Записи с меткой «IT»

https://i2.wp.com/www.blackberrys.ru/upload/2011/02/KasperskyLab_logo10.jpg

новости от «Лаборатории Касперского»

«Лаборатория Касперского» третий раз подряд получает статус «Лидера» в Магическом квадранте компании Gartner в категории Endpoint Protection Platforms (решения для защиты конечных устройств)*. Этот факт, а также улучшение позиций компании в категории «стратегическое видение» (“completeness of vision”) подтверждают значимое положение «Лаборатории Касперского» на мировом рынке в качестве одного из ведущих производителей защитного ПО.

Магический квадрант аналитической компании Gartner строится на основе ежегодного исследования рынка защитного ПО для конечных устройств и комплексного анализа продуктов 18 различных вендоров, работающих в этом сегменте. Магический квадрант — один из наиболее авторитетных источников информации для компаний, желающих оценить производителей и решения в области корпоративной IT-безопасности. Данные из ежегодного отчета Gartner могут сыграть существенную роль при принятии организацией решения о покупке защитного ПО.

Аналитики Gartner оценивают вендоров по двум категориям: «стратегическое видение» (“completeness of vision”) и «эффективность реализации» (“ability to execute”). «Стратегическое видение» предусматривает 8 оценочных критериев: понимание рынка, маркетинговая стратегия, стратегия продаж, стратегия предложения, бизнес-модель, стратегия в индустрии, инновации и геостратегия. «Эффективность реализации» учитывает такие факторы, как общая рентабельность производителя, гибкость реагирования на требования рынка, бизнес-операции, осуществление продаж и ценообразование, реализация маркетинговой стратегии и взаимодействие с клиентами.

По итогам анализа вендоры-участники Магического квадранта Gartner попадают в одну из четырех групп: «Лидеры» (“Leaders”), «Претенденты» (“Challengers”), «Визионеры» (“Visionaries”) или «Нишевые игроки» (“Niche Players”). Статус «Лидера» свидетельствует о том, что производитель демонстрирует стабильный прогресс как в стратегии, так и в ее реализации. Более того, достижения такого вендора в защите от вредоносного ПО, сохранности данных и разработке инструментов для управления информационной безопасностью поднимают стандарты качества для других производителей и задают направление для развития всей индустрии.

«Создавая комплексные защитные решения для наших клиентов, мы стремимся сделать киберпространство безопасным. И статус «Лидера» в Магическом квадранте Gartner говорит о том, что мы на верном пути. Это достижение, которым мы гордимся, служит подтверждением того, что наша долгосрочная стратегия по инвестированию в технологии и экспертизу продолжает приносить свои плоды», — комментирует результаты аналитического отчета Gartner Николай Гребенников, директор по исследованиям и разработке «Лаборатории Касперского».

Флагманский продукт «Лаборатории Касперского» для защиты корпоративной сети — Kaspersky Security для бизнеса — получил высокую оценку со стороны клиентов и IT-лидеров как решение, которое не только быстро распознает угрозы и обеспечивает надежную защиту от них, но также содержит многочисленные инструменты для контроля за безопасностью корпоративной IT-инфраструктуры. Среди них — инструменты для выявления уязвимостей и управления обновлениями ПО, средства управления и контроля за приложениями, мобильными устройствами и функция шифрования дисков и файлов с интерфейсом аутентификации до загрузки операционной системы (preboot authentification).

С отчетом Gartner и Магическим квадрантом в категории Endpoint Protection Platforms можно ознакомиться на сайте аналитической компании: www.gartner.com/technology/reprints.do?id=1-1PJIOBM&ct=140114&st=sb.


*Gartner, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, John Girard, Neil MacDonald, January 8, 2014.


О Магическом квадранте Gartner

Данные, публикуемые компанией Gartner, не являются рекомендацией в отношении каких бы то ни было производителей, продуктов или услуг и не могут рассматриваться в качестве совета выбирать поставщиков с наибольшим рейтингом. Аналитические публикации Gartner основаны на мнениях экспертов компании и не могут считаться констатацией фактов. Gartner не дает никаких гарантий, выраженных в явной или подразумеваемой форме, в отношении публикуемых данных, в том числе гарантий коммерческого качества или пригодности для определенных целей.

О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса Endpoint Security*. Вот уже более шестнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.


*Компания заняла четвертое место в рейтинге аналитического агентства IDC «Выручка вендоров от продажи решений класса Endpoint Security» (Worldwide Endpoint Security Revenue by Vendor) за 2012 год. Рейтинг был включен в отчет IDC «Прогноз развития мирового рынка решений класса Endpoint Security на 2013-2017 гг. и доли вендоров в 2012 г.» (Worldwide Endpoint Security 2013—2017 Forecast and 2012 Vendor Shares), опубликованный в августе 2013 года (IDC #242618). В основу рейтинга легли данные о выручке от продаж решений класса Endpoint Security в 2012 году.

Реклама

новости от «Лаборатории Касперского»

Kaspersky Lab News Agent <news@kaspersky.com> <news@kaspersky.com>
https://i0.wp.com/www.antivirussales.com/store/image/cache/data/Kaspersky-Endpoint-Security-Business-Advanced-500x500.png

Администрация города Томска обеспечена защитой от всего спектра актуальных компьютерных угроз по результатам поставки комплексного решения Kaspersky Security Endpoint для бизнеса. Также благодаря дополнительному модулю Kaspersky Security для виртуальных сред будет настроена безопасность серверов виртуальной IT-инфраструктуры.

Защитное решение «Лаборатории Касперского» будет поставлено в ряд муниципальных организаций. Исполнителем проекта стала компания Softline, обладающая статусом Kaspersky Enterprise Partner и предложившая заказчику наиболее выгодные условия с точки зрения цены, сроков поставки и качества сервиса.

В силу того, что данные организации не располагают выделенным штатом IT-специалистов, одним из важных требований к системе безопасности наравне с качеством защиты была простота ее настройки и удобство использования.

«Далеко не все работники нашей администрации разбираются в области IT и тем более во всем разнообразии угроз, с которыми они могут встречаться буквально каждый день. Работа администрации во многих своих процессах автоматизирована и очень зависит от корректного функционирования компьютерной инфраструктуры, — рассказывает Павел Маляр, начальник отдела администрирования и защиты информации. — Поэтому мы продолжаем отдавать свое предпочтение легкому в использовании комплексному решению от «Лаборатории Касперского», обеспечивающему прозрачную защиту от широчайшего набора угроз, мощный функционал которого удобно интегрирован в единую консоль управления безопасностью».

«Разрабатывая передовые технологии защиты, мы понимаем, что они имеют практическую эффективность только в совокупности с простотой использования. Во многом высокий уровень обеспечения информационной безопасности достигается благодаря продуманной интеграции средств защиты и удобству их управления. Мы осознаем, что одних передовых технологий, какими бы совершенными они ни были, недостаточно, и именно поэтому тратим много ресурсов для соединения их в целостную систему с прозрачным управлением. Администратор безопасности с помощью нашей единой консоли получает возможность наглядного управления защитой рабочих станций, мобильных устройств, почтовых серверов и всей остальной инфраструктуры, включая виртуальные среды», — отметил Сергей Земков, управляющий директор «Лаборатории Касперского» в России.

Платформа «Лаборатории Касперского» для комплексной защиты корпоративных сетей Kaspersky Security для бизнеса обеспечивает безопасность каждого элемента распределенной IT-инфраструктуры, блокируя широкий спектр угроз и уделяя особое внимание самым актуальным из них. Вошедшие в решение технологии «Лаборатории Касперского» обеспечивают многоуровневую защиту систем и важных бизнес-данных от современных киберугроз. Благодаря сочетанию сигнатурных, проактивных и облачных технологий обнаружения угроз, а также функциям защиты от сетевых атак и сетевому экрану Kaspersky Security для бизнеса предоставляет богатые возможности для обеспечения безопасности предприятий. Решение гарантирует сохранность конфиденциальной информации, доступность критически важных объектов и безопасный доступ пользователей к сетевым ресурсам. При этом помимо полноценной защиты рабочих станций и серверов, комплексное решение «Лаборатории Касперского» для бизнеса позволяет контролировать мобильные устройства любой платформы, предоставляет механизмы защиты виртуальных сред и прозрачного шифрования наиболее важной информации, а также помогает IT-специалистам управлять удаленным доступом к корпоративной сети.

