Простые пароли, незакрытые уязвимости и человеческий фактор
Такие данные привел на вебинаре "Кибербезопасность 2023: аналитика, прогнозы и рекомендации для ответа на современные киберугрозы" руководитель группы экспертного пресейла Solar JSOC ООО "РТК-Солар" Артем Кильдюшев. По его словам, наиболее распространенными прорехами в защите является использование простых или одинаковых паролей.
Также, как подчеркнул Артем Кильдюшев, многие компании пострадали от масштабных утечек, и в распоряжении злоумышленников также оказывались большие массивы данных, в том числе логинов и паролей, которые после компрометации не меняли, чем атакующие часто пользовались.
Среди других проблем Артем Кильдюшев также упомянул наличие ПО с незакрытыми известными уязвимостями: в 77% обследованных компаний была обнаружена хотя бы одна, причем речь идет о тех, которые известны 2 года и более. Также, по его словам, распространены такие пробелы в защите, как низкий уровень защиты сетевого периметра, небезопасное хранение данных или недостаточный контроль доступа серверных компонент мобильных и веб-приложений.
Но при этом уровень защиты в российских компаниях все же, по мнению Артема Кильдюшева, за последний год существенно вырос. Это, по мнению руководителя направления аналитики киберугроз Solar JSOC Дарьи Кошкиной, привело к серьезным изменениям ландшафта угроз.
Прежде всего, как обратила внимание Дарья Кошкина, если во II квартале 2022 г. доля высококритичных инцидентов ИБ составляла 11%, то по итогам аналогичного периода 2023 г. доля опасных инцидентов составила 3%. Целью злоумышленников в первой половине 2022 г., по ее словам, было запугать и деморализовать российский бизнес и госучреждения, но сделать этого не удалось: организации начали принимать меры, и вал наиболее примитивных атак удалось отбить.
Вместе с тем, количество инцидентов по итогам II квартала 2023 г. на 77% больше, чем было зафиксировано в I квартале 2022 г. И дальше, по мнению Дарьи Кошкиной, тенденция на рост числа инцидентов будет сохраняться, прежде всего, за счет атак тех секторов, где уровень защиты недостаточен: большей части госучреждений (включая медицину и образование), а также СМИ и медиа. Также, по ее мнению, будет расти количество атак на промышленные компании, причем со стороны прогосударственных группировок.
По оценке директора центра мониторинга и противодействия кибератакам IZ:SOC ООО "Информзащита" Александра Матвеева, рост числа атак в годовом выражении по итогам июня 2023 г. составил около 70%. Но, по его оценке, количество атак уже начинает переходить в качество: "Рост количества атак замедлился, скорее даже незначительно снизился. Однако, есть явный переход от количества в качество. Злоумышленники начали компенсировать спад усложнением, используя более сложные схемы атак для обхода мер защиты".
Руководитель направления Positive Technologies ГК MONT Антон Соловьев также считает госучреждения и СМИ главной целью для атак, прежде всего, массовых: "В текущем году мы каждый квартал отмечаем рост атак на государственные учреждения, которые столкнулись с наибольшим числом киберинцидентов. На текущий момент их доля составляет 17% от общего количества успешных атак. Государственный сектор становится жертвой как мелких вымогателей, так и целых АРТ-группировок. Серьезному давлению подвергаются организации, имеющие в распоряжении web-ресурсы — доля атак на них увеличилась в полтора раза. Под ударом также оказываются СМИ и торговые предприятия".
Однако статистика других коммерческих SOC часто демонстрирует другую динамику. Так, например, директор по развитию бизнеса АО "Перспективный мониторинг" Сергей Нейгер оценил рост числа инцидентов за год в пределах 1%, однако произошло серьезное перераспределение по разным классам угроз: "Вполовину снизилось количество DDoS. В два раза выросло число нарушения политик и попыток внедрения ВПО. Сканировать сети злоумышленники стали в 4 раза чаще. Из сильно неприятного — в 4 раза чаще заказчики сталкивались с применением социальной инженерии. В числе наиболее атакуемых отраслей также без сюрпризов: госсектор, медицина, ОПК, телеком".
