ГК «Солар»
За год критичность инцидентов в России, т. е. уровень ущерба, который они могут нанести организации, значительно возросла. Если в 1-м полугодии 2023 г. доля высококритичных инцидентов составила 2%, то в 1-м полугодии 2024 г. этот показатель вырос до 7%. Это следует из квартального отчета центра противодействия кибератакам Solar JSOC ГК «Солар». Такая динамика может говорить о постоянном усложнении техник и тактик злоумышленников и более точечных кибератаках, которые учитывают особенности инфраструктуры конкретной организации. Исследование компьютерных атак на российские компании подготовлено на основе анализа данных по мониторингу инфраструктур около 300 организаций из разных отраслей экономики. Отчетный период включает 1-е полугодие и отдельно 2-й квартал 2024 г.
Резкий всплеск доли высококритичных инцидентов (до 9%) произошел еще в 1-м квартале 2024 г. Драйвером стали мартовские выборы Президента РФ — очевидно, что злоумышленники сконцентрировали свои усилия на этом периоде. Однако и во втором квартале этот показатель пусть и не побил рекорд, но составил 4%, что все же выше средних показателей прошлых периодов на 1–2 п.п.
Чаще всего причиной таких инцидентов в 1-м полугодии становился несанкционированный доступ (НСД) к информационным системам и сервисам (доля составила 46%). Тренд наметился в 1-м квартале — вместо традиционных 5–6%, с НСД оказались связаны почти 50% всех инцидентов, зафиксированных Solar JSOC. Во 2-м квартале угроза осталась актуальной — на НСД пришлось 44% высококритичных инцидентов.
На втором месте (с долей в 42% в 1-м полугодии) находится заражение вредоносным ПО. Причем этот инструмент злоумышленники используют как для массовых атак, так и для целевых ударов по ключевым объектам российской инфраструктуры. А данные расследований, которые проводит команда центра исследования киберугроз Solar 4RAYS, указывают на то, что профессиональные киберпреступники за последние два года значительно усложнили используемый софт, активнее применяют «самописное» ПО и совершенствуют свои техники и тактики.
«С одной стороны, рост инцидентов с высокой степенью критичности говорит об усложнении кибератак (в том числе за счет активного применения хакерами киберразведки). С другой, и сами компании чувствуют нарастающую угрозу и более бдительно начинают относиться к мониторингу киберинцидентов, все чаще запрашивая у SOC настройку сценариев высокого уровня критичности», — отметили в центре противодействия кибератакам Solar JSOC ГК «Солар».
В целом в 1-м полугодии 2024 г. мониторинг Solar JSOC зафиксировал 676 тыс. инцидентов разной степени критичности. Это на 10% превышает показатели аналогичного периода предыдущего года. Чаще всего причиной инцидентов становились попытки заражения вредоносным ПО, эксплуатации уязвимостей и несанкционированный доступ к системам и сервисам. В то же время достаточное число атак было выявлено с помощью срабатывания сигнатур сенсоров SOC (NTA, EDR). Последнее еще раз указывает на то, что кибератаки становятся продуманнее, и для выявления вредоносных действий уже не хватает стандартных средств защиты и мониторинга.