Кибератаки показали кратный рост
По оценкам представителя НКЦКИ Сергея Горелова, который выступил на SOC-Форуме 2022 с докладом "Тренды и ключевые особенности угроз безопасности информации информационных ресурсов Российской Федерации в 2022 г.", ландшафт угроз в текущем году изменился незначительно. Однако он обратил внимание на такие факторы, как сокращение сроков между выявлением уязвимостей и появлением средств, которые позволяют ее эксплуатировать, широкое распространение профессиональных инструментов, в том числе с использованием сервисной модели. При этом наблюдается рост средней квалификации злоумышленников.
Также выросла интенсивность атак и широта их охвата, причем это совпало по времени с отключением зарубежных средств защиты. Свою роль также сыграли массовые отзывы сертификатов и отключение российских операторов связи от международных магистральных каналов связи.
В 35% атак целью злоумышленников было похищение данных в атакуемой компании. В 30% случаев целью было добиться имиджевого эффекта. В каждой пятой атаке целью было получить доступ к инфраструктуре компании-партнера. В 15% случаев целью было заражение шифровальщиком. Чаще всего - в 40% атак - целью были государственные учреждения. В 22% жертвами становились промышленные предприятия, в 13% - учреждения финансового сектора, в 11% случаев атаковали транспортные компании, в 3% - медицинские учреждения, в 2% - энергетические объекты.
Наиболее массовыми типами атак стали DDoS и дефейсы сайтов, прежде всего госучреждений и СМИ. При этом DDoS часто использовались в качестве прикрытия для других атак. В них участвовало до 300 тыс. человек, деятельность которых координировалась из единого центра. При этом среди участников широко распространялись инструменты, которые раннее были доступны лишь профессионалам.
Как отметил директор Департамента информационной безопасности Банка России Вадим Уваров, рост интенсивности DDoS-атак против российского финансового сектора на пике, в мае увеличился в 80 раз по сравнению с аналогичным периодом предшествующего года. Однако в среднем рост количества атак по итогам девяти месяцев составил около 80% в годовом выражении.
Массовый характер, как отметил Сергей Горелов, приобрели масштабные утечки данных. Основной причиной такого рода инцидентов является небрежность ИТ-персонала. Эксперт центра продуктов Dozor "РТК-Солар" Алексей Кубарев так прокомментировал инцидент в сервисе "Яндекс.Еда": "Утечки через SQL-дампы - довольно распространенное явление. Причины подобных инцидентов могут варьироваться - это и ошибки в конфигурации серверов, на которых хранятся клиентские базы данных, и ошибки персонала, и злонамеренные действия внутренних сотрудников".
При этом выросло количество фейковых утечек и других инцидентов, информация о которых распространяется для дестабилизации обстановки. "Если раньше информация о хакерских атаках становилась доступна лишь экспертам на профильных форумах и в даркнете, то сейчас она все чаще появляется в публичных телеграм-каналах, а иногда высылается напрямую журналистам как новость, - отметил директор центра противодействия кибератакам Solar JSOC "РТК-Солар" Владимир Дрюков. - Данные, которые раньше продавались за существенные суммы в биткоинах, сейчас выкладываются в общий доступ абсолютно бесплатно. При этом, анализируя ситуацию с утечками этого года, приходится констатировать, что 9 из 10 таких публичных кейсов являются фейками. Часто злоумышленники пытаются представить как утечку тестовые данные, данные из открытых источников (на которые иногда специально навешиваются грифы коммерческой тайны или секретности) либо компиляцию старых утечек. Поэтому мы просим граждан - и особенно журналистов и блогеров - сохранять спокойствие и не обращать внимания на эти массовые попытки дестабилизации информационной обстановки".
Наиболее распространенным способом проникновения в инфраструктуру жертвы является эксплуатация уязвимостей на периметре сети. Таким способом осуществляется около половины атак. Вторым по популярности способом является фишинг. Как подчеркнул Сергей Горелов, даже в компаниях с хорошо работающей ИБ каждый седьмой сотрудник идет на поводу у организаторов таких атак. Там, где процессы ИБ выстроены слабо, четверть сотрудников могут пойти по фишинговой ссылке. Вдвое выросло количество атак через подрядчиков. Замыкает четверку лидирующих техник проникновения использование вредоносного ПО.
Но при этом, как подчеркнул заместитель директора НКЦКИ Петр Белов, несмотря на напряженную ситуацию, по-настоящему катастрофических последствий удалось избежать. По его мнению, результатов можно добиться только благодаря консолидации усилий регуляторов и крупнейших компаний. Формы такого сотрудничества уже обсуждаются.
Однако заместитель директора ФСТЭК Виталий Лютиков заявил, что действия регуляторов были недостаточно эффективными из-за действия компаний. Так, в 40% компаний из проверенных 500 не сочли нужным даже просто поменять пароли администраторов, хотя эта мера не требует никаких материальных затрат и сопряжена с минимальными усилиями. О таких мерах, как проверка сетевого периметра на наличие уязвимостей или мер контроля подрядчиков, можно не говорить. При этом значительная часть компаний до сих пор находятся на очень низком уровне зрелости, несмотря на резко обострившуюся ситуацию.
Заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов предложил использовать опыт МЧС и МВД, когда с пожарами и преступностью борются профессионалы, по крайней мере когда речь идет о крупных инцидентах. Что, однако, не снимает с компаний и учреждений задачу предупреждения угроз.
