Информационная безопасность в компании
Информационная безопасность — это всесторонняя защищённость информации и поддерживающей её инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
Основная статья: Информационная безопасность
2024
Как хакеры используют ИИ для взлома ИТ-инфраструктуры российских предприятий
Хакеры все чаще используют возможности искусственного интеллекта (ИИ) для взлома информационно-технологических систем российских предприятий. Согласно данным, представленным в «Лаборатории Касперского», злоумышленники применяют ИИ для создания фейкового контента, который позволяет им обойти защитные системы компаний и получить доступ к конфиденциальной информации. Данные подтверждают рост числа таких атак, что было озвучено 25 октября 2024 года региональным представителем компании в Южном и Северо-Кавказском федеральных округах Игорем Малышевым. Подробнее здесь.
43% продвинутых кибератак на российский бизнес связаны с уязвимостями в корпоративных веб-приложениях
По данным центра исследования киберугроз Solar 4RAYS за первое полугодие 2024 года, 43% хакерских проникновений в инфраструктуру компаний происходили через уязвимости в корпоративных приложениях. Эксперты ГК «Солар» рекомендуют компаниям использовать принципы безопасной разработки ПО для минимизации рисков информационной безопасности, а также проводить регулярный аудит уязвимостей и как можно оперативнее их закрывать. Об этом Солар сообщил 24 сентября 2024 года.
Зачастую организации недооценивают значимость так называемых «некритичных» уязвимостей, которые позволяют раскрыть сведения о внутренней структуре системы (OWASP A3:2017-Sensitive Data Exposure). Это, в свою очередь, создает условия для планирования целенаправленных атак. Другая распространенная ошибка — невнимание к обработке файлов cookie и заголовков (OWASP A6:2017-Security Misconfiguration, A5:2017-Broken Access Control), что может привести к подмене данных пользователя. В то же время более критичные уязвимости компании обычно выявляют на этапе тестирования приложений или устраняют с помощью дополнительных средств защиты.Эволюция в развитии российских средств защиты от сетевых угроз: как Kaspersky NGFW меняет расстановку сил на рынке
Эксперты Solar appScreener отмечают, что до 90% программного кода состоит из готовых open source компонентов, и в большей части в них содержатся уязвимости и дефекты, позволяющие получить несанкционированный доступ к информации. В современных реалиях использование open-source программного обеспечения и публичных репозиториев требует обязательного контроля безопасности кода как основных компонентов, так и зависимостей. Если компания этого не делает при разработке веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.
Еще одна проблема российских приложений заключается в том, что многие компании создают веб-версии и мобильные приложения на одном и том же интерфейсе, используя схему с одним бэкендом. Таким образом они экономят на разработке, тестировании и технической поддержке, однако под угрозу ставится безопасность.
Избежать взломов через приложения, а также сопряженных финансовых и репутационных потерь помогут принципы безопасной разработки. Это подход, при котором еще на ранних стадиях написания кода, тестирования и эксплуатации ПО выявляются уязвимости, которые могут быть использованы злоумышленниками после выпуска продукта.
Эксплуатация уязвимостей в веб-приложениях уже не первый год входит в тройку наиболее популярных векторов атак на организации. Эта тенденция будет только усиливаться. Все больше российских разработчиков ПО осознают серьезность киберугроз и изначально включают принципы безопасности в свои процессы разработки. В современной ИТ-индустрии понимают: выгоднее и эффективнее устранять уязвимости на ранних этапах разработки, чем потом бороться с последствиями атак, — сказал Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар». |
53,8% российских компаний увеличили свои расходы на кибербезопасность
По данным исследования ИТ-компании «Киберпротект», больше половины отечественных организаций – 53,8% – увеличили свои расходы на информбезопасность в результате произошедших ранее хакерских атак. Но, как отмечают исследователи, затраты не выросли кардинально: 37,8% организаций увеличили бюджет только на 10%, 42% опрошенных сообщили о росте расходов на 25%. Общее количество компаний, в которых расходы на безопасность выросли на 50 и более процентов, в сумме достигает 20,2%. Об этом 20 сентября 2024 года сообщила пресс-служба депутата Государственной Думы РФ Антона Немкина.
Как отмечалось, в большинстве компаний инвестиции увеличились в сегменте программного обеспечения – 82%, еще 60,9% респондентов отметили, что дополнительные расходы были направлены на обучение сотрудников цифровым компетенциям, 34,4% потратили на обновление оборудования и 30,5% – на аудит систем ИТ/ИБ.
