Анализ динамики интернет-угроз сети Красноярского научного центра Сибирского отделения Российской академии наук

В связи с развитием информационных и телекоммуникационных технологий, а также с расширением круга пользователей, подключенных к сети Интернет, задачи обеспечения информационной безопасности становятся все более актуальными. В Институте вычислительного моделирования Сибирского отделения (СО) Российской академии наук (РАН) на протяжении пяти последних лет ведется работа по сбору данных о возможных информационных угрозах, таких как попытки вторжений, вирусная активность и несанкционированные почтовые рассылки. Целью данной работы является попытка анализа полученных данных и их сравнение с общемировыми тенденциями.

Проблемы защиты информации широко обсуждаются в интернет-среде [1] и печатных источниках. При этом предлагаются не только методы и решения для частных случаев, но и общие принципы разработки систем защиты [2; 3]. Однако для комплексной защиты сети в каждом конкретном случае требуется вырабатывать адекватное решение, учитывающее особенности организации сети, виды защищаемой информации, круг пользователей и основанное на анализе динамики интернет-угроз.

Корпоративная сеть Красноярского научного центра (КНЦ) объединяет девять организаций Сибирского отделения РАН и соединена как с сетью Интернет, так и с сетью образовательных учреждений Красноярска. Общая длина линий магистральных линий связи – более 15 км, число пользователей во всех организациях – более 1 000. Большинство узлов сети не содержат какой-либо конфиденциальной информации и нуждаются в защите только от вредоносных воздействий.

Трехуровневая архитектура корпоративной сети (рис. 1) позволяет максимально эффективно управлять информационными потоками и их защитой. Критически важные узлы отделены от подсети общего информационного потока средствами сетевой адресации и межсетевыми экранами. Конфигурация внутренней сети скрыта от внешнего мира при помощи механизма преобразования адресов и использования в качестве посредника прокси-сервера. Имеются средства регистрации пользователей, обеспечивающие однозначную классификацию трафика и протоколирование в системном журнале.

Рис. 1. Структура корпоративной сети

Процент спама

Рис. 2. Изменение процента спама в 2006 г. после введения «серых» списков

Для анализа тенденций безопасности были взяты три источника:

– журнал системы обнаружения вторжений, функционирующий на маршрутизаторе интерсетевого взаимодействия и шлюзе корпоративной сети;

– журнал антивирусной системы корпоративного почтового сервера КНЦ СО РАН;

– журнал системы пометки спама корпоративного почтового сервера КНЦ СО РАН.

Начало наблюдений относится к 2006 г., когда спам составлял от 80 до 30 %, среднее ежедневное количество писем с вирусами – 50, в отдельные периоды – более 200. После введения «серых» списков на сервер электронной почты количество спама уменьшилось в 4 раза (рис. 2). Но, к сожалению, далее этот метод перестал работать столь эффективно.

В 2007 г. процент спама стабилизировался на уровне 50 %, среднее количество вирусов составляло около 50 с подъемом в периоды эпидемии до 400 (рис. 3).

В этой связи можно отметить, что на протяжении нескольких лет (2006–2008 гг.) вирусные эпидемии фиксировались в новогодние праздники и в конце лета.

Для 2008 г. были характерны следующие показатели:

‒ средний процент спама – около 70 %, причем количество российских источников спама превысило количество источников спама из США;

‒ среднее количество вирусов в почте – около 10, в периоды эпидемий – более 100;

‒ количество срабатываний системы обнаружения попыток вторжений составило 4 226, распределение по странам см. на рис. 5.

Кроме того, в 2008 г. было закрыто большое количество ботнет-сетей, что привело к резкому снижению процента спама в почте к концу года до 30 %. На протяжении 2009 г. этот показатель сохранялся примерно на том же уровне, что и вирусная активность.

Рис. 3. Вирусные эпидемии в 2007 г.

Тур ц 5%

Поль

2%

Индия 6%

США 11%

Корея 6%

Китай 9%

Прочие 17%

Россия 13%

Гр еция 2% нглия 3%

Германия 2%

Евросоюз 7%

Бразилия 6%

Колумб ия            Украина

2% Аргентина 2%

2% Испания

Таил анд

2%             2%

Рис. 4. Источники спама за 2008 г.

