В 2022 году кардинально изменился международный cybercrime-ландшафт — появились новые киберугрозы и преступные группы, менялись техники и тактики атакующих. Геополитический кризис привел к росту активности киберпреступных групп и прогосударственных хакеров — весь год столкновения шли и в киберпространстве. О самых громких атаках, кибернезависимости российских компаний и прогнозах на 2023 год рассказали резиденты ОЭЗ «Иннополис», специалисты в области информационной безопасности.
Тренды ИБ-2022: как изменилась ситуация на рынке
Несмотря на быстро меняющиеся условия на российской и международной арене и появление новых способов кибератак, есть тренды, которые остаются неизменны. Например, программы-вымогатели все еще являются киберугрозой номер один в мире.
«В начале 2022 года казалось, что с вымогателями может быть покончено — прошли аресты, часть групп разбежалась, часть залегла “на дно” и провела ребрендинг, из-за политических разногласий произошел раскол в команде Conti, что привело к публикации внутренних файлов и переписки, но к концу 2023 года оказалось, что империя шифровальщиков по-прежнему все еще могущественна и очень опасна», — отмечает Валерий Баулин, генеральный директор Group-IB в России и СНГ.
Причин для успеха вымогателей несколько. Во-первых, атакующим не нужно самим взламывать инфраструктуру, искать лазейки в корпоративных сетях. К их услугам развитый рынок продажи доступов в корпоративные сети. По оценкам экспертов Group-IB, он вырос более чем в два раза при том, что цена доступа упала примерно в два раза. 70% типов доступов, которые появляются в продаже, — это учетные записи RDP и VPN.
Во-вторых, для получения доступа в корпоративные сети стали активно использоваться логи, добытые стилерами — вредоносным программным обеспечением, которое похищает логины/пароли к SSO-сервисам, VPN, к сервисам Citrix. Стилеры стали второй по значимости киберугрозой 2022 года после вымогателей, считает Валерий Баулин.
С чем столкнулась Россия
Кардинальные сдвиги в сфере ИБ произошли в конце февраля, отмечает Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART:
«Мы видим скоординированную деятельность так называемых “хактивистов” — пользователей без опыта в проведении атак, которые действуют по определенным инструкциям».
Под прицелом все
Раньше с кибератаками больше сталкивались банковский, финансовый секторы, о безопасности деятельности в сети интернет задумывались крупные предприятия. Сегодня под прицелом любая компания, работа которой связана с интернетом, — то есть практически весь бизнес.
Поменялось отношение к ИБ
Всего год назад до руководства предприятий необходимо было доносить важность информационной безопасности. Сейчас этого делать не нужно — текущая ситуация сделала за всех свое дело.
«Сегодня многие руководители не просто знают, что такое кибербезопасность, — многие с вопросами ее обеспечения напрямую столкнулись на своих предприятиях. И крупные, и небольшие предприятия сталкиваются с DDoS-атаками, с нарушениями работы информационных систем, с утечкой данных. Любая компания, работа которой связана с интернетом, — то есть практически весь бизнес, — находится под угрозой», — подчеркивает Антон Кузьмин.
Уход зарубежных компаний
Серьезно изменился ландшафт средств защиты, которые можно использовать. Сильное влияние на рынок оказал уход из России иностранных ИТ и ИБ игроков, таких как McAfee, PaloAlto, Microsoft, IBM, ESET, Fortinet и Cisco Systems Inc. Прекращение деятельности в стране иностранных вендоров снизило уровень доверия к ним со стороны российских компаний и большинство из них не готовы работать с зарубежными решениями, даже если их разработчики возобновят деятельность в России.
Импортозамещение
Российский бизнес годами выстраивал инфраструктуру на западных решениях, однако после ухода иностранных компаний, а также ограничения и запрета на использование их решений вынужден искать новый путь.
Техники, которые использовали атакующие в 2022
Кибератаки, фиксируемые в России в этом году, можно разделить на семь типов:
- Атаки типа отказ в обслуживании (DDoS) — это основной тип применяемых на сегодняшний день атак, основной целью которых является вывод систем из строя либо сокрытие других видов кибернападений.
- Дефейс (Deface) характеризуется заменой содержимого взломанного информационного ресурса и размещением на нем какого-либо вызывающего сообщения с целью пропаганды и нанесения репутационного ущерба владельцу сайта.
- Фишинговые рассылки — вид интернет-мошенничества, основанный на методах социальной инженерии, целью которого является психологическое манипулирование людьми для совершения определенных действий или разглашения конфиденциальной информации, чаще всего для кражи данных банковских карт.
- Внедрение вредоносного программного обеспечения (ВПО) — внедрение ВПО в информационные системы различных организаций с целью проникновения в инфраструктуру либо осуществления деструктивных действий (например, шифрование данных), направленных на ИТ-инфраструктуру.
- Перебор учетных записей (Brute Force) к сервисам удаленного доступа — суть подхода заключается в последовательном автоматизированном переборе всех возможных комбинаций символов с целью найти правильное сочетание имени пользователя и пароля.
- Автоматизированное сканирование информационных ресурсов с целью поиска на сетевых периметрах организаций критических уязвимостей и неправильно сконфигурированного ПО, которым могут воспользоваться хакеры для проникновения в инфраструктуру либо компрометации данных и информационных систем.