Помимо этого, респонденты подавляющего большинства компаний – 84,7% – сообщили, что уже имеют в штате сотрудника или целый отдел, который отвечает за разработку и проведение ИБ-политики. При этом в трети предприятий (33,2%) увеличили численность специалистов своего подразделения кибербезопасности.
Мы живем в реальности непрерывного противостояния киберпреступников и служб информационной безопасности, при этом злоумышленники постоянно развивают свои технологии, угрозы становятся все более сложными, убытки от них все более значительными. Публичные кейсы успешных хакерских атак подталкивают организации к тому, чтобы уделять больше внимания информационной безопасности: проводить тренинги для сотрудников, расширять штат ИБ, инвестировать в оборудование и ПО, в то время как это должно быть частью стратегии любого бизнеса и выполняться системно и постоянно. Поэтому обмен информацией об атаках, методах защиты и успешных практиках важен для создания безопасной цифровой среды нашей экономики. отметила Елена Бочерова, исполнительный директор компании «Киберпротект» |
Летние атаки на российские компании произвели впечатление даже на тех, кто ранее не обращал должного внимания на информзащиту, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
При этом выяснилось, что с техническими сбоями в результате DDos-атак могут столкнуться даже крупные компании, в которых вопросам информационной безопасности всегда уделялось повышенное внимание. Думаю, это очень показательный случай. считает депутат |
Ранее в «Киберпроекте» также сообщали о пересмотре реализации корпоративной ИБ-политики большинством организаций. По данным исследования, серьезнее относиться к обеспечению ИБ стали 85,2%. Кроме того, сразу 75% опрошенных компаний посчитали, что их организация может стать целью атаки злоумышленников.
По словам Немкина, в 2024 году стать объектом хакерских атак может организация любого масштаба.
Размеры компании, степень конфиденциальности данных, которые она обрабатывает уже не особенно важны. Доля, например, утечек, произошедших у организаций малого и среднего и бизнеса, уже составляет практически 35%. отметил парламентарии |
Компании инвестировали средства в самые проблемные направления, и это позитивная тенденция, считает Немкин.
Анализ защиты информсистем, проведенный ранее ФСТЭК, показал, что в 73% выявленных случаев нарушения были связаны с непринятием необходимых мер по технической защите данных.
Компании зачастую не обновляют корпоративный софт, что просто недопустимо. Подвижки, которые мы видим на сентябрь 2024 года, потенциально могут привести к серьезным изменениям в обеспечении безопасности. Но достичь этого можно только при понимании бизнесом всей ответственности ситуации. Давление не снизится, а регуляторная рамка будет только ужесточаться – поправки к закону об утечках данных могут быть приняты уже в 2024 году. порекомендовал Немкин |
85,2% компаний стали серьезнее относиться к собственной кибербезопасности и защите данных
Компании усилили меры кибербезопасности из-за хакерских атак. Об этом 30 августа 2024 года сообщил Киберпротект.
Исследование, проведенное ИТ-компанией, показало, что 85,2% организаций стали серьезнее относиться к защите данных и противодействию киберугрозам в свете недавних публичных инцидентов.
В начале лета 2024 года крупные компании и госучреждения подверглись атаке шифровальщиков — наблюдались сбои в работе сайта, приложения и платежных терминалов, что приостановило деятельность организаций на несколько дней.
Так, подавляющая часть организаций (85,2%) стали серьезнее относиться к собственной кибербезопасности и защите данных после публичных инцидентов, и только 14,8% отметили, что их взгляд на проблему не изменился. При этом три четверти респондентов считают, что их предприятие может стать целью атаки злоумышленников, а 13% опрошенных оценивают риск хакерской угрозы как крайне высокий.
Также более трети компаний (38,6%) пересмотрели свою политику в сфере кибербезопасности.
Самыми эффективными мерами по киберзащите компании оказались резервное копирование и наличие антивирусной системы.
Бэкап занял первое место в списке: 59,7% опрошенных представителей компаний назвали именно его. Кроме этого, укрепить безопасность организаций, по мнению участников опроса, помогает наличие антивирусной защиты (58,3%), регулярное обновление ПО (52,4%), контроль доступа (51,7%) и системы предотвращения утечек данных (49,7%).