О компании «Softline»

Softline — международная компания в области лицензирования программного обеспечения и предоставления полного спектра IT-услуг — технической поддержки, IT-аутсорсинга, обучения, юридической поддержки, консалтинга, облачных решений. Компания Softline работает на рынке информационных технологий с 1993 года, и сегодня является лидирующей компания на рынке IT-решений и полного спектра услуг по построению, оптимизации, поддержке, развитию IT-инфраструктуры заказчика. Компания является авторизованным поставщиком более 3000 производителей ПО и имеет высшие статусы партнерства мировых лидеров IT-индустрии. В настоящее время Softline имеет представительства в 68 городах 25 стран мира.

О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса EndpointSecurity*. Вот уже более пятнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для домашних пользователей, предприятий малого и среднего бизнеса и крупных корпораций. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.


*Компания заняла четвертое место в рейтинге аналитического агентства IDC «Выручка вендоров от продажи решений класса Endpoint Security» (Worldwide Endpoint Security Revenue by Vendor) за 2011 год. Рейтинг был включен в отчет IDC «Прогноз развития мирового рынка решений класса Endpoint Security на 2012-2016 гг. и доли вендоров в 2011 г.» (Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares), опубликованный в июле 2012 года (IDC #235930). В основу рейтинга легли данные о выручке от продажи решений класса Endpoint Security в 2011 году.

«Лаборатория Касперского» рада сообщить о продолжении сотрудничества с фармацевтической группой компаний «ПРОТЕК», в состав которой входит одна из крупнейших в России аптечных сетей «Ригла». По итогам поставки новых лицензий решений «Лаборатории Касперского» один из крупнейших дистрибьюторов фармпрепаратов получил комплексную защиту своей корпоративной сети от всех видов современных вредоносных программ. Поставка лицензий была реализована совместно с  партнером «Лаборатории Касперского» — компанией ARinteg.

Группа компаний «ПРОТЕК» работает во всех основных сегментах отрасли: производстве лекарственных средств, дистрибуции фармацевтических препаратов и товаров для красоты и здоровья, а также розничных продажах. «ПРОТЕК» поставляет лекарства во все 83 региона РФ, а общее число сотрудников группы составляет более 12 тысяч человек.

Технологии проактивной защиты, применяемые в решениях «Лаборатории Касперского», позволяют обеспечивать безопасность корпоративной сети и данных группы «ПРОТЕК» даже от новых, неизвестных вирусов и угроз. А новейшие антиспам-технологии обеспечивают не только фильтрацию входящего трафика с целью выявления фишинговых писем и другой нежелательной корреспонденции, но также осуществляют проверку исходящего трафика на предмет возможной массовой рассылки вредоносного кода.

«Наши комплексные решения для бизнеса способны обеспечивать высокий уровень защиты от угроз, в первую очередь, благодаря возможности управления системой IT-безопасности посредством единой консоли. Это особенно критично для организаций, имеющих широкую филиальную сеть и нуждающихся в интегрированных централизованных решениях для информационной безопасности. История нашего сотрудничества с группой «ПРОТЕК» — наглядное тому подтверждение», — отметил Сергей Земков, управляющий директор «Лаборатории Касперского» в России.

Платформа «Лаборатории Касперского» для комплексной защиты корпоративной сети Kaspersky Security для бизнеса включает в себя множество новейших инструментов и технологий для защиты каждого элемента IT-инфраструктуры, обеспечивая сохранность конфиденциальной информации и безопасный доступ пользователей к сетевым ресурсам. Помимо полноценной защиты рабочих станций и серверов, комплексное решение «Лаборатории Касперского» для бизнеса позволяет контролировать и защищать мобильные устройства любой платформы, предоставляет возможность прозрачного шифрования наиболее важной информации и помогает IT-специалистам управлять удаленным доступом к корпоративной сети. В результате IT-персонал получает максимально удобные инструменты для построения эффективной системы защиты, управляемые посредством единой консоли.

О группе «ПРОТЕК» и «Ригла»

Группа компаний «ПРОТЕК» — одна из крупнейших фармацевтических компаний России. ЦВ «ПРОТЕК» — крупнейший российский национальный дистрибьютор фармпрепаратов и товаров для красоты и здоровья. Работает на фармацевтическом рынке России с 1990 г. По итогам 2012 г. ЦВ «ПРОТЕК» занимает первое место в рейтинге фармацевтических дистрибьюторов по доле на рынке (источник: DSM Group).

Аптечная сеть «Ригла» представляет розничный бизнес группы «ПРОТЕК». Компания занимает первое место в рейтинге крупнейших аптечных сетей России по доле рынка (источник: DSM Group). По результатам 2012 г. сеть насчитывает 805 аптек в 27 регионах России. Компания развивает два формата аптек: фарммаркеты «Ригла» и дискаунтеры «Будь здоров!». Более подробная информация о деятельности группы «ПРОТЕК» представлена на сайте www.protek-group.ru.

О компании ARinteg

ARinteg (зарегистрированная торговая марка ООО «Антивирусные Решения») является одним из ведущих игроков на российском интеграционном рынке. Компания предоставляет своим заказчикам полный комплекс услуг в области защиты информационных ресурсов и широкий спектр других ИТ-сервисов. Предложения компании ARinteg направлены на максимально полное удовлетворение потребностей современного бизнеса в эффективных, надежных и гибких информационных системах, способных решать актуальные задачи. Подробнее о деятельности компании можно узнать на официальном сайте www.arinteg.ru.О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса EndpointSecurity*. Вот уже более пятнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для домашних пользователей, предприятий малого и среднего бизнеса и крупных корпораций. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.


*Компания заняла четвертое место в рейтинге аналитического агентства IDC «Выручка вендоров от продажи решений класса Endpoint Security» (Worldwide Endpoint Security Revenue by Vendor) за 2011 год. Рейтинг был включен в отчет IDC «Прогноз развития мирового рынка решений класса Endpoint Security на 2012-2016 гг. и доли вендоров в 2011 г.» (Worldwide Endpoint Security 2012—2016 Forecast and 2011 Vendor Shares), опубликованный в июле 2012 года (IDC #235930). В основу рейтинга легли данные о выручке от продажи решений класса Endpoint Security в 2011 году.

 

Бизнес без защиты: 26% российских компаний не используют антивирус

The World Leader in Information Security Software, Providing Cutting AntiVirus Computer Protection Against All Major Cyber Threats, Viruses, Hackers and Spam. The Kaspersky Lab Global Network Consists of 8 Regional Offices and Technology Channel Partners In Over 50 Countries Worldwide. Kaspersky Labs, Protecting PCs, PDAs, and Networks since 1997, Based In Moscow Russia.
Всего 74% российских компаний применяют антивирусные решения для защиты
от вредоносного ПО. Как показало исследование
(http://www.kaspersky.ru/business-security/2013-global-corporate-it-security-survey?icid=b2b_bnr_hp_itsecurity),
проведенное «Лабораторией Касперского» совместно с
аналитической компанией B2B International*, антивирусная защита —
наиболее распространенная мера для обеспечения информационной
безопасности IT-инфраструктуры в корпоративном секторе. Вместе с тем,
26% компаний по-прежнему не используют этот вид базовой защиты. Для
сравнения, в прошлом году этот показатель составлял 30%.

Исследование показывает, что на фоне взрывного роста киберугроз, от
которых компании защищаются простыми антивирусами, российский бизнес
начинает все чаще использовать комплексные инструменты защиты. Во многом
по этой причине на 7% увеличилось применение средств шифрования данных
на съемных носителях (24%). Кроме того, компании стали охотнее
разграничивать политики безопасности для съемных устройств. Возросло и
разграничение уровня доступа к различным участкам IT-инфраструктуры
(49%). Примечательно, что компании малого и среднего бизнеса уделяют
большее внимание контролю съемных устройств (35%) и контролю приложений
(31%).

Несмотря на постоянное обнаружение новых уязвимостей в ПО российские
компании все еще не уделяют должного внимания регулярному обновлению
программного обеспечения. Более того, количество организаций,
занимающихся установкой исправлений (патчей), снизилось по сравнению с
прошлым годом, и составило всего лишь 59%.

