В течение последних 12 месяцев 69,4% российских компаний столкнулись с фишингом или социальной инженерией, 44,1% испытали DDoS-атаки, а каждая четвертая организация сообщила о утечке данных или взломе удаленного доступа (по 26,1%). IT Speaker ознакомился с результатами опроса компании «Газинформсервис», в котором участвовали 174 представителя различных секторов экономики.
Фишинг уверенно занимает первое место среди угроз: по мнению специалистов, до 90% успешных атак на корпоративную сеть начинаются с письма или сообщения, отправленного сотруднику. Человеческий фактор остается основной уязвимостью – даже двухфакторная аутентификация оказывается бесполезной, если пользователь сам вводит свои учетные данные на фальшивом сайте. Алексей Кравченко, директор департамента маркетинга и продаж «Газинформсервис», отмечает, что вредоносные ссылки и вложения часто маскируются под внутренние документы, счета или уведомления от ИТ-службы, а экономия компаний на регулярных тренировках персонала лишь способствует успеху злоумышленников.
«Современные фишинговые кампании все чаще используют скомпрометированные легитимные домены с корректно настроенными SPF, DKIM и DMARC. Такие письма проходят базовые проверки, так как с технической точки зрения выглядят доверительно. Злоумышленники также заменяют отдельные символы в адресах и применяют многоступенчатые перенаправления через легальные сервисы. Еще одной распространенной тактикой является размещение вредоносных ссылок в QR-кодах, что позволяет обходить традиционные средства анализа почты», – рассказал IT Speaker директор по работе с государственными заказчиками «ГИГАНТ – Компьютерные системы» Алексей Колодка.
Уровень DDoS-атак в 44,1% указывает на увеличение числа хактивистских и конкурентных атак на сайты, порталы и облачные сервисы. Наиболее уязвимыми стали ритейл, логистика и финансовый сектор, где даже час простоя приводит к прямым убыткам. В отличие от сложных целевых атак, DDoS стал доступной услугой на теневом рынке – организовать атаку мощностью 100-200 Гбит/с можно всего за несколько сотен долларов.
Как подчеркивает Алексей Колодка, в DDoS-атаках сейчас преобладают удары на сетевом и транспортном уровнях, нацеленные на исчерпание пропускной способности каналов, при этом одновременно увеличивается количество атак на уровне приложений. Эксперт отмечает, что эффективно работает только эшелонированная защита: оператор связи должен фильтровать объемный вредоносный трафик, а специализированные средства – блокировать атаки на приложения, поскольку без перенаправления трафика и распределенной фильтрации одно локальное устройство не справится с проблемой.
Переход на гибридный формат работы сделал шлюзы удаленного доступа привлекательной целью – 26,1% компаний сообщили об атаках на RDP/VPN. Алексей Колодка объясняет, что наиболее распространенными точками доступа остаются подбор учетных данных для RDP, эксплуатация незакрытых уязвимостей в VPN-концентраторах и использование слабых или ранее скомпрометированных паролей. При этом перенос RDP на нестандартный порт не защищает от атак, поскольку злоумышленники сканируют весь диапазон портов и быстро выявляют доступные сервисы. VDI-среды взламываются через уязвимости в брокерах подключений и шлюзах удаленного доступа, а одной из главных ошибок конфигурации эксперт считает отсутствие многофакторной аутентификации или возможность её обхода при определенных сценариях входа.
Аналогичное количество респондентов – 26,1% – зафиксировали утечки данных, причем реальные цифры, по мнению экспертов, могут быть выше, так как только половина организаций открыто признают такие инциденты.
Атаки программ-вымогателей затронули лишь 14,4% предприятий, однако это не свидетельствует о снижении уровня угрозы. Алексей Колодка подчеркивает, что массовые рассылки шифровальщиков почти потеряли свою эффективность из-за низкого качества и высокой вероятности обнаружения, поэтому теперь злоумышленники могут месяцами находиться внутри сети, изучая её структуру, выявляя критически важные системы и резервные копии, и лишь потом шифруют те данные и сервисы, остановка которых будет наиболее болезненной для компании.
Размер выкупа также увеличился, так как жертвы выбираются заранее и оценивается их платежеспособность – такая атака тщательно готовится, и если фишинг служит первым этапом с последующим шифрованием, злоумышленники заранее рассчитывают вероятность получения денег, которая, по их оценкам, может достигать 90%. Инсайдерские угрозы отметили 21,6% опрошенных, чаще всего в виде случайного слива данных или использования несанкционированных облачных сервисов.
В «Газинформсервис» рекомендуют минимальный набор мер: ежеквартальные симуляции фишинга, обязательную многофакторную аутентификацию для любого внешнего доступа, резервное копирование по принципу 3-2-1 и регулярные аудиты прав доступа сотрудников. Алексей Колодка добавляет, что при ограниченном бюджете главным приоритетом должно стать EDR на всех хостах и сегментация сети. Первое помогает своевременно выявлять вредоносную активность, а второе ограничивает горизонтальное перемещение злоумышленников и не позволяет атаке распространиться по всей инфраструктуре. При этом эксперт предупреждает, что SIEM и SOAR эффективны только при наличии качественно настроенных правил корреляции, без которых системы будут генерировать большое количество шума, затрудняющего обнаружение действительно опасных событий.
Ранее компания F6 сообщила о появлении новой волны мошеннических схем, связанных с кражей криптовалюты. В поле зрения экспертов попали как минимум три преступные группы, которые организовали кампанию против российских пользователей, маскируя свои действия под легальные инвестиционные проекты и партнерские программы.
«Код Безопасности» и МТУСИ открыли лабораторию кибербезопасности в Ростове