Действительно, бэкапы — практически единственный способ восстановления данных после успешной атаки шифровальщика. Однако системы резервного копирования (СРК) ранее присутствовали не у всех: 38,1% внедрили или запланировали внедрение систем резервного копирования только сейчас. Те, у кого СРК были до начала лета 2024 года, — пересмотрели подход к нему (40,3%). Больше половины организаций (61,6%) сообщили, что стали чаще делать бэкапы, а чуть больше трех четвертей (75,8%) руководителей признались, что теперь уделяют больше внимания резервному копированию.
При этом только 31% компаний делает резервное копирование данных еженедельно, 23,8% — ежедневно. Предпочтения отдается локальным серверам и сетевым накопителям (62,7%), только в 35,3% компаний хранят бэкапы на внешних ресурсах.
Не менее результативной мерой является развитие культуры кибербезопасности в компании. Больше половины (51,8%) опрошенных организаций уже провели обучающие тренинги и семинары для сотрудников, 59,1% предприятий установили более строгие правила доступа к информационным системам, 38,9% внедрили или пересмотрели регламент использования личных устройств на работе, а 26,1% опросили своих сотрудников на предмет их осведомленности в вопросах безопасности данных. Штрафы и иные наказания за нарушение правил ИБ также довольно популярная мера — их внедрили в 18,3% компаний.
Количество кибератак на бизнес растет. К сожалению, некоторые из них неизбежно достигают своих целей, поэтому обеспечение безопасности — важное стратегическое направление любой компании. Совсем недавно произошли достаточно крупные инциденты, поэтому наблюдаемый нами рост обеспокоенности со стороны предприятий любого размера кажется вполне закономерным. Именно поэтому так важно напоминать о мерах предосторожности: использовать эффективные технические средства защиты и вовремя обновлять ПО, постоянно создавать резервные копии данных и проверять их целостность, повышать осведомленность сотрудников в вопросах информационной безопасности. Мы уверены, что только комплексное и регулярное следование этим правилам позволит отечественному бизнесу быть более защищенным, — сказала Елена Бочерова, исполнительный директор компании «Киберпротект». |
В опросе участвовало около 300 представителей российских компаний, в том числе из сферы образования, здравоохранения, ритейла, промышленности и ИТ. В исследовании участвовали директора по ИТ и информационной безопасности, ИБ- и ИТ-специалисты, руководители и менеджеры среднего звена.
Почему российская промышленность редко страдает от вирусов-вымогателей
В августе 2024 года стало известно о том, что российская промышленность, несмотря на рост числа кибератак с использованием вирусов-вымогателей по всему миру, остается относительно защищенной от этих угроз. Согласно данным компании «Информзащита», российские предприятия становятся менее привлекательными целями для международных хакерских группировок, таких как LockBit и BlackCat. Подробнее здесь
8 из 10 компаний могут пропустить кибератаку из-за недостатков мониторинга инфраструктуры
Компания Positive Technologies провела опрос на тему мониторинга источников событий информационной безопасности в инфраструктуре компаний. Исследование с участием 100 компаний показало, что 83% организаций в ходе такого мониторинга сталкиваются с проблемами или не осуществляют его вовсе из-за отсутствия ресурсов. Об этом Positive Technologies сообщили 19 июля 2024 года.
Среди основных проблем при мониторинге событий респонденты выделили следующие: «поток от источника событий информационной безопасности пропадает» (28%), «источник становится недоступным» (26%), «события ИБ теряются» (17%). Еще 7% сообщили, что вообще не мониторят источники из-за отсутствия ресурсов.
В среднем опрошенные компании мониторят 65,5% всех источников событий. Только 7% организаций отслеживают события со всех источников. Остальные опрошенные мониторят только часть источников, оставляя таким образом слепые места в своей инфраструктуре. Из них 38% объяснили это тем, что их компаниям не хватает ресурсов, еще столько же респондентов не видят в этом необходимости, а 24% объяснили отсутствие полного мониторинга слишком большим числом активов и огромным объемом неинформативного трафика.
Исследование также показало, что у компаний нет единой методологии в вопросах подключения источников и определения степени их важности. Большинство опрошенных отслеживают только критически важные источники, которые определяют самостоятельно. Уровень важности источника 36% опрошенных оценивают исходя из степени влияния на бизнес-процессы, 31% ориентируются на положение источника в инфраструктуре, 18% оценивают этот критерий субъективно, ориентируясь на свой опыт.