Компании стали предпринимать дополнительные меры безопасности, которые в
прошлом году либо применялись нечасто, либо вовсе не использовались. К
таким мерам относятся: контроль съемных устройств, контроль приложений,
шифрование файлов и папок, а также антивирусная защита мобильных
устройств. (http://www.kaspersky.ru/images/news/grafik2.png)Применяемые российскими компаниями
методы защиты

«Российские компании все больше внимания уделяют защите от
киберугроз. Многие, на собственном опыте убедившись в высокой стоимости
одного инцидента информационной безопасности, переориентируются на
комплексную превентивную защиту, — комментирует Владимир Удалов,
руководитель направления корпоративных продуктов в странах развивающихся
рынков «Лаборатории Касперского». — В силу некоторой
инертности корпоративного сектора процесс идет медленнее в сравнении с
ростом количества угроз. Так, антивирусами стали пользоваться на 4%
больше компаний, чем в прошлом году. А количество детектируемых
ежедневно новых образцов вредоносных программ стало в два раза больше
200 000 образцов в день».

Для обеспечения безопасности IT-инфраструктуры «Лаборатория
Касперского» предлагает линейку продуктов Kaspersky Security для
бизнеса (http://www.kaspersky.ru/business-security), которая
предназначена для комплексной защиты всех узлов сети. Используемые в
продукте сочетание различных методов обнаружения угроз, таких как
сигнатурный анализ, проактивные методы защиты на основе анализа
поведения вредоносных программ, а также облачные технологии, позволяет
эффективнее обнаруживать вредоносное ПО и обеспечивает защиту даже от
новых и еще не известных угроз.

Подробнее ознакомиться с результатами исследования «Информационная
безопасность бизнеса» можно по ссылке:
http://www.kaspersky.ru/business-security/2013-global-corporate-it-security-survey?icid=b2b_bnr_hp_itsecurity
(http://www.kaspersky.ru/business-security/2013-global-corporate-it-security-survey?icid=b2b_bnr_hp_itsecurity).

*Исследование «Информационная безопасность бизнеса»,
проведенное «Лабораторией Касперского» и B2B International в
2013 году. В исследовании приняли участие более 2895 IT-специалистов из
24 стран мира, включая Россию.

Хорошо забытое старое: многие крупные компании подвержены прошлогодним угрозам

Эксперты «Лаборатории Касперского» и частной
компании-аудитора Outpost24 осуществили проверку ряда европейских
организаций с целью выявления незакрытых уязвимостей для оценки общего
уровня IT-безопасности. Как показали результаты анализа, несмотря на
рост числа атак «нулевого дня» злоумышленники до сих пор
широко используют известные уязвимости. Это объяснимо: в среднем
компаниям требуется 60-70 дней для закрытия «бреши» в защите
— достаточно длительный срок, чтобы атакующие смогли ею
воспользоваться. Также исследование показало, что киберпреступникам
необязательно взламывать саму систему безопасности — достаточно
сосредоточиться на управляющих ею сотрудниках.

Как правило, в компаниях выделяется срок в 3 месяца для устранения
серьезных уязвимостей. Однако, по данным Outpost24, 77% угроз, которые
не были обезврежены в положенное время, присутствовали в сети целый год
после их обнаружения. Команда «Лаборатории Касперского» и
Outpost24 в своем совместном исследовании столкнулась с уязвимостями
2010-го года, а также системами, которые были открыты ряду угроз в
течение последних 3 лет. Такое положение особенно критично, учитывая
простоту использования старых уязвимостей и масштаб возможных
последствий. Стоит отметить, что были выявлены некоторые корпоративные
системы, о защите которых не заботились в течение десятка лет, несмотря
на то, что руководство выделяло денежные средства на услуги мониторинга
безопасности.

По завершении сбора информации с командой Outpost24, эксперт
«Лаборатории Касперского» Дэвид Джэкоби решил провести
дополнительный эксперимент с целью выяснить, насколько легко подключить
USB-носитель к компьютерам в государственных учреждениях, отелях и
частных компаниях. Одетый в деловой костюм Дэвид просил секретарей 11
организаций распечатать свое резюме в формате PDF со своей флешки для
встречи, назначенной в совершенно другом месте. В выборку попали отели
из разных сетей, государственные учреждения и пара крупных частных
компаний. В 2 из 3 отелей отказались подсоединить USB-носитель. В
частных компаниях также ответили отказом, тогда как в 4 из 6
государственных организаций согласились помочь. При этом в 2 случаях
подключить USB-устройство оказалось невозможно, но служащий предложил
переслать данные по электронной почте, предоставляя тем самым широкие
возможности использования уязвимостей в программах, работающих с
форматом PDF.

«Результаты проведенного нами аудита безопасности актуальны для
компаний всех стран, так как везде существует временной промежуток между
обнаружением уязвимости и ее устранением. Эксперимент с USB-носителем
— еще один повод задуматься всем тем, кто ищет защиту от
«угроз будущего». Он показал, что бессмысленно гнаться за
одними только технологиями без обучения сотрудников. Что удивительно, в
отелях и частных компаниях гораздо лучше осведомлены об угрозах, нежели
в государственных учреждениях — это серьезная проблема,
открывающая доступ к персональным данным граждан», —
прокомментировал Дэвид Джэкоби, эксперт «Лаборатории
Касперского».

С полным отчетом по результатам исследования можно ознакомиться по
ссылке:
www.securelist.com/ru/blog/207768946/Breshi_v_bezopasnosti_novyy_vzglyad_na_starye_uyazvimosti.

Большие угрозы для небольших компаний

«Лаборатория Касперского» провела в Казани
пресс-конференцию, в ходе которой рассказала о современных угрозах для
бизнеса и представила результаты последнего исследования
(http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf),
проведенного совместно с аналитической компанией B2B International* в
2013 году.

Так, по данным исследования, в течение года IT-инфраструктура 95%
российских организаций как минимум один раз подверглась внешней
кибератаке. При этом сами компании больше всего опасаются атак с помощью
вредоносного ПО — такую угрозу отметил 71% представителей
компаний. Эти опасения не безосновательны: почти в четверти случаев
(24%) подобная атака приводит к утечке информации.

Любопытно, что в регионах атаки с использованием вредоносного ПО
отмечаются чаще: о данной угрозе говорили 74% респондентов (для
сравнения, в Москве этот показатель самый низкий — 69%). Также
региональные компании чаще беспокоят фишинговые атаки и кража
оборудования.

Набирающая обороты тенденция использования мобильных устройств для
работы не может не сказываться на безопасности: 95% респондентов
сообщили о том, что в их компаниях был зарегистрирован как минимум один
инцидент информационной безопасности, связанный с использованием
смартфонов и планшетов.

Для среднего и малого бизнеса перечисленные угрозы представляют более
значительную опасность — в результате подобных атак СМБ-компании
теряют данные чаще, чем крупные организации. Если же обратиться к оценке
стоимости успешной атаки, то средний размер ущерба в результате одного
инцидента можно оценить в 14 тыс. долларов для малых и средних компаний
и 695 тыс. долларов для крупных российских организаций.

«Хотя российские компании стали уделять информационной
безопасности больше внимания, они все же сильно недооценивают темпы
развития киберугроз сегодня. Мы регистрируем 200 000 образцов
нового вредоносного кода ежедневно, злоумышленники и их инструменты
становятся все сложнее и хитрее, — рассказал на пресс-конференции
в Казани Сергей Ложкин, антивирусный эксперт «Лаборатории
Касперского». — Транснациональные корпорации и целые
государства ведут свои кибервойны, создавая оружие, которое невозможно
контролировать и которое как эпидемия поражает большое количество жертв,
при этом для небольших компаний, случайно попадающих под удар,
последствия оказываются гораздо более тяжелыми».

По данным «Лаборатории Касперского», в Республике Татарстан
в 2013 году каждый второй пользователь (50,3%) подвергся кибератаке.
Так, за год было зарегистрировано 3 200 000 уникальных ссылок,
которые содержали вредоносный код. Больше всего с киберугрозами
сталкиваются пользователи Казани. (http://www.kaspersky.ru/images/news/grafik3.png)

Для снижения рисков потерь от кибератак компаниям необходимо соблюдать
как минимум базовые правила: следить за обновлением используемых
программ, разграничивать права для пользователей, ввести практику
использования сложных паролей, применять лицензионный антивирус,
осуществлять централизованный контроль сети. Не стоит забывать и про
человеческий фактор: сотрудники компании должны знать простейшие правила
безопасной работы с IT-системами, в том числе с мобильными устройствами,
количество атак на которые стремительно растет.

