднем 11 тыс. человек. Проверка рассчитана на две недели, в течение которых компания Trend Micro ведет мониторинг корпоративных средств защиты, анализируя способы, причины и источники возникновения угроз.
При оценке уязвимости во всех участвовавших в тестировании компаниях из Северной и Южной Америки, Европы и Азиатско-Тихоокеанского региона были обнаружены вредоносные программы и угрозы, которые проникли через существующие системы безопасности и находились в корпоративных сетях и конечных точках.
Всего в период с октября 2008-го по июнь 2009 г. компания Trend Micro выполнила более 100 процедур оценки уязвимости систем безопасности корпораций по всему миру со следующими результатами:
- системы 100% компаний были инфицированы активными вредоносными программами;
- в сетях 50% компаний была обнаружена хотя бы одна скрытая вредоносная программа, предназначенная для хищения данных;
- в 45% компаний обнаружено несколько программ для хищения данных;
- в 72% компаний обнаружен по крайней мере один бот IRC;
- в 50% компаний обнаружено четыре или более ботов IRC;
- в 83% компаний обнаружена по крайней мере одна вредоносная программа, загруженная из Интернета;
- в 60% компаний обнаружено более 20 вредоносных программ, загруженных из Интернета;
- в 35% компаний обнаружен хотя бы один сетевой червь.
В числе причин плохой работы систем безопасности Trend Micro называет следующие:
- пользователи зараженных мобильных устройств, которые подключаются к сети и выходят из нее, ставя под угрозу безопасность корпоративной сети;
- недостаточная защита удаленных офисов, нехватка технического персонала на местах, несоблюдение политик безопасности.
- распространение заведомо уязвимых технологий, таких как P2P, системы обмена файлами, потоковая трансляция мультимедиа и обмен мгновенными сообщениями;
- конечные точки без должного управления и устранения недостатков, например устаревшие системы, ноутбуки подрядчиков и посетителей, устройства USB и другие переносные устройства, а также системы хранения данных.
В процессе оценки уязвимости Trend Micro использует внешнее устройство для наблюдения за работой сети без внедрения в нее. Устройство устанавливается на сетевом уровне на центральном коммутаторе и отслеживает потоки данных, обнаруживая деятельность активных вредоносных программ, например ботнетов. Оно также анализирует входящие электронные сообщения и потоки данных из Интернета и фиксирует инфицированные сообщения и подозрительные сайты.
Полученные потоки данных анализируются при помощи систем сканирования Trend Micro, а также Trend Micro Smart Protection Network — облачной архитектуры нового поколения, которая блокирует вирусы, программы-шпионы, нежелательные сообщения и атаки из Интернета еще до того, как они проникнут в корпоративную сеть.