Рост на четверть
Рост выручки самой Positive Technologies по итогам 2020 г. Борис Симис охарактеризовал как "феерический": он составил 55%, в результате чего выручка достигла 5,6 млрд руб.(на основе предварительных данных отчетности по РСБУ за 2020 г.; управленческая отчетность, аудируемая по МСФО, появится позднее).
Продажи системы выявления инцидентов ИБ в режиме реального времени MaxPatrol SIEM выросли на 75%, продажи программно-аппаратного комплекса глубокого анализа технологического трафика PT Industrial Security Incident Manager увеличились на 80% по сравнению с прошлым годом, показатели поставок заказчикам анализатора защищенности приложений PT Application Inspector выросли более чем в двое. Рост реализации системы глубокого анализа сетевого трафика PT Network Attack Discovery увеличился в четыре раза. По мнению директора по развитию бизнеса Positive Technologies в России Максима Филиппова, именно благодаря PT Network Attack Discovery сформировался весь российский рынок данного рода инструментов.
Влияние пандемии, как отметил Борис Симис, было незначительным. Продукты Positive Technologies имеют длительный цикл продаж и внедрения, и решения о приобретении того или иного решения принимались за месяцы до начала коронакризиса. Хотя в марте 2020 г. отдельные случаи отказа от проектов все же наблюдались, но, по оценке Бориса Симиса, большого влияния они не оказали.
Однако, как отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков, переход на удаленную работу способствовал тому, что в сетевом заборе, которые строили компании, начинали появляться дырки, и этим начали пользоваться всяческого рода злоумышленники. К примеру, доля атак с эксплуатацией уязвимостей в ПО и недостатков конфигурации ближе к концу 2020 г. выросла до 30%, тогда как в начале года на такого рода инциденты приходилось лишь 9%. Еще одним трендом, появившимся на фоне пандемии, стали атаки, направленные на кражу учетных данных для подключения к системам аудио- и видеосвязи, включая Skype, Webex и Zoom, а также вмешательство в конференции.
Еще одним из результатов перехода на удаленный режим стало то, что исследователи аппаратных уязвимостей просто не раскрывают найденные ошибки, с тем чтобы более выгодно подать их на будущих конференциях. На это обратил внимание ведущий специалист отдела исследований безопасности ОС и аппаратных решений Positive Technologies Марк Ермолов. С другой стороны, разработчики мобильных операционных систем активизировали работу над исправлением многих проблем, связанных с сохранением приватности. Наиболее ярким примером тому, по оценке руководителя группы исследований безопасности мобильных приложений Positive Technologies Николая Анисени, стали новые функции iOS 14. А для работы в удаленном режиме до двух третей персонала использовали именно мобильные устройства, которые сложнее настроить для безопасной работы, чем компьютеры.
Выросло и число целевых атак. При этом, по оценке Алексея Новикова, из 30 группировок, которые специализируются на такого рода деятельности, в России работают как минимум 10. При этом все большее распространение получают так называемые атаки на цепочку поставок, когда для проникновения в сеть крупной хорошо защищенной компании или ведомства используется инфраструктура поставщиков или подрядчиков, где дела с защитой обстоят намного хуже. Наиболее ярким примером тут является взлом SolarWinds, который привел к тому, что кибершпионы проникли в сети не менее 15 американских федеральных ведомств и крупных компаний.
Другой серьезной проблемой стала деятельность киберпреступников, распространяющих программы-шифровальщики. В III квартале доля таких атак достигла 51%. Новой тенденцией стало то, что такие атаки сопровождались угрозами обнародования данных, которые были зашифрованы в ходе атак. При этом за атаками шифровальщиков могут стоять не только финансово мотивированные злоумышленники, но и APT-группировки. При этом операторы шифровальщиков все реже проводят массовые атаки, целенаправленно выбирая крупные компании, которые в состоянии заплатить большой выкуп, или организации, для которых приостановка деятельности опасна, и наносят точечные удары. Не менее острой проблемой, как показал инцидент в Tesla, имевший место в августе, является деятельность внутренних злоумышленников.
Как отметил руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский, наиболее высокими темпами росло количество атак на промышленные компании. В 2020 г. зафиксировано более 200 атак против 125 годом раннее. "В девяти из десяти атак на промышленность злоумышленники использовали вредоносное ПО. На долю шифровальщиков пришлось 38% атак, а шпионское ПО было замечено в 30% случаев", - поделился подробностями Дмитрий Даренский.
Не менее активно применяется и фишинг. Так, только группировка RTM провела более 100 рассылок. А для банковской отрасли, как подчеркнул руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков, фишинг является основным инструментом злоумышленников. На него приходилось без малого две трети атак. В целом же роста активности атак на банковский сектор не наблюдается, что во многом связано с тем, что банковский сектор активно устранял всяческого рода уязвимости. Проблемы, однако, остаются. Прежде всего Максим Костиков отмечает некорректную работу решений, направленных на предотвращение мошенничества вследствие большого удельного веса ложных срабатываний, а из перспективных рисков, с которыми отрасль ранее не сталкивалась, называются прежде всего те, что связаны с внедрением блокчейн-технологий и цифровых валют. В последнем случае главным слабым звеном остается защита web-приложений и электронных кошельков.
Активности злоумышленников способствует низкий уровень защищенности большинства промышленных компаний. Также сотрудники служб безопасности переоценивают возможности так называемого воздушного зазора между офисной и технологическими сетями, который злоумышленники давно научились преодолевать, часто эксплуатируя всевозможные нарушения со стороны персонала - например, несанкционированное подключение к публичному интернету рабочих мест в закрытом сегменте или применение средств удаленного управления. Ситуация меняется в лучшую сторону, но пока слишком медленно. Одной из главных причин тут является недостаток кадров и внутренней экспертизы, поэтому большие надежды возлагаются на средства автоматизации процессов, в частности обнаружения и реагирования на инциденты.
Руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков назвал главной проблемой мобильной связи то, что появление новых технологий не означает, что сразу теряют актуальность старые. Появление базовых станций 4G, например, не привело к отключению оборудования 3G и даже 2G. "Можно утверждать, что сегодня большинство 5G-сетей, так же как и сетей 4G, уязвимы для раскрытия абонентских данных - например, данных о местоположении, - для спуфинга, который может использоваться при различного рода мошенничестве, для атак, направленных на отказ в обслуживании оборудования сети, результатом которых может стать массовое отключение мобильной связи", - делает вывод Павел Новиков. При этом для сетей 5G, особенно тех, которые будут обслуживать сети интернета вещей, наибольшую опасность будут представлять атаки класса "отказ в обслуживании".
В 2021 г., по оценке Алексея Новикова, рост российского рынка ИБ продолжится, однако темпы снизятся до 10-15% в годовом исчислении. Основным драйвером рынка станут системы мониторинга сетей, а также организация разного рода киберучений и киберполигонов. По мнению Дмитрия Даренского, для организации таких мероприятий в сфере промышленной кибербезопасности будет распространяться практика использования цифровых двойников. Это позволит проводить киберучения в приближенных к реальности условиях даже для тех объектов, где это раньше было просто невозможно.