Прогнозы представляют собой совокупность мнений членов команды Kaspersky ICS CERT, которые основаны на коллективном опыте команды в исследовании уязвимостей, атак и реагировании на инциденты, а также на личном мнении экспертов касательно основных движущих факторов изменений ландшафта киберугроз.
Мишени целевых атак 2023 г.
Ландшафт сложных целевых атак на промышленные предприятия и OT-системы может заметно измениться. Это, вероятно, коснется как географии атак, так и отраслевого фокуса атакующих. В числе мишеней целевых атак все чаще станут встречаться организации из реальных секторов экономики: сельского хозяйства, производства удобрений, сельхозтехники и продуктов питания; логистики и транспорта; альтернативной энергетики и энергетики в целом; хайтек-компании, фармацевтики и производства медицинского оборудования. Среди основных целей по-прежнему останутся предприятия ВПК и госучреждения.
Поверхность атаки увеличится в результате внедрения новых технологий
Риск увеличивает цифровизация в погоне за повышением эффективности — внедрение устройств промышленного интернета вещей, систем умного производства и прочих умных систем, в том числе систем управления техническим обслуживанием и цифровых двойников. Это опасение подтверждается статистикой атак на компьютеризированные системы управления техническим обслуживанием (CMMS, Computerized Maintenance Management System) в первой половине 2022 г. В первую десятку стран по доле CMMS, атакованных в первые шесть месяцев 2022 г., вошли и традиционно благополучные страны. Новые риски могут быть также связаны с внедрением различных беспилотных транспортных средств и агрегатов (грузовики, дроны, сельхозтехника и прочее), которые сами по себе могут стать как объектом, так и средством реализации атаки.
Рост цен на энергоносители и прочие факторы удорожания стоимости «железа»
Это заставит некоторые организации существенно пересмотреть планы развертывания on-premise-инфраструктуры в пользу облаков от сторонних поставщиков услуг (что может привести к дополнительным рискам ИБ), а также, вероятно, негативно ударит по бюджетам, выделяемым на ИТ- и OT-безопасность.
Геополитическая напряжённость негативно отразится на состоянии информационной безопасности
Вырастет количество хактивистов, действующих по внутри- и внешнеполитической повестке, и результативность их атак.
Ухудшение взаимодействия между правоохранительными органами разных стран приведет к росту числа кибератак в противоборствующих государствах. В частности, может вырасти число атак программ-вымогателей на критическую инфраструктуру.
Увеличится риск появления добровольных идеологически и политически мотивированных инсайдеров, а также инсайдеров, включённых в схемы действия криминальных групп (прежде всего, вымогателей) и APT, — как на самих предприятиях, так и среди разработчиков и поставщиков технологий.
Из-за потери рынков для разработчиков ИБ-инструментов и нарушения коммуникации между исследователями из разных стран неминуемо упадет качество обнаружения киберугроз. Уход с российского рынка многих разработчиков информационных систем, систем управления и средств кибербезопасности также не может положительно сказаться на качестве защиты. При этом поиск альтернативы потерявшим доверие иностранным разработчикам грозит новыми рисками. Так, простые уязвимости нулевого дня и ошибки конфигурации, доступные и киберкриминалу, и хактивистам, — частое следствие недостатка ресурсов для обеспечения необходимого уровня культуры безопасной разработки и спешки при внедрениях решений от мелких и средних локальных разработчиков.
Рост спроса на первоначальный доступ к инфраструктуре организаций также стимулирует криминальные кампании, нацеленные на кражу учётных данных сотрудников.
Растущая роль государства операционных процессах промышленных предприятий
Растущая роль государства в операционных процессах промышленных предприятий, включая подключения к государственным облакам и сервисам, которые могут быть менее защищены, чем частные решения от ведущих поставщиков, приведет к дополнительным рискам в области информационной безопасности. Одновременно вырастет риск недоступности информации, необходимой для своевременного реагирования на угрозы и заблаговременного планирования защитных мер. При этом повышается и риск утечек конфиденциальных деталей такой информации. Уровень зрелости информационной безопасности в государственных учреждениях не всегда позволяет гарантировать следование лучшим практикам ответственного раскрытия информации об уязвимостях, угрозах и инцидентах. Может пострадать и качество информации о новых угрозах. Бездоказательная атрибуция и сознательное завышение уровня угрозы — ожидаемый шаг некоторых исследователей в попытках оседлать в корыстных целях продвигаемую на государственном уровне идеологическую и политическую повестку.
Техники и тактики, на которые следует обратить особое внимание в 2023 г.
Эксперты Kaspersky ICS CERT назвали техники и тактики злоумышленников, на защиту от которых следует обратить особое внимание в 2023 году:
- фишинговые страницы и скрипты, внедрённые на легитимных сайтах;
- использование протрояненных «поломанных» дистрибутивов, а также патчей и генераторов ключей общеупотребимого и специализированного ПО;
- фишинговые письма на злобу дня — с наиболее актуальными темами;
- документы, украденные в предыдущих атаках на смежные организации и организации-партнёры, — в качестве «приманки» в фишинговых письмах;
- распространение фишинговых писем из скомпрометированных почтовых ящиков сотрудников и контрагентов под видом легальной рабочей переписки;
- N-day уязвимости, поскольку они будут закрываться ещё медленнее ввиду ухудшения доступности обновлений безопасности некоторых решений;
- использование глупых ошибок в конфигурации (например, оставленных паролей по умолчанию) и 0-day уязвимостей в продуктах «новых», в том числе и локальных (отечественных) вендоров;
- атаки на облачные сервисы;
- использование ошибок конфигурации средств защиты, например тех, которые позволяют отключить антивирус;
- использование популярных облачных сервисов в качестве CnC — даже после обнаружения атаки жертва может оказаться не в состоянии их заблокировать, потому что от них зависят какие-либо важные бизнес-процессы;
- использование уязвимостей легитимного ПО, например DLL Hijacking и BYOVD, для обхода средств защиты конечных узлов;
- распространение вредоносного ПО через флэшки для преодоления air gap (там, где он на самом деле есть).
