По данным центра противодействия кибератакам Solar JSOC ГК «РТК-Солар», в I полугодии 2023 г. количество событий ИБ на четверть превысило показатель предыдущего полугодия. Доля критических инцидентов осталась прежней, но атаки стали более продвинутыми и опасными: хакеры в 2 раза чаще используют данные киберразведки и вредоносы, которые обходят антивирусную защиту и не выявляются базовыми инструментами центров мониторинга (SOC). Последнее говорит о том, что мы наблюдаем новый виток киберпротивостояния – отмечают эксперты «РТК-Солар».
В фокус внимания экспертов попало более 290 организаций из госсектора, финансов, нефтегаза, энергетики, телекома, ретейла и других отраслей. Все они представляют сегмент Large Enterprise и Enterprise cо штатом от 1000 сотрудников.
С предыдущей волной массовых атак компании со зрелой ИБ в основном научились справляться – в части своевременного детектирования инцидентов и обеспечения защиты в целом. Однако и злоумышленники не стояли на месте: большое количество утечек и взломов, появление в открытом доступе более продвинутого хакерского инструментария сформировали обширные возможности для целевых киберударов.
Как и в предыдущие периоды, в I полугодии 2023 г. вредоносное ПО (ВПО) было наиболее популярным инструментом хакеров (53% всех инцидентов). Именно этот инструмент чаще других приводил к наступлению критических инцидентов. Причем во втором квартале уже 36% из них были связаны с применением шифровальщиков (в первом квартале – только 10%). Это говорит о возросшем стремлении хакеров оказывать максимально деструктивное воздействие на инфраструктуры, а не просто достигать быстрых успехов посредством взлома публичных сервисов компаний.
Кроме того, в I полугодии в 2 раза увеличилось число сложных компрометаций информационных систем, выявить которые удавалось только силами экспертов-аналитиков – с помощью индикаторов Threat Intelligence и процессов Threat Hunting. Причина в том, что хакеры стали использовать продвинутое ВПО, обходящее средства антивирусной защиты, в том числе посредством фишинговых рассылок, интенсивность и опасность которых возросла.
Так же, примерно в 2 раза, увеличились доли сетевых атак (с 4% до 8%) и эксплуатации уязвимостей (с 6% до 11%). Последнее связано в том числе с переходом компаний на отечественное ПО: часть решений разрабатывались и внедрялись в ускоренном режиме, что дало злоумышленникам широкое поле для выявления и использования «дыр» в безопасности.
В поисках уязвимых сервисов злоумышленники ежедневно сканируют инфраструктуры российских компаний. Существенное увеличение числа сетевых атак во многом спровоцировано именно активным распространением инструментария (в том числе самописного) для разведки поверхности атаки. Сами сетевые атаки, являясь, с одной стороны, довольно простым и низкоквалифицированным типом инцидентов, указывают на то, что компания попала в поле зрения хакеров – не исключено, что в будущем она столкнется с более серьёзной кибератакой.
«За прошедшее полугодие мы наблюдаем все большее расслоение подходов злоумышленников. Наряду с хакерами низкой квалификации, которые генерируют большое количество “фонового шума”, все отчетливее выделяются хорошо обученные группы, координируемые централизованно – их возможности и оснащенность за последний год значительно выросли. Именно они являются инициаторами наиболее опасных атак – базовые средства SOC уже не могут их предотвратить и выявить на ранних стадиях. Ответным шагом в таких условиях должно стать скорейшее подключение средств продвинутого детектирования (NTA, EDR) и выстраивание процессов Threat Hunting – уже как стандарта ИБ, усиление политик безопасности (в том числе в отношении подрядчиков), а также активное использование компаниями киберразведки. Последнее позволит не только закрыть уязвимые места ИТ-инфраструктуры, но и подготовиться к тем векторам, от которых закрытие уязвимостей не поможет», – комментирует Дарья Кошкина, руководитель направления аналитики киберугроз «РТК-Солар».