- Выполнение произвольного кода на веб-сервере. Например, SQL-injection, или межсайтовое выполнение сценариев (XSS). Атаки позволяют получать доступ к базам данных, а также внедрять в веб-системы вредоносный код.
Очевидно, что события, происходившие на киберарене в 2022 году, являются лишь следствием геополитического кризиса. Хактивисты совместно с прогосударственными хакерами стали проводить совместные кампании — наиболее заметно это стало в истории с массированными и четко координируемыми DDOS-атаками и взломами компаний с целью кражи баз данных.
«Вообще этот год поставил антирекорд по количество утечек, а “лидером” стал август, когда были выложены 100 утечек, включавших базы данных 75 российских компаний. Мы видим, что у преступников изменился мотив: если раньше украденные базы данных выставляли на продажу, то теперь их бесплатно выкладывают в публичный доступ для того, чтобы нанести репутационный или экономический ущерб бизнесу и их клиентам», — отмечает Валерий Баулин.
Что с импортозамещением?
Бизнес страны сегодня нацелен на импортозамещение программного и аппаратного обеспечения. От покупки отечественных продуктов его не останавливают даже растущие цены российских разработчиков. Отечественные компании ожидают появления российских аналогов зарубежных продуктов, находящихся на стадии разработки. Причем их готовы приобретать и тестировать с более слабым функционалом, чем у иностранных аналогов. Правда, есть условие — важно оперативно доработать до необходимого состояния.
«Многие российские вендоры достаточно активно расширяют линейку и дорабатывают продукты, получая обратную связь от заказчиков, благодаря чему зрелость решений растет. Сейчас появляются новые игроки, происходит разрастание рынка. Интересно, что крупные компании развивают свои продукты, которые в дальнейшем предлагают рынку», — подчеркивает Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART.
Основные работы по импортозамещению начались после 250-го указа президента «О дополнительных мерах по обеспечению информационной безопасности» и ухода иностранных вендоров из РФ, а именно невозможности покупки, продления текущих лицензий, отключения от облачных сервисов и отсутствия вендорской поддержки. По словам Антона Кузьмина, если брать классический подход по модернизации инфраструктуры, то, прежде чем внедрить что-то новое, необходимо: протестировать продукт, проанализировать и зафиксировать необходимый функционал, провести пилот и только потом внедрить решение. Каждый из этих этапов обычно занимает длительное время, особенно если касается сложных и критичных систем, таких как СЗИ (средство защиты информации).
Прогнозы на 2023 год
Учитывая зависимость климата на рынке кибербезопасности от политической обстановки в мире, вряд ли ситуация в киберпространстве сильно изменится. Тренды 2022 года сохранятся, но по некоторым фронтам давление может усилиться.
«Этика в атаках хактивистов будет окончательно забыта. Если ранее шифровать больницы было очень плохим тоном, то теперь станет “плохо, если не в России”. Из-за политического фона профессиональных киберопераций (APT) будет больше, туда обязательно будут вовлечены и обычные люди, и коммерческие компании, как возможный путь в целевую инфраструктуру или сопутствующий ущерб. Атаки на цепочки поставок будут более актуальны, да и сами цепочки строить из-за политики становится сложнее», — считает Антон Бочкарев, генеральный директор компании 3side.
Тренд на импортозамещение усилится
В течение 2022 года разработчики «пересобирали» решения, а уже в будущем году ожидается массовый выход на рынок новых продуктов. При этом на фоне увеличения количества новых СЗИ появится потребность в устойчивой отечественной экосистеме. Помимо ИБ-продуктов, в нее должно входить «железо» на российской базе, операционные системы, прикладное ПО. При этом они должны взаимодействовать между собой «бесшовно», подчеркивает Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART.
Последствия ухода зарубежных компаний
В полной мере российские компании еще не ощутили уход зарубежных компаний, потому что многие контрактовались на год вперед. 2023 год покажет практические последствия ухода зарубежных вендоров.
Киберучения и киберполигоны
В течение 2022 года многие компании усиленно дооснащали свои системы защиты новыми средствами защиты. В связи с этим должен быть рост спроса на обучение практической работе с новыми средствами защиты и их связке с другими средствами защиты компании.
Услуги по сопровождению эксплуатации (аутсорсинг/аутстаф)
Потребность связана с наличием обученного персонала для обеспечения корректного функционирования систем защиты информации.
«За время атак или пентестов многие компании осознали, что внедренное средство защиты, оставленное без постоянного внимания ответственного сотрудника, со временем перестает гарантировать корректность своей работы, требуется собственный или наемный персонал для непрерывного контроля за состоянием систем защиты», — отмечает Антон Кузьмин.
Инвестиции в кадры
Прожив год в новой реальности, многие компании четко поняли, что они сами должны вкладываться в развитие рынка кибербезопасности в России, в частности, в повышение его кадрового потенциала.
Читать далее:
Польза витамина D для профилактики рака зависит от веса человека
Скрытую колонию пингвинов случайно нашли по снимкам из космоса
Гигантское солнечное пятно поворачивается к Земле. Его видно невооруженным взглядом