Основной вывод, который удалось сделать, — что компаниям зачастую не на что ориентироваться при подключении источников для мониторинга. Все инфраструктуры разные, и всегда следует учитывать специфику, но не хватает базовой, простой и понятной инструкции, какие объекты инфраструктуры и в каком порядке подключать к мониторингу. Нужно стремиться к тому, чтобы не просто сделать процесс прозрачным, но и частично автоматизировать его, переложив рутинную работу на SIEM-систему, — отметила Анастасия Коннова, менеджер по продуктовому маркетингу MaxPatrol SIEM, Positive Technologies. |
Хакеры начали красть данные российских компаний под предлогом проведения «уроков ИБ»
17 июля 2024 года стало известно о том, что специалисты по информационной безопасности выявили новую схему мошенничества, направленную на кражу конфиденциальных данных российских компаний. Злоумышленники, представляясь сотрудниками государственных ведомств, рассылают фальшивые уведомления о проведении «уроков информационной безопасности» и под этим предлогом пытаются получить доступ к секретной информации организаций.
Эксперты центра внешних цифровых угроз Solar AURA группы компаний «Солар» обнаружили массовую рассылку поддельных электронных писем, якобы отправленных от имени российских государственных органов. В этих сообщениях содержится информация о планируемом проведении консультационных бесед с сотрудниками компаний по вопросам обеспечения информационной безопасности и защиты персональных данных.
Мошенники используют бланки несуществующих ведомств и настаивают на конфиденциальности предстоящих бесед. Они просят руководителей организаций предупредить подчиненных о предстоящих звонках, тем самым повышая доверие сотрудников к последующим контактам с злоумышленниками.
После того как руководство компании информирует персонал о якобы предстоящих «уроках ИБ», сотрудникам поступают звонки от мошенников, выдающих себя за специалистов по информационной безопасности. В ходе этих разговоров злоумышленники пытаются склонить работников к передаче конфиденциальной информации, включая данные для доступа к информационной инфраструктуре компании.
Директор центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Игорь Сергиенко отмечает, что данная схема является новым витком в развитии социальной инженерии.
Если руководитель поверит изложенной в письме информации и лично предупредит сотрудников о будущей беседе, то шансы злоумышленников на успех значительно повысятся, – подчеркивает эксперт. |
Для защиты от подобных атак специалисты Solar AURA рекомендуют компаниям соблюдать ряд правил информационной безопасности. В частности, не следует диктовать одноразовые коды или пароли по телефону и пересылать их кому-либо. Также не рекомендуется предоставлять личные данные на подозрительных веб-сайтах или в разговоре с незнакомыми людьми.
Две трети компаний сталкиваются с нехваткой кадров на фоне борьбы со сложными кибератаками
Компания МТС RED, входящая в ПАО МТС, 21 марта 2024 года представила результаты опроса российских компаний по теме защиты от киберугроз. Он показал, что четверть компаний сталкивается со сложными целенаправленными кибератаками, при этом 62% не располагают необходимым штатом специалистов по информационной безопасности из-за кадрового дефицита, а 24% не могут подобрать отечественные ИБ-решения, качество которых отвечало бы их задачам.
В ходе исследования были опрошены свыше ста представителей российских компаний из финансового сектора, промышленности и энергетики, ИТ, госсектора, сфер телекоммуникаций, здравоохранения, ритейла, HoReCa, строительства и девелопмента.
Результаты опроса показывают, что каждая четвертая российская компания в 2023 году сталкивалась со сложными атаками. Около 17% от общего числа респондентов заявили о том, что в 2023 году на их компанию велись целевые атаки, а 8% рассказали об атаках через подрядчика. Среди киберугроз, с которыми компании сталкивались в 2023 году, чаще всего фигурируют фишинг и социальная инженерия (45%), а также DDoS-атаки (40%).
DDoS и фишинг объединяют дешевизна и простота в реализации. Но если DDoS имеет одну очевидную цель – сделать веб-сайт жертвы недоступным для пользователей, то фишинг может использоваться как для быстрого хищения денег пользователя, так в качестве первого шага в ходе сложных многоступенчатых атак на компанию путем взлома учетной записи или заражения рабочей станции сотрудника. Поэтому такие данные позволяют предположить, что объем сложных целенаправленных атак в реальности выше, чем кажется самим компаниям, – сказал Сергей Орляк, руководитель третьей линии аналитиков МТС RED SOC компании МТС RED. |
Отвечая на вопрос о том, что составляет для них наибольшую сложность в части обеспечения информационной безопасности в текущих условиях, большинство респондентов (62%) отметили дефицит квалифицированных специалистов, еще 32% указали на нехватку у специалистов временных ресурсов, необходимых для решения существующего объема задач. Таким образом, кадровый голод остается главной нерешенной проблемой в отрасли.
