Зафиксирован почти двукратный рост числа кибератак на компании России

«Ростелеком-solar», провайдер технологий и сервисов защиты информационных активов, мониторинга и управления информационной безопасностью, представил аналитический отчет о кибератаках на российские компании за 2018 г.
Среднесуточный поток событий информационной безопасности, обрабатываемый SIEM-системами и используемый для оказания сервисов Solar JSOC, составил 72,2 млрд. Всего за 2018 г. специалисты Solar JSOC зафиксировали свыше 765 тыс. компьютерных атак. Это на 89% больше, чем годом ранее. Доля критичных инцидентов выросла до 19%, достигнув, таким образом, самого высокого значения с 2015 г. Эта тенденция говорит о том, что инструментарий злоумышленников продолжает совершенствоваться. Темпы его создания в 2018 г. также стремительно ускорились – уже через два дня после появления информации об уязвимости CVE-2018-159 группировка Cobalt рассылала эксплуатирующее ее вредоносное ПО, сообщает CNews.
Во второй половине 2018 г. количество атак, направленных на получение контроля над инфраструктурой, выросло на 20%. Злоумышленники стремятся незаметно закрепиться в инфраструктуре, чтобы детально исследовать ее и получить как можно более глубокий доступ к информационным и технологическим системам.
«Мы наблюдаем, что на старте злоумышленники зачастую используют совершенно непрофильные инструменты: так, часто фиксируются случаи рассылки банковских троянов на органы государственной власти и энергетические организации. В дальнейшем управляемые сегменты бот-сети перепродаются другим группировкам и развитие атаки идет уже с помощью специализированного инструментария», – отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-solar».
На 37% относительно первой половины года выросло количество атак, направленных на кражу денежных средств. Развитие информационного обмена в рамках сообщества по-прежнему позволяет кредитно-финансовым организациям своевременно получать информацию о способе реализации атаки и препятствовать действиям злоумышленников. Однако, даже получив информацию о новом типе кибератаки, далеко не все компании предпринимают какие-либо меры защиты. Например, несмотря на ущерб от массовых атак в 2017-2018 гг., на сегодняшний день 266 294 российских серверов все еще подвержены уязвимости Eternalblue, 953 единицы сетевого оборудования работают с незакрытым протоколом Cisco SMI. Эти организации до сих пор остаются уязвимыми перед такими, казалось бы, устаревшими атаками, как Wannaсry или атаки на оборудование Cisco.
2018 г. также ознаменовался рядом крупных вирусных заражений технологических сетей, изолированных от интернета (сегмент АСУ ТП). Поскольку в таких сетях антивирус обновляется вручную, случайное заражение одного узла приводит к быстрому распространению вируса, а процесс ликвидации угрозы, напротив, длится в несколько раз дольше, чем в корпоративном сегменте.
По данным Solar JSOC, около 70% сложных целенаправленных атак начинается с фишинга. В среднем каждый седьмой пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Однако этот показатель может варьироваться в зависимости от функционального подразделения компании. В юридической службе жертвой фишинга становится в среднем каждый четвертый сотрудник, в бухгалтерии, финансово-экономической службе и логистике – каждый пятый, в секретариате и службе техподдержки – каждый шестой.
Другая угроза информационной безопасности организаций, исходящая от сотрудников, – это утечки конфиденциальных данных. В 2018 г. на них пришлась почти половина всех внутренних инцидентов ИБ. Примерно в каждом пятом случае действия сотрудников приводили к компрометации учетных записей от внутренних корпоративных ИТ-систем. Виновниками внутренних инцидентов обычно были рядовые сотрудники (около 60% случаев). Доля подрядчиков и аутсорсеров обычно колебалась возле отметки в 10%, однако во втором полугодии она до 15,2%. Вероятно, это связано с тем, что распространение сервисной модели способствует развитию рынка аутсорсинга, тогда как уровень информационной безопасности в российских компаниях остается достаточно невысоким.