ISBN 978–966–2970–87–6 6 page

. (2.5)

Ця задача може вирішуватися застосуванням у ІС засобів фільтрації типу міжмережевих екранів (firewall, брандмауерів), сервісів-посередників (proxyservices) тощо. При середній тривалості обслуговування в СІТС одного запиту і пуассонівському законі розподілу ймовірностей впливу, ймовірність того, що під час звернення до ресурсу він уже використовується, дорівнює:

, (2.6)

де – ймовірність відсутності впливів (ймовірність того, що на певному часовому інтервалі виникне рівно нуль впливів);

– середнє значення часу використання ресурсу.

Враховуючи таке ймовірність порушення доступності ресурсу з дорівнюватиме:

. (2.7)

Виходячи з наведених вище формульних залежностей комплексна величина ймовірності порушення системи захисту інформації у ІС та їх специфічному класі – ЛОМ за метою реалізації з урахуванням пропозицій [97, 98, 100] може бути, як результат, знайдена з виразу:

. (2.8)

Наряду з загрозами за метою реалізації у окремий клас загроз варто виділити події, які залежно від умов можуть вплинути на кожну з відомих складових безпеки інформації шляхом:

несанкціонованого доступу до ресурсів обчислювальної мережі без використання штатних засобів обчислювальної техніки;

несанкціонованого включення до складу комплексів засобів обробки й захисту інформації нових елементів або зміни режимів їхньої роботи;

виконання програм або дій в обхід системи захисту;

підбору, перехоплення, розголошення або використання нестійких параметрів аутентифікації і ключів шифрування (дешифрування);

нав’язування раніше переданого або помилкового повідомлення, заперечення факту його передачі або прийому;

некомпетентного використання, настроювання або адміністрування комплексів засобів обробки і захисту інформації;

внесення деструктивних дій у технологію обробки даних тощо.

За принципами, характером та способами активного впливу на певний об’єкт, який може перебувати у стані зберігання, обробки або передачі інформації між вузлами ІС або усередині вузла, такі події можуть бути поділені на загрози, що:

1) використовують принцип доступу суб’єкта ІС (користувача, процесу) до певного об’єкта (файлу даних, каналу зв’язку) або до прихованих каналів, тобто шляхів передачі інформації;

2) забезпечують активний або пасивний впливи на складові безпеки інформації в ІС;

3) реалізують опосередкований та безпосередній впливи, а також вплив на систему дозволів в ІС.

До перерахованих вище загроз безпеки інформації у ІС варто додати ще й такі, як: загроза несанкціонованого обміну інформацією між користувачами; загроза відмови від інформації, тобто невизнання одержувачем (відправником) факту її одержання (відправлення) тощо. Якщо вести мову конкретно про загрози безпеці інформації в ІС за метою реалізації, то з метою забезпечення конфіденційності й цілісності інформації у системі за рахунок унеможливлення доступу до неї та модифікації неавторизованим користувачем її змісту, окрім заходів організаційного обмеження доступом, необхідно перш за все застосовувати засоби: адміністрування доступу, управління фізичним доступом, криптографічного перетворення, контролю цілісності та охоронної сигналізації. З метою недопущення переводу ресурсу в режим штучної відмови – порушення доступності об’єкту за рахунок унеможливлення вчасного використання того чи іншого ресурсу авторизованим користувачем, необхідно додатково передбачити механізми: запобігання постійного чи занадто тривалого використання такого ресурсу, забезпечення стійкості та відновлення процесів в умовах збоїв, резервування інформаційних об’єктів, аналізу потоків запитів від суб’єктів ЛОМ та телекомунікаційних мереж, контролю та поновленню цілісності інформаційних об’єктів (наприклад, в каналах ІС).

2.2.2. Аналіз функціонування інформаційних систем в умовах загроз системам обробки інформації з обмеженим доступом

При аналізі функціонування інформаційних систем потрібно розглядати всі можливі варіанти комбінацій загроз на основі використання їхнього об’єднання та перерізу. Так, наприклад, для інформаційної системи обробки інформації з обмеженим доступом задано конкретний скінченний вектор загроз

, (2.9)

де { х } – множина потенційних загроз різного характеру, N – натуральна множина чисел, .

