Аналитики Solar JSOC зафиксировали почти двукратный рост числа кибератак в 2018 году

Компания Ростелеком-Solar, национальный провайдер технологий и сервисов защиты информационных активов, мониторинга и управления информационной безопасностью, представила аналитический отчет о кибератаках на российские компании за 2018 год.

Среднесуточный поток событий информационной безопасности, обрабатываемый SIEM-системами и используемый для оказания сервисов Solar JSOC, составил 72,2 млрд. Всего за 2018 год специалисты Solar JSOC зафиксировали свыше 765 тыс. компьютерных атак. Это на 89% больше, чем годом ранее. Доля критичных инцидентов выросла до 19%, достигнув, таким образом, самого высокого значения с 2015 года. Эта тенденция говорит о том, что инструментарий злоумышленников продолжает совершенствоваться. Темпы его создания в 2018 году также стремительно ускорились – уже через 2 дня после появления информации об уязвимости CVE-2018-159 группировка Cobalt уже рассылала эксплуатирующее ее вредоносное ПО.

Во второй половине 2018 г. количество атак, направленных на получение контроля над инфраструктурой, выросло на 20%. Злоумышленники стремятся незаметно закрепиться в инфраструктуре, чтобы детально исследовать ее и получить как можно более глубокий доступ к информационным и технологическим системам.

«Мы наблюдаем, что на старте злоумышленники зачастую используют совершенно непрофильные инструменты: так, часто фиксируются случаи рассылки банковских троянов на органы государственной власти и энергетические организации. В дальнейшем управляемые сегменты бот-сети перепродаются другим группировкам и развитие атаки идет уже с помощью специализированного инструментария», – рассказал Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании Ростелеком-Solar.

На 37% относительно первой половины года выросло количество атак, направленных на кражу денежных средств. Развитие информационного обмена в рамках сообщества по-прежнему позволяет кредитно-финансовым организациям своевременно получать информацию о способе реализации атаки и препятствовать действиям злоумышленников. Однако, даже получив информацию о новом типе кибератаки, далеко не все компании предпринимают какие-либо меры защиты. Например, несмотря на ущерб от массовых атак в 2017-2018 гг, на сегодняшний день 266 294 российских серверов все еще подвержены уязвимости EternalBlue, 953 единицы сетевого оборудования работают с незакрытым протоколом Cisco SMI. Эти организации до сих пор остаются уязвимыми перед такими, казалось бы, устаревшими атаками, как WannaCry или атаки на оборудование Cisco.

2018 год также ознаменовался рядом крупных вирусных заражений технологических сетей, изолированных от интернета (сегмент АСУ ТП). Поскольку в таких сетях антивирус обновляется вручную, случайное заражение одного узла приводит к быстрому распространению вируса, а процесс ликвидации угрозы, напротив, длится в несколько раз дольше, чем в корпоративном сегменте.

По данным Solar JSOC, около 70% сложных целенаправленных атак начинается с фишинга. В среднем каждый 7-й пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Однако этот показатель может варьироваться в зависимости от функционального подразделения компании. В юридической службе жертвой фишинга становится в среднем каждый четвертый сотрудник, в бухгалтерии, финансово-экономической службе и логистике – каждый пятый, в секретариате и службе техподдержки – каждый шестой.

Другая угроза информационной безопасности организаций, исходящая от сотрудников, - это утечки конфиденциальных данных. В 2018 году на них пришлась почти половина всех внутренних инцидентов ИБ. Примерно в каждом пятом случае действия сотрудников приводили к компрометации учетных записей от внутренних корпоративных ИТ-систем. Виновниками внутренних инцидентов обычно были рядовые сотрудники (около 60% случаев). Доля подрядчиков и аутсорсеров обычно колебалась возле отметки в 10%, однако во втором полугодии она выросла до 15,2%. Вероятно, это связано с тем, что распространение сервисной модели способствует развитию рынка аутсорсинга, тогда как уровень информационной безопасности в российских компаниях остается достаточно невысоким.