Вторым сложным аспектом остаются последствия ухода западных разработчиков в сфере кибербезопасности. Для 24% опрошенных импортозамещение осложняется нехваткой качественных отечественных систем защиты информации, 17% испытывают трудности из-за невозможности продления лицензий и технической поддержки иностранных вендоров. При этом проблема с закупкой аппаратного обеспечения для решений по кибербезопасности, о которой многие говорили в 2022 году, теперь практически нивелировалась – она осталась актуальной лишь для 8% респондентов. Вопрос выделения бюджетов на информационную безопасность также не оказался в числе самых острых: на недостаток финансовых возможностей пожаловались только 14% респондентов.
Среди недавно внедренных или планируемых к внедрению в ближайшее время ИБ-решений 31% компаний называет межсетевые экраны (NGFW). Еще 28% опрошенных уже ведут или планируют проекты по подключению сервисов центров мониторинга и реагирования на кибератаки. Это логичное следствие как растущего объема сложных атак на российские компании, так и дефицита кадров, о котором говорили более половины опрошенных. Кроме того, для многих российских заказчиков актуальной задачей сейчас является защита веб-сервисов – об этом заявили 26%, а также внедрение средств защиты конечных точек сети – такие проекты планируются в 19% компаний.
74% респондентов считают свои организации недостаточно защищенными от сложных и целевых атак
Компания Positive Technologies 12 марта 2024 года представила результаты исследования защищенности конечных точек российских компаний. По данным опроса, 74% респондентов считают свои организации недостаточно защищенными от сложных и целевых атак. При этом 76% оценили подход компании к защите конечных устройств с помощью комбинации различных продуктов информационной безопасности как «серьезный». Обнаружение и предотвращение целевых атак важно при построении защиты конечных точек, отметили 73% опрошенных. Около 14% респондентов сказали, что уже сталкивались с целевыми атаками на их компании.
Цель исследования — узнать, насколько российские компании защищены от целевых атак, как они выстраивают защиту конечных точек (например, компьютеров, серверов и сетевого оборудования), с какими трудностями при этом сталкиваются и на какие функции продуктов ИБ обращают внимание в первую очередь.
Почти 80% наших респондентов серьезно относятся к выстраиванию защиты конечных точек, комбинируя разные решения, — отметил Егор Назаров, руководитель направления развития бизнеса защиты от комплексных атак Positive Technologies. — Такой подход чаще используют крупные организации с выстроенными процессами информационной безопасности. Для защиты конечных точек на рынке представлены различные средства: классические антивирусы, EPP, EDR-решения. При этом на практике одного антивируса недостаточно для обнаружения целевых атак. Его технологии основаны на анализе уже известных угроз, и он может пропустить атаку, развивающуюся по принципу цепочки комбинации различных действий, исполняемых на конечной точке и скрытых под легитимными процессами. Кроме того, недостаточно просто выявить инцидент — необходим большой инструментарий, позволяющий быстро реагировать на действия злоумышленников. |
EDR-решения предоставляют информацию, сгруппированную по событиям на основе поведенческого, статического и других методов анализа, а также предлагают большой выбор действий по реагированию, включая автоматические. Это помогает освободить специалистов по ИБ от выполнения рутинных задач, переключив их на решение более важных и стратегических вопросов информационной безопасности организации.
При построении защиты конечных точек респонденты выделяют три основные сложности. Первая связана с большой нагрузкой на рабочие станции, что затрудняет работу с приложениями. Важно, чтобы они были легковесными и не перегружали конечные точки. Вторая трудность касается невозможности гибко настроить глубину анализа событий. Часто вендоры поставляют «коробочные» продукты без возможности доработки под потребности клиентов. Наконец, третья — это несовместимость агентов разных средств защиты: при мультивендорном подходе инструменты могут конфликтовать между собой, что приводит к перебоям в работе операционной системы. Поэтому необходимо, чтобы разработчики обеспечивали совместимость своих продуктов с другими системами защиты информации.
Российские компании осознают значимость защиты конечных точек и подходят к этому вопросу индивидуально. Многие из них ограничиваются использованием одного класса продуктов, хотя современный уровень угроз требует более продвинутых решений. Такие средства защиты конечных точек от целевых атак, как MaxPatrol EDR, помогут оперативно выявлять сложные угрозы, обеспечат уверенное реагирование и автоматизацию рутинных операций с учетом особенностей инфраструктуры и процессов построения ИБ в компании.