Тоді аналіз функціонування такої інформаційної системи базується на розв’язанні таких операторних рівнянь:

(2.10)

де – це відгук інформаційної системи при вхідній дії об’єднання та перетину потенційних загроз; – відповідний оператор дії інформаційної системи на вказану комбінацію вхідних потенційних загроз.

Сучасні інформаційні системи обробки інформації з обмеженим доступом є адаптованими до різних комбінацій потенційних загроз, тому їх функціонування можна описати певною послідовністю відповідних операторів дії у залежності від конкретної комбінації вхідних потенційних загроз. У більшості випадків математичні моделі потенційних загроз є випадковими, а послідовність (2.9) – детермінованим, інтегральним диференційним оператором. Тому методологія аналізу функціонування інформаційної системи є статистичною.

При створенні інформаційних систем обробки інформації з обмеженим доступом аналіз оперативних рівнянь (2.10) є певним станом, результати якого дають можливість сформулювати рекомендації забезпечення захисту інформації з подальшою їхньою реалізацією у конкретній інформаційній системі, на основі деталізації технічних характеристик розробки структури системи використання відповідної елементної бази, засобів обчислювальної техніки і т.д.

Витрати на систему захисту інформації з обмеженим доступом в інформаційній системі від несанкціонованого доступу необхідно зіставляти і приводити у відповідність з цінністю інформації, що захищається та інших інформаційних ресурсів, що підлягають захисту, а також із збитками, що можуть бути завдані несанкціонованим доступом. Варто відзначити, що для досягнення поставленої мети несанкціонованих дій зловмисники використовують не одну, а деяку сукупність загроз. Зупинимось на основних етапах оцінки дій загроз в інформаційних системах обробки інформації, які мають чітку логічну послідовність у часі при вирішенні складних науково-технічних проблем, до яких належить і проблема захисту інформації в інформаційних системах.

1. Етап розробки фізичних і математичних моделей потенційних загроз і досліджуваних інформаційних систем. Методологія проведення етапу теоретичних досліджень базується на:

обґрунтуванні і постановці завдань;

виборі методів вирішення завдань;

аналізі результатів теоретичних досліджень.

2. Етап імітаційних досліджень зводиться, як правило, до комп’ютерного моделювання. Останнє за своєю суттю є основним етапом аналізу функціонування інформаційної системи обробки інформації, при цьому моделюється та оцінюється дія загроз для всіх можливих підсистем захисту інформації. Методологія і результати моделювання визначають цінність сучасник новітніх інформаційних технологій, розробкою яких на сьогодні займаються дослідники і фахівці всіх розвинених країн світу.

3. Етап створення інформаційних систем є найтривалішим за часом й комплексним за своїм змістом.

4. На етапі налагодження, випробувань і введення в експлуатацію інформаційних систем є можливість формування бази знань функціонування розробленої системи з метою визначення її життєвого циклу на основі:

розрахунків характеристик надійності;

розробки методології регламентних і ремонтних робіт;

створення відповідних баз даних вимірювань поточних характеристик і параметрів механізмів, пристроїв системи;

методик прогнозу стану системи та інших.

Необхідно відмітити, що до завдань захисту інформації відносяться класичні завдання виявлення корисних сигналів при дії перешкод, завдання визначення їхніх характеристик, завдання розпізнавання. Як правило, для вирішення таких завдань використовуються статистичні методи Teogii’ випадкових процесів і математичної статистики. Найбільш обґрунтований підхід до аналізу функціонування інформаційної системи зводиться до аналізу такої структурної схеми (рис. 2.6).

На рис. 2.6 x (t), t є Т – вхідна дія; А [.] - оператор перетворення вхідної дії; y (t) – відгук оператора. На практиці, залежно від рівня деталізації, структурна схема аналізу досліджуваної системи (див. рис. 2.6) набуватиме вигляду (рис. 2.7).

Таким чином, на практиці аналіз функціонування системи зводиться до аналізу перетворення вхідної дії x (t) складовим оператором

(2.11)

У якості прикладу розглянемо лінійну систему з двох лінійних функцій, які описуються відповідними імпульсними перехідними функціями

і мають постійні у часі параметри, тобто

Відповідні співвідношення опису відгуку лінійної системи мають такий вигляд

де

для n-модульної лінійної системи маємо

У більшості випадків оператор (2.11) складається з лінійних і нелінійних операторів відповідних модулів інформаційної системи.

