По данным центра противодействия кибератакам Solar JSOC ГК «РТК-Солар», в 1-ом полугодии 2023 г. количество событий ИБ на четверть превысило показатель предыдущего полугодия. Доля критических инцидентов осталась прежней, но атаки стали более продвинутыми и опасными: хакеры в 2 раза чаще используют данные киберразведки и вредоносы, которые обходят антивирусную защиту и не выявляются базовыми инструментами центров мониторинга (SOC). Последнее говорит о том, что мы наблюдаем новый виток киберпротивостояния – отмечают эксперты «РТК-Солар».
В фокус внимания экспертов попало более 290 организаций из госсектора, финансов, нефтегаза, энергетики, телекома, ретейла и других отраслей. Все они представляют сегмент Large Enterprise и Enterprise cо штатом от 1000 сотрудников.
С предыдущей волной массовых атак компании со зрелой ИБ в основном научились справляться – в части своевременного детектирования инцидентов и обеспечения защиты в целом. Однако и злоумышленники не стояли на месте: большое количество утечек и взломов, появление в открытом доступе более продвинутого хакерского инструментария сформировали обширные возможности для целевых киберударов.
Как и в предыдущие периоды, в 1-ом полугодии 2023 г. вредоносное ПО (ВПО) было наиболее популярным инструментом хакеров (53% всех инцидентов). Именно этот инструмент чаще других приводил к наступлению критических инцидентов. Причем во втором квартале уже 36% из них были связаны с применением шифровальщиков (в первом квартале – только 10%). Это говорит о возросшем стремлении хакеров оказывать максимально деструктивное воздействие на инфраструктуры, а не просто достигать быстрых успехов посредством взлома публичных сервисов компаний.
Кроме того, в первом полугодии в 2 раза увеличилось число сложных компрометаций информационных систем, выявить которые удавалось только силами экспертов-аналитиков – с помощью индикаторов Threat Intelligence и процессов Threat Hunting. Причина в том, что хакеры стали использовать продвинутое ВПО, обходящее средства антивирусной защиты, в том числе посредством фишинговых рассылок, интенсивность и опасность которых возросла.
Так же, примерно в 2 раза, увеличились доли сетевых атак (с 4% до 8%) и эксплуатации уязвимостей (с 6% до 11%). Последнее связано в том числе с переходом компаний на отечественное ПО: часть решений разрабатывались и внедрялись в ускоренном режиме, что дало злоумышленникам широкое поле для выявления и использования «дыр» в безопасности.
«За прошедшее полугодие мы наблюдаем все большее расслоение подходов злоумышленников. Наряду с хакерами низкой квалификации, которые генерируют большое количество “фонового шума”, все отчетливее выделяются хорошо обученные группы, координируемые централизованно – их возможности и оснащенность за последний год значительно выросли. Именно они являются инициаторами наиболее опасных атак – базовые средства SOC уже не могут их предотвратить и выявить на ранних стадиях. Ответным шагом в таких условиях должно стать скорейшее подключение средств продвинутого детектирования (NTA, EDR) и выстраивание процессов Threat Hunting – уже как стандарта ИБ, усиление политик безопасности (в том числе в отношении подрядчиков), а также активное использование компаниями киберразведки. Последнее позволит не только закрыть уязвимые места ИТ-инфраструктуры, но и подготовиться к тем векторам, от которых закрытие уязвимостей не поможет», – комментирует Дарья Кошкина, руководитель направления аналитики киберугроз «РТК-Солар».
