От последствий «удалёнки» — к моделированию бизнес-рисков на киберполигонах

Эксперты Positive Technologies рассказали о том, какие тенденции кибербезопасности сложились в 2020 году, а также поделились своими прогнозами на будущее

 

По итогам 2020 года отечественный рынок информационной безопасности вырос на 25%.

Массовая удаленная работа не могла не сказаться на состоянии кибербезопасности как бизнеса и госучреждений, так и обычных пользователей. Социальная инженерия стала часто применяться для проникновения в сети организаций. Глобальный новостной повод — пандемию — использовали все типы хакерских группировок. С темой COVID-19 были связаны как массовые, так и APT-атаки, число которых продолжило расти в 2020 году 

Такой активный рост обусловлен тремя причинами.

Во-первых, тематика информационной безопасности становится все более актуальной в том числе и в силу роста числа угроз и активности киберпреступников год от года. Проблематика кибербезопасности все больше становится понятна и близка руководству различных компаний, включая представителей малого и среднего бизнеса, и, соответственно, главным становится принцип обеспечения защиты корпоративных инфраструктур от возможности бизнес-рисков. К сожалению, построение практической системы безопасности у всех компаний вынуждает увеличивать бюджеты на её приобретение и поддержание.

Во-вторых, кибербезопасность КИИ, как концепция, начавшаяся несколько лет назад с обследований, категоризации и проектирования, наконец-то дошла до периода реальных внедрений.

В-третьих, в этом году бизнес, понимая, что будущий год в новых условиях изменится и с точки зрения привычного бюджетирования на IT и ИБ, стремился максимально реализовать планы, намеченные на 2021 год, и использовать имеющиеся для этого ресурсы.

В числе ключевых тенденций, сформировавшихся в 2020 году, эксперты Positive Technologies отметили следующие:

·       Обратная сторона «удалёнки». Переход на удаленный режим работы спровоцировал во всем мире рост числа атак, направленных на эксплуатацию уязвимостей в корпоративных сервисах, доступных из интернета. Связано это с тем, что компании в ускоренном порядке выводили сервисы за свой IT периметр. Выросло число узлов российских компаний с доступным для подключения RDP. Как следствие, доля атак с эксплуатацией уязвимостей в ПО и недостатков конфигурации ближе к концу 2020 года выросла до 30% (в I квартале было 9%). Еще один тренд, появившийся на фоне пандемии, — атаки, направленные на кражу учетных данных для подключения к системам аудио- и видеосвязи Skype, Webex и Zoom, а также вмешательство в конференции.

·       Бум шифровальщиков. В течение 2020 года мы наблюдали постоянное увеличение числа атак шифровальщиков. Если в первом квартале для организаций доля шифровальщиков в атаках с использованием ВПО составляла 34%, то в третьем квартале она достигла 51%. Операторы шифровальщиков все реже проводят массовые атаки, они целенаправленно выбирают крупные компании, которые в состоянии заплатить большой выкуп, или организации, для которых приостановка деятельности опасна, и наносят точечные удары.

·       Атаки на цепочку поставок. Настоящей болью в 2020 году стали supply chain attacks. Positive Technologies сталкивалась с такими же атаками на разработчиков ПО, разработчиков средств защиты, на IT-интеграторов, подрядчиков IT-компаний, на порталы государственных организаций в различных странах. Уровень защищенности крупных компаний повышается, и их становится все сложнее взламывать, особенно если целью злоумышленников является долговременное присутствие, а не разовая атака. И поэтому APT-группировки все чаще стали атаковать партнеров и поставщиков жертвы. Защититься от подобных атак очень сложно, это под силу только высококлассным специалистам в области ИБ.

·       Выкуп за неразглашение. Шантаж публикацией данных в случае отказа жертвы платить выкуп поставлен на поток. Наибольшую активность в таких атаках в 2020 году проявили операторы Maze, Sodinokibi, DoppelPaymer, NetWalker, Ako, Nefilim, Clop. Для продажи похищенных данных многие операторы шифровальщиков сделали собственные сайты и даже организуют аукционы по продаже украденных данных. Тренд на требование выкупа за неразглашение похищенных данных подхватили и другие злоумышленники. Так, взломщики интернет-магазинов предлагают жертвам заплатить выкуп, чтобы преступники не продавали данные третьим лицам.

·       Доступ на продажу. Киберпреступники покупают доступы в организации-жертвы у других злоумышленников. Одними из первых по такой схеме стали действовать операторы шифровальщиков, они предлагают сотрудничество, ищут партнеров для распространения их трояна-вымогателя и обещают своим подельникам долю от суммы выкупа. Рынок доступов к сетям компаний в дарквебе позволяет зарабатывать низкоквалифицированным хакерам, которые могут ограничиться поиском уязвимостей на внешних ресурсах компаний с целью продажи.

·       Проблемы промышленного сектора как на ладони. Растет число атак на промышленные и энергетические компании. В 2020 году было зафиксировано около 200 атак на предприятия из этих отраслей, что почти на 60% больше, чем в 2019 году (125 атак). В девяти из десяти атак на промышленность злоумышленники использовали вредоносное ПО. На долю шифровальщиков пришлось 38% атак, а шпионское ПО было замечено в 30% случаев. В начале года внимание многих специалистов по кибербезопасности привлек новый шифровальщик Snake, который умеет удалять теневые копии и останавливать процессы, связанные с работой промышленных систем управления. Первыми жертвами Snake стали автомобильный производитель Honda и гигант ТЭК — компания Enel Group. Сегодня регулярно появляется информация о взломах крупнейших энергетических и производственных компаний по всему миру. Такие атаки сложно скрыть, а определить их источник очень просто: преступники сами сообщают о взломе и требуют выкуп.