Наведений приклад підтверджує факт використання класичних результатів теорії сигналів і систем для аналізу інформаційних систем обробки сигналів.

2.3. Особливості реалізації атак та заходи послаблення їх деструктивного впливу

Нині достеменно невідомо, скільки видів атак (сукупність узгоджених за метою, змістом і часом дій або заходів, так званих кіберакцій, спрямованих на певний об’єкт впливу з метою порушення конфіденційності, цілісності, доступності, спостережності та/або авторства циркулюючої в ньому інформації, а також порушення роботи його ІТС) та методів їх застосування з моменту виникнення цього поняття і до цього часу розробило людство. Комплексні статистичні дослідження з цього приводу до останнього часу не проводилися. Ф. Коен (F. Cohen), описуючи математичні основи вірусної технології, довів, що оскільки кількість злоякісних кодів, які є підмножиною множини кібератак, нескінченна, то й кількість самих атак, загальну структуру яких подано на рис. 2.10, є також нескінченна.

Сучасні кібератаки класифікують за такими ознаками:

1) за метою впливу на об’єкт атаки, що може бути спрямований, наприклад, на порушення цілісності (integrity) або конфіденційності (confidentiality) інформації, її захищеності від несанкціонованого доступу (authentication), а також забезпечення живучості (survivability) системи та надійності (availability) її функціонування. Закордонний і вітчизняний досвід показує, що вирішення цих завдань використовують методи криптографії в поєднанні з перевіреним і ліцензованим програмним забезпеченням (ПЗ), а також надійні інтелектуальні носії важливої інформації (матеріал ключа). При цьому саме живучості (здатності системи вчасно виконувати свої функції в умовах фізичного руйнування, часткової втрати ресурсів, відмов і збоїв елементів, несанкціонованого втручання в систему управління), яка визначає мобілізаційну готовність збройних сил, промисловості, економіки, народного господарства й суспільства в цілому як до ведення війни, так і до ліквідації наслідків терористичних актів, стихійних лих і техногенних катастроф, приділяють останнім часом найбільшу увагу;

2) за принципом впливу на об’єкт атаки:

використання прихованих каналів (шляхів передачі інформації, що дозволяють двом процесам обмінюватися нею у спосіб, який порушує політику безпеки);

використання прав суб’єкта системи (користувача, процесу) до об’єкта (файлів даних, каналів зв’язку тощо);

3) за характером впливу на об’єкт атаки:

активний вплив (користувач виконує деякі дії, що виходять за рамки його обов’язків і порушують наявну політику безпеки, наприклад, розкриття пароля тощо);

пасивний вплив (користувач прослуховує лінії зв’язку між двома вузлами мережі тощо);

4) за способом впливу на об’єкт атаки, зокрема на систему дозволів (захоплення привілеїв), а також безпосередній доступ до даних, програм, служб, каналів зв’язку з використанням привілеїв;

5) за засобами впливу на об’єкт атаки, що передбачають використання або стандартного ПЗ, або спеціально розроблених програм;

6) за об’єктом атаки: напад може здійснюватися саме на систему в цілому; на дані і програми, що знаходяться на зовнішніх (дисководи, мережеві пристрої, термінали) або внутрішніх (оперативна пам’ять, процесор) пристроях системи, а також у каналах передачі даних; на процеси і підпроцеси системи за участю користувачів. Метою таких атак є або прямий вплив на роботу процесу (його припинення, зміна привілеїв і характеристик), або зворотний вплив (використання зловмисником привілеїв, характеристик тощо іншого процесу у своїх цілях);

7) за станом об’єкта: безпосередньо під час атаки інформація в ньому може зберігатися, передаватися або оброблятися. Наприклад, у ході передавання інформації лініями зв’язку між вузлами мережі або всередині вузла можливий доступ до фрагментів переданої інформації шляхом перехоплення пакетів на ретрансляторі мережі, або ж прослуховування з використанням прихованих каналів;

8) за використовуваною системою захисту, за кількістю атакуючих, за джерелами атак, за розміщенням атакуючого об’єкта відносно до атакованого, за наявністю зв’язку з атакованим об’єктом, за рівнем еталонної моделі OSI об’єкта, на який здійснюється вплив тощо. При цьому помилки системи захисту інформації (СЗІ) можуть бути зумовлені, наприклад, помилками адміністративного управління, помилками в алгоритмах програм, а також у зв’язках між ними, помилками кодування тощо.

