Solar JSOC Security Report 2020

Ежегодный отчет Solar JSOC Security Report – это главные тренды информационной безопасности и защиты от киберпреступников в 2021 году. Актуальные техники и инструменты, используемые злоумышленниками в атаках на критическую инфраструктуру организаций, ключевые цели и способы использования уязвимостей информационных систем компаний сформированы на основе анализа инцидентов ИБ, которые выявили и отразили специалисты центра мониторинга и реагирования на кибератаки Solar JSOC (SOC, Security Operation Center) компании «Ростелеком-Солар», защищая инфраструктуру заказчиков.

В 2020 году сложная эпидемиологическая обстановка в мире заставила многих изменить привычный уклад жизни и перевести большую часть своих активностей, включая работу, в онлайн. Далеко не все работодатели и их сотрудники оказались к этому готовы, что открыло новые возможности для киберпреступников.

Всего за минувший год Solar JSOC выявил свыше 1,9 млн кибератак, что превышает показатель прошлого года на 73%. Вместе с ростом количества атак значительно усложнились инструментарий и техники злоумышленников. В итоге доля критических инцидентов информационной безопасности составила 19% (рост почти на 20% относительно прошлого года).

Основные тренды:

• В отчете Solar JSOC Security Report впервые выделены атаки supply chain (проникновение в инфраструктуру организации через прямой взлом ее подрядчика). Их доля в общем объеме ИБ-инцидентов пока невелика, однако именно эту тактику используют профессиональные злоумышленники при атаках на ключевые организации страны: органы власти и объекты КИИ (критической информационной инфраструктуры). Так, по итогам 2020 года количество атак типа supply chain на критическую инфраструктуру показало двукратный рост. С одной стороны, рост популярности этого хакерского подхода объясняется увеличением числа сложных целенаправленных атак (kill chain), с другой – все больше процессов организации отдают на аутсорсинг подрядчикам, а мониторинг инфраструктуры и контроль точек подключения сторонних компаний проводится крайне редко.

• Самым популярным инструментом внешних злоумышленников остаются атаки с использованием вредоносного ПО. Их доля в 2020 году составила 39%, что на четверть превышает показатель 2019 года. Среди ВПО все чаще используются шифровальщики (количество атак, где они применялись, выросло примерно на 30%). В период массовой «удаленки», когда компании ослабили защиту информационной безопасности предприятий, этот и без того простой способ монетизации стал еще популярнее.

• При этом ключевым инструментом профессиональных злоумышленников для проникновения в ИТ-инфраструктуру жертвы остается фишинг, как самый простой метод доставки ВПО на компьютер жертвы. Так, фишинг использовался в 75% атак. Особенно активно метод применялся в связке с темой COVID-19. Вредоносные письма имитировали официальную рассылку с информацией о коронавирусе, вводимых ограничениях, вакцинации сотрудников и т. п.

• На 30% выросло количество атак, направленных на получение контроля над инфраструктурой, в то время как количество атак, нацеленных на кражу денежных средств, увеличилось незначительно (менее чем на 10%). Это говорит о значительном росте квалификации злоумышленников и усложнении их инструментария.

• Впервые с 2017 года наблюдается рост внутренних инцидентов ИБ, большая часть которых (53%) связана с утечками информации. Опасаясь возможного сокращения, некоторые недобросовестные работники стараются найти дополнительный источник дохода за счет хищения и слива корпоративных данных. А пандемия усугубила проблему, так как в условиях «удаленки» сотрудники компаний стали совершать нарушения, на которые не решились бы в офисе.