При выборе EDR-решения важно обратить внимание на поддержку российских операционных систем, включенных в единый реестр отечественного ПО, способность к интеграции в различные виртуальные среды, гибкость настройки и возможность автономной работы. Кроме того, необходимо встраивать технологии продвинутых методов обнаружения и анализа ВПО, а также инструменты реагирования в процессы проактивного поиска угроз, — отметил Никита Юдин, менеджер по развитию и продвижению решений для защиты конечных точек Positive Technologies. |
2023
96% организаций уязвимы перед кибермошенниками
Специалисты Positive Technologies 2 июля 2024 года поделились результатами тестирований на проникновение, проведенных в 2023 году. Практически во всех компаниях, где проводилось внутреннее тестирование, злоумышленники могут установить полный контроль над ИТ-инфраструктурой. Минимальный срок проникновения в локальную сеть составил один день.
Работы по тестированию на проникновение проводились исследователями команды PT SWARM в компаниях из различных отраслей, таких ИТ, финансы, промышленность, сфера услуг, телекоммуникации и ряд других. Цель тестирования — определить, сможет ли внешний или внутренний злоумышленник успешно атаковать организацию и реализовать недопустимое для бизнеса событие
Тестирование показало, что в 63% организаций злоумышленник с низкой квалификацией может проникнуть в локальную вычислительную сеть (ЛВС) извне, а в такой же доле организаций низкоквалифицированный внутренний нарушитель может получить полный контроль над ИТ-инфраструктурой. В 96% проектов организации оказались уязвимыми перед злоумышленниками, которые могут проникнуть в их внутреннюю сеть. Самое быстрое проникновение в ЛВС было осуществлено в первый день начала работ. В среднем специалистам требовалось 10 дней для получения доступа.
Почти во всех компаниях удалось получить учетные данные сотрудников и получить несанкционированный доступ к важной конфиденциальной информации, включая интеллектуальную собственность и служебную переписку. А также установить полный контроль над инфраструктурой. Например, в одном проекте специалисты добились получения максимальных привилегий в домене Active Directory за 6,5 часов, в остальных этот показатель варьировался от 1 до 7 дней.
Во всех организациях, где исследователи PT SWARM проводили внутреннее тестирование, удалось получить максимальные привилегии в домене, — сказал Григорий Прохоров, аналитик Positive Technologies. — В 90% случаев была верифицирована возможность реализации недопустимых событий, причем для этого не всегда требовался полный контроль над ИТ-инфраструктурой. Например, даже в компании, где не удалось проникнуть в локально-вычислительную сеть, была подтверждена возможность несанкционированного доступа к базе данных с персональными данными более 460 тысяч пользователей. |
Чтобы добиться киберустойчивости, компании необходимо не только проводить тестирования на проникновение, но и поддерживать ИТ-инфраструктуру в постоянной готовности к отражению атак. Для этого эксперты Positive Technologies рекомендуют организациям непрерывно оценивать и контролировать защищенность критически важных активов через выявление и усложнение потенциальных маршрутов передвижения злоумышленников.
Почти половина крупнейших компаний уязвимы для DDoS-атак на уровне L7
Компания StormWall провела очередное исследование по наличию профессиональной защиты от DDoS-атак среди российских компаний. Эксперты StormWall проанализировали данные компаний, которые входят в ТОП-100 по выручке по итогам 2023 года. Об этом StormWall сообщил 9 апреля 2024 года. В результате исследования выяснилось, что все организации из данного списка используют какие-либо решения для отражения DDoS-атак на уровне L3-L4 (сетевой и транспортный уровни модели OSI), например, применяют защиту от провайдера или от хостинга, но ситуация с защитой на других уровнях стала еще хуже, чем ранее.
Аналитики StormWall выявили, что почти половина российских компаний из списка ТОП-100 (46% организаций), не используют никакой профессиональной защиты от DDoS-атак на уровне L7 (уровень приложений). В аналогичном исследовании по наличию профессиональной защиты среди крупнейших компаний по итогам 2022 года данный показатель составлял только 30%. Данная ситуация выглядит не логичной, учитывая, что число атак постоянно растет, и необходимо наращивать защиту.
Исследование StormWall содержит также другие важные данные относительно топовых компаний по итогам 2023 года без профессиональной защиты от атак на уровне L7. Аналитики обнаружили, что среди крупных компаний, не обладающих защитой от атак на уровне L7, больше всего организаций из энергетической отрасли (34%), нефтяной сферы (28%) и производственной отрасли (16%). Также без защиты оказались некоторые ритейлеры (9%), телекоммуникационные компании (7%) и транспортные организации (4%). Финансовые организации занимают только 2% среди крупнейших компаний без защиты от атак на уровне L7.