Зважаючи на те, що нині переважну кількість кібератак на практиці не застосовують, більш життєздатною вважається класифікація, запропонована П.Нойманом, який пропонує сконцентрувати увагу на двадцяти шести основних типах таких дій (табл. 2.4), які можуть бути спрямованими проти ІТС спецпризначення. Найбільш розповсюдженими способами їх здійснення є mailbombing, sniffer пакетів та IP-спуфінг, DoS і DDoS атаки, парольні атаки, атаки типу Man-in-the-Middle та/або Side Channel Attack, атаки на рівні додатків типу логічних бомб і троянських коней, вірусні атаки, атаки з використанням мережевих черв’яків та так звані Ін’єкції.

Наприклад, mailbombing, як спосіб здійснення кібератаки, за розумінням П. Ноймана та інших фахівців полягає в бомбардуванні ПК протиборчої сторони електронною поштою. Сьогодні mailbombing практично не використовується. Сніфер пакетів – програма, яка використовує мережевий інтерфейс є у так званому нерозбірливому (promiscuous mode) режимі, перехоплює мережевий трафік, призначений для інших вузлів, та здійснює його подальший аналіз. Результати застосування дають можливість виявити паразитний, вірусний і закільцьований трафік; виявити в мережі шкідливе і несанкціоноване ПЗ (мережеві сканери, флудери, троянські програми тощо); перехопити будь-який, призначений для користувача, незашифрований, а деколи і зашифрований трафік з метою отримання паролів та іншої інформації; локалізувати несправність мережі або помилку конфігурації мережевих агентів).

Для зниження загрози сніффінгу пакетів потрібно вживати таких заходів:

застосовувати такі методи аутентифікації, як однократні паролі типу One-Time Passwords (ОТР) та DTP. В інших випадках, наприклад, у разі перехоплення електронної пошти зазначені методи не ефективні;

створити комутуючу інфраструктуру (у разі використання комутуючого Ethernet протоколу це дозволить хакерам отримати доступ лише до трафіка, що

поступає на порт, до якого вони підключені);

встановити антисніфери або ПЗ, що розпізнають сніфер пакетів, функціонуючий у визначеній мережі (антисніфери вимірюють час реагування хостів і визначають, чи не доводиться хостам обробляти зайвий трафік);

створити систему криптозахисту. Це найбільш ефективний спосіб боротьби зі sniffer пакетів. Якщо канал зв’язку є криптографічно захищеним, то хакер перехоплює не повідомлення, а зашифрований текст.

IP-спуфінг (spoof –обман, містифікація, підроблення) – вид хакерської атаки (рис. 2.11) з якою використання чужої IP-адреси, тобто введення в оману системи безпеки або приховування реальної адреси атакуючого для того, щоб відправити/надіслати відповідний пакет на потрібну адресу чи атакованого (зловмисник, який перебуває всередині корпорації/установи або поза нею, видає себе за санкціонованого користувача).

Часто використовується як складова частина комплексної атаки. Типовий приклад – DDoS атака, для здійснення якої хакер розміщує відповідну програму за чужою IP-адресою, щоб приховати власну.

Послабити загрозу IP-спуфінгу, а кібератаку зробити абсолютно неефективною можна завдяки:

застосування фільтрації RFC 2827 (передбачає заборону будь-якого трафіка, вихідна адреса якого не є однією з ІР-адрес певної установи);

правильному настроюванню управління доступом (передбачає заборону будь-якого трафіка, що надходить із зовнішньої мережі з вихідною адресою, яка має перебувати всередині власної мережі);

упровадженню додаткових заходів аутентифікації, а саме створенню системи криптографічного захисту.