Аналитик исследовательской группы ПАО "Позитив" (Positive Technologies) Федор Чунижеков видит относительно небольшой рост числа атак: "В I квартале 2023 г. количество инцидентов увеличилось на 7% по сравнению с показателем предыдущего квартала и стало на 10% больше, чем в начале 2022 г. Среди организаций наибольшему давлению со стороны атакующих в I квартале были подвержены госучреждения - на них пришлось 14% от общего числа атак на организации. На втором месте – медицинские учреждения (11%), далее финансовые организации (8%) и замкнули четверку самых атакуемых отраслей организации промышленного сектора (7%). 68% атак в первом квартале 2023 г. имели целенаправленный характер".
Руководитель департамента мониторинга и реагирования центра информационной безопасности АО "Инфосистемы Джет" Ринат Сагиров считает, что количество атак по сравнению с 2022 г. немного снижается: "Во многом высокая плотность и частота атак обеспечивались в 2022 г. именно за счет низкоквалифицированных злоумышленников. Сильный спад такой активности в этом году мы не фиксируем. Достаточно большое количество произошедших в этом году инцидентов связаны либо с утечками конфиденциальных данных, либо с вирусами-шифровальщиками. Они происходят в результате использования наиболее популярных техник атак, не требующих сильных компетенций, например, фишинговых рассылок и эксплуатации уязвимостей на периметре. Но при этом, безусловно, в киберпространстве активничают и политически мотивированные злоумышленники, которые своими успешными атаками пытаются вызвать общественный резонанс и нанести репутационный ущерб бизнесу. Они действуют в сегменте, который активно повышает уровень защищенности, и чтобы скомпрометировать такие компании, необходимо сильно постараться для того, чтобы обойти все используемые меры по обеспечению кибербезопасности".
Заместитель генерального директора "Гарда Технологии" Рустэм Хайретдинов склонен считать, что количество и мощность стабилизировались: "Количество атакующих не растёт, ресурсов для атак тоже больше не стало. Но атакующие набирают опыт противоборства с российскими средствами защиты, поэтому качество атак и их изощрённость прогрессирует. Увеличивается сложность атак, как в следствии того, что набирают опыта сами атакующие, так и потому, что подключились советники из европейских и американских киберармий".
В МТС SOC зафиксировали схожую с выводами Solar JSOC динамику: почти двухкратный рост общего числа инцидентов при снижении доли критических. Однако в таких сферах как розничная торговля, промышленность и телеком доля опасных инцидентов могла достигать 40%.
"В начале 2022 г. преобладали простые и агрессивные атаки на внешний ИТ-периметр организаций, а также фишинговые рассылки на сотрудников компаний. В 2023 г. общее количество значимых атак снизилось, так как компании стали более внимательно относиться к кибербезопасности, закрывая критичные уязвимости в информационных системах либо используя наложенные средства защиты и сервисы кибербезопасности", – прокомментировал изменения ландшафта угроз в течение последнего года директор центра сервисов кибербезопасности МТС RED Андрей Дугин.
https://www.comnews.ru/content/227584/2023-07-20/2023-w29/kolichestvo-k…
Однако Рустэм Хайретдинов обращает внимание на то, что хотя число атак на предприятия промышленности и энергетики растет, но в целом количество такого рода прецедентов остается небольшим.
Как отметила Дарья Кошкина, злоумышленники начали переходит от волны массовых атак к более точечным акциям. Она обратила внимание на то, что в III квартале 2022 г. атаки на веб-приложения сменили заражения вредоносным ПО, среди которого доминировали шифровальщики и их разновидность инфостилеры, целью которых является не шантаж и вымогательство, а уничтожение данных. При этом, по оценке Дарьи Кошкиной, киберпреступники начали активно использовать методы киберразведки, выявляя возможные слабые места в защите компаний, будь то сотрудники или уязвимые элементы ИТ-инфраструктуры. Реализация программ импортозамещения не является препятствием для злоумышленников: как отметил Артем Кильдюшев, они научились эксплуатировать уязвимости российского ПО.
Руководитель направления по развитию бизнеса Innostage Екатерина Сюртукова считает, что массовый вал атак идет на спад: "Массовые атаки с участием хактивистов, захлестнувшие нас в прошлом году, постепенно затухают. Российские компании смогли обеспечить защиту периметра и продолжают повышать уровень защищенности. Однако в ответ на это киберпреступники стали активнее применять более сложные атаки с использованием нетипичных методов и техник. Теперь для достижения цели они более точечно подходят к реализации атаки и проводят тщательную подготовку. Но интенсивность атак довольно неравномерная. Пока одни компании наблюдают спад, другие продолжают находиться под непрерывными атаками. Поэтому, если говорить об общей картине, колоссального снижения количества атак мы пока не видим. Под ударом, в первую очередь, компании с высоким уровнем цифровизации - госкорпорации, госорганы, финансовый сектор и промышленность".
