Он стал ключевой киберугрозой для компаний
За I квартал 2024 года доля высококритичных инцидентов, связанных с несанкционированным доступом к информационным системам и сервисам, выросла в 8 раз (с 6% в конце 2023 года до 49% в начале 2024).
Это следует из квартального отчета центра противодействия кибератакам Solar JSOC ГК «Солар». Вывод экспертов: хакеры стали тщательнее готовиться к атакам, делая их более точечными и сложными. Также злоумышленники активно пользуются инструментами киберразведки и социальной инженерии при подготовке и развитии атаки.
Исследование кибератак на российские компании в январе–марте 2024 года подготовлено на основе анализа данных по мониторингу инфраструктур около 300 организаций из разных отраслей экономики.
Согласно отчету, увеличилось и количество подтвержденных инцидентов (то есть тех, на которые ответила ИБ-служба компании), связанных с несанкционированным доступом. Это указывает на то, что в I квартале, в преддверии выборов Президента и ожидаемого роста атак, ИБ-службы компаний усилили контроль за действиями подрядчиков, привилегированных пользователей и удаленных сотрудников.
Всего в отчетном периоде эксперты зафиксировали 294 тысячи киберинцидентов. Это почти на треть меньше показателей предыдущего квартала (473 тыс.). При этом доля инцидентов высокой степени критичности в I квартале достигла 9%. В среднем доля таких атак в общем объеме составляет 2–3% (исключение составил II квартал 2022 года, когда их доля составила 11% на фоне рекордной волны киберударов на российскую инфраструктуру). Поэтому показатель I квартала можно назвать аномально высоким.
Помимо несанкционированного доступа, большая часть (41%) высококритичных инцидентов была связана с применением вредоносного ПО, которое традиционно является основным инструментом в арсенале злоумышленников. Также в два раза выросла доля веб-атак (с 4% до 8%). А использование нелегитимного ПО, которое в предыдущем квартале находилось на втором месте, практически сошло на нет. Нелегитимным считается такой софт, как средства удаленного администрирования, хакерские утилиты, исследовательский софт пентестеров. Чаще всего подобные критические инциденты встречались в госсекторе и организациях, относящихся к критической инфраструктуре. Очевидно, что в преддверии выборов в этих отраслях провели масштабные работы по минимизации киберрисков.
Если говорить про распределение инцидентов с разным уровнем критичности, то в I квартале лидировало заражение ВПО, составляющее практически треть всех инцидентов. На срабатывания специализированных сенсоров – EDR, NTA и AntiAPT – приходится 16% инцидентов. Их доля снизилась, но тем не менее они занимают 2 место в ТОПе. А это значит, что ключевую роль в выявлении атак играют специализированные сенсоры SOC, включая защиту конечных точек (EDR) и анализ сетевого трафика (NTA).
«Анализируя более крупные временные периоды, мы наблюдаем определенную цикличность, когда массовые кибератаки сменяют точечные прицельные удары и наоборот, — отмечает руководитель направления развития бизнеса Центра противодействия кибератакам Solar JSOC ГК «Солар» Евгения Хамракулова. — Сейчас мы находимся на той стадии, когда злоумышленники нарастили свой арсенал и усовершенствовали применяемые техники. Особенно это актуально для I квартала года, ведь в марте в нашей стране проходили выборы Президента и очевидно, что хакеры также готовились к этому событию. Радует тот факт, что концентрация усилий наблюдается не только со стороны атакующих, но и со стороны защитников. Мы фиксируем увеличение количества ответов в сторону SOC (то есть компании чаще стали взаимодействовать по оповещениям с Solar JSOC, реже оставляя их без ответа). Это подчеркивает значимость совместной работы в режиме повышенной готовности на фоне постоянного роста атак на российскую инфраструктуру».
Помимо мониторинга инцидентов для эффективной защиты инфраструктуры от несанкционированного доступа, стоит применять комплексный подход, включающий в себя DLP, IdM и PAM-системы. В частности, Solar Dozor позволяет предотвратить утечку данных и защищает от корпоративного мошенничества, Solar inRights структурирует роли и процессы предоставления прав доступа, а Solar SafeInspect контролирует доступ и действия привилегированных пользователей.
Фото: пресс-служба ГК «Солар»
О компании
Группа компаний «Солар» — архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов.
С 2015 года предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» – более 1000 крупнейших компаний России. Продукты и сервисы «Солара» объединены в домены экспертизы: Безопасная разработка программного обеспечения, Управление доступом, Защита корпоративных данных, Детектирование угроз и хакерских атак. Домены экспертизы закрывают все потребности заказчиков и включают собственные разработки, решения партнеров, услуги по созданию стратегии и архитектуры ИБ, консалтинг, обучение персонала.
Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры России в рамках национального проекта «Цифровая экономика Российской Федерации» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения.
Штат компании — более 1 800 специалистов. Подразделения «Солара» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.