«Солар»: Несанкционированный доступ к системам стал ключевой киберугрозой для компаний

За I квартал 2024 г. доля высококритичных инцидентов, связанных с несанкционированным доступом к информационным...

За I квартал 2024 г. доля высококритичных инцидентов, связанных с несанкционированным доступом к информационным системам и сервисам, выросла в восемь раз (с 6% в конце 2023 г. до 49% в начале 2024 г.). Это следует из квартального отчета центра противодействия кибератакам Solar JSOC ГК «Солар». Вывод экспертов: хакеры стали тщательнее готовиться к атакам, делая их более точечными и сложными. Также злоумышленники активно пользуются инструментами киберразведки и социальной инженерии при подготовке и развитии атаки. Об этом CNews сообщили представители «Солар».

Исследование кибератак на российские компании в январе–марте 2024 г. подготовлено на основе анализа данных по мониторингу инфраструктур около 300 организаций из разных отраслей экономики.

Согласно отчету, увеличилось и количество подтвержденных инцидентов (то есть тех, на которые ответила ИБ-служба заказчика), связанных с несанкционированным доступом. Это указывает на то, что в преддверии выборов Президента и ожидаемого роста атак ИБ-службы компаний усилили контроль за действиями подрядчиков, привилегированных пользователей и удаленных сотрудников в I квартале.

Всего в отчетном периоде эксперты зафиксировали 294 тыс. киберинцидентов. Это почти на треть меньше показателей предыдущего квартала (473 тыс.). При этом доля инцидентов высокой степени критичности в I квартале достигла 9%. В среднем доля таких атак в общем объеме составляет 2–3% (исключение составил II квартал 2022 г., когда их доля составила 11% на фоне рекордной волны киберударов на российскую инфраструктуру). Поэтому показатель I квартала можно назвать аномально высоким.

Помимо несанкционированного доступа, большая часть (41%) высококритичных инцидентов была связана с применением вредоносного ПО, которое традиционно является основным инструментом в арсенале злоумышленников. Также в два раза выросла доля веб-атак (с 4% до 8%). А использование нелегитимного ПО, которое в предыдущем квартале находилось на втором месте, практически сошло на нет. Нелегитимным считается такой софт, как средства удаленного администрирования, хакерские утилиты, исследовательский софт пентестеров. Чаще всего подобные критические инциденты встречались в госсекторе и организациях, относящихся к критической инфраструктуре. Очевидно, что в преддверии выборов в этих отраслях провели масштабные работы по минимизации киберрисков.

Если говорить про распределение инцидентов с разным уровнем критичности, то в I квартале лидирует заражение ВПО, составляющее практически треть всех инцидентов. На срабатывания специализированных сенсоров – EDR, NTA и AntiAPT – приходится 16% инцидентов. Доля подобных инцидентов снизилась, но тем не менее они занимают 2 место в ТОПе инцидентов. А это значит, что ключевую роль в выявлении атак играют специализированные сенсоры SOC, включая защиту конечных точек (EDR) и анализ сетевого трафика (NTA).

«Анализируя более крупные временные периоды, мы наблюдаем определенную цикличность, когда массовые кибератаки сменяют точечные прицельные удары и наоборот. Сейчас мы находимся на той стадии, когда злоумышленники нарастили свой арсенал и усовершенствовали применяемые техники. Особенно это актуально для I квартала года, ведь в марте в нашей стране проходили выборы Президента и очевидно, хакеры также готовились к этому событию. Радует тот факт, что концентрация усилий наблюдается не только со стороны атакующих, но и со стороны защитников. Мы фиксируем увеличение количества ответов в сторону SOC (то есть заказчики чаще стали взаимодействовать по оповещениям с Solar JSOC, реже оставляя их без ответа). Это подчеркивает значимость совместной работы в рамках режима повышенной готовности на фоне постоянного роста атак на российскую инфраструктуру», — сказала руководитель направления развития бизнеса Центра противодействия кибератакам Solar JSOC ГК «Солар» Евгения Хамракулова.

Помимо мониторинга инцидентов для эффективной защиты инфраструктуры от несанкционированного доступа стоит применять комплексный подход, включающий в себя DLP, IdM и PAM-системы. В частности, Solar Dozor позволяет предотвратить утечку данных и защищает от корпоративного мошенничества, Solar inRights структурирует роли и процессы предоставления прав доступа, а Solar SafeInspect контролирует доступ и действия привилегированных пользователей.

***

Группа компаний «Солар» — архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов. С 2015 г. предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» – более 1000 крупнейших компаний России. Продукты и сервисы «Солара» объединены в домены экспертизы: «Безопасная разработка программного обеспечения», «Управление доступом», «Защита корпоративных данных», «Детектирование угроз и хакерских атак». Домены экспертизы закрывают все потребности заказчиков и включают собственные разработки, решения партнеров, услуги по созданию стратегии и архитектуры ИБ, консалтинг, обучение персонала. Компания предлагает сервисы первого и крупнейшего в России коммерческого SOC — Solar JSOC, экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и другие. ГК «Солар» развивает платформу для практической отработки навыков защиты от киберугроз «Солар Кибермир». Работа центра исследования киберугроз Solar 4RAYS нацелена на изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности. Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры России в рамках национального проекта «Цифровая экономика Российской Федерации» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения. Штат компании — более 1,8 тыс. специалистов. Подразделения «Солара» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.