Podle sedmé výroční zprávy ICSA zaměřené na viry počty virových útoků drasticky stoupají. ICSA Content Security Labs vydala již sedmou výroční zprávu o stavu nikoli unie, ale zavirovanosti světa. ICSA má jednak v tomto oboru tradici a velmi dobré jméno, ale navíc funguje jako certifikační autorita pro přibližně 95 % antivirových prostředků (USA). Data nasbíraná ve zprávě jsou tedy sice pouze ze Spojených Států, ale jejich vypovídací hodnota je i pro Evropu více než přijatelná. Většina virů je totiž stejně určená pro anglické systémy a pro anglicky mluvící oběti.
Do průzkumu bylo náhodně vybráno 300 organizací a firem z rejstříku všech amerických firem (dle Harte Hanks Inc.), které splnily následující základní kriteria: Vlastní minimálně 500 počítačů, mají min. 2 LAN sítě a 2 připojení do vnějšího světa. Za firmu mohl odpovídat pouze odborný pracovník starající se nejméně o 200 počítačů.
Počty virových útoků neustále stoupají
Průzkum proběhl v období od ledna 2000 do srpna 2001 při čtyřech sériích průzkumů. Výsledky jsou opravdu alarmující. Organizace nahlásily celkem 1 182 634 incidentů virového původu, které postihly 666 327 počítačů. Pravděpodobnost, že firma bude muset čelit virové nákaze, se přibližně zdvojnásobila každým rokem, kdy byl průzkum prováděn, a to až do roku 1999, načež pokračovala 15% ročním nárůstem. To je ostatně patrné z přiloženého grafu.
Oproti roku 1996 (tedy průzkum pro rok 2001) vykázal nárůst o 20 událostí na 1000 počítačů měsíčně za každý sledovaný rok. Jinak řečeno celkový počet virových útoků rapidně stoupá s každý měsícem.
Počty katastrof však klesají
Jako katastrofa je označen každý incident, který najednou postihne více jak 25 počítačů v dané organizaci. V roce 2001 jen 28 % respondentů nahlásilo katastrofu. To je významný pokles vůči roku 2000 s 51 % respondenty postižených katastrofou (43 % v roce 1999).
Je však nutné poznamenat, že velice "úspěšný" virus ze září minulého roku - Nimda již není do průzkumu úplně započítán, neboť převážná většina respondentů před tímto datem již předala své údaje. Předpokládá se, že Nimda by výsledky výrazně posunula k vyšším metám. Z tabulky je patrné, že ani nekompletní údaje ji nedokázaly připravit o prvenství.
ICSA se ve zprávě zabývala též dopadem katastrof na funkčnost systémů. Následující údaje se týkají jen těch, kdo nahlásili katastrofu. V roce 2000 36 % respondentů hlásilo downtime (odstavení mimo službu) serverů hodinu a méně. V roce 2001 pak to bylo již 65 %. Průměrný downtime pak byl 14 hodin. Z mediánu, který byl 0 hodin, je vidět, že downtime serverů mnohých respondentů byl výrazně delší, než oněch 14 hodin. V některých případech i stovky hodin.
Více jak u 80 % zasažených katastrofou vydalo do 20 člověko-dní na nápravu škod. Průměrně pak vychází 4 člověko-dny na katastrofu. Ve finančním vyjádření to obnášelo 5500 $ (medián) a 69 000 $ průměrně v přímých nákladech. ICSA vysledovala na základě minulých průzkumů jasnou tendenci podhodnocovat tyto náklady a to průměrně 6 až 7x. Při uvážení tohoto faktoru vychází průměrné náklady na firmu mezi 50 000 $ až 500 000 $, jako celkové náklady na hardware i software.