Для профессиональной защиты корпоративных сетей «Лаборатория
Касперского» создала комплексный продукт Kaspersky Security для
бизнеса
(http://www.kaspersky.ru/business-security?icid=b2b_bnr_hp_MCcar). Для
небольших компаний производитель предлагает решение Kaspersky Small
Office Security (http://www.kaspersky.ru/small-office-security), на
которое сейчас действует специальная акция.
(http://www.kaspersky.ru/nagrada)

Подробнее ознакомиться с результатами исследования «Информационная
безопасность бизнеса» можно по ссылке:
http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf
(http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf).

*Исследование «Информационная безопасность бизнеса»,
проведенное «Лабораторией Касперского» и B2B International в
2013 году. В исследовании приняли участие более 2895 IT-специалистов из
24 стран мира, включая Россию.

Зона риска: российский бизнес недооценивает новые киберугрозы

Абсолютное большинство российских компаний недооценивают масштабы
современных киберугроз. По данным «Лаборатории Касперского»,
ежедневно в Сети появляется около 200 тыс. новых образцов вредоносного
ПО. Как показало исследование
(http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf),
проведенное производителем защитных решений совместно с аналитической
компанией B2B International*, близкую к этой цифре оценку дали лишь 4%
респондентов, в то время как около 95% существенно ошиблись в оценке в
меньшую сторону.

В этом отношении сотрудники российских компаний повторяют ошибку своих
зарубежных коллег: лишь 6% участников глобального опроса верно
определили среднестатистическое количество ежедневно появляющегося
нового вредоносного кода. Любопытно, что среди российских
IT-специалистов никто не переоценил угрозу, в то время как в других
странах 4% опрошенных существенно завысили показатель.

СМБ-компании оценивают масштаб киберугроз более легкомысленно, чем
крупный бизнес: в 33% небольших предприятий ошибочно полагают, что
ежедневно появляется менее 1 000 образцов уникального вредоносного кода,
и лишь 2% назвали правильный диапазон — от 100 000 до
250 000.

Адекватная оценка уровня угроз может оказать серьезное влияние на
решения, которые компания принимает при выборе средств для защиты своей
IT-инфраструктуры.

«Это тенденция высокого темпа роста новых угроз негативно
сочетается с недостаточной защищенностью: так, многие небольшие компании
до сих пор пользуются либо нелицензионным либо бесплатным защитным ПО,
базы которого обновляются намного медленнее полноценных решений, —
рассказывает Владимир Удалов, руководитель направления корпоративных
продуктов в странах развивающихся рынков «Лаборатории
Касперского». — Такой разрыв приводит, в том числе, к тому,
что за год практически ни одной компании не удается избежать утечек
данных из-за инцидентов информационной безопасности, что еще раз
напоминает нам о необходимости базовой антивирусной защиты».

Для обеспечения безопасности IT-инфраструктуры (включая антивирусную
защиту) «Лаборатория Касперского» предлагает линейку
продуктов Kaspersky Security для бизнеса
(http://www.kaspersky.ru/business-security), который предназначен для
защиты всех узлов сети. Используемые в продукте методы обнаружения на
основе сигнатур, проактивные методы защиты на основе анализа поведения
вредоносных программ, а также облачные технологии намного эффективнее
обнаруживают вредоносные программы и защищают даже от новых и еще не
известных угроз.

Подробнее ознакомиться с результатами исследования «Информационная
безопасность бизнеса» можно по ссылке:
http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf
(http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf)
*Исследование «Информационная безопасность бизнеса»,
проведенное «Лабораторией Касперского» и B2B International в
2013 году. В исследовании приняли участие более 2895 IT-специалистов из
24 стран мира, включая Россию.

Недооцененная угроза: более половины компаний не контролируют используемые сотрудниками программы и устройства

Большинство компаний не уделяют должного внимания тому, какие программы
и устройства используются внутри их корпоративных сетей. К такому выводу
пришли эксперты «Лаборатории Касперского» и независимой
компании B2B International в ходе совместного исследования, проведенного
в конце 2012 года 1 . По результатам анализа выяснилось, что 57%
компаний не применяют специальные средства контроля программ, а 56% не
следят за подключением внешних устройств.

Между тем, киберпреступники используют множество уловок для заражения
систем. Так, например, вредоносное ПО может встраиваться в популярную
программу, и любой сотрудник компании, который запустит ее в
корпоративной среде, поставит под угрозу всю IT-инфраструктуру компании.
Для предотвращения подобных происшествий должны применяться специальные
политики IT-безопасности, контролирующие установку и запуск программ в
корпоративной сети. Но, как показало совместное исследование B2B
International и «Лаборатории Касперского», 17% компаний либо
не знают о технологиях, позволяющих контролировать использование
программ, либо не заинтересованы в их использовании.

Схожая ситуация складывается и с контролем использования внешних
устройств, в частности, носителей информации: лишь 44% компаний уделяют
этому достаточно внимания и используют соответствующие инструменты, в то
время как 17% не знают о средствах контроля устройств или не
заинтересованы в их использовании. Тем временем, локальные угрозы,
например, вредоносные программы, которые распространяется через внешние
устройства, все еще более чем актуальны: только за 2012 год защитные
решения «Лаборатории Касперского» предотвратили более 3
млрд. локальных попыток заражения компьютера. Предоставление сотрудникам
полной свободы в отношении подключения внешних устройств также повышает
риск утечки информации.

«Использование инструментов контроля крайне важно для любого
бизнеса. Так, ограничение на установку программ обеспечивает
дополнительную защиту от вредоносного ПО и повышает продуктивность
сотрудников. Контроль использования внешних устройств в корпоративной
сети предотвращает несанкционированное подключение устройств, уменьшает
вероятность утечки данных, а также помогает предотвратить заражение
рабочих станций с внешнего носителя», — отметил Владимир
Удалов, руководитель направления корпоративных продуктов в странах
развивающихся рынков «Лаборатории Касперского».

Единая платформа для обеспечения безопасности Kaspersky Security для
бизнеса включает инструменты контроля программ и внешних устройств. Их
использование позволяет компаниям формировать эффективные политики
IT-безопасности, исключая возможность заражения корпоративной сети через
сторонние программы или съемные носители информации. Политики контроля
легко настраиваются и имеют централизованное управление, что позволяет
применять их сразу на всех рабочих станциях компании. 1 Международное
исследование «Лаборатории Касперского» и B2B International,
проведенное в ноябре 2012 года. В исследовании приняли участие более
5000 IT-специалистов из 18 стран мира, включая Россию.

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории
Касперского» или отменить подписку на данный новостной блок, то вам
необходимо посетить сайт компании по следующему адресу:
http://www.kaspersky.ru/subscribe

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся
под новости «Лаборатории Касперского», сообщаем, что оригинальные
сообщения поставляются исключительно в формате plain text и никогда не
содержат вложенных файлов. Если вы получили письмо, не
удовлетворяющее этим условиям, пожалуйста, ни в коем случае не
открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей
вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, веб-формой http://www.kaspersky.ru/helpdesk.html . Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/ .

Статья первоначально была опубликована Стивеном Л. Роуз (Stephen L Rose ) на английском языке здесь.

Ровно через год техническая поддержка Windows XP будет прекращена. Многие из вас уже читали утреннюю запись в блоге Windows для бизнеса. За последние несколько месяцев я получил множество вопросов о том, что же произойдет на самом деле. Далее я постараюсь объяснить, что означает окончание поддержки, и расскажу о том, что необходимо для перехода на современную операционную систему, например на Windows 7 или Windows 8.

Microsoft завершает расширенную поддержку 8 апреля 2014 г. Почему?

В 2002 году корпорация Microsoft опубликовала документ Support Lifecycle policy (Политика по срокам поддержки продуктов Microsoft), составленный на основе отзывов клиентов. Описанная в нем политика призвана сделать техническую поддержку продукции Microsoft более прозрачной и прогнозируемой. Согласно этой политике, поддержка продуктов Microsoft для бизнеса и разработки (в том числе Windows и Office) с установленным актуальным пакетом обновлений осуществляется не менее 10 лет (5 лет –– базовая поддержки и еще 5 лет — расширенная). Поддержка Windows XP SP3 и Office 2003 будет прекращена 8 апреля 2014 г. Если организация не начала переход на современные приложения, то, возможно, ей уже поздно это делать. Статистические данные говорят, что на полное развертывание программного обеспечения для бизнеса в масштабах компании среднего размера может потребоваться 18 – 32 месяца. Если вы хотите использовать поддерживаемые версии Windows и Office, то должна немедленно начать планирование миграции и тестирование приложений, чтобы успеть развернуть их до окончания поддержки.

