Ведущие эксперты в области ИБ рассказали, как злоумышленники атаковали российские компании в 2022 году, выделили ключевые тенденции отрасли и дали прогнозы на следующий год.
На Standoff 10 ведущие эксперты в области ИБ рассказали, как злоумышленники атаковали российские компании в 2022 году, выделили ключевые тенденции отрасли и дали прогнозы на следующий год. Своим видением поделились представители компаний Для просмотра ссылки Войди
Начальник отдела обеспечения безопасности информационных систем блока вице-президента по ИТ компании «ЕВРАЗ» Андрей Нуйкин считает, что отечественный бизнес и государственные предприятия постепенно переходят в новую реальность, где объем кибератак будет стабильно высоким, но резкие всплески, подобные тем, что случились весной 2022 года, повторяться не будут. «В этом году кратно выросло число атак с применением вредоносного ПО и методов социальной инженерии, например фишинга. Кроме того, изменились и сами атаки: мы стали фиксировать инциденты, которых раньше не было совсем, или они встречались в малом количестве, в частности DDoS-атаки», — рассказал Андрей.
Многократное увеличение числа DDoS-атак подтверждает и Дмитрий Гадарь, директор департамента ИБ «Тинькофф Банка». Среди тенденций 2022 года в банковской сфере он также отметил беспрецедентный рост количества атак через цепочки поставок и через внешние зависимости (создание в исходном коде продуктов хакерских «закладок», которые через обновления или пакеты могут дойти до клиентов и сделать их уязвимыми: например, встраивание вредоносного кода в библиотеки, модули MPM и npm-пакеты для JavaScript). «Банковская отрасль в России была и продолжает оставаться наиболее подготовленной к кибератакам, так как Центробанк обязывает финансовые организации внедрять различные средства контроля безопасности и пристально следит за исполнением этого требования. Поэтому от шторма кибератак в основном пострадали третьи стороны — наши поставщики услуг, которые были менее защищены. Причем в случае атаки на банки через цепочку поставок ущерб может быть нанесен не только безопасности предоставляемых сервисов, но и их доступности», — говорит Дмитрий.
Помимо этого, он упомянул, что задача по установке обновлений безопасности теперь решается иначе: сначала организациям следует приостановить обновление, тщательно его проверить и затем аккуратно загрузить.
По словам Дениса Гойденко, руководителя отдела реагирования на угрозы ИБ Для просмотра ссылки Войди
Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода компании Group-IB Олег Скулкин тоже обозначил этот тренд, а также выделил еще один: «Последние три-четыре месяца операторы программ-вымогателей стремятся максимально навредить жертве, разрушив ее инфраструктуру. То есть для атак они, как и прежде, используют разные виды шифровальщиков, а также локеры, которые до этого специалисты по ИБ не фиксировали в России, но никакого выкупа не требуют. Их цель — нанести репутационный ущерб бизнесу, выложив украденные данные в открытый доступ, и нарушить внутренние процессы работы компании. Чаще всего восстановить информацию не удается, так как злоумышленники уничтожают резервные копии, а отдавать ключ для расшифровки наотрез отказываются».
Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies, в свою очередь, добавил, что хактивисты, которые в начале 2022 года взламывали только самые легкодоступные цели и проводили хоть и массовые, но простейшие с точки зрения техник атаки типа Для просмотра ссылки Войди
«Набирает обороты тренд на усложнение кибератак. Он порожден, во-первых, тем, что многие компании, которые были взломаны ранее, радикально усилили свою защиту и стали менее уязвимы для атак. Во-вторых, если злоумышленники из раза в раз применяют один и тот же инструментарий, техники и тактики, специалистам по ИБ становится все легче их обнаруживать. Поэтому хактивистам приходится постоянно подучиваться», — рассказал Денис.
Помимо этого, эксперт отметил, что стихийный Для просмотра ссылки Войди
Денис Кувшинов подчеркнул еще один не менее важный тренд, появившийся в 2022 году: чтобы скрыть сетевую активность при заражении жертвы, хактивисты размещают свои контрольные серверы на популярных внешних сервисах (Telegram, Discord, Yandex Cloud или Dropbox), находящихся в российской инфраструктуре. Этим приемом ранее пользовались хакеры с высокой квалификацией и исключительно в таргетированных атаках.
Чего ждать в 2023 году: прогнозы экспертов Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies: «Повышение уровня компетенций хактивистов, возможно, вызовет вторую волну кибератак на отечественные компании, государственный сектор и российский сегмент интернета в целом. В отличие от атак первой волны новые атаки будут продвинутыми, таргетированными и хорошо подготовленными.
В продолжение Денис Кувшинов добавил, что в 2022 году опенсорс перестал быть неприкосновенным, хотя раньше считалось, что атаковать через зависимости в продуктах с открытым исходным кодом неэтично. В 2023 году ожидается укрепление этого тренда и появление еще большего количества вредоносных пакетов на публичных сервисах для разработчиков, таких как GitLab. По его словам, эта тенденция подстегнет развитие процессов безопасной разработки.
По прогнозу эксперта, в связи с курсом на импортозамещение можно прогнозировать тренд на обнаружение и эксплуатацию злоумышленниками уязвимостей нулевого дня в системах и приложениях, на которые сейчас переходят отечественные компании, в частности в OC Astra Linux. Также компаниям следует быть готовыми к появлению вредоносного ПО и хакерских инструментов, разработанных под эту операционную систему, и к созданию атакующими вредоносных кампаний, направленных на взлом компьютеров Linux.
Дмитрий Гадарь, директор департамента ИБ, «Тинькофф Банк»: «Количество атак, связанных с компрометацией цепочек поставок, продолжит возрастать. Больше станет DDoS-атак седьмого уровня (в 2022 году преобладали атаки третьего уровня), которые будут стараться мимикрировать под пользовательские. Такие атаки сложнее детектировать, а значит защита должна переходить с сети на уровень приложений. Приложения, в свою очередь, должны иметь возможность детектировать бот‑активность.
В следующем году будут активно развиваться концепции security by design и zero trust. В отношении первой концепции ранее можно было достаточно вольно проектировать внутренние бизнес-процессы и компенсировать недочеты в безопасности, закрывая компанию несколькими эшелонами защиты из надежных средств ИБ. Сейчас такой вариант невозможен, поэтому необходимо изначально, с первых шагов строить безопасные процессы. Концепция zero trust, приобретающая все большую актуальность, заключается в том, что организации теперь не могут доверять никому: ни внешним зависимостям, ни GitLab, ни третьим сторонам (подрядчикам, поставщикам услуг и т. д.)».
Олег Скулкин, руководитель лаборатории цифровой криминалистики и исследования вредоносного кода, Group-IB: «Злоумышленники постепенно отказываются от своего самого любимого инструмента — Cobalt Strike — и начинают экспериментировать с новыми фреймворками, например Для просмотра ссылки Войди
- Источник новости
- https://www.securitylab.ru/news/534966.php