Разом з тим слід зазначити, що на цей час розроблено велику кількість автоматизованих систем захисту, які взагалі роблять IP-спуфінг неефективним.

Відмова в обслуговуванні (Denial of Service – DoS) – атака на комп’ютерну систему з метою зробити комп’ютерні ресурси/мережу недоступними для користувачів внаслідок перевищення припустимих меж функціонування мережі, операційної системи або додатка; підвищення витрат ресурсів процесор та зме-

ншення пропускної можливості каналу зв’язку (рис. 2.12).

Найвідомішими різновидами DoS атак є такі: Flood, ICMP flood, Identification flood, TCP SYN flood, Ping of Death, Tribe Flood Network, Trinco, Stacheldracht, Trinity та багато інших. Серед них лише атаку TCP SYN flood, що полягає у надсиланні великої кількості запитів на ініціалізацію TCP -з’єднань з вузлом-мішенню, якому в результаті доводиться витрачати всі свої ресурси на те, щоб відстежувувати ці частково відкриті з’єднання, – фахівці відзначають найбільш ефективною. Вона є найвідомішим способом переповнення інформаційного каналу SYN -пакетами, внаслідок якого сервер не відповідає на запити користувачів. Під час Flood (“затоплення”) та ICMP flood (flood ping – “потік пінгів”) атак на систему надсилається відповідно велика кількість ICMP (найчастіше) або UDP -пакетів, які не несуть корисної інформації та так званих ехо-запитів ICMP (пінг системи). У результаті відбувається зменшення перепускної смуги каналу, незначне завантаження комп’ютерної системи аналізом “сміття”, що надійшло, та генерацією на нього відповідей (довідково: ICMP -пакети не аналізуються системою за умовчанням, а відповіді на них не займають багато CPU-time). Атака Identification flood (запит ідентифікації системи) дуже схожа на ICMP flood. Відрізняється від неї тільки тим, що додатковою умовою її проведення є запит інформації про комп’ютерну систему (TCP порт 113). Зважаючи на те, що аналіз цих запитів і генерування на них відповідей потребують більше процесорного часу, ніж при пінгах, така атака вважається більш ефективною. Результатом атаки Ping Of Death є зависання ОС системи, включаючи мишу й клавіатуру. Це, як правило, є відповіддю системи на надходження сильно фрагментованого ICMP пакету великого обсягу (64Kb). На даний час майже не використовується. UDP flood (User Datagram Protocol) та TCP flood атаки полягають у відправленні на адресу системи-мішені безлічі пакетів UDP та TCP, що призводить до “зв’язування” мережевих ресурсів. На сьогодні вони вважаються найменш небезпечними. Це пояснюється їх легким виявленням зважаючи на застосування при обміні пакетами головного контролера й агентів нешифрованих протоколів TCP і UDP.

Загрозу DoS атак можна послабити у результаті:

правильної конфігурації на маршрутизаторах і міжмережевих екранах функцій антиспуфінга (впровадження фільтрації RFC 2827) та функцій антиDoS;

обмеження обсягу некритичного трафіка (non-critical traffic – визначає імовірність того, що мережа зв’язку відповідає заданому та узгодженому трафіку), що проходить мережею. Типовим прикладом такого є обмеження обсягів трафіка ICMP, що використовується тільки для діагностичних цілей.

Розподілена DDoS атака (Distributed Denial of Service) – це підтип DoS атаки, що здійснюється одночасно з великої кількості IP-адрес (комп’ютерів) на систему об’єкта атаки та має за мету зробити мережу недоступною для звичайного використання (рис. 2.13). Для цього створюються так звані ботнети (інакше бот-мережі або зомбі-мережі) із групи заражених шкідливими програмами комп’ютерів, які одночасно надсилають запити до ресурсу, що атакується (рис. 2.14). У результаті сервер не справляється з навантаженням, і доступ до атакованого ресурсу ускладнюється або взагалі стає неможливим. Вартість атаки з використанням ботнетів, що налічує 10–20 тисяч комп’ютерів, становить нині (у разі потреби “завалити”, наприклад, портал новин) від 100–150 до 1000 доларів за добу. Збиток від такої атаки становить згідно з останніми даними приблизно 10 000 доларів за годину. Найбільш відомими різновидами DDoS атак є UDP flood, TCP flood, TCP SYN flood, Smurf та ICMP flood атаки. При цьому найнебезпечнішими є програми, що використовують одночасно кілька видів описаних атак, наприклад, TFN і TFN2K. Для створення програм у хакера має бути високий рівень підготовки. Однією з останніх програм для організації DDoS -атак є Stacheldracht, що дозволяє організовувати всілякі типи атак і лавини широкомовних ping-запитів із шифруванням обміну даними між контролерами й агентами. З погляду інформаційного захисту, DDoS-атаки є однією з найскладніших мережевих загроз, тому вживання ефективних заходів протидії є винятково складним завданням для організацій, діяльність яких залежить від Internet.

