30% компаний подвергались целевым кибератакам. Как защищаются ваши коллеги?

Треть компаний когда-либо подвергалась целевой атаке, в большинстве случаев — с серьезными последствиями.

Что вы узнаете:

1. Почему целевые атаки ― ваша проблема №1.
2. Как от атак защищаются другие.
3. А что делать вам, чтобы предотвратить APT-атаки и вытекающие из них последствия.

🎯 Целевой считается...

Кибератака, направленная на конкретную компанию, отрасль экономики или ограниченный круг частных лиц. Прежде чем атаковать, злоумышленники, как правило, проводят предварительную разведку и собирают информацию о выбранной жертве.

По данным исследования Positive Technologies, треть компаний когда-либо подвергалась целевой атаке, в большинстве случаев — с серьезными последствиями. Чаще всего страдают финансовые организации: 44% респондентов сферы сообщили о целевых атаках, на втором месте ТЭК ― 33%, а замыкают тройку государственные компании ― 29%.

Насколько надежно организации укрыты от таких угроз и какие тенденции в использовании средств защиты можно отметить, расскажем далее.

В чем опасность?

Из данных исследования можно увидеть, каким атакам чаще всего подвергаются компании.

В качестве основной цели, которую преследуют злоумышленники, большинство опрошенных отмечает кражу ценной информации (рис. 1). Однако в сфере образования больше половины представителей (63%) считает, что таким образом атакующие стремятся нанести удар по репутации компании.

Рис.1. С какой целью, на ваш взгляд, вашу компанию может атаковать хакерская группировка?

Целевые атаки наносят ощутимый урон и могут напрямую повлиять на работу организации, в том числе на ее финансовые результаты. Респонденты отмечают, что чаще всего последствиями подобных атак были: простой инфраструктуры, нарушение бизнес-процессов и уничтожение или изменение данных (рис. 2).

В 16% случаев компании платили выкуп злоумышленникам. Вендор рекомендует не идти на поводу у атакующих и обращаться к специалистам для устранения последствий атаки. Нет гарантий, что злоумышленники восстановят работоспособность инфраструктуры, прекратят шантаж и не потребуют дополнительных денег.

Рис.2. С какими последствиями кибератак сталкивалась компания?

Что используют для защиты?

В ответах на вопросы об используемых средствах защиты от целевых атак есть печальная тенденция: в основном в арсенале компаний есть только базовые инструменты безопасности, которые не заточены под выявление сложных угроз. До сих пор не во всех компаниях установлены антивирусные средства защиты.

Специализированные решения, которые действительно способны обнаружить злоумышленника в сети, использует только каждая пятая компания; Sandbox ― 20% опрошенных, решения класса NTA ― 19% (рис. 3).

Рис.3. Какие системы информационной безопасности используются в компании для выявления кибератак?

Наш практический опыт позволяет сделать вывод, что если с технологиями класса «песочница» многие компании уже знакомы и активно используют, то решения класса NTA все еще остаются «terra incognita», хотя именно используя совместно решения данных классов, можно повысить уровень и скорость детектирования APT-атак. Для того, чтобы продемонстрировать комплексность данного подхода, за 2021 год мы провели более 10 пилотных проектов данных решений, а также офлайн и онлайн мероприятий, на которых заказчики могли сами поработать с данными продуктами в ходе лабораторных работ.

— Иван Ожерельев, руководитель отдела технического сопровождения проектов TS Solution

В инфраструктуре злоумышленники способны скрыть следы присутствия, но стереть их в трафике невозможно. Эту особенность использует система глубокого анализа трафика (NTA) PT Network Attack Discovery. Она позволяет выявлять атаки на периметре и внутри сети, а также замечает любую сетевую активность.

Но базовых средств защиты недостаточно! Что делать?

Атаки с использованием ВПО по-прежнему занимают первое место в арсенале киберпреступников: их доля во II квартале 2021 года составила 73%. Одна из причин успеха таких атак — злоумышленники совершенствуют вредоносное ПО так, чтобы его не смогли обнаружить базовые средства защиты: антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы. Поэтому есть отдельный класс решений для выявления вредоносов — песочница. Она запускает файл в изолированной виртуальной среде, анализирует его действия в системе и выносит вердикт, безопасен он или нет.

Так, у Positive Technologies есть своя "песочница" — PT Sandbox, которая поможет эффективно выявлять ВПО, используемое в целевых атаках.

Как компании планируют защищаться в ближайшие 1—3 года? Хорошие новости: каждая пятая организация намерена начать использовать NTA-систему и комплексные решения для защиты от целевых атак (рис. 4). Это значит, что их способность обезопасить себя от таких угроз вырастет. Отраслевая специфика: в планах 39% специалистов из IT-компаний — приобрести песочницу для выявления сложных угроз. Представители промышленности планируют закупать SIEM (40%), NTA (36%), Sandbox (36%). В финансовой отрасли, помимо комплексных решений для защиты от целевых атак (40%), 27% организаций будут усиливать защиту с помощью EDR и NGFW.

Рис.4. Какие системы информационной безопасности вы планируете начать использовать для выявления кибератак в ближайшие 1-3 года?

В завершение опроса мы узнали у респондентов, знают ли они о матрице MITRE и используют ли ее для создания стратегии защиты от целевых атак.

MITRE ATT&CK — это база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Это структурированный в виде наглядной таблицы список тактик, для каждой из которых указаны возможные техники.

С помощью нее специалисты по ИБ могут отслеживать информацию об актуальных угрозах и с учетом этих данных строить эффективную систему безопасности. Знание того, как действуют реальные APT-группировки, помогает строить гипотезы для проактивного поиска угроз в рамках Threat Hunting.

Радует, что в общей сложности 67% опрошенных специалистов знают о матрице MITRE: они либо уже пользуются ее данными, либо планируют (рис. 5).

Рис.5. Используете ли вы в процессе мониторинга, реагирования и расследования матрицу MITRE ATT&CK?

Стоит отметить, что в настоящий момент есть некоторое отставание доступной информации и обучающих материалов на русском языке о том, как правильно выявлять различные APT-атаки или строить процесс Threat Hunting в компании. Для решения данной проблемы производитель предоставляет доступ к своей экспертизе через интуитивно-понятный интерфейс и разрабатывает учебные материалы, которые позволят обозначить основные направления и способы работы с продуктами для выявления угроз. Мы же со своей стороны планируем продолжить практику проведения мероприятий workshop, где с заказчиками разбираем реальные кейсы выявления цепочек атак.

— Иван Ожерельев, TS Solution

Какие выводы?

В каждой отрасли были компании, которые подверглись целевым атакам. При этом большинство организаций практически не защищены от таких угроз: в основном используют базовые средства защиты, у некоторых нет даже антивирусов. Лишь 10% респондентов имеют специализированные решения.

Есть и позитивные тенденции. Компании понимают необходимость повышения уровня безопасности, планируют расширять арсенал средств защиты, включать в него специализированные комплексные решения для выявления целевых атак. Мы, в свою очередь, продолжим развивать это направление: повышать компетенции команды и делиться знаниями на воркшопах, семинарах и вебинарах.

А защитить свою компанию от целевых атак вы можете 👉🏻 тут.

#it-технологии #информационная безопасность #positive technologies #сетевые технологии #it #технологии