Мировые события начала 2022 года продолжают оказывать значительное влияние на ландшафт киберугроз. Количество кибератак остается высоким, однако их характер меняется. Типовые инциденты и массовые сканирования сократились на порядок, а их место заняли сложные целевые атаки. На этом фоне усложняются и контрмеры, которые применяют компании. Все чаще используются продвинутые СЗИ (NTA, EDR), растет спрос на разработку кастомизированных сценариев реагирования. В целом очевидно, что 2022 год оказал сильное влияние как на хакерские техники и тактики, так и на подход организаций к организации киберзащиты.
В настоящем отчете приведены данные об инцидентах, выявленных командой Solar JSOC в 3-м квартале 2022 года, и их сравнение со статистикой предыдущих периодов. В исследовании отражена приоритизация инцидентов по степени критичности, а также процентное соотношение различных типов кибератак, которые наблюдались в отчетный период.
Ключевые тезисы:
-
В третьем квартале сформировался четкий тренд на переход от массовых атак к более точечным.
-
DDoS- и веб-атаки сделали свое дело, и теперь злоумышленники активно применяют различное ВПО. Фишинг будет одним из двух основных векторов проникновения в инфраструктуру компаний в ближайшие месяцы.
-
Вторым вектором, как и прогнозировалось, стали атаки, связанные с эксплуатаций уязвимостей. Этот тренд сохранится, так как отечественные компании имеют ряд проблем, которые не получится оперативно решить. В частности, это долгий переход на отечественное ПО и сложности с обновлением сигнатур и модулей безопасности западных СЗИ. Кроме того, хакеры атакуют компании любых масштабов из разных отраслей, и далеко не все организации скорректировали свой подход к ИБ на фоне нарастающей угрозы.
-
Снижение числа критичных инцидентов едва ли говорит о стабилизации ситуации и скорее указывает на то, что злоумышленники концентрируются на определенных целях и более сложных подходах к атакам. Однако при этом существенный рост удельного веса инцидентов со средней и низкой степенью критичности указывает на определенное повышение уровня защищенности российских компаний.
-
Можно предположить, что до конца года эксплуатация уязвимостей и применение ВПО будут формировать киберландшафт на ближайшую перспективу. Успешность же атак во многом будет зависеть от своевременности принимаемых компаниями мер в части ИБ и скорости импортозамещения. При этом SOC (неважно – внешний или внутренний) в текущей ситуации должен являться ядром кибербезопасности компаний, так как он позволяет контролировать состояние ИТ-инфраструктуры в конкретный момент времени (в отличие от аудита) и оперативно выявлять возникающие внешние угрозы.