Чините сети
Состоялась онлайн-конференция Kaspersky ON AIR. Данное мероприятие, собравшее более 600 человек из России и других стран, было посвящено тому, как "Лаборатория Касперского" видит основные тенденции в области киберугроз, и методам противодействия им. В ходе данного мероприятия анонсированы два новых продукта, один из которых принципиально новый.
Открывая мероприятие, основатель и генеральный директор "Лаборатории Касперского" Евгений Касперский подчеркнул, что киберпреступники в ходе эпидемии начали работать больше. Пандемия стала для них новой возможностью в условиях, когда компании перевели значительную часть персонала на удаленный режим работы и ослабили защиту, а сотрудники начали активнее использовать интернет. В итоге, по состоянию на конец апреля, количество атак выросло на 25%, а число вновь выявленных вредоносных программ - на 8%. В начале мая, однако, отмечалось падение активности.
Как отметил Евгений Касперский, "Лаборатория Касперского" перешла на удаленный режим работы раньше, чем это было предписано властями. Этот процесс проходил в плановом режиме, без аврала, так что эпидемия на процесс разработки не сказалась негативно. Даже наоборот, процесс разработки ускорился в среднем на 10%. Основными приоритетами для компании Евгений Касперский назвал системы обеспечения индустриальной безопасности и KasperskyOS - операционную систему, ориентированную на встроенные системы и устройства интернета вещей.
Ведущий эксперт "Лаборатории Касперского" Сергей Голованов подробно остановился на ситуации с угрозами в условиях пандемии. В целом продолжается тенденция к тому, что злоумышленники перешли от массовых атак к целевым. Если в 2012 г. атакам подвергались 75% компьютеров, то по итогам 2019 г. уже меньше 20%. При этом количество атак шифровальщиков снизилось по сравнению с предшествующим годом на 7%, а майнеров криптовалюты - на 50%.
Однако с началом пандемии злонамеренная активность вновь начала нарастать. Количество атак на конечные устройства по итогам апреля 2020 г. выросло на 6%, а на веб-сайты увеличилось более чем на треть. На 25% повысилось количество мошеннических телефонных звонков. На 80% - количество DDoS атак. Вдвое выросло количество фишинговых атак. При этом злоумышленники активно использовали в своих целях интерес к пандемии, и три из четырех сайтов, посвященных COVID-19, оказались мошенническими. Основными целями злоумышленников были компании финансового сектора (33% от общего числа атак), госучреждения (30%), промышленность (22%), транспорт (4%), розничная торговля (4%).
При этом, как отметил Сергей Голованов, пандемия внесла определенные коррективы в деятельность злоумышленников. Прежде всего осложнился вывод украденных денег, в итоге группировки, которые специализировались на кражах с использованием дистанционных каналов обслуживания, начали перепрофилироваться. Также переход на удаленный режим упростил злоумышленникам проникновение в инфраструктуру компаний с использованием уязвимостей протокола RDP. Именно по такому сценарию происходила треть атак. В 17% атак злоумышленники применяли зараженные веб-ресурсы, столько же использовали для доставки зловредов электронную почту. В 11% случаев киберпреступники воспользовались ошибками в конфигурировании средств защиты, в 5% - ошибками в ПО, в 6% атак применялись зараженные носители.
По оценке Сергея Голованова, в среднем заказчики "Лаборатории Касперского" обнаруживали вредоносную активность в течение 19 дней. Однако это средний показатель. Самый долгий период, когда злоумышленники оставались незамеченными, составил 4901 день (более 13 лет).
Вице-президент "Лаборатории Касперского", директор департамента корпоративного бизнеса Вениамин Левцов рассказал о том, как эволюционируют задачи служб информационной безопасности. Акцент при этом сделан на поиске сложных угроз. Для решения задачи возможны два пути, впрочем, не исключающие друг друга: или развертывание всех необходимых средств у себя, или обращение к внешнему поставщику услуг. Однако последнее в России не слишком популярно. По оценке Вениамина Левцова, это связано с вопросами распределения ответственности, опасениями за то, что внешние поставщики начнут выносить сор из избы, не понимают всей специфики заказчика, а также с рисками несоблюдения всех параметров SLA. Однако начинают перевешивать такие факторы, как необходимость перераспределения капитальных затрат в операционные, а также возможность быстрого масштабирования в условиях крупного инцидента.
Архитектор решений корпоративной безопасности "Лаборатории Касперского" Дамир Шайхелисламов рассказал о новом продукте EDR Optimum, официальный релиз которого намечен на 30 июня. В отличие от других средств защиты от сложных угроз, он не требует затрат времени на установку и внедрение. Также EDR Optimum оптимизирован по цене и не требует подготовленного персонала, что делает возможным его применение в средних и даже малых компаниях.
Также был сделан анонс Kaspersky KUMA (Kaspersky United Monitoring and Analysis Platform) - SIEM-системы от "Лаборатории Касперского". "Каждый отечественный вендор обязан разработать свою SIEM. Старая шутка, но по-прежнему актуальная", - так прокомментировал данный анонс управляющий партнер Anti-Malware.RU Илья Шабанов. Архитектор центров информационной безопасности "Лаборатории Касперского" Павел Таратынов, однако, отметил, что запрос на отечественную SIEM все равно есть, и уже имеющиеся продукты его удовлетворить не могут, а использование зарубежных по известным причинам невозможно. KUMA является модульным решением, построенным на базе микросервисной архитектуры. Ее главными конкурентными преимуществами являются низкие системные требования, высокая производительность, а также автоматическое реагирование на инциденты. Официальный выход продукта намечен на декабрь текущего года, но для пилотных проектов он будет доступен с июня 2020 г.