Федор Чунижеков назвал главной угрозой шифровальщики: "Активность вымогателей в 2023 году значительно возросла и наиболее напряженная обстановка наблюдается в секторе науки и образования — на него пришлась немалая доля атак вымогателей (19%): на прицеле злоумышленников находятся школы и ряд высших учебных заведений по всему миру. Новшества продемонстрировали вымогатели BlackCat и HardBit. Первые начали выкладывать похищенные данные на сайты с адресами, похожими на домен скомпрометированной организации, чтобы факт утечки мог стать известен широкому кругу клиентов или партнеров компании. Вторые пытались убедить жертву раскрыть детали киберстрахования, чтобы скорректировать требования выкупа и гарантированно получить выплату от страховщика".
По оценке руководителя Центра мониторинга кибербезопасности "Лаборатории Касперского" Сергея Солдатова, спецификой атак на промышленные компании стало широкое применение техник, направленных на уничтожение данных: "В 2022 г. распространение получили деструктивные атаки, в ходе которых злоумышленники также крали данные компаний, которые затем выкладывались в публичный доступ. Иногда их маскировали под атаки с использованием программ-вымогателей. Наряду с мотивацией атакующих в виде громких инфоповодов наблюдались и такие инциденты, где злоумышленники преследовали цель остановить бизнес-процессы предприятий. Наиболее значимыми были попытки реализации подобных атак на индустриальные компании, системы промышленной автоматизации (АСУ ТП). В 2023 г. эта тенденция прослеживается в меньшей степени, однако стремление нанести ущерб производственным предприятиям усилилась, и с большой долей вероятности тренд сохранится до конца 2023 г.".
Серьезной угрозой являются атаки на цепочки поставок. Так, по статистике Solar JSOC, которую озвучил Артем Килдюшев, более трети атак на ИТ-компании происходит через партнеров и подрядчиков. Такая же схема, как он подчеркнул, применяется и при атаках на промышленные компании.
Сергей Солдатов видит также широкое распространение такой техники и для атак на телеком: "По данным Kaspersky MDR с 2021 г. наблюдается беспрецедентный рост числа инцидентов высокой критичности на телеком-сектор, связаный с атаками на цепочки поставок. Повышенный интерес злоумышленников, располагающих расширенным инструментарием для проведения сложных атак, к телекоммуникационной отрасли и IT-компаниям сохранился и в 2022 г., и наблюдается до сих пор".
Ринат Сагиров также называет атаки на цепочку поставок опасной тенденцией: "В первом полугодии было зафиксировано несколько успешных атак на поставщиков ИТ-услуг. Злоумышленники сначала попадают в инфраструктуру к незащищенному поставщику, а затем продвигаются далее для получения доступа к более крупной жертве. В этом году мы провели исследование, которое показало, что уровень защищенности подрядчиков часто остается вне поля зрения бизнеса, и 80% компаний используют те же самые защитные меры в их сторону, что и по отношению к удаленным работникам несмотря на то, что подрядчики имеют инфраструктуру с актуальными для них угрозами".
Антон Соловьев напоминает о том, что ценность для злоумышленников представляет не столько нарушение работоспособности компании, сколько информация: "В 36% случаев атак на организации целью являлись персональные данные. И этот показатель растет год от года. А вот полученные персональные данные злоумышленники либо продают на черном рынке, либо используют для фишинговых атак на частных пользователей".
Соответственно, компании всерьез озаботились повышением уровня защищенности. По данным опроса, проведенного "РТК-Солар", которые озвучила Дарья Кошкина, почти 70% компаний или уже имеют внутренний SOC, или планируют его создать в течение ближайших двух лет. При этом три четверти тех, кто уже имеет SOC планируют его модернизацию. Дарья Кошкина связывает это с тем, что базовых функций по выявлению инцидентов уже недостаточно.
