Высокотехнологический сервис-провайдер Angara Professional Assistance обнародовала статистику по инцидентам безопасности за первую половину 2020 года — с января по июнь. Отчёт подготовлен по результатам работы Центра киберустойчивости Angara Cyber Resilience Center (ACRC), услугами которого пользуются кредитно-финансовые организации, предприятия ТЭК и промышленности, телекоммуникационные и транспортные компании, а также госструктуры и ведомства по всей стране.
В соответствии с опубликованными данными наиболее частой атакой стало заражение корпоративных компьютеров вредоносным ПО — к этому типу относилось 28% всех инцидентов ИБ. Ещё 12% атак было проведено с помощью эксплуатации уязвимостей в корпоративных системах. Третьим по популярности вектором атак были фишинговые рассылки вредоносного ПО — с ними связано 7% инцидентов. При этом отмечается, что большинство заражений произошло вредоносами, скачанными пользователями под видом безопасных приложений — игрового ПО, мессенджеров, инструментов для взлома ПО и т.д. Вполне возможно, что эти приложения пользователи искали и устанавливали самостоятельно, поскольку им пришлось в спешном порядке оборудовать свои удаленные рабочие места, которые потом подключались к корпоративной сети и передали вовнутрь вредоносные приложения. Косвенно это подтверждается тем, что к концу мая количество таких атак уменьшилось более чем в два раза.
«Такой профиль подтвержденных инцидентов ИБ в I полугодии 2020 года является следствием экстренного перехода компаний на режим удаленной работы и последующей адаптации ИТ-инфраструктур к новому формату взаимодействия, – пояснила ситуацию руководитель Angara Professional Assistance Оксана Васильева. – Размытие периметра ИБ и недостаточное внимание к защите средств удаленного доступа привело к лавинообразному росту самых простейших видов атак. Центру киберустойчивости и нашим клиентам удалось адаптироваться к текущей ситуации за короткое время и, хотя и произошел общий рост вредоносной активности, она не отразилась на функционировании бизнеса наших заказчиков».
Понятно, что статистика по одному коммерческому SOC не отображает общей картины — в статистику попадают те компании, которые как минимум заботятся о своей безопасности, для чего и приобрели услуги цента мониторинга. Вполне возможно, что у компаний, которые во время перехода вообще не думали о безопасности, ситуация хуже и доля заражённых удаленных рабочих мест у них ещё выше. Поэтому в ближайшее время ожидается увеличение числа инцидентов в том числе и на российских предприятиях. По опубликованным ранее данным среднее время присутствия злоумышленников внутри корпоративных инфраструктур исчисляется годами, поэтому реальную ситуацию вредоносной активности можно будет оценить только через какое-то время. Очевидно одно, компаниям, которым пришлось экстренно переключаться на удалённую работу, стоит сейчас проверить свои вычислительные мощности на наличие вредоносного ПО и организовать расследование обнаруженных инцидентов