Чем отличаются базовая поддержка от расширенной?

Базовую поддержку правильнее назвать полной. На этом этапе корпорация Microsoft осуществляет всестороннюю поддержку продукта: платное устранение неполадок, выпуск исправлений и обновлений безопасности и пр. Базовая поддержка Windows XP завершена в апреле 2009 г.

Когда начинается расширенная поддержка продукта, правила меняются.

  • Расширенная поддержка доступна только для коммерческих пользователей
  • Мы по-прежнему бесплатно предоставляем обновления безопасности всем пользователям

8 апреля 2014 года будет прекращена расширенная поддержка для коммерческих пользователей, а также выпуск обновлений безопасности для коммерческих и частных пользователей.

Какие последствия будет иметь для пользователей прекращение поддержки?

Если говорит кратко, то вам нужно готовиться к переходу с Windows XP. После 8 апреля 2014 г. прекращается выпуск обновлений безопасности, исправлений, не связанных с безопасностью, а также обновлений технического содержимого, доступных через Интернет. Платная и бесплатная поддержка оказываться не будут. Использование Windows XP SP3 и Office 2003 после прекращения поддержки влечет определенные риски для компании, например:

  • Риски, связанные с безопасностью и соответствием требованиям: неподдерживаемые и необновляемые среды уязвимы для внешних угроз. Это может привести к тому, что внешний или внутренний аудит выявит ошибки в управлении компанией, приостановит действие лицензии или публично заявит о неспособности компании поддерживать функциональность систем и информированность клиентов.
  • Недостаточный уровень поддержки со стороны независимых поставщиков программных продуктов и поставщиков аппаратного обеспечения: уже в 2011 году многие независимые поставщики ПО прекратили поддержку новых версий продуктов для Windows XP.

После 8 апреля 2014 г. новых исправлений не будет?

Корпорация Microsoft по-прежнему будет предоставлять доступ ко всем исправлениям и пакетам исправлений, выпущенным до апреля 2014 г., однако новые исправления выпускаться не будут.

Пишут, что компания, антивирусным продуктом которой я пользуюсь, продолжит поддержку Windows XP и после 8 апреля 2014 г. Это значит, что моя система будет защищена?

Нет. Безопасность операционной системы следует обеспечивать на нескольких уровнях, и средство защиты от вредоносных программ –– лишь один из компонентов комплексной защиты. Начиная с 8 апреля, когда поддержка Windows XP будет прекращена, операционная система и установленные на ней средства борьбы с вредоносным ПО больше не смогут защищать устройство, пользователя и данные от новых угроз. Уязвимости, обнаруженные в Windows XP и, возможно, в приложениях для этой ОС, не будут исправляться, и сотни вредоносных программ смогут проникнуть в незащищенную среду. Даже современное антивирусное ПО окажется не в состоянии их остановить. Поэтому важно, чтобы организации и частные пользователи перешли на современную операционную систему.

Что такое «современная операционная система»?

Под современной ОС понимается Windows 7 или Windows 8 с установленным современным браузером, например Internet Explorer 8, 9 или 10. Эти хорошо защищенные, безопасные операционные системы удовлетворяют требованиям пользователей в отношении безопасности, мобильности и гибкости работы. Windows 7 и Windows 8 имеют удобный пользовательский интерфейс, позволяют сократить затраты на ИТ-инфраструктуру и улучшить управление.

Можно ли обновить Windows XP до Windows 7 или Windows 8?

Нет. Необходимо выполнить чистую установку. Это означает перенос данных пользователя, а также переустановку либо миграцию всех приложений в новую ОС. Потребуется время на тестирование совместимости аппаратного обеспечения, периферийных устройств и приложений с Windows 7 или Windows 8. В конце поста я привел список бесплатных инструментов, которые помогут сделать это.

Что произойдет, если я продолжу использовать Windows XP?

Пользователи, которые не хотят переходить на новую ОС, могут использовать Windows XP после апреля 2014 г. на свой страх и риск.

Как долго используется Windows XP?

К апрелю следующего года полный срок поддержки Windows XP корпорацией Microsoft составит почти 12 лет.

Насколько выгодна миграция с XP?

По данным аналитической фирмы IDC: *

  • За три года инвестиции организаций, перешедших на современную ОС, окупаются на 137 %.
  • С учетом времени, необходимого для устранения простоев оборудования, удаления вредоносного ПО и иного обслуживания Windows XP, Windows 7 повышает производительность труда одного сотрудника на 7,8 часов в год.
  • Годовая стоимость обслуживания компьютеров под управлением Windows 7 меньше соответствующего показателя для Windows XP на внушительную сумму в 700 долларов.

Мне никогда не доводилось проверять приложения на совместимости и устанавливать операционную систему. С чего начать?

В первую очередь загрузите набор средств развертывания Microsoft. Он позволит обойтись без образов дисков, облегчит перенос данных в ходе установки. Кроме того, эти средства бесплатные.

Другие инструменты, которые упростят переход:

Нужна более подробная информация?

Сотрудникам, принимающим решения, нужно посетить корпоративный сайт Windows и ознакомиться с отзывами клиентов, которые перешли на современную ОС. Это поможет оценить экономию от миграции на ОС Windows 7 Корпоративная или Windows 8 Корпоративная.

ИТ-специалисты должны посетить страницу Springboard Series на портале TechNet, чтобы узнать о том, как изучать, планировать, предоставлять, использовать и поддерживать Windows 7 и 8 в корпоративной среде.

Руководителям небольших компаний рекомендуем ознакомиться с материалами Портала для малого бизнеса. Здесь рассказывается о том, почему Windows 8 Профессиональная отлично подходит для их организаций.

* Источник: Mitigating Risk: Why Sticking with Windows XP is a Bad Idea (совместный технический документ IDC и Microsoft), Эл Гиллен (Al Gillen), май 2012 г.

Массовое заражение веб-сайтов является одной из самых больших проблем в современной IT-безопасности. О том, насколько велика эта проблема, можно судить, например, по числу запросов в наш отдел технической поддержи, касающихся предупреждений о вредоносных веб-сайтах. Владельцы веб-сайтов обычно жалуются на то, что наш продукт ошибочно блокирует доступ к их порталу, и это, очевидно, ложное срабатывание, поскольку они не размещают никакого вредоносного контента. К сожалению, в большинстве случаев они не правы: на их сайтах действительно можно найти вредоносные скрипты, внедренные киберпреступниками в PHP-, JS- или HTML-код. Эти скрипты обычно перенаправляют пользователей на вредоносные URL-ссылки, с которых загружаются вредоносные программы и исполняются на компьютере пользователя. В большинстве случаев процесс исполнения вредоносного кода абсолютно невидим пользователю: ему кажется, что веб-сайт работает как обычно. Вредоносный код незаметно укрепляется на атакуемом компьютере, используя уязвимости в установленном ПО (Java, Flash, программах просмотра PDF-файлов, плагинах к браузерам и т.д.). Этот метод называется drive-by загрузка и подробно описывался на Securelist.

В настоящей статье мы хотим сфокусировать внимание читателя на том, что может помочь администраторам веб-сайтов распознать вредоносное ПО и удалить его с веб-сайтов.

  • Что происходит? Симптомы заражения вредоносным ПО
  • Что искать? Примеры вредоносного кода
  • Как это случилось? Направления и методы атак
  • Для чего это делается? Цели киберпреступников
  • Как справиться с заражением веб-сайта? Методы удаления
  • Как предотвратить заражение веб-сайта? Основы безопасности при администрировании веб-ресурса

Симптомы заражения

Как узнать, что ваш веб-сайт оказался заражён? Наиболее очевидные симптомы таковы:

  • пользователи жалуются на то, что веб-сайт блокируется браузером и/или антивирусными программами
  • веб-сайт внесён в чёрный список Google или в другую базу вредоносных URL-адресов
  • произошли серьёзные изменения в объёме трафика и/или в рейтингах поисковых систем
  • веб-сайт не работает как следует, выдаёт ошибки и предупреждения
  • после посещения веб-сайта компьютер ведёт себя странно.

