За I квартал 2024 года доля высококритичных инцидентов, связанных с несанкционированным доступом к информационным системам и сервисам, выросла в 8 раз (с 6% в конце 2023 года до 49% в начале 2024). Это следует из квартального отчета центра противодействия кибератакам Solar JSOC ГК «Солар». Вывод экспертов: хакеры стали тщательнее готовиться к атакам, делая их более точечными и сложными. Также злоумышленники активно пользуются инструментами киберразведки и социальной инженерии при подготовке и развитии атаки.
Исследование кибератак на российские компании в январе–марте 2024 года подготовлено на основе анализа данных по мониторингу инфраструктур около 300 организаций из разных отраслей экономики.
Согласно отчету, увеличилось и количество подтвержденных инцидентов (то есть тех, на которые ответила ИБ-служба заказчика), связанных с несанкционированным доступом. Это указывает на то, что в преддверии выборов Президента и ожидаемого роста атак ИБ-службы компаний усилили контроль за действиями подрядчиков, привилегированных пользователей и удаленных сотрудников в I квартале.
Всего в отчетном периоде эксперты зафиксировали 294 тыс. киберинцидентов. Это почти на треть меньше показателей предыдущего квартала (473 тыс.). При этом доля инцидентов высокой степени критичности в I квартале достигла 9%. В среднем доля таких атак в общем объеме составляет 2–3% (исключение составил II квартал 2022 года, когда их доля составила 11% на фоне рекордной волны киберударов на российскую инфраструктуру). Поэтому показатель I квартала можно назвать аномально высоким.
Помимо несанкционированного доступа, большая часть (41%) высококритичных инцидентов была связана с применением вредоносного ПО, которое традиционно является основным инструментом в арсенале злоумышленников. Также в два раза выросла доля веб-атак (с 4% до 8%). А использование нелегитимного ПО, которое в предыдущем квартале находилось на втором месте, практически сошло на нет. Нелегитимным считается такой софт, как средства удаленного администрирования, хакерские утилиты, исследовательский софт пентестеров. Чаще всего подобные критические инциденты встречались в госсекторе и организациях, относящихся к критической инфраструктуре. Очевидно, что в преддверии выборов в этих отраслях провели масштабные работы по минимизации киберрисков.
Если говорить про распределение инцидентов с разным уровнем критичности, то в I квартале лидирует заражение ВПО, составляющее практически треть всех инцидентов. На срабатывания специализированных сенсоров – EDR, NTA и AntiAPT – приходится 16% инцидентов. Доля подобных инцидентов снизилась, но тем не менее они занимают 2 место в ТОПе инцидентов. А это значит, что ключевую роль в выявлении атак играют специализированные сенсоры SOC, включая защиту конечных точек (EDR) и анализ сетевого трафика (NTA).
«Анализируя более крупные временные периоды, мы наблюдаем определенную цикличность, когда массовые кибератаки сменяют точечные прицельные удары и наоборот. Сейчас мы находимся на той стадии, когда злоумышленники нарастили свой арсенал и усовершенствовали применяемые техники. Особенно это актуально для I квартала года, ведь в марте в нашей стране проходили выборы Президента и очевидно, хакеры также готовились к этому событию. Радует тот факт, что концентрация усилий наблюдается не только со стороны атакующих, но и со стороны защитников. Мы фиксируем увеличение количества ответов в сторону SOC (то есть заказчики чаще стали взаимодействовать по оповещениям с Solar JSOC, реже оставляя их без ответа). Это подчеркивает значимость совместной работы в рамках режима повышенной готовности на фоне постоянного роста атак на российскую инфраструктуру»,
— отметила руководитель направления развития бизнеса Центра противодействия кибератакам Solar JSOC ГК «Солар» Евгения Хамракулова.
Помимо мониторинга инцидентов для эффективной защиты инфраструктуры от несанкционированного доступа стоит применять комплексный подход, включающий в себя DLP, IdM и PAM-системы. В частности, Solar Dozor позволяет предотвратить утечку данных и защищает от корпоративного мошенничества, Solar inRights структурирует роли и процессы предоставления прав доступа, а Solar SafeInspect контролирует доступ и действия привилегированных пользователей.
