Ростелеком-Solar
Компания Ростелеком-Solar, национальный провайдер технологий и сервисов защиты информационных активов, мониторинга и управления информационной безопасностью, представила аналитический отчет о кибератаках на российские компании, произошедших в первой половине 2018 г.
Среднесуточный поток событий информационной безопасности, обрабатываемый SIEM-системами и используемый для оказания сервисов Solar JSOC, составил 28 млрд. Всего за первое полугодие 2018 г. специалисты Solar JSOC зафиксировали свыше 357 тыс. компьютерных атак, что примерно в два раза больше, чем в первом полугодии 2017 г. Аналитики отмечают, что год от года увеличивается не только число атак, но и темп прироста – в 2017 г. рост числа компьютерных атак составил лишь 40%, тогда как в нынешнем году – более 100%.
Примерно в полтора раза возросло число кибератак, направленных на получение контроля над инфраструктурой организации. Злоумышленники все чаще стремятся к долгосрочному и незаметному присутствию в ней с целью детального исследования и получения как можно более полного доступа к информационным и технологическим системам.
На 10% возросло число атак, нацеленных на прямой вывод денежных средств из организаций, однако их успешность снижается. Среди вероятных причин аналитики называют рост защищенности банков и информационный обмен, осуществляемый в рамках ФинЦЕРТ. При этом заметен сильный тренд к уменьшению числа «хулиганских» кибератак, таких, как дефейс или компрометация публичных сайтов, порча и уничтожение данных. Их количество снизилось на 45% по отношению к первому полугодию 2017 г.
Отдельно исследователи отмечают, что инструментарий атакующих стремительно развивается. Еженедельно аналитики Solar JSOC фиксируют появление 5-6 новых инструментов для реализации атак, причем все чаще для их разработки используются легитимные элементы операционной среды, популярные средства удаленного администрирования или управления операционными системами.
Примерно каждый пятый инцидент, зафиксированный Solar JSOC за этот период, был на сумму свыше 1 млн руб., компрометации конфиденциальной информации или остановке критичных бизнес-систем. В первом полугодии 2018 доля критичных инцидентов составила 18,7%, в первом полугодии 2017 г. критичными были признаны 17,2%, в первом полугодии 2016 г. – 10,9%. Таким образом, если в 2016 г. критичным был каждый девятый инцидент, то теперь – уже каждый пятый. Это рекордная отметка за последние четыре года. Предполагается, что такая динамика связана с общим повышением интенсивности массовых и нацеленных атак на организации.
В первой половине 2018 г. сложные внешние кибератаки еще чаще, чем раньше (71% против 62% в первом полугодии 2017), начинались с внедрения вредоносного ПО в инфраструктуру компании через социальную инженерию: пользователи открывали вредоносные вложения и проходили по фишинговым ссылкам. Без преувеличения, на данный момент фишинговые атаки представляют собой одну из ключевых угроз для информационной безопасности организаций.
Большая часть всех инцидентов (88,5%) происходила днем, однако, если говорить о критичных внешних атаках, то почти в половине случаев (48,9%) они происходили ночью. Это самый высокий показатель с начала 2014 г. В ходе атаки киберпреступники чаще всего пытаются взломать веб-приложения организаций (33,6%), заразить серверы и рабочие станции пользователей вредоносным ПО (22,5%) либо подобрать пароли к учетным записям на внешних сервисах компании, т. е. к личным кабинетам на сайтах или системам файлового обмена с контрагентами (21,7%).
Если компанию атаковали изнутри, в 42,1% случаев она сталкивалась с утечками конфиденциальных данных, а в 22,6% внутренние учетные записи оказывались скомпрометированными. Виновниками внутренних инцидентов обычно были рядовые сотрудники (60,5%) или администраторы ИТ-систем (28%), в 11,9% случаев инцидент возникал по вине контрагентов или подрядчиков компаний.