Хакеры диктуют моду: как меняются тренды в кибербезопасности в 2024 году

За последние пару лет семь из 10 компаний, по оценке Positive Technologies, сталкивались с кибератаками: от простого заражения вирусами до полного шифрования всей компании. Почему мы не можем раз и навсегда их остановить? Смогли справиться с пандемией COVID-19, но не с эпидемией кибератак? Хакеры, как девушки с сумками Jacquemus, не отстают от трендов.

Как только их техники становятся известны общественности, они тут же находят что-то новое. В том, как наконец перехватить инициативу в киберзащите и свести к нулю возможные последствия кибератак, разбирается руководитель группы обнаружения атак в сети продукта PT NAD экспертного центра безопасности Positive Technologies Кирилл Шипулин

96% компаний можно взломать. Эти цифры подтверждаются как нашей аналитикой, так и статистикой моих коллег белых хакеров, которые занимаются тестированием компаний на проникновение. Атака на ИT-интегратора Platformix и атака на банковского оператора связи АО "Инфотел" — публичные истории 2023 года, случившиеся в России. Получается, что проникновение хакеров — лишь вопрос их возможностей и желания. А что произойдет дальше, зависит от ваших средств киберзащиты и компетенций сотрудников. В худшем случае — слив конфиденциальных данных клиентов и сотрудников, кража денег и даже остановка производства. Представьте, что случится, если из-за кибератаки нарушится процесс нефтедобычи? Пример Colonial Pipeline дает нам ответ: 10-летний рекорд по стоимости бензина и отмена рейсов авиакомпаний.

Что в моде у хакеров в 2024 году? Новые тренды у них появляются в ответ на наши способы защиты. В этом плане они диктуют моду. Им просто приходится находить новые способы, ведь как только хакеры найдут что-то новое, об этом вскоре будет известно всем. Так, в 2024 году экспертный центр безопасности Positive Technologies (PT ESC) стал чаще замечать использование вредоносными программами мессенджера Telegram. Поскольку для многих он стал стандартом корпоративного общения, хакеры начали использовать его для передачи украденных данных. Ваших паролей, например, чтобы с их помощью развить атаку дальше. Задумка проста — замаскировать свой трафик в сетевых потоках от обычного мессенджера Telegram и избежать обнаружения. Но есть нюанс. Характер сетевых запросов "вредоноса" и обычного приложения на компьютере резко отличаются. Но чтобы увидеть эту разницу, необходимы новейшие сетевые средства киберзащиты.

Что еще? Голосовать в фейковых конкурсах, кажется, россияне уже перестали. Напомню, эта мошенническая схема долгое время оставалась крайне популярной. Пользователи, желая помочь родственникам, регистрировались в сомнительных сервисах — все лишь бы успеть оставить голос до конца конкурса. В итоге почтовые адреса и даже пароли оказывались скомпрометированы. Но не ответить на сообщение руководителя даже в нерабочее время мы не можем. Хакеры с конца прошлого года стали пользоваться еще одной тактикой, создавая фейковые аккаунты в Telegram, WhatsApp и т.д. от лица ваших руководителей, прося об услуге в пятницу вечером. Таким образом злоумышленники пытаются нащупать слабые места людей, пользуясь их невнимательностью и уважением к начальнику.

А может быть, ваша компания станет лишь плацдармом для того, чтобы атаковать соседнюю организацию. Сеть "соседа" мы инстинктивно считаем безопасной, хотя его защита может быть хуже. Например, так произошло с упомянутой выше компанией Platformix. Как сообщил замдиректора по ИБ интегратора, кибератака была осуществлена через стороннюю организацию, к которой ранее относились с полным доверием.

Но появление новых трендов еще не означает, что старые способы перестают работать. Недавно я участвовал в расследовании кибератаки, где хакеры проникли в компанию самым простым и популярным способом: подобрали пароль от службы удаленного доступа, открытой в интернет. Три недели они бродили внутри по серверам, исследуя сеть и собирая по кусочкам, как пазл, доступы. Возможно ли было обнаружить их присутствие за три недели? Определенно да. Много раз их действия буквально кричали об этом. Расследовать эту цепочку мог любой инженер по информационной безопасности (вероятно, вы слышали про операторов SOC — security operation center). Но никто не заметил и не расследовал, а закончилось все шифрованием всех данных без возможности их вернуть и требованием выкупа. Таких историй множество, просто о них не любят рассказывать.

Но есть и хорошие новости. Хакеры в сети вашей компании словно новые сотрудники: они не знают, где находится то, что им необходимо. Только спросить им, например, на каком из серверов хранятся данные клиентов, не у кого. Поэтому хакерские атаки длятся не день и не два. По статистике Positive Technologies, среднее время присутствия хакеров — 45 дней, а самое долгое — пять лет. Правда, в этом случае они скорее сидят ниже травы и тише воды, лишь редко перемещаясь от сервера к серверу перебежками по проводам. И у вас есть это время, чтобы их остановить. Как правило, это несколько недель — время от момента, когда хакеры только проникли в вашу сеть, до нажатия ими большой красной кнопки, которая все уничтожит.

В сети мы все как на ладони. Посудите сами. Ваша работа уже не может обходиться без интернета: вы можете работать удаленно, частенько взаимодействуете с документами в облаке, участвуете в звонках и отправляете письма. Что все это объединяет? Сеть. Практически любой ваш шаг сопровождают сетевые запросы. С их помощью можно описать весь ваш рабочий день практически поминутно: в какое время начали работу, что делали и в какое время закончили. Так и с хакерами в вашей сети: едва ли не любой их шаг генерирует такую же активность. Часто с уникальными для хакерских инструментов признаками.

Несомненное преимущество хакеров в том, что никто не знает, каким будет их следующий шаг и какую новую атаку они изобретут. Но лишь ступив внутрь вашей сети, инициатива переходит под ваш контроль. Теперь они вынуждены играть по вашим правилам, пытаясь мимикрировать под сотрудников, чтобы избежать обнаружения, но совершая неизбежные ошибки. Какие? Например, активничая на сервере во внерабочее время. Задача киберзащиты проста — обнаружить хотя бы одну из таких ошибок. Сеть компании функционирует на давно известных всем службах и протоколах. Получается, у хакеров есть лишь с десяток способов перемещаться внутри, и все из них давно известны защищающейся стороне. А это значит, что при должной защите у хакеров практически нет шансов нанести вам вред.

Постепенно мы подходим к концепции того, что безопасно не там, где невозможно взломать, а там, где следят. Следить — значит, каждый день проверять свои средства защиты. По опыту могу сказать, что если ежедневно работать со средствами защиты, то половины всех кибератак можно было бы избежать или снизить их ущерб. Киберзащита уже стала постоянным процессом внутри компании, как, например, ведение бухгалтерии. Поэтому важно следить за новостями и оставаться в тренде. За последние десять лет появилось несколько новых классов продуктов безопасности: NTA (Network Traffic Analysis), EDR (Endpoint Detection and Response) и даже метапродукты. Новые классы решений — это наш ответ на растущее год от года число кибератак.

Но, к сожалению, чтобы это осознать, многим необходимо и самим стать жертвой кибератаки. Желаю вам не пополнять статистику моих коллег, берегите себя и свои пароли.