Уже достаточно давно, почти вечность назад, была неплохая заметка про стандартизацию информационной безопасности, и о том, что это хорошо, когда крупные производители и сообщества подхватывают полезные инициативы, что дает возможность этим инициативам динамично развиваться. Действительно, безопасность зависит от каждого, поэтому чем более принципы обеспечения безопасности будут популярны, чем глубже войдут в нашу культуру, тем, очевидно, безопаснее станет наш Мир.... - об этом всем я подумал, когда наблюдал за динамикой критичности инцидентов MDR.
Приведу эти картинки и здесь.
На картинке явно видно падение числа критичных инцидентов с одновременным увеличением количества инцидентов средней и низкой критичности. Т.е. процент человекоуправляемых атак, использующих уникальные инструменты (которые потенциально не обнаруживаются современным EPP) снижается, с одновременным увеличением доли полностью автоматического ВПО.
Я прекрасно помню, как сам сравнивал разбрасывание разработок АНБ и их подхватывание малварщиками всех мастей с ситуацией, когда ядерная держава разбрасывает атомные бомбы, которые подбирают и используют террористы. Но с тех пор утечки инструментов стали встречаться чаще (может, для state-sponsored APT это один из методов заметания следов, тогда нужно готовиться только к росту таких "сливов"), в результате порог входа в индустрию снижается, появляется больше игроков, больше старых новых инструментов, больше атак - все это, кажется, очень плохо. Но вот статистика, как будто, демонстрирует обратное.
Действительно, образцов ВПО становится больше, но борьба с клонами известных - это не то же самое, что с уникальными техниками проведения атак и их реализациями\инструментами. Тем более, что современные EPP за десятки лет эволюции в этом сильно преуспели: от старых добрых методов похожести, до более современных, и прочих Next-gen фич. В итоге мы наблюдаем, что доля малвары, которая вполне эффективно долбится EPP, растет, а доля целевых атак с использованием полностью уникальных техник и инструментов на ее фоне падает.
В целом, вся наша история демонстрирует, что, когда какая-то уникальная вещь после достижения целей своего существования, или раньше, выходит в тираж, превращается в коммодити. Наверно, лучше всего это заметно на примере высокой моды, когда современные модные показы будоражат наши сознания: "Какой ужас! Кто это будет носить??".... Но, вспомнив историю, понимаем, что многие обычные современные вещи когда-то тоже были высокой модой, а сейчас они - ширпотреб, они - коммодити.
В абсолютных числах количество целевых атак тоже растет, но за счет снежного кома коммодизации вышедших в тираж когда-то передовых технологий нападения, эффективно и результативно предотвращаемых современными EPP, становится еще больше, и их доля растет еще быстрее.