Náklady na antivirovou ochranu stoupají také nemalým tempem
Oproti minulým rokům je patrný výrazný posun v preventivní ochraně před viry. Zatímco ještě v roce 2000 téměř nikdo plošně antivirové prostředky nepoužíval, v roce 2001 již 95 % respondentů uvádělo antivirovou ochranu na minimálně 90 % počítačích a 71 % dokonce na všech svých strojích. Firmy již mají antiviry nainstalované i na firewallech (51 %), proxy serverech (45 %) a na všech e-mailových serverech. Kolem poloviny firem praktikuje karanténu, blokování či filtraci e-mailů.
Přestože respondenti investují každým rokem vyšší částky do antivirových prostředků, více jak 3/4 respondentů uvedlo, že cítí zvýšenou hrozbu virů a zhoršení celkové situace. Bez nejmenších pochyb to lze přičíst na vrub zvyšujícímu se procentu internetových červů, zvláště založených na tzv. mass-mailovém principu šíření. Obvykle u nich platí, že je-li díra v jednom počítači, jsou zranitelné i veškeré ostatní počítače ve firmě a díky využití adresářů z poštovních klientů pak virus zaplaví firmu celou. Tabulku dokumentující, jak se změnilo rozložení cest, kudy viry do počítačů pronikají, naleznete níže.
Ze zprávy i tabulky je patrný jasný posun ve způsobu pronikání virů do počítačů. Zatímco ještě nedávno byly primární branou výměnné disky a diskety, dnes převažuje infekce z internetu spolu s makroviry. Spolu s tím výrazně vzrůstá rychlost šíření virů a nutnost velmi rychlé reakce producentů antivirových prostředků.
Kompletní znění zprávy ve formátu *.pdf (72 stran - anglicky) je možné po vyplnění registračního formuláře stáhnout na stránkách firmy TruSecure.
Co říci závěrem?
Viry jsou dnes každodenní realitou a je nutné se s tím smířit a především se na to správně připravit. Jednou z možností je přechod na platformu, která s viry není kompatibilní, například na Linux či FreeBSD. Jinak rozhodně doporučuji každému, aby si zajistil aktuální verzi výkonného antiviru. Ač nejsou dokonalé, jedná se stále o jedinou rozumně dostupnou ochranu. Při častých aktualizacích virových bází a díky časovému posunu vůči primárním cílům virů v zahraničí dosáhnete obvykle solidní úrovně bezpečnosti. Možná jsem paranoik, ale optimální aktualizace je jednou denně. Proč? Klez.E, W32.Yaha, Win32/TaiChi, I-Worm/MyParty jsou jen některé z červů, které právě teď bodují po celém světě, a další bohužel neustále přibývají. Jeden čerstvý je dokonce maskovaný jako opravný patch chyb do Windows a jeden červ mi přišel dokonce i při psaní tohoto článku. Ty však budou zahrnuté až v příští zprávě ICSA. Přeji vám, nechť se s viry a červy setkáte pouze v takovýchto článcích.
Náklady na odstraňování následků kopírovaly křivku vzrůstu infekcí a to i přesto, že každoročně rostly náklady na antivirovou ochranu. K vyčíslení nákladů se vrátíme později.
Z nasbíraných údajů je nutné vypočítat nějaká porovnatelná čísla, neboť absolutní hodnoty jsou pramálo názorné. Obvyklé je vyčíslení počtu infekcí na tisíc počítačů za měsíc. Po rozpočítání tak vychází 113 událostí na 1000 počítačů a měsíc, za celé období průzkumu. Názornější údaje o nárůstu útoků virů jsou vidět z tabulky. Ta zobrazuje průměrný měsíční nárůst pro daný rok.
| Přírůstky v počtu útoků (průměr na 1000 PC a měsíc) | |
| rok | nárůst |
| 1996 | 10 |
| 1997 | 21 |
| 1998 | 32 |
| 1999 | 80 |
| 2000 | 91 |
| 2001 | 103 |
ICSA se ve zprávě zabývala též dopadem katastrof na funkčnost systémů. Následující údaje se týkají jen těch, kdo nahlásili katastrofu. V roce 2000 36 % respondentů hlásilo downtime (odstavení mimo službu) serverů hodinu a méně. V roce 2001 pak to bylo již 65 %. Průměrný downtime pak byl 14 hodin. Z mediánu, který byl 0 hodin, je vidět, že downtime serverů mnohých respondentů byl výrazně delší, než oněch 14 hodin. V některých případech i stovky hodin.