Основними методами протидії DDoS атакам є такі:

профілактика причин, що спонукають тих або інших осіб організовувати DDoS атаки. Дуже часто атаки є наслідками особистої образи або політичних,

релігійних розбіжностей;

розосередження або побудова розподілених і резервних систем, які не припинять обслуговувати користувачів, навіть якщо деякі їхні елементи стануть недоступними;

фільтрація трафіка на маршрутизаторах (міжмережеві екрани та спеціалізовані antiflood засоби фільтрації – найбільш ефективний, але й найбільш дорогий метод. За можливості їх встановлюють якнайближче до джерела flood. Наприклад, програмний засіб ADoS, який є динамічним фільтром TCP-пакетів, здатний блокувати в реальному часі доступ до Web-сервера з IP-адрес, що генерують інтенсивний потік HTTP-запитів);

розміщення (розташування) безпосередньої цілі атаки – доменного імені або IP-адреси - подалі від інших ресурсів, які часто піддаються впливу разом з безпосередньою ціллю;

нарощування ресурсів системи (якщо flood спрямований на вичерпання ресурсів, то примітивнішим способом протидії цьому є нарощування власних ресурсів, щоб протиборча сторона не змогла їх вичерпати).

Сучасні засоби захисту від DDoS атак дають можливість з високим ступенем досить ефективності виявити атаку й зменшити або запобігти збитку ресурсам операторів і їхніх клієнтів. Нині, наприклад, компанія “ NVisionGroup ” пропонує комплексне рішення для захисту від DDoS атак на основі технології Cisco Clean Pipes, що забезпечує оперативну реакцію на DDoS атаки, легко масштабується, має високу надійність і швидкодію. Технологія Cisco Clean Pipes припускає використання модулів Cisco Anomaly Detector і Cisco Guard, а також різні системи статистичного аналізу мережевого трафіка, основані на даних, одержуваних з маршрутизаторів за протоколом Cisco Netflow. При цьому Anomaly Detector і системи статистичного аналізу трафіка виступають як системи виявлення DDoS атак, а Cisco Guard як засіб протидії вже виявленій атаці. У загальному випадку технологія Clean Pipes припускає наявність етапу тестування (навчання), що проводиться в період відсутності DDoS атак на ресурс, що захищається. На цьому етапі пристрої виявлення визначають і запам’ятовують, який трафік для ресурсу, що захищається, є нормальним. Ситуація, за якої поточний трафік на ресурс, що захищається, різко відрізняється від нормального, вважається DDoS - атакою. У разі DDoS-атаки система виявлення повідомляє оператору та активує підсистему захисту Cisco Guard. Найбільш великого значення боротьбі із DDoS атаками надано керівництвом Південної Кореї. Зокрема з метою запобігання масштабного виходу з ладу критично важливих ІТ ресурсів корейський національний центр з боротьби з кіберзагрозами (KrCERT) створює так звані цифрові “бункери”, потужності яких планується надавати власникам корейських ІТ проектів, які потрапили під дію DDoS атаки. Але, зважаючи на те що хакери постійно використовують новітні технології та методи здійснення впливу на СІТС та їх складові, такі засоби захисту здатні лише частково захистити чи лише виявити атаку на об’єкт, що охороняється.

