Компания Accenture представила данные отчета о современном уровне угроз для корпоративных сетей «Cyber Threat Intelligence Report» по итогам второго полугодия 2021 года. Более 20 лет эксперты Accenture комплексно отслеживают и анализируют случаи кибервторжений и риски, которые они несут для бизнеса. Специалисты компании также рассматривают методы отражения кибератак в корпоративных сетях. На основе этих данных они выделили пять ключевых трендов, которые стоит учесть бизнесу при формировании ИБ-стратегии. К ним относятся: развитие рынка шифровальщиков, атаки через цепочки поставок, воровство корпоративной информации, нападения на облачные сервисы и поиск неизвестных уязвимостей.
Шифровальщики и криптомайнеры
По данным Accenture, доля атак от программ-вымогателей составила 35% от общего объема всех атак в 2021 году, что на 107% больше, чем в 2020 году. Большое количество таких атак в мире приходится на США: почти 45% от общего объема. В основном атаки программ-вымогателей используются против предприятий обрабатывающей промышленности, финансового сектора, здравоохранения, ИТ-сферы и строительной отрасли. Атаки вымогателей остаются самыми дорогостоящими для бизнеса. Среди самых активных хакерских группировок названы LockBit и Conti. При этом конечных бенефициаров подобных киберпреступлений отслеживать крайне сложно.
Эксперты Accenture отмечают значительный рост рынка подпольных технологий для поиска уязвимостей, которые позволяют злоумышленникам получить несанкционированный доступ к корпоративным сетям. Впрочем в некоторых случаях хакеры сами встраивали уязвимости, атаковав производителей ПО. Так в 2021 году, по данным Accenture, 30% всех инцидентов были связаны с закладками в ПО, которые обеспечивали несанкционированный доступ хакеров к сетям и данным компаний. На кражи корпоративной информации пришлось 10% всех атак, совершенных в 2021 году. На черном рынке данных сформировался целый отдельный сегмент торговли ворованными учетными данными, которые можно приобрести для входа в различные системы, в том числе корпоративные.
Усложнение цепочек поставок и отсутствие единой политики работы с данными для всех звеньев становится новой проблемой для компаний. Слабые звенья в цепочках поставках хакеры могут использовать для криптомайнинга (несанкционированного использования чужих устройств с целью скрытого майнинга криптовалют), промышленного шпионажа, развертывания программ-вымогателей и совершения целенаправленных атак. Кроме того, злоумышленники все чаще захватывают инфраструктуру публичных облаков как плацдарм для атак. Один из потенциальных наиболее распространенных сценариев здесь – облачный криптомайнинг, когда хакеры эксплуатируют чужие облачные ресурсы для «майнинга» криптовалют.
«В отношении вирусов-шифровальщиков есть ряд факторов, позволяющих утверждать, что у нас это распространено в меньшей степени, — считает руководитель практики информационной безопасности Accenture в России Андрей Тимошенко. — С одной стороны, «русские хакеры» (если они существуют) не хотят связываться с нашими правоохранительными органами, поэтому стараются не атаковать российские компании. С другой стороны, есть основания полагать, что отечественное антивирусное ПО эффективнее работает против вирусов-шифровальщиков. Ну, и наконец, у нас обязательные требования сообщать государственным регуляторам о компьютерных атаках распространяются в основном на банки и объекты критической информационной инфраструктуры. Остальные компании, вероятно, не раскрывают эту информацию. А те, кто должны сообщать, часто просто не знают о том, что их взломали. Поэтому мы знаем только о самых громких случаях».
Что противопоставить?
Перенос процессов в облака усложняет задачу по защите данных, однако зачастую риски являются надуманными. Так 74% опрошенных Accenture компаний считают размещение данных в облаках безопасным, а 73% заявили, что в результате миграции они получили лучший уровень информационной безопасности. Более того, высокий уровень защиты данных сегодня входит в топ-3 факторов при принятии решения о переходе в облако. Еще в 2016 году более 50% компаний называли ИБ-риски главным барьером для миграции. Но уже в конце 2017 столько же организаций указали надежность защиты данных как одну из причин переноса ИТ-систем в облако. Действительно, службам безопасности облачных провайдеров компании доверяют больше, чем собственным, поскольку для облачного оператора — это ключевая компетенция, а для собственного ИТ-отдела — нет.
Общие меры защиты для компаний включают реализацию принципа «нулевого доверия» (Zero Trust), мониторинг сетевой безопасности, строгий контроль доступа в сеть и всех конечных точек пользователей, а также строгий контроль устанавливаемого ПО. Было бы неплохо, чтобы производители ПО реализовали у себя технологию безопасной разработки — ГОСТ на это в России уже есть, и он сейчас является обязательным при сертификации ПО в системе ФСТЭК. Безопасная разработка позволяет снизить уровень необнаруженных уязвимостей и минимизировать риск атаки через цепочки поставок.
