В 2023 году фоновый шум ИБ-событий постоянно рос. При этом атаки хакеров стали более целенаправленными и сложными, а инструментарий – более продвинутым. Вредоносное ПО осталось наиболее популярным инструментом злоумышленников, но при этом они стали чаще использовать легитимные утилиты типа not-a-virus и нелегитимное ПО для закрепления и продвижения в инфраструктуре, а также вернулись к эксплуатации уязвимостей на периметре компаний. К концу года также выросло число кибератак, фиксируемых только специализированными сенсорами – EDR, NTA, AntiAPT, что дополнительно говорит об усложнении атак.

В настоящем отчете приведены данные об инцидентах, выявленных командой центра противодействия кибератакам Solar JSOC в IV квартале 2023 года и в прошедшем году в целом, и их сравнение со статистикой предыдущих периодов. Также представлены общие выводы по итогам 2023 года. В исследовании отражена приоритизация инцидентов по степени критичности и процентное соотношение различных типов кибератак, которые наблюдались в отчетный период.

Ключевые тезисы

  • В 2023 году киберграмотность персонала российских компаний начала повышаться, а бизнес начал адаптироваться к новой реальности, но в связи с усложнением атак компаниям необходимо выстроить грамотную систему приоритезации инцидентов с учетом их критичности, а также учиться находить корреляции между событиями ИБ для выявления этапов kill-chain.
  • Заражение ВПО – по-прежнему самый популярный инструмент, но хакеры стали чаще использовать либо легитимные утилиты (not-a-virus), либо вредоносное ПО, не детектируемое антивирусом, а также вернулись к эксплуатации уязвимостей на периметре компаний.
  • Продолжает расти число инцидентов, выявляемых лишь специальными сенсорами SOC (EDR, NTA и AntiAPT). Это дополнительно говорит об усложнении атак хакеров, в ходе которых они скрытно проникают и продвигаются по инфраструктуре компании для нанесения максимального ущерба.
  • Использование нелегитимного ПО – прогрессирующий вектор атаки, который может исходить как от сотрудника компании, так и от внешнего нарушителя – например, когда хакер после получения первичного доступа в инфраструктуру и распространения по ней пытается закрепиться на хосте.
  • Во многих компаниях до сих пор не развит на должном уровне патч-менеджмент, а на рынок зачастую попадает сырое ПО, требующее доработок.