Naša praksa u svakodnevnom radu sa sigurnosnim tehnologijama, ali i podaci svih vodećih proizvođača antimalware rješenja konzistentno pokazuju eksplozivan rast proizvodnje i distribucije malware-a. Posljedično, efikasnost antimalware zaštite cijele industrije sve je manja, a što se moze isčitati iz najnovijih istraživanja učinkovitosti zaštite pojedinih proizvođača. Dobar nedavni primjer jest izvještaj NSS labs-a ovdje.

Cilj malware programa više nije iscrpljivanje resursa računala, servera ili mreže; naprotiv, smisao je ostati prikriven što duže vrijeme kako bi se ostvarila konkretna korist za izvođača napada. U pozadini je zapravo rast crimeware tržišta. Kao i svako tržište, zasniva se na potražnji, u ovom slučaju za: ukradenim informacijama (bilo osobnim ili poslovnim), kriminalnim financijskim transakcijama (npr. credit card ili internet banking fraud), distribucijom reklamnih poruka u obliku spama, neželjenom redirekcijom na određene internet sadržaje (click rate fraud), itd.

Kako potražnje ne nedostaje, ne čudi snažan rast ponude u obliku malware napada kao i inventivnosti i „inovacija“ kod realizacije istih. U tom smislu, sve je cešće korišten termin Advanced Persistent Threats (APT), o čemu više možete saznati ovdje.

Osim toga, popularni postaju i tzv. ciljani malware napadi (targeted attacks), od kojih su najviše pozornosti medija dobili incidenti Aurora s početka godine (niz većih korporacija poput Google, Adobe, Juniper, itd. bilo je ciljem sofisticiranog napada u svrhu krađe podataka), te nedavni Stuxnet crv koji je čini se za cilj imao određene konfiguracije Siemensovog softvera za kontrolu industrijskih postojenja (priče idu toliko daleko da se spominje scenarij kakvog se ne bi posramili niti holivudski režiseri: onemogućiti iransko nuklearno postrojenje).

Svi ovi noviji trendovi u razvoju malware softvera rezultirali su činjenicom da danas nalazimo kako praktički sve organizacije odnosno mreže imaju aktivan malware, bez znanja korisnika ili IT administratora. Prijetnje ostaju ispod dosega "radara" upravo zato jer u pravilu izostane ono što je u prošlosti bio osnovni kriterij obavješćivanja i uzbunjivanja: prijava problema od strane krajnjeg korisnika na računalu (ne radi mi internet! ne mogu slati mail!). Noviji malware je dakle dizajniran da ostane skriven, kako od korisnika tako i od administratora, pa će minimalno narušiti mrežne i hardverske resurse.

Tipične slabosti koje dovode do perzistentne zaraze odnosno prisutnosti APT prijetnji su:

• Nedostatak kvalitetnog web reputacijskog filtriranja na internet gateway-u, odnosno širi problem nedostatka Secure Web Gateway rješenja;
• Nedostatak web reputacijskog filtriranja za klijente izvan tvrtke: internet gateway kontrole koje su možda prisutne unutar LAN-a organizacije, izostaju kada su korisnici izvan LAN-a (rad od kuće, na terenu, i sl.). Ovo otvara širok prozor prijetnjama koje se većinom isporučuju kroz web preglednik;
• nema konzistentne politike Microsoft patching-a niti provjere da li su uistinu sve zakrpe instalirane (enforcement) na radnim stanicama;
• nema kontrole korištenja i pristupa USB izmjenjivim medijima (npr. konzistentna zabrana autorun funkcionalnosti);
• nema potpune evidencije i kontrole nad IT imovinom (endpoints): kroz istraživanje uzroka zaraze odnosno incidenta, česta je pojava otkrivanje „zaboravljenih“ računala u mreži (rogue machines); takva računala nisu duže vremena pod nadzorom, odnosno nemaju AV kontrolu ili patching;
• nema kontrole pristupa na mrežnom nivou što dovodi do spajanja u mrežu bez prethodne provjere adekvatnosti AV zaštite i zakrpi.