Více jak u 80 % zasažených katastrofou vydalo do 20 člověko-dní na nápravu škod. Průměrně pak vychází 4 člověko-dny na katastrofu. Ve finančním vyjádření to obnášelo 5500 $ (medián) a 69 000 $ průměrně v přímých nákladech. ICSA vysledovala na základě minulých průzkumů jasnou tendenci podhodnocovat tyto náklady a to průměrně 6 až 7x. Při uvážení tohoto faktoru vychází průměrné náklady na firmu mezi 50 000 $ až 500 000 $, jako celkové náklady na hardware i software.
Náklady na antivirovou ochranu stoupají také nemalým tempem
Oproti minulým rokům je patrný výrazný posun v preventivní ochraně před viry. Zatímco ještě v roce 2000 téměř nikdo plošně antivirové prostředky nepoužíval, v roce 2001 již 95 % respondentů uvádělo antivirovou ochranu na minimálně 90 % počítačích a 71 % dokonce na všech svých strojích. Firmy již mají antiviry nainstalované i na firewallech (51 %), proxy serverech (45 %) a na všech e-mailových serverech. Kolem poloviny firem praktikuje karanténu, blokování či filtraci e-mailů.
Přestože respondenti investují každým rokem vyšší částky do antivirových prostředků, více jak 3/4 respondentů uvedlo, že cítí zvýšenou hrozbu virů a zhoršení celkové situace. Bez nejmenších pochyb to lze přičíst na vrub zvyšujícímu se procentu internetových červů, zvláště založených na tzv. mass-mailovém principu šíření. Obvykle u nich platí, že je-li díra v jednom počítači, jsou zranitelné i veškeré ostatní počítače ve firmě a díky využití adresářů z poštovních klientů pak virus zaplaví firmu celou. Tabulku dokumentující, jak se změnilo rozložení cest, kudy viry do počítačů pronikají, naleznete níže.
Ze zprávy i tabulky je patrný jasný posun ve způsobu pronikání virů do počítačů. Zatímco ještě nedávno byly primární branou výměnné disky a diskety, dnes převažuje infekce z internetu spolu s makroviry. Spolu s tím výrazně vzrůstá rychlost šíření virů a nutnost velmi rychlé reakce producentů antivirových prostředků.
Kompletní znění zprávy ve formátu *.pdf (72 stran - anglicky) je možné po vyplnění registračního formuláře stáhnout na stránkách firmy TruSecure.
Co říci závěrem?
Viry jsou dnes každodenní realitou a je nutné se s tím smířit a především se na to správně připravit. Jednou z možností je přechod na platformu, která s viry není kompatibilní, například na Linux či FreeBSD. Jinak rozhodně doporučuji každému, aby si zajistil aktuální verzi výkonného antiviru. Ač nejsou dokonalé, jedná se stále o jedinou rozumně dostupnou ochranu. Při častých aktualizacích virových bází a díky časovému posunu vůči primárním cílům virů v zahraničí dosáhnete obvykle solidní úrovně bezpečnosti. Možná jsem paranoik, ale optimální aktualizace je jednou denně. Proč? Klez.E, W32.Yaha, Win32/TaiChi, I-Worm/MyParty jsou jen některé z červů, které právě teď bodují po celém světě, a další bohužel neustále přibývají. Jeden čerstvý je dokonce maskovaný jako opravný patch chyb do Windows a jeden červ mi přišel dokonce i při psaní tohoto článku. Ty však budou zahrnuté až v příští zprávě ICSA. Přeji vám, nechť se s viry a červy setkáte pouze v takovýchto článcích.