рочие 29%

Китай 18%

США 14%

Канада 2%

Ан гл

2%

Корея 5%

Япон

2%

Россия 2%

П

ольша 3%

Франция

3%

Италия

3%

Тайвань 5%

Индия 4%

Бразилия 4%

Германия 4%

Рис. 5. Источники попыток несанкционированного входа в 2008 г.

В 2010 г. процент спама в почте снизился до 20 %, среднее количество вирусов не превысило 10, периоды массовых вирусных эпидемий отсутствовали. Доля российских источников спама превысила долю США в 2 раза и составила 11 % (рис. 6).

В 2011 г. количество обнаруженных вирусов в почте достигло 3 500. Среди лидеров по источникам спама появились азиатские страны: Индия, Корея, Вьетнам. Китай же, наоборот, переместился в нижнюю часть рейтинга.

Количество срабатываний системы обнаружения попыток вторжений в 2011 г. превысило 70 000, среди лидеров – Китай, США, Канада, Индия, Япония и страны Евросоюза (рис. 7), причем источники попыток несанкционированного доступа не связаны с вирусами.

По результатам пятилетних наблюдений была составлена сводная таблица (см. с. 24), содержащая распределение источников интернет-угроз по наиболее активным странам.

Построенные на основе этих данных графики наглядно иллюстрирует динамику по рассылке спама (рис. 8) и источникам вирусов (рис. 9) в крупнейших странах.

Рис. 6. Источники спама за 2010 г.

Прочи е

Бразилия 2%

Арабские Эмираты 2%

Россия 5%

Франция 3%

Рис. 7. Источники попыток несанкционированного доступа за 2011 г.

Корея 2%

Турция 2%

Основные источники интернет-угроз за 2007–2011 гг.

Страна	Спам, %				Вирусы, %			Сканирования, %			Сумма
	2007	2008	2010	2011	2008	2010	2011	2007	2008	2011	2011
США	25	11	6	6	37	9,4	17	12,9	14	9	32
Россия	6	13	11	11	17	14	15	2	2	5	31
Индия	3	6	5	5	4	3,9	7	4,2	4	7	19
Китай	4	9	3	3	1	2,7	2	17,5	18	12	17
Германия	4	3	3	3	2	2,2	2	4,8	4	8	13
Бразилия	2	6	5	5	1	4,8	2	3,9	4	2	9
Корея	8	6	5	5	3	5,1	2	6,4	5	2	9
Франция	4	3	3	3	2	1,5	1	4,4	3	3	7
Польша	2	2	3	3	1	1	2	3,2	3	0,5	5
Англия	3	3	2	2	2	3,1	2	2	2	1	5

Рис. 8. Динамика рассылки спама по отдельным странам

Рис. 9. Динамика источников вирусов по странам

Анализ полученной информации позволяет выявить следующие тенденции:

– активное внедрение компьютерных технологий и Интернета в страны азиатского и латиноамериканского регионов (Индия, Китай, Корея, Бразилия) и связанный с этим всплеск вирусной и спам-активности;

– общее снижение вирусной и спам-активности более чем в 5 раз, очевидно за счет развития средств защиты;

– увеличение попыток вторжений более чем в 15 раз;

– успешную борьбу со спамом в США и Китае.

Несмотря на то что собранные данные относятся к сетям с научной спецификой, отмеченные закономерности в целом согласуются с общемировыми [1]. В частности, подтверждается тезис о насыщении азиатских стран компьютерными технологиями и выравнивании вирусной и спам-активности. К сожалению, в России пока не наблюдается тенденции к уменьшению источников опасностей и по динамике развития Россия похожа на Индию и Бразилию. Внедрение новых, оснащенных встроенной защитой операционных систем и сетевых клиентов позволяет сдерживать распространение интернет-угроз. Однако сеть Интернет по-прежнему остается небезопасной, так как происходит постоянное обнаружение новых уязвимостей сетевых сервисов, и при несвоевременном их устра- нении вероятность несанкционированного вторжения резко увеличивается.