При этом основной побудительный мотив для компаний при строительстве SOC – сокращение ущерба от кибератак. Как показало исследование "РТК-Солар", средний ущерб российской компании от киберинцидентов с июля 2022 г. по июль 2023 г. составил, причем, как подчеркнула Дарья Кошкина, по довольно консервативной оценке, около 20 млн руб., а восстановление после инцидента обычно занимало 5 рабочих дней. При этом, по ее словам, в крупной российской компании за последний год отмечалось 4-5 инцидентов кибербезопасности.
https://www.comnews.ru/content/227587/2023-07-21/2023-w29/khaker-vystav…
Но сохраняется высокий спрос и на услуги внешних SOC. "Внешний SOC останется востребовааным. Если смотреть на компании, которым потребовалось локализовать свои бизнес, то мы увидим что они стремятся сохранить уровень защищенности своей ИТ-инфраструктуры, но строительство собственного SOC для них непосильная задача т.к. потребуется много времени, которого у них нет и денег, а также нет специалистов SOC которых им потребуется искать на рынке где итак замечен недостаток в кадрах", - уверен эксперт по информационной безопасности Axenix Евгений Качуров.
"Количество запросов на данные услуги в Коммерческий департамент Перспективного мониторинга выросло на 60-70%. Да, конверсия запросов в новых заказчиков пока не настолько впечатляющая. Но мы видим, что даже те заказчики, которые "не обязаны по нормативке" заниматься мониторингом, активно прощупывают рынок и бюджетируют контракты с SOC'ами", - такие данные привел Сергей Нейгер.
Ринат Сагиров также видит рост спроса на услуги внешних SOC: "Рост количества успешных атак усиливает уровень осознания необходимости повышения уровня защищенности. При этом инфраструктуры компаний динамично меняются, увеличивая охват мониторинга, а значит, и количество событий ИБ. Для таких задач нужны квалифицированные специалисты, но в сфере ИБ наблюдается кадровый голод, т. е. спрос сильно выше. В таких ситуациях выходом является передача части функционала провайдерам услуг ИБ — это проще, чем взращивать своих специалистов или искать готовых".
"Многие компании столкнулись с тем, что не в силах справиться с этими угрозами самостоятельно, поэтому потребность в коммерческих SOC заметно возросла.
Как правило, такие центры организовывают постоянный мониторинг событий безопасности на защищаемых объектах с целью выявления и реагирования на компьютерные атаки до того момента, как они нанесут реальный ущерб - наступление недопустимого для компании события", - такой, по мнению Федора Чунижекова основной мотив воспользоваться услугами коммерческих SOC.
По мнению Александра Матвеева, факторами роста спроса на услуги внешних SOC
являются увеличение числа кибератак и инцидентов утечек данных, особенно резонансных. Но, по его оценке, не менее значимы также кадровый голод и невозможность формирования эффективных команд у заказчиков, потребность именно в готовой услуге, причем быстро: заказчик получает это сразу, на выстраивание процессов, подбор кадров, грамотную настройку СЗИ необходимо много времени. Также Александр Матвеев видит в числе драйверов выполнение требований регуляторов, в частности для критической информационной инфраструктуры (КИИ), а также появление новых угроз, которые потребуют более сложных и специализированных решений для их обнаружения и реагирования.
Среди факторов сдерживания Александр Матвеев отмечает следующие: "Недостаток финансирования для обеспечения безопасности компаний. Недостаточная осведомленность о необходимости использования услуг SOC для защиты компаний от кибератак. Негативное отношение к использованию услуг SOC из-за опасений по поводу передачи конфиденциальных данных". Дарья Кошкина также обращает внимание на недостаток финансирования и низкую вовлеченность бизнес-руководства компаний в тему ИБ.
Екатерина Сюртукова видит рост спроса на нетиповые сценарии для внешних SOC, что обусловлено изменившимся ландшафтом угроз: " В новых реалиях типового уровня сервиса недостаточно и многие заказчики уже успели это понять. От таргетированных атак необходима таргетированная защита и коммерческим SOC важно пересматривать подходы".
Рустэм Хайретдинов обращает внимание на тенденцию к переманиванию кадров из коммерческих SOC во внутренние, что привело к исчерпанию резервов роста внешних SOC: "Рост внешних SOC в последние полтора года был связан с дефицитом инфраструктуры и специалистов. На сегодня резервы роста коммерческих SOC практически исчерпаны и баланс "внутренний SOC/аутсорсинговый SOC" будет сохраняться. Мы видим активное переманивание крупными игроками специалистов из коммерческих SOC-ов, то есть внутренние SOC-и активно растут".
По мнению Сергея Солдатова, спросу на SOC будут способствовать сложность атак и нехватка кадров, при этом стремление компаний сохранять конфиденциальность данных по инцидентам будет способствовать построению внутренних SOC.