Для викрадення й подальшого передавання інформації третій стороні використовують програми-шпигуни або так звані кіберрозвідники. Їх поділяють на:

сканери портів – збирають інформацію, що передається мережею, через відповідний принтерний, модемний або інший порт комп’ютера (найбільш відомою серед них є, наприклад, програма Neo Trace);

клавіатурні та екранні шпигуни – збирають все, що вводиться у комп’ютер з клавіатури (програма Hook Dump) або ж, відповідно, копіюють зображення з монітора комп’ютера (програма Ghost spy);

модемні та мережеві кіберрозвідники – автоматично записують телефонні розмови у режимі диктофона, програвання записів через телефонну лінію або через звукову карту з подальшим надсиланням записів електронною поштою (програми Modem spy, Flexispy, Mobile Spy й Mobistealth) або ж, відповідно, визначають версію ОС, встановленої на ПЕОМ, обсяг пам’яті та процесор, здійснюють моніторинг адрес електронної пошти, відстежують масиви інформації, передані всередині мережі, відвідувані сайти та інформацію з них, а також розділи, які викликають інтерес у користувачів.

На початку 2011 року компанія ESEТ опублікувала список найпоширеніших Internet-загроз, виявлених фахівцями її вірусної лабораторії за допомогою технології раннього виявлення ThreatSense.Net. Згідно нього лідером у російській двадцятці шкідливого ПЗ у першій декаді поточного року стало сімейство Win32/Spy.Ursnif.A з показником поширеності у 3,62 %, що на 0,07 % більше, ніж в останню декаду 2010 року. Згідно нього лідером у російській двадцятці шкідливого ПЗ у першій декаді поточного року стало сімейство Win32/Spy.Ursnif. A з показником поширеності у 3,62 %, що на 0,07 % більше, ніж в останню декаду 2010 року. Цей клас зловмисного ПЗ краде персональну інформацію й облікові записи із зараженого комп’ютера, після чого відправляє їх на вилучений сервер. Друге місце рейтингу належить загрозі INF/Autorun, частка проникнення якої знизилася на 0,87 % і склала 3,54 %. Цей тип шкідливих програм використовує для проникнення на комп’ютер користувача функцію автозапуску Windows Autorun і поширюється через змінні носії. На третє місце вийшли ПЗ, що провокують користувачів відправити SMS-повідомлення на певний номер для одержання нібито бажаного контента. Почесне місце у російській двадцятці займає шахрайська програма Win32/Packed.ZipMonster. A, що маскується під піратський контент у вигляді архіву. Окрім неї відзначається підвищена активність й інших програм, що увійшли в російський рейтинг найпоширеніших загроз: Win32/RegistryBooster (0,86 %), Win32/Hoax.ArchSMS.EP (0,77 %), Win32/HackKMS. A (0,76 %), Win32/Hoax. ArchSMS.ER (0,73 %). Рівень зростання присутності кожної з цих загроз склав близько 0,1 %. Десяте місце займає загроза PDF/Exploit.Pidief.PDS.Gen з показником в 1,00 %. У той же час, залишаються популярними шкідливі експлойти для платформи Java. Так, наприклад, шкідливе ПЗ Java/Exploit.CVE-2010-0094 C, що експлуатує уразливість CVE-2010-0094, дотепер є присутнім у рейтингу із часткою поширення в 0,6 %. Що стосується десяти найпоширеніших загроз у світі, то в рейтингу першої декади 2011 року перше місце знову ж таки належить черв’яку Win32/Conficker з відсотком проникнення в 5,38 %, що ненабагато випереджає попереднього лідера – сімейство шкідливих програм INF/Autorun (5,30 %). Третє місце світової десятки займає загроза Win32/PSW.OnLineGames, що використовується хакерами для крадіжки аккаунтів гравців багато користувальницьких ігор, з показником поширеності у 2,17 %. У цілому ж світовий рейтинг найпоширеніших Internet-загроз нині включає: Win32/Conficker – 5,38 %; INF/Autorun – 5,30 %; Win32/PSW. OnLineGames – 2,17 %; Win32/Sality – 1,82 %; INF/Conficker – 1,39 %; Win32/Bflient. K – 1,19 %; Win32/Tifaut.C – 1,09 %; HTML/ScrIngect. B – 0,84 %; Win32/Spy.Ursnif.A – 0,83 %; Java/TrojanDownloader.Agent.NCA – 0,76 %.