В первом квартале 2024 года доля высококритичных инцидентов, связанных с несанкционированным доступом к информационным системам и сервисам, увеличилась в восемь раз (с 6% в конце 2023 года до 49% в начале 2024-го). Это следует из квартального отчета центра противодействия кибератакам Solar JSOC ГК «Солар». По словам экспертов, хакеры более тщательно готовятся к точечным атакам, повышая их сложность. Также злоумышленники активно пользуются инструментами киберразведки и социальной инженерии на этапе развития атаки.
По данным мониторинга
Исследование кибератак на российские компании в январе – марте 2024 года подготовлено на основе анализа данных мониторинга инфраструктур около 300 организаций из разных отраслей экономики.
Согласно отчету, увеличилось количество подтвержденных инцидентов (то есть тех, на которые ответила ИБ-служба заказчика), связанных с несанкционированным доступом. Это указывает на то, что в преддверии выборов Президента и ожидаемого роста атак ИБ-службы компаний усилили контроль за действиями подрядчиков, привилегированных пользователей и удаленных сотрудников в первом квартале.
Всего в отчетном периоде эксперты зафиксировали 294 тыс. киберинцидентов – почти на треть меньше показателей предыдущего квартала (473 тыс.). При этом доля инцидентов высокой степени критичности в первом квартале достигла 9%. В среднем доля таких атак в общем объеме составляет 2–3% (исключение – второй квартал 2022 года, когда их доля составила 11% на фоне рекордной волны киберударов на российскую инфраструктуру). Поэтому показатель первого квартала можно назвать аномально высоким.
Структурная динамика
Большая часть (41%) высококритичных инцидентов была связана с применением вредоносного ПО, которое традиционно является основным инструментом в арсенале злоумышленников. В два раза увеличилась доля веб-атак (с 4% до 8%).
Использование нелегитимного ПО, которое в предыдущем квартале находилось на втором месте, практически сошло на нет. Нелегитимным считается такой софт, как средства удаленного администрирования, хакерские утилиты, исследовательский софт пентестеров. Чаще всего подобные критические инциденты встречались в госсекторе и организациях, относящихся к критической инфраструктуре. Очевидно, что в преддверии выборов в этих отраслях провели масштабные работы по минимизации киберрисков.
Распределение инцидентов с разным уровнем критичности показывает, что в первом квартале лидирует заражение ВПО (треть всех инцидентов). На срабатывания специализированных сенсоров – EDR, NTA и AntiAPT – приходится 16% инцидентов. Доля подобных инцидентов снизилась, но они сохраняют второе место в топ инцидентов. Основную роль в выявлении атак играют специализированные сенсоры SOC, включая защиту конечных точек (EDR) и анализ сетевого трафика (NTA).
Цикличность действий злоумышленников
«Анализируя более крупные временные периоды, мы наблюдаем определенную цикличность, когда массовые кибератаки сменяют точечные прицельные удары и наоборот. Сейчас мы находимся на той стадии, когда злоумышленники нарастили свой арсенал и усовершенствовали применяемые техники. Особенно это актуально для первого квартала года, ведь в марте в нашей стране проходили выборы Президента и очевидно, хакеры также готовились к этому событию. Радует тот факт, что концентрация усилий наблюдается не только со стороны атакующих, но и со стороны защитников. Мы фиксируем увеличение количества ответов в сторону SOC (то есть заказчики чаще стали взаимодействовать по оповещениям с Solar JSOC, реже оставляя их без ответа). Это подчеркивает значимость совместной работы в рамках режима повышенной готовности на фоне постоянного роста атак на российскую инфраструктуру», – отметила Евгения Хамракулова, руководитель направления развития бизнеса Центра противодействия кибератакам Solar JSOC ГК «Солар».
Для эффективной защиты инфраструктуры от несанкционированного доступа эксперты рекомендуют наряду с мониторингом инцидентов применять комплексный подход, включающий в себя DLP, IdM и PAM-системы. С помощью таких инструментов можно предотвратить утечку данных и обеспечить защиту от корпоративного мошенничества, структурировать роли и процессы предоставления прав доступа, а также проконтролировать доступ и действия привилегированных пользователей.
Фото предоставлено: Группа компаний «Солар»
