Отчет об инцидентах ИБ и кибератаках на объекты инфраструктуры Российских организаций

За последний год уровень киберактивности злоумышленников ожидаемо вырос, а вслед за ним возросло и количество регистрируемых киберинцидентов. Прямое влияние на увеличение инцидентов ИБ в организациях оказал массовый переход компаний на удаленный режим работы и перевод большинства активностей в онлайн-формат. В рамках данного отчета мы анализируем и разбираем два ключевых аспекта информационной защищенности организаций, которые относятся к критической информационной структуре (КИИ): защищенность периметра и возможные последствия при ее низком уровне, а также фактические компрометации инфраструктур различным вредоносным ПО (ВПО) и их возможные последствия.

Отчет основан на:

данных центра противодействия кибератакам Solar JSOC;

результатах технических расследований Solar JSOC CERT;
результатах проектов по анализу защищенности;
данных с киберсистем «Ростелеком-Солар» для наблюдения за действиями атакующих (ханипотов, сенсоров и др.);
данных с систем противодействия DDoS-атакам «Ростелекома».

Ключевые тезисы:

Большинство российских организаций уязвимы перед злоумышленниками с низкой квалификацией. Низкий уровень киберзащиты также позволяет профессиональным группировкам использовать простые хакерские инструменты, чтобы быстрее проникнуть во внутреннюю сеть жертвы и дальше развить более сложную таргетированную атаку, которая может привести к фатальным последствиям.
В среднем по стране более 9,8% российских организаций заражены различным ВПО.
На внешних периметрах компаний встречаются старые, но функциональные уязвимости (BlueKeep, EternalBlue, Heartbleed), а уровень своевременной установки патчей от новых уязвимостей крайне низкий.
За последний год выросло число автоматизированных систем управления технологическими процессами (АСУ ТП), доступных из интернета, а также увеличилось количество хостов с уязвимым протоколом SMB.
Слабые и словарные пароли до сих пор являются ключом от внутренней сети в большинстве организаций.