В прошлом исследовании по итогам 2022 года среди компаний без профессиональной защиты от атак на уровне L7 также было больше всего энергетических, нефтяных и производственных компаний. Однако, есть и позитивные изменения. В прошлом исследовании было довольно много телекоммуникационных и финансовых организаций без профессиональной защиты на уровне L7, а сейчас их количество значительно уменьшилось.
Отсутствие защиты от атак на уровне приложений может вызвать серьезные проблемы. Большинство атак на сайты организаций реализуются на уровне L7. В связи с тем, что топовые российские компании не используют профессиональные решения для защиты от атак на уровне L7, сайты этих организаций постоянно находятся под угрозой. Если на сайты топовых компаний будут совершены DDoS-атаки, работа онлайн-ресурсов может быть полностью нарушена, а также сайты могут быть недоступны в течение длительного времени. Такая ситуация может привести к серьезным финансовым и репутационным потерям.
Противостоять DDoS-атакам на уровне L7 достаточно трудно. Для того, чтобы эффективно бороться с такими атаками, необходимо осуществить сложный процесс отделения легитимных пользователей от ботов. Ситуация осложняется тем, что боты способны имитировать поведение настоящего пользователя. Для данных видов атак недостаточно использовать стандартные методы проверки. Обычно для осуществления фильтрацию на уровне L7 используются интерактивные проверки браузера на валидность, а также сигнатурный и поведенческий анализ, который позволяет определить, насколько поведение бота отличается от поведения обычного посетителя. Профессиональные решения по защите от DDoS-атак на уровне L7 сочетают разные методы фильтрации и используют большие вычислительные ресурсы. Именно это позволяет обеспечить надежную защиту онлайн-ресурсов.
Слабые пароли в корпоративных инфраструктурах остаются серьезной проблемой
Ненадежные пароли остаются серьезной брешью на ИТ-периметрах российских компаний и уже не первый год возглавляют ТОП ключевых уязвимостей. Об этом 5 апреля 2024 года сообщил Солар (ранее Ростелеком-Солар). Тем не менее их доля в перечне уязвимостей постепенно сокращается: с 78% в 2021 до 53% в 2023 году. Это следует из отчета экспертов отдела анализа защищённости Solar JSOC ГК «Солар». В основе исследования — более 100 проектов по анализу защищенности и тестированию на проникновение, проведенных по заказу компаний из разных отраслей, включая телеком, энергетику, ИТ, торговлю и др.
Эксплуатация слабых паролей стала начальной точкой проникновения в половине внешних пентестов, реализованных специалистами Solar JSOC. При этом подобная уязвимость имеет высокую степень критичности, так как позволяет потенциальным злоумышленникам получить доступ в инфраструктуру организации без особых затрат времени и сил.
Впрочем, и для внутренней сети слабые и повторяющиеся пароли несут серьезную угрозу. Подобная уязвимость встретилась в 60% проектов по внутреннему тестированию на проникновение. В каждом пятом из них ненадежные пароли стали начальной точкой развития вектора проникновения.
В целом, половина российских организаций имеет низкий уровень ИБ-защиты. Так, в 30% успешных пентестов (тех, где удалось получить доступ во внутреннюю сеть или скомпрометировать внешние узлы) преодолеть внешний ИТ-периметр эксперты Solar JSOC смогли всего за 1 шаг. То есть реальному злоумышленнику достаточно было бы выполнить всего одно действие для компрометации узла сети. В среднем же вектор проникновения состоял из 3 шагов.
Средняя длина вектора во внутренних тестированиях на проникновение составила 4 шага. Именно столько отделяет потенциального злоумышленника от получения полного контроля над доменом (основная цель 90% внутренних пентестов).
Доля пентестов (как внутренних, так и внешних), в которых удалось преодолеть ИТ-периметр, составляет около 80%, то есть абсолютное большинство исследуемых нами инфраструктур может быть взломано хакерами. Помимо ненадежных паролей, серьезной проблемой внешних периметров является эксплуатацией известных уязвимостей в ПО. Например, в трети проектов начальной точкой проникновения стала уязвимость в Bitrix. Для внутренних сетей серьезной угрозой является уязвимая конфигурация центра сертификации. Подобный недостаток позволяет повысить привилегии в домене и получить доступ к критичным данным, – сказал руководитель отдела анализа защищенности Solar JSOC ГК «Солар» Александр Колесов. |
BI.Zone представила годовое исследование российского киберландшафта
BI.ZONE 3 апреля 2024 года представила Threat Zone — годовое исследование российского киберландшафта, в котором представлены результаты аналитической обработки данных, собранных экспертами BI.ZONE из команд реагирования на инциденты, центра мониторинга и киберразведки.
