За I квартал 2024 года доля высококритичных инцидентов, связанных с несанкционированным доступом к информационным системам и сервисам, выросла в 8 раз (с 6% в конце 2023 года до 49% в начале 2024). Это следует из квартального отчета центра противодействия кибератакам Solar JSOC ГК «Солар». Вывод экспертов: хакеры стали тщательнее готовиться к атакам, делая их более точечными и сложными. Также злоумышленники активно пользуются инструментами киберразведки и социальной инженерии при подготовке и развитии атаки.

Исследование кибератак на российские компании в январе–марте 2024 года подготовлено на основе анализа данных по мониторингу инфраструктур около 300 организаций из разных отраслей экономики.

Согласно отчету, увеличилось и количество подтвержденных инцидентов (то есть тех, на которые ответила ИБ-служба заказчика), связанных с несанкционированным доступом. Это указывает на то, что в преддверии выборов Президента и ожидаемого роста атак ИБ-службы компаний усилили контроль за действиями подрядчиков, привилегированных пользователей и удаленных сотрудников в I квартале.

Всего в отчетном периоде эксперты зафиксировали 294 тыс. киберинцидентов. Это почти на треть меньше показателей предыдущего квартала (473 тыс.). При этом доля инцидентов высокой степени критичности в I квартале достигла 9%. В среднем доля таких атак в общем объеме составляет 2–3% (исключение составил II квартал 2022 года, когда их доля составила 11% на фоне рекордной волны киберударов на российскую инфраструктуру). Поэтому показатель I квартала можно назвать аномально высоким.

Помимо несанкционированного доступа, большая часть (41%) высококритичных инцидентов была связана с применением вредоносного ПО, которое традиционно является основным инструментом в арсенале злоумышленников. Также в два раза выросла доля веб-атак (с 4% до 8%). А использование нелегитимного ПО, которое в предыдущем квартале находилось на втором месте, практически сошло на нет. Нелегитимным считается такой софт, как средства удаленного администрирования, хакерские утилиты, исследовательский софт пентестеров. Чаще всего подобные критические инциденты встречались в госсекторе и организациях, относящихся к критической инфраструктуре. Очевидно, что в преддверии выборов в этих отраслях провели масштабные работы по минимизации киберрисков.

Если говорить про распределение инцидентов с разным уровнем критичности, то в I квартале лидирует заражение ВПО, составляющее практически треть всех инцидентов. На срабатывания специализированных сенсоров – EDR, NTA и AntiAPT – приходится 16% инцидентов. Доля подобных инцидентов снизилась, но тем не менее они занимают 2 место в ТОПе инцидентов. А это значит, что ключевую роль в выявлении атак играют специализированные сенсоры SOC, включая защиту конечных точек (EDR) и анализ сетевого трафика (NTA).

«Анализируя более крупные временные периоды, мы наблюдаем определенную цикличность, когда массовые кибератаки сменяют точечные прицельные удары и наоборот. Сейчас мы находимся на той стадии, когда злоумышленники нарастили свой арсенал и усовершенствовали применяемые техники. Особенно это актуально для I квартала года, ведь в марте в нашей стране проходили выборы Президента и очевидно, хакеры также готовились к этому событию. Радует тот факт, что концентрация усилий наблюдается не только со стороны атакующих, но и со стороны защитников. Мы фиксируем увеличение количества ответов в сторону SOC (то есть заказчики чаще стали взаимодействовать по оповещениям с Solar JSOC, реже оставляя их без ответа). Это подчеркивает значимость совместной работы в рамках режима повышенной готовности на фоне постоянного роста атак на российскую инфраструктуру», — отметила руководитель направления развития бизнеса Центра противодействия кибератакам Solar JSOC ГК «Солар» Евгения Хамракулова.

Помимо мониторинга инцидентов для эффективной защиты инфраструктуры от несанкционированного доступа стоит применять комплексный подход, включающий в себя DLP, IdM и PAM-системы. В частности, Solar Dozor позволяет предотвратить утечку данных и защищает от корпоративного мошенничества, Solar inRights структурирует роли и процессы предоставления прав доступа, а Solar SafeInspect контролирует доступ и действия привилегированных пользователей.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше
Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Узнать больше
Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Узнать больше
«Солар» и УЦСБ: 40% компаний отмечают критичные риски генеративного ИИ для безопасности приложений

«Солар» и УЦСБ: 40% компаний отмечают критичные риски генеративного ИИ для безопасности приложений

Узнать больше
Проект построения киберустойчивости Почты России отмечен премией «Приоритет: Цифра-2026»

Проект построения киберустойчивости Почты России отмечен премией «Приоритет: Цифра-2026»

Узнать больше
«Солар»: мошенники отреагировали на введение топливных лимитов

«Солар»: мошенники отреагировали на введение топливных лимитов

Узнать больше
«Солар» устранил «слепую зону» для привилегированных пользователей при переходе на СУБД «Ятоба» через PostgreSQL

«Солар» устранил «слепую зону» для привилегированных пользователей при переходе на СУБД «Ятоба» через PostgreSQL

Узнать больше
«Солар»: ИИ, дипфейки и персонализированный фишинг: как мошенники атакуют абитуриентов

«Солар»: ИИ, дипфейки и персонализированный фишинг: как мошенники атакуют абитуриентов

Узнать больше