Ботнеты - плацдарм современных кибератак

Ботнеты - плацдарм современных кибератак

Михаил Кондрашин, руководитель центра компетенций Trend Micro в России и СНГ

Вредоносный код еще актуален

За последние несколько лет из прессы практически исчезли громкие заголовки, предупреждающие о масштабных вирусных эпидемиях. Современный пользователь уже не сталкивается с вирусами, которые отображают на экране какие-либо спецэффекты, как во времена MS-DOS. Казалось бы, проблема вирусов осталась в прошлом, но на самом деле ситуация совершенно обратная. Угрозы со стороны вредоносного кода актуальны как никогда.

Основная причина - деньги. Современные вредоносные программы создаются с целью заработка денег. При таком подходе их создателям, разумеется, нет смысла демонстрировать какие-либо спецэффекты, выдавая тем самым свое присутствие в системе. Чем дольше об их программе никто знать не будет, тем большую прибыль она сможет принести.

Нужно отметить, что в мире киберпреступности уже сложился свой рынок услуг, который привел к специализации участников. Например, сейчас совсем не обязательно в случае успешной кражи реквизитов кредитных карточек пытаться самостоятельно снять с них деньги. Всю украденную базу можно оптом продать и больше не рисковать.

Что такое ботнет?

Несмотря на разгул киберпреступности в Интернете, слишком мало злоумышленников попадается в руки правосудия. Этому есть объяснение: ботнеты - основной плацдарм современных кибератак, который позволяет предпринимать любые незаконные действия в Интернете, практически ничем не рискуя.

Не стоит думать, что ботнеты -это гипотетическая угроза. По оценкам TrendLabs (Сеть глобальных центров по безопасности компании Trend Micro), 7% всех компьютеров в Интернете являются членами бот-нетов, которыми стать совсем несложно. Достаточно отключить антивирус и запускать подряд все приходящие по почте исполняемые файлы. К вечеру ваш компьютер будет членом нескольких ботнетов одновременно.

Борьба с этим явлением очень сложна. Одной из основных проблем является огромное количество вредоносных программ, которые ежедневно создают злоумышленники в погоне за наживой.

Антивирусные компании предлагают разные подходы, которые позволяют справиться с описанной угрозой. Один из самых инновационных подходов - это репутационные методы, предполагающие блокировку доступа к потенциально опасным ресурсам. Преимущества у этой методики два: отсутствие необходимости анализа вредоносного кода и про-активность подхода. Последний означает, что технология позволяет заблокировать доступ к ресурсу, на котором с очень большой вероятностью может быть вредоносный код. Оценивая характеристики домена за некоторый промежуток времени, можно точно сказать, насколько вероятно, что на нем установлен вредоносный сайт.

Внедрение репутационных сервисов в продукты для защиты домашних пользователей и корпоративных сетей позволит превентивно огородить от большинства угроз, которые сегодня могут быть связаны с использованием Интернета.

Борьба на уровне провайдеров

Кроме борьбы с угрозами на уровне конечных рабочих станций и интернет-шлюзов, есть другие подходы, которые могут быть реализованы только на уровне интернет-провайдеров.

Например, такая инициатива, как SecureCloud.com, позволяет существенно снизить влияние ботнетов на сети провайдеров и на обстановку в Интернете в целом. В частности, в рамках этой инициативы предлагаются средства, которые на уровне провайдеров позволяют блокировать коммуникацию между членами ботнета и центром их управления. Заблокированные члены ботнета абсолютно безвредны, так как они не участвуют ни в какой вредоносной деятельности, будь то рассылка спама или участие в DDoS-атаке.

Некоторые из упомянутых выше репутационных сервисов также могут использоваться провайдерами для чистки своих сетей. Для этого некоторые поставщики предлагают провайдерам специальный доступ, который позволяет сделать выборку из репутацион-ной базы и предоставить провайдеру картину происходящего в его сети. Это позволит применить соответствующие санкции против тех клиентов, которые поражены ботами.

Разумеется, что проблему киберпреступности нельзя искоренить только техническими средствами защиты. Тут важны и законодательная база, и эффективность взаимодействия спецслужб разных стран, и грамотное развитие ИТ в стране.

На самом высоком уровне в России безопасность пока ассоциируется с сертификацией средств защиты. Даже такие мировые лидеры антивирусного рынка, как Trend Micro, проводят сертификацию своих продуктов во ФСТЭК, несмотря на наличие признаваемых во всем мире сертификатов ICSA и многочисленных наград VB100%.