Зачастую вредоносный код остаётся незамеченным в течение долгого времени, особенно в случае заражения очень сложными зловредами. Такое вредоносное ПО обычно сильно обфусцировано, чтобы ввести в заблуждение и администраторов веб-сайтов, и антивирусные программы; оно всё время меняет доменные имена, на которые перенаправляет пользователей, обходя таким образом чёрные списки. Если нет ни одного из приведенных симптомов, это хороший показатель чистоты вашего сервера, хотя, увы, не 100%-ный; поэтому, оставайтесь бдительными к любой подозрительной активности.

Самым очевидным признаком заражения любым вредоносным ПО является присутствие вредоносного/подозрительного кода в одном или нескольких файлах — преимущественно в формате HTML, PHP или JS, а с некоторых пор и ASP/ASPX. Этот код найти нелегко, требуется владение по меньшей мере основами программирования и разработки веб-сайтов. Для того чтобы читатель лучше понял, как выглядит вредоносный код, мы приводим несколько примеров самого обычного заражения веб-страниц.

Пример 1: простая переадресация

Самым старым и самым простым методом, используемым киберпреступниками, является добавление простого HTML iframe-тега в код HTML-файлов на сервере. Адрес, используемый для загрузки вредоносного веб-сайта в IFrame, указан в качестве атрибута SRC; атрибут VISIBILITY со значением “hidden” делает фрейм невидимым для пользователя, посещающего веб-сайт.

 
Рисунок 1: Вредоносный IFrame внутри HTML-кода веб-сайта

Другой метод выполнения вредоносного скрипта в браузере пользователя — это внедрение ссылки на этот скрипт в HTML-файл в качестве атрибута src в тегах script или img:

 
Рисунок 2: Примеры вредоносных ссылок

Последнее время все чаще встречаются случаи, когда вредоносный код динамически генерируется и внедряется в HTML-код вредоносными JS- или PHP-скриптами. В таких случаях код видим только в представлении исходного кода страницы из браузера, но не в физических файлах на сервере. Киберпреступники могут дополнительно определять условия, когда вредоносный код должен генерироваться: например, только когда пользователь перешёл на сайт с определённых поисковых систем или открыл веб-сайт в конкретном браузере.

Чтобы обмануть и владельца веб-сайта, и антивирусное ПО, а также затруднить анализ вредоносного кода, киберпреступники используют разнообразные методы обфускации кода.

Пример 2: «Ошибка 404: страница не найдена»

В этом примере вредоносный код внедряется в шаблон сообщения, которое выводится, когда указанный объект не был найден на сервере (всем известная «ошибка 404»). Кроме того, в файлы index.html / index.php внедряется ссылка на какой-либо несуществующий элемент, чтобы незаметно вызывать эту ошибку при каждом посещении пользователем заражённой веб-страницы. Этот метод может спровоцировать некоторую неразбериху: человек, ответственный за веб-сайт, получает сообщение, что некое антивирусное решение пометило веб-сайт как заражённый; после поверхностной проверки оказывается, что вредоносный код был найден в объекте, которого по всей видимости не существует; это приводит к соблазну предположить (ошибочно), что это была ложная тревога.

 
Рисунок 3. Trojan.JS.Iframe.zs — вредоносный скрипт в шаблоне сообщения об ошибке 404

В этом конкретном случае вредоносный код был обфусцирован. После деобфускации можем видеть, что целью скрипта является внедрение тэга IFRAME, который будет использован для перенаправления пользователей на вредоносный URL-адрес.

 
Рисунок 4. Trojan.JS.Iframe.zs — вредоносный код после деобфускации

Пример 3: выборочное внедрение вредоносного кода

Аналогичный код может генерироваться и присоединяться динамически (т.е. в зависимости от конкретных условий) ко всем HTML-файлам, расположенным на сервере, используя вредоносный PHP-скрипт, загруженный на тот же сервер. Скрипт, показанный в следующем примере, проверяет параметр UserAgent (который отсылается браузером пользователя, а также поисковыми ботами) и не добавляет вредоносный код, если веб-сайт сканируется ботом или если посетители сайта пользуются браузерами Opera, Chrome или Safari. Таким образом, пользователи браузеров, неуязвимых к конкретному эксплойту, используемому для атаки, не будут перенаправляться на этот эксплойт. Также стоит заметить, что комментарии в коде намеренно вводят в заблуждение, наводя на мысль о том, что данный скрипт имеет какое-то отношение к статистике бота.

 
Рисунок 5. Trojan.PHP.Iframer.e — код, заражающий PHP-скрипт

Этот метод может также использоваться в обратном направлении: киберпреступники могут внедрять ссылки, ведущие к нелегальному, сомнительному или вредоносному контенту (спаму, шпионскому ПО, пиратскому ПО, фишинговым ресурсам) только если на веб-сайт зашёл поисковый бот. Целью такой атаки является так называемая чёрная оптимизация — механизм поднятия позиции киберкриминального ресурса в поисковой выдаче. Такое вредоносное ПО обычно направлено на популярные веб-порталы с высоким рейтингом, и его довольно сложно обнаружить, поскольку вредоносный код никогда не показывается обычному пользователю. В результате вредоносные веб-сайты получают высокий рейтинг в поисковых системах и оказываются в верхних строчках поисковой выдачи.

Пример 4: хитрая обфускация

Заражающие PHP-скрипты могут также принимать другие формы. Ниже даются два примера, обнаруженные и описанные в нашем блоге несколько месяцев назад (здесь и здесь).

 
Рисунок 6. Trojan-Downloader.PHP.KScript.a —заражающий PHP-скрипт

 
Рисунок 7. Trojan.PHP.Injector.c — заражающий PHP-скрипт

Первый из этих примеров (Trojan-Downloader.PHP.JScript.a) внедряет вредоносный JavaScript в код HTML-файлов сразу за одним из определённых закрывающих тэгов (например, script, div, table, form, p, body). Содержимое внедряемого скрипта написано далеко не простым кодом — оно представлено в виде чисел и хранится в двух массивах — $tr и $tc. Деобфускация выполняется «на лету». Код, генерируемый таким образом, также обфусцирован, но другим способом:

 
Рисунок 8. Trojan.JS.Redirector.px — вредоносный JavaScript, внедрённый в HTML-файл

На первый взгляд можно подумать, что этот скрипт имеет какое-то отношение к цветам, отображаемом на веб-сайте. К сожалению, это впечатление полностью ошибочно — скрипт конвертирует значения, которые хранятся в массиве div_colors, в символы ASCII и затем собирает вредоносный URL-адрес, который дописывается в HTML-файл при помощи функций document.write() или document.createElement().

Второй PHP-скрипт (Trojan.PHP.Injecter.c) написан ещё более хитро: во вредоносном URL-адресе использованы «невидимые» символы — пробелы и знаки табуляции. Если принять пробел за ноль, а знак табуляции — за единицу, получим двоичный код; каждый 8-битный кусочек этого кода — это числовое представление ASCII-символа.

Пример 5: заражённые JavaScript

Рассмотренные выше вредоносные заражающие PHP-скрипты были загружены киберпреступниками на сервер с использованием уязвимостей в системах управления контентом (CMS) или краденых данных для доступа к FTP-серверу. Другой метод — заражение легитимных JS-файлов, уже существующих на сервере. Из всего многообразия примеров следует упомянуть по крайней мере три разных сценария, которые были широко распространены последние несколько месяцев.

В первом случае производится динамическое внедрение следующего кода в HTML-файлы:

 
Рисунок 9. Trojan.JS.Iframe.zs — вредоносный Iframe, динамически внедряемый в HTML

Скрипт, отвечающий за добавление этого кода, помещается в один или несколько JS-файлов на сервере:

 
Рисунок 10. Trojan.JS.Iframe.zs — скрипт, внедряющий Iframe — после деобфускации

В следующем случае для обфускации используется шестнадцатеричное представление ASCII-символов. Все JS-файлы на сервере заражены аналогичным кодом:

 
Рис 11. Trojan-Downloader.JS.Agent.gnm — вредоносный код, внедренный в JS-файлы

При другом популярном сценарии наряду со стандартными методами обфускации в код включены комментарии на латыни — видимо, для того, чтобы скрипт выглядел для администратора легитимным и вызывающим доверие. Тем не менее, эти комментарии являют собой всего лишь случайные фрагменты из известного классического текста Lorem Ipsum.