·      Злоумышленники нацелились на логические уязвимости в банковских приложениях. В 2020 году мы увидели положительную динамику по обеспечению безопасности банковских веб-приложений, а именно тенденцию к переходу на микросервисную архитектуру, повышающую отказоустойчивость системы, и уменьшение количества стандартных веб-уязвимостей. Из негативных стоит отметить тенденцию к увеличению числа логических уязвимостей, которые могут привести к краже денежных средств, получению преступниками дополнительной информации о пользователях, отказу в обслуживании. Таким образом, злоумышленники сейчас нацелены не на полную компрометацию системы банковского веб-приложения, а на логические уязвимости.

Среди возможных негативных сценариев 2021 года эксперты Positive Technologies отмечают:

·       Эксплуатация темы COVID-19 и новые методы фишинга. Ожидается, что в 2021 году будут совершенствоваться методы социальной инженерии, эксплуатирующие темы, связанные с обстановкой в мире, в частности тему COVID-19: к примеру, одной из популярных схем могут стать сайты, на которых мошенники будут предлагать заказать препараты для лечения коронавируса, записаться на платную вакцинацию, получить справку о прохождении вакцинации и т.п. Можно ожидать также, что фишинг станет более индивидуальным, злоумышленники будут выходить на жертв через мессенджеры и социальные сети. Для преодоления корпоративных средств защиты взлом все чаще будет производиться через домашние компьютеры работников.

·       Рост числа киберпреступных картелей и появление новых площадок в дарквебе. В 2021 году, скорее всего, будут наблюдаться новые объединения киберпреступников и площадки для продажи украденных данных. Скорее всего, шифровальщики сохранят отработанную в 2020 году стратегию шантажа: запрашивать выкуп за восстановление работоспособности инфраструктуры и отдельно — за то, чтобы преступники не продали или не опубликовали украденные данные.

·       Интерес хакеров к крупным компаниям и рост размеров выкупа. Преступники продолжат атаковать промышленные предприятия и будут ориентироваться на как можно более крупные организации, в то же время предпочитая придерживаться наименьших затрат на взлом или на покупку готового доступа в инфраструктуру. Стоит ожидать, что мы услышим о множестве утечек и об остановке производств и в 2021 году. Скорее всего, повысится и размер выкупов, сегодня в отдельных случаях он уже составляет десятки миллионов долларов, но увеличение числа жертв, готовых платить, лишь стимулирует преступников. Будут появляться и новые группы атакующих, они продолжат кооперироваться и зарабатывать на уязвимости промышленных организаций.

·       Шквал новых аппаратных уязвимостей. Исследователи в 2020 году получили уникальную возможность заняться наконец чистыми исследованиями, не тратя время на подготовку к конференциям и другим мероприятиям, и это обязательно найдет свое отражение в ближайшее время.

При этом, как отмечают эксперты Positive Technologies, пандемия, несомненно, способствовала ускоренной цифровизации. Появление новых электронных сервисов обязательно заинтересует преступников и потребует особого внимания с точки зрения ИБ. Выходом из создавшегося цифрового коллапса могут стать специализированные киберполигоны, созданные для тестирования объектов инфраструктуры, сервисов и технологий в безопасной среде, считают эксперты.

«Многие компании пересмотрели свое отношение к удаленному режиму работы, — отмечает Алексей Новиков, директор экспертного центра Positive Technologies (PT Expert Security Center). — Если в начале 2020 года организациям пришлось спешно переводить сотрудников на работу из дома, то в 2021 году у них появится возможность сделать работу над ошибками, предусмотреть в бюджете средства на обеспечение защиты, организовать работу с учетом лучших практик ИБ. Сегодня компании не могут игнорировать риски: растет заинтересованность в оценке реальных последствий от возможных киберугроз.

Появляется множество площадок, предлагающих провести разного рода учения, и наиболее эффективны киберучения на основе цифровой модели организации, соответствующей реальной инфраструктуре. Моделирование бизнес-рисков на киберполигоне обещает стать одним из основных трендов ИБ в ближайшем будущем».

Специалисты Positive Technologies прокомментировали также применения в бизнесе облачных технологий. В случае использования публичных облаков, любая компания получает ситуацию, в которой её данные оказываются на чужой компьютерной инфраструктуре, к которой может иметь доступ неизвестный число злоумышленников, а также на которой может быть запущен ряд приложений третьих сторон, уровень безопасности которых также неизвестен.

В случае использования публичных «облаков» перечисленные проблемы можно решить, задавая нужный уровень требований к сервисам cloud-провайдера.

Если в качестве корпоративных cloud-сервисов от вендоров (HPE, IBM и др.) и гиперскейлеров — глобальных (Microsoft Azure, Amazon Web Service, Google Cloud и пр.) и локальных (Mail.ru Cloud Service, МТС и пр.) — компании могут чувствовать себя гораздо увереннее, в тоже время, бдительность терять не стоит, — отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies.

А вот с малыми и средними провайдерами нужно соблюдать особую осторожность. Не редко в погоне за дешевизной корпоративные пользователи приобретают «облачные» сервисы по самым дешевым тарифам, на которых отсутствуют возможности, необходимы как для обеспечения нужного уровня инфобезопасности, так и для расследования ИБ-инцидентов. Выбирая «облачные» сервисы, корпоративному клиенту следует ознакомиться со стеком технологий, используемым на стороне cloud-провайдера, подчеркнул Алексей Новиков. Он же, отвечая на вопросы нашего издания, посетовал, что компании малого и среднего бизнеса в своей массе или не имеют финансовых возможностей, или пока не ощутили на себе опастность и стоимость проблем в случае атаки на их компанию.