Хакеры ищут новые уязвимости в онлайн-ресурсах российских компаний

По данным экспертов ГК «Солар», к концу 2023 года количество веб-атак на российские компании выросло на треть. Тенденция роста сохраняется и в 2024 году. Активный интерес хакеров вызывают онлайн-ресурсы компаний из сферы ритейла, грузопассажирских перевозок и госсектора. При этом большую часть (95%) веб-атак злоумышленники реализуют через российские IP-адреса.

В 1 квартале 2023 года сервис защиты веб-приложений (WAF) платформы Solar MSS фиксировал в среднем 54 млн событий ежемесячно, в 4 квартале этот показатель вырос до 80 млн. Рекордным традиционно стал ноябрь (период предновогодних акций и распродаж), когда российские компании столкнулись со 104 млн веб-инцидентов.

Почти половину (45%) составляли атаки высокого уровня сложности, которые позволяют получить контроль над веб-приложением и доступ к его данным. В частности, это SQL-инъекции (позволяют внедрить произвольный код в запросы к базам данных), эксплуатация LFI-уязвимостей (позволяют через браузер запускать файлы на сервере) и RCE-уязвимостей (позволяют внедрить вредоносный код в серверную часть приложения).

Также в 2023 году существенно выросла доля сканирований, то есть поиск уязвимостей в веб-приложениях автоматизированными инструментами. Активное использование сканеров говорит о том, что хакеры вновь сконцентрировались на поиске слабых мест в веб-приложениях и набирают «фактуру» для реализации новых атак на российские компании. Подобное наблюдалось в 2022 году: в первом полугодии хакеры активно искали уязвимости в веб-приложениях, а во втором реализовывали сложные целевые кибератаки с использованием этих «находок».

Блокировка IP-адресов по черным спискам — еще один тип событий ИБ, который часто фиксируется WAF. Процесс автоматизирован, а занесение IP-адреса в черный список происходит на основе составных событий и правил, разработанных с применением экспертизы и опыта команды ГК «Солар». В 2023 году большая часть (95%) событий ИБ была вызвана запросами с IP-адресов, находящихся на территории России, что подтверждает тренд перемещения источников атак из-за рубежа на территорию РФ. Это снижает эффективность такого метода защиты, как блокировка IP-адреса по территориальной принадлежности. 

«Интернет-сайты по-прежнему интересны злоумышленникам. Об этом говорят и увеличение веб-атак, и рост числа сканирований веб-приложений, и большое количество сложных атак высокого уровня. Кроме этого, мы видим, как нарастает интенсивность веб-атак, то есть все больше сокращается интервал между событиями ИБ. Конечно, за последние 2 года многие компании усилили защиту своих ИТ-периметров, включая веб-приложения. Но стремительная цифровизация бизнеса и перевод в онлайн большинства процессов (в первую очередь для ускорения и оптимизации) ведут к появлению все новых и новых «слепых зон» со своими новыми веб-уязвимостями», — говорит руководитель направлений WAF и Anti-DDoS ГК «Солар» Алексей Пашков.

Cервис защиты веб-приложений (WAF) платформы Solar MSS обеспечивает обнаружение и блокировку атак на веб-приложения, которые пропускают традиционные межсетевые экраны. В их число входят атаки из списка OWASP Top 10 и классификации WASC, DDoS-атаки уровня приложений (L7) и атаки нулевого дня (0-day).