 
Рис 12. Trojan-Downloader.JS.Twetti.t — вредоносный код, внедряемый в JS-файлы

Наконец, известен случай массового заражения зловредом, при котором используются случайные доменные имена. В случае заражения этим зловредом вы можете обнаружить на своём веб-сайте следующий код:

 
Рис 13. Обфусцированная версия кода, который перенаправляет на сгенерированный случайным образом домен

Пример 6: «gootkit» и обфускация файла целиком

Обфусцированный вредоносный код легко обнаружить среди остального чистого кода, и поэтому недавно киберпреступникам в голову пришла идея обфусцировать содержимое файла целиком, делая таким образом нечитабельным как внедренный, так и легитимный код. Отделить легитимный код от вредоносного невозможно, и вылечить файл можно только после его дешифровки.

 
Рис. 14. Файл, обфусцированный зловредом “gootkit”

Избавиться от первого уровня обфускации несложно, для этого нужно просто поменять функцию eval() на alert() — или print() в случае с консолью — и запустить ее на исполнение. Второй уровень несколько сложнее: в данном случае доменное имя используется в качестве ключа для шифрования кода.

 
Рис. 15: «gootkit» — второй уровень обфускации

После дешифровки можно видеть вредоносный код, идущий за оригинальным содержимым файла:

 
Рис. 16: «gootkit» — деобфусцированный код

Иногда вредоносная часть оказывается второй версией вредоносных программ, о которых шла речь в предыдущем примере, и используется для генерации псевдослучайного доменного имени для переадресации.

Пример 7: .htaccess

Вместо заражения скриптов и HTML-кода киберпреступники могут использовать возможности некоторых файлов, например .htaccess. В таких файлах администратор может определять права доступа к определенным папкам на сервере, а также при определенных обстоятельствах перенаправлять пользователей на другие URL-адреса (например, в случае если пользователь заходит с браузера мобильного устройства, он перенаправляется на мобильную версию веб-сайта). Нетрудно догадаться, каким образом киберпреступники используют подобный функционал…

 
Рис17: вредоносный .htaccess

В приведенном выше примере все пользователи, оказавшиеся на этом веб-сайте, пройдя по ссылке в большинстве крупных поисковых систем (параметр HTTP_REFERER), перенаправляются на вредоносную URL-ссылку. Помимо этого, в этом файле .htaccess определено достаточно большое количество браузеров и ботов, для которых перенаправление не производится (параметр HTTP_USER_AGENT). Перенаправление не происходит также в случае, если веб-страница читается из кеша (referer == cache) или загружается повторно с того же компьютера (параметр cookie).

Подобные зловреды позволяют проводить и более избирательные заражения — например, могут быть исключены конкретные IP-адреса, и при просмотре веб-сайтов из определенного диапазона IP-адресов — например, принадлежащих компании по информационной безопасности — выдача вредоносных результатов отсутствует.

Векторы атак и технологии заражения

Независимо от используемых технологий, киберпреступникам необходимо найти способ доставки вредоносных файлов на сервер или модификации файлов, уже существующих на сервере. Наиболее примитивным методом получения доступа к серверу является взлом пароля доступа. Для этого киберпреступники могут использовать так называемую атаку методом перебора или ее ограниченную версию — атаку «перебора по словарю» (словарную атаку). Такая тактика обычно требует большого количества времени и ресурсов, поэтому редко используется при массовых заражениях веб-сайтов. Среди более популярных сценариев — эксплуатация уязвимостей и вредоносное ПО для кражи паролей.

Использование уязвимостей системы управления контентом/ системы электронной коммерции

Большинство современных платформ управления веб-контентом (такие как система управления контентом (CMS), электронная коммерция, панели управления и т.д.) неидеальны и имеют уязвимости, позволяющие другим лицам без аутентификации загружать файлы на сервер. И хотя поиск таких уязвимостей разработчики ведут постоянно, выпуск патчей занимает большое количество времени; помимо этого, многие пользователи продолжают использовать старые версии программ с большим количеством ошибок. Чаще всего уязвимости находят, естественно, в самых популярных платформах, таких как WordPress, Joomla и osCommerce.

Известный пример такой уязвимости — TimThumb, которая широко использовалась киберпреступниками в разнообразных сценариях drive-by загрузки. TimThumb — PHP-модуль для изменения размера изображений и создания так называемых графических миниатюр, включенный в большинство CMS-шаблонов, находящихся в открытом доступе. Уязвимость позволяет записывать файлы, находящиеся на удаленной машине, на сервер, в директорию для кеша. Еще один пример — уязвимость SQL injection в Plesk Panel (версии 10 и старше), обнаруженная в феврале 2012 года, позволяющая читать базы данных и красть пароли, которые — до недавнего времени — хранились в явном виде. Полученные таким образом регистрационные данные, вероятно, использовались при недавней массовой веб-эпидемии http://www.securelist.com/en/blog/208193624/Who_is_attacking_me; https://www.securelist.com/ru/blog/208193713/RunForestRun_gootkit_i_generirovanie_sluchaynykh_domennykh_imen.

Использование шпионского ПО для кражи учетных данных для доступа к серверу по FTP

В наиболее распространенных веб-заражениях (например, Gumblar и Pegel) успешным оказался другой метод. На первом этапе киберпреступники распространяют вредоносные программы, разработанные специально для поиска и кражи имен пользователей и паролей к FTP-аккаунтам посредством проверки настроек FTP-клиентов или сканирования сетевого трафика. После нахождения зловредом этих регистрационных данных на зараженном компьютере администратора сайта программа устанавливает соединение с FTP-сервером и загружает вредоносные скрипты или записывает вместо оригинальных файлов их зараженные версии. Само собой разумеется, что до тех пор пока компьютер владельца аккаунта заражен, файлы, хранящиеся на сервере, будут снова и снова заражаться даже после смены регистрационных данных и восстановления всего контента из чистой резервной копии.

Цели киберпреступников

Какова цель заражения веб-сайтов?

  • переадресация пользователей на эксплойты для незаметной установки вредоносных программ на их компьютерах;
  • переадресация пользователей на спам, фишинговый и другой вредоносный, нелегальный или нежелательный контент;
  • перехват/кража посещений сайта / поисковых запросов.
  • продвижение вредоносных/нелегальных веб-сайтов и веб-сайтов, содержащих спам (черная оптимизация);
  • использование ресурсов сервера для нелегальной активности.

По сути здесь нет ничего нового: при заражении веб-сайтов киберпреступниками движет стремление получить непрямую прибыль.

Методы устранения вредоносного кода

Что делать, если ваш сайт атаковали хакеры?

Во-первых, если вы наблюдаете симптомы, которые говорят о возможном заражении, необходимо незамедлительно деактивировать веб-сайт до устранения проблемы. Это действительно исключительно важно, поскольку каждый момент промедления играет на руку киберпреступникам, позволяя заразить еще больше компьютеров и распространить заражение по всему интернету. Следует проверить журналы сервера на наличие подозрительной активности, например странные запросы с IP-адресов, находящихся в странах, нехарактерных для посетителей сайта, и т.п. — это может быть полезно для обнаружения зараженных файлов и определения, как именно киберпреступники получили доступ к серверу.

Но каким же образом бороться с вредоносным кодом?

Резервная копия

Самый быстрый и надежный способ восстановления всего содержимого сервера — с использованием чистой резервной копии. Чтобы сделать это эффективно, необходимо также произвести полную переустановку ПО, работающего на сервере (системы управления контентом / CMF, системы электронной коммерции и т.п.). Разумеется, для этого необходимо использовать самые последние, полностью обновленные версии. После этих действий на сервере не должно остаться никаких зараженных файлов — при условии, что вы стерли все содержимое перед восстановлением, а резервная копия была создана еще до начала атаки.

Автоматическая проверка

Если чистая резервная копия отсутствует, вам ничего не остается как начать бороться с вредоносным ПО. К счастью, существует ряд автоматизированных решений, которые помогут отыскать вредоносный код — включая антивирусные продукты и онлайн-сканеры веб-сайтов, например http://sucuri.net/. Ни одно из них не является идеальным, но в случае с хорошо известным/обычным вредоносным ПО все они могут быть весьма полезными. Начнем с того, что можно проверить веб-сайт при помощи нескольких онлайн-сканеров. Некоторые из них не только определят, действительно ли ваш сайт заражен, но и укажут на вредоносный код в ваших файлах. Затем можно произвести полную антивирусную проверку всех файлов на сервере.

