«Ростелеком-Солар» зафиксировал двукратный рост атак на КИИ через инфраструктуры подрядчиков

В 2020 году центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» выявил и отразил свыше 1,9 млн атак, что на 73% превышает прошлогодний показатель. При этом эксперты впервые выделяют как тренд рост числа атак типа supply chain (проникновение через инфраструктуру подрядчика): за год количество подобных инцидентов в отношении объектов критической инфраструктуры увеличилось в два раза. Это следует из подготовленного компанией ежегодного отчета Solar JSOC Security Report.

Взлом подрядчика стал самым эффективным методом для проникновения в целевые для киберпреступников инфраструктуры, среди которых, как правило, крупнейшие федеральные организации госсектора и объекты КИИ. Это подтверждается и международным опытом. В конце 2020 года стало известно о взломе компании-разработчика ПО SolarWinds, вследствие чего пострадали такие ее клиенты, как Microsoft, Cisco, FireEye, а также несколько ключевых министерств и ведомств США. Аналогичные попытки атак на органы власти и объекты КИИ Solar JSOC фиксирует и в России.

Активное использование метода supply chain связано с ростом числа более сложных целенаправленных атак. Кроме того, все чаще организации отдают на аутсорсинг часть внутренних процессов, но при этом редко мониторят собственную инфраструктуру и практически не контролируют точки подключения сторонних компаний к своей сети. В итоге проблема может долгое время оставаться вне фокуса внимания. Именно это привело к росту подобных атак в последний год.

«Рост популярности метода supply chain указывает не просто на изменение технической специфики атак, а на появление новой ключевой угрозы кибербезопасности на государственном уровне. Однако четкого решения, как минимизировать риски, пока нет. Даже аттестованный регулятором на соответствие нормам ИБ подрядчик может быть успешно атакован злоумышленниками. При этом у компании-заказчика нет возможности напрямую контролировать уровень ИБ-защиты аутсорсера. Очевидно, что продвинутые АРТ-группировки будут все чаще использовать технику supply chain, поэтому ИБ-сообществу нужно как можно скорее выработать фундаментальный подход к решению проблемы», - отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».

Также впервые с 2017 года эксперты Solar JSOC фиксируют рост нарушений, совершаемых внутренними пользователями – рядовыми сотрудниками компаний. Больше половины (53%) внутренних инцидентов были связаны с утечками информации: перейдя на удаленный режим работы, сотрудники стали совершать нарушения, включая хищение и слив данных, на которые не решились бы в офисе. Кроме того, пандемия привела к росту нарушений в части доступа в интернет. Речь идет не только о посещении подозрительных сайтов с рабочего компьютера. Удаленные работники могли также получить нелегитимный доступ к закрытым ресурсам компании, так как корректно сегментировать корпоративную сеть на базе VPN затруднительно.

Самым распространенным инструментом внешних злоумышленников стало вредоносное ПО, а основным способом его доставки в инфраструктуру жертвы - фишинговые рассылки, большая часть которых спекулировала на теме COVID-19. При этом отмечается значительный рост (на треть) числа атак с использованием шифровальщиков: в период массовой «удаленки», когда многие компании ослабили ИБ-защиту, этот и без того простой способ монетизации стал еще популярнее.

В 2020 году на 30% выросло количество атак, направленных на получение контроля над инфраструктурой, в то время как количество атак, нацеленных на кражу денежных средств, увеличилось незначительно (менее, чем на 10%). Это говорит о значительном росте квалификации злоумышленников и усложнении их инструментария.