Если вы владелец сервера или если на сервере работает защитное решение, на использование которого у вас есть права, вы можете выполнить проверку на стороне сервера. Убедитесь в том, что вы создали копию ваших файлов, так как некоторые антивирусные сканеры не лечат зараженные файлы, а удаляют их! Можно также загрузить содержимое вашего сервера на локальный компьютер и осуществить его проверку при помощи антивирусного решения для стационарного компьютера. Второй вариант предпочтительней, поскольку в составе большинства современных антивирусных программ для стационарных компьютеров есть хорошо развитый эвристический модуль. Вредоносные программы, поражающие веб-сайты, в высшей степени полиморфны: и если при борьбе с ним сигнатурный анализ практически бесполезен, эвристика позволяет их с легкостью детектировать.

Удаление вручную

Если автоматическая проверка не дала результатов и сообщения о заражении вашего сайта поступают по-прежнему, единственный способ избавиться от зловреда — найти его вручную и удалить весь вредоносный код. Эта непростая задача может занять значительное количество времени, поскольку необходимо проверить каждый файл — будь то HTML, JS, PHP или файл конфигурации — на наличие вредоносных скриптов. Примеры, приведенные выше, — всего лишь небольшая часть разнообразных зловредов для веб-сайтов, поэтому высока вероятность того, что вредоносный код на вашем сайте будет частично или полностью отличаться от этих образцов. И тем не менее большинство современных вредоносных программ для веб-сайтов имеют некоторые общие черты, и эти черты помогут в определении проблемы.

Более всего необходимо уделить внимание тем частям кода, которые выглядят неясными или нечитаемыми. Обфускация кода — технология, часто используемая вирусописателями, — довольно необычна для любого другого ПО, связанного с веб-сайтами. Если вы не обфусцировали код сами, у вас есть все основания иметь относительно него подозрения. Но будьте аккуратны — вредоносным окажется не весь обфусцированный код!

Аналогичным образом, не любой вредоносный скрипт обфусцирован, поэтому имеет смысл искать теги IFRAME в явном виде и другие ссылки на внешние ресурсы во всех ваших файлах. Некоторые из них могут иметь отношение к рекламным объявлениям и статистике, но не попадитесь на удочку специально сформированных URL, которые могут сбивать с толку, имея вид адресов известных и доверенных порталов. Не забывайте проверять код шаблонных сообщений об ошибках, а также все файлы .htaccess.

Полезными инструментами для поиска вредоносного кода на сервере, несомненно, являются grep и find — утилиты, работающие в режиме командной строки, по умолчанию включаемые практически во все системы на основе Unix. Ниже приведены примеры их использования в диагностике наиболее распространенных заражений:

grep -iRs “iframe” *
grep -iRs “eval” *
grep -iRs “unescape” *
grep -iRs “base64_decode” *
grep -iRs “var div_colors” *
grep -iRs “var _0x” *
grep -iRs “CoreLibrariesHandler” *
grep -iRs “pingnow” *
grep -iRs “serchbot” *
grep -iRs “km0ae9gr6m” *
grep -iRs “c3284d” *
find . -iname “upd.php”
find . -iname “*timthumb*”

Описание grep (из руководства Linux): печать строк, соответствующих шаблону; опция -i означает игнорировать регистр; -R означает рекурсивный поиск, а -s предотвращает показ сообщений об ошибках. Первая из перечисленных команд ищет в файлах тэги IFRAME; три остальные ищут наиболее явные признаки обфускации; остальные ищут особые строки, связанные с крупнейшими известными заражениями веб-сайтов.

Что касается find, в руководстве Linux указано: поиск файлов в иерархической структуре папок; «.» (точка) указывает на текущую директорию (так что запускать данные команды следует из корневой директории или домашнего (home) каталога на сервере), параметр -iname определяет файл, который следует искать. Можно использовать регулярные выражения для поиска всех файлов, соответствующих неким критериям.

Разумеется, всегда нужно знать, что именно искать — не все результаты будут указывать на заражение. Неплохо проверить подозрительные части кода антивирусным сканером или попробовать поискать их в google. Очень вероятно, что вы найдете некоторые ответы — как для вредоносного, так и для чистого кода. Если вы по-прежнему не уверены, заражен ли файл, лучше всего деактивировать веб-сайт (на всякий случай) и до принятия каких-либо действий обратиться за советом к специалисту.

Очень важно!

Помимо очистки файлов на сервере необходимо обязательно произвести полную антивирусную проверку всех компьютеров, используемых для загрузки и управления контентом на сервере и сменить все данные для доступа ко всем аккаунтам на сервере(FTP, SSH, панели управления и т.д.), которые вы поддерживаете.

Основы безопасности для веб-сайтов

К сожалению, в большинстве случаев удаления вредоносного кода недостаточно для того, чтобы избавиться от заражения раз и навсегда. Если ваш веб-сайт заражен, возможно, это говорит о существовании уязвимостей, которые позволили киберпреступникам внедрить вредоносные скрипты на сервер; и если вы оставите без внимания эту проблему, в ближайшем будущем вас ждут новые заражения. Чтобы это предотвратить, необходимо принять соответствующие меры для защиты сервера и компьютера/компьютеров, используемых для администрирования сервера.

  • Использование стойких паролей. Несмотря на тривиальность этого совета, это действительно основа безопасности сервера. Необходимо не только менять пароли после каждого инцидента и/или атаки на сервер — они должны меняться на регулярной основе, например ежемесячно. Хороший пароль должен соответствовать особым критериям, о которых можно узнать на нашем веб-сайте www.kaspersky.com/passwords;
  • Регулярное обновление. Необходимо также не забывать о регулярных обновлениях. Киберпреступники часто эксплуатируют уязвимости в ПО независимо от цели вредоносной программы — направлена ли она на пользователей ПК или на веб-сайты. Все программы, с помощью которых вы управляете вашим сервером / контентом сайта, должны быть самых последних версий, а каждое обновление безопасности должно устанавливаться сразу же по его выходе. Использование актуальных версий ПО и своевременная установка всех необходимых патчей поможет снизить риск атаки с использованием эксплойтов. Регулярно обновляемый список известных уязвимостей можно найти на сайте http://cve.mitre.org/;
  • Регулярное создание резервных копий. Имея в запасе чистую копию серверного контента, вы сэкономите массу времени и усилий, не говоря о том, что свежие резервные копии могут, помимо лечения заражения, оказаться очень полезны и в решении других проблем;
  • Регулярная проверка файлов. Даже при отсутствии явных симптомов заражения рекомендуется периодическое сканирование всех файлов на сервере на предмет выявления вредоносного кода;
  • Обеспечение безопасности ПК. Поскольку значительное количество вредоносного ПО для веб-сайтов распространяется через заражённые ПК, безопасность стационарного компьютера, используемого для управления вашим веб-сайтом, является одним из приоритетных аспектов безопасности веб-сайта. Непрерывная поддержка чистоты и безопасности вашего компьютера существенно увеличивает вероятность того, что ваш веб-сайт также будет в безопасности и защищен от вирусов.
  • Обязательными (но не достаточными) должны быть следующие действия:
    • удаление неиспользуемых программ;
    • деактивация ненужных сервисов и модулей;
    • настройка соответствующих политик для отдельных пользователей и групп пользователей;
    • установка адекватных прав доступа к определенным файлам и директориям;
    • отключение показа файлов и каталогов веб-сервера;
    • ведение журналов событий, регулярно проверяемых на наличие подозрительной активности;
    • использование шифрования и безопасных протоколов.

Вредоносное ПО, предназначенное для заражения веб-сайтов, может стать настоящим кошмаром для веб-администраторов и интернет-пользователей. Киберпреступники непрерывно развивают свои технологии, открывая новые эксплойты. Зловреды стремительно распространяются через интернет, поражая серверы и рабочие станции. Справедливо сказать, что надежного способа полностью устранить данную угрозу не существует. Однако каждый владелец веб-сайта и каждый интернет-пользователь может сделать интернет безопаснее, соблюдая основные правила безопасности и постоянно поддерживая безопасность и чистоту своих веб-сайтов и компьютеров.

ИСТОЧНИК