Вот основные тренды 2023 года, которые выделили авторы материала.
15% атак пришлось на сферу ритейла, по 12% — на промышленные и топливно-энергетические компании, а также финансовые и страховые организации. 10% было нацелено на транспортную отрасль.
9% атак пришлось на государственный сектор. В 8% случаев жертвами становились ИТ-компании. На долю инженерии, связи, образования и науки выпало 5% выявленных атак, а на строительную отрасль — всего 4%.
В 2023 году мы отслеживали более 50 группировок, атаковавших российские компании. Наши специалисты обработали свыше 580 000 подозрений на инцидент и отреагировали больше чем на 2000 киберинцидентов, из которых свыше 100 оказались высококритичными. Благодаря этому мы сделали выводы о ключевых трендах, которые будут определять изменения российского киберландшафта. В основе отчета Threat Zone 2024 — данные киберразведки, полученные от BI.ZONE Threat Intelligence, а также информация от команд центра мониторинга и реагирования на инциденты, сказал Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE.
|
76% атак обусловлены финансовой мотивацией. Преступники распространяли программы-вымогатели, требовали выкуп за скомпрометированную конфиденциальную информацию, а также находили способы получить прямой доступ к финансовым активам жертв. Для атак злоумышленники применяли легитимные инструменты, коммерческое вредоносное ПО (ВПО), а также инструменты с открытым исходным кодом.
В 2023 году киберпреступники стали активно использовать специально созданные ресурсы для публикации данных о своих жертвах, если те отказались выплачивать выкуп. Кроме того, злоумышленники с финансовой мотивацией значительно различаются по уровню подготовки: среди них есть как опытные с глубокими техническими знаниями, так и преступники с низким уровнем подготовки, делающие ставку в основном на простое в использовании коммерческое ВПО. Наметившаяся ранее тенденция к снижению порога входа в киберпреступность сохранилась.
15% атак были связаны со шпионажем. В 2023 году в этом направлении специалисты BI.ZONE выявили 5 ранее неизвестных группировок. Кроме того, в шпионаж перешли несколько кластеров, у которых раньше была финансовая мотивация.
Киберпреступники по-прежнему активно использовали фишинг для получения первоначального доступа, а также эксплуатировали новые уязвимости, в некоторых случаях до публикации официальной информации о них. Наряду с этим появились кластеры, атакующие с помощью более примитивных методов и коммерческого ВПО.
Волна хактивизма спадает. На долю хактивизма пришлось всего лишь 9% атак. Количество киберпреступлений, совершаемых по идеологическим мотивам, постепенно уменьшается: все больше хактивистов переходят к финансово мотивированным преступлениям либо совмещают оба вида атак.
Трендом 2023 года также стал переход преступников этой категории от массовых атак к целевым, направленным точечно на организации, наиболее интересные злоумышленникам с точки зрения огласки. Сообщения об атаках преступники активно публиковали в своих телеграм-каналах и там же размещали полученные конфиденциальные данные.
Кроме того, хактивисты реализовывали деструктивные атаки, применяя программы-вымогатели или вайперы для уничтожения данных. Чтобы получить первоначальный доступ, преступники активно использовали легитимные учетные записи, а также компрометацию подрядчиков.
Атаки через подрядчиков с применением легитимных учетных записей повсеместно распространены. Из-за незащищенности самих подрядчиков такие атаки стали трендом 2023 года.
Ранее злоумышленники действовали более прямолинейно и при взломе поставщиков ИТ-услуг сразу вымогали деньги у этих компаний. Теперь киберпреступники предпочитают идти дальше и развивать атаку на клиентов подрядчика, поскольку в случае успеха это позволяет увеличить выгоду.
Кроме атак через подрядчиков, злоумышленники чаще всего проникали в ИТ-инфраструктуру благодаря фишингу, эксплуатации уязвимостей в публично доступных приложениях, а также использованию доступных из интернета служб удаленного доступа для сотрудников.
Кроме ВПО, киберпреступники активно применяют популярные инструменты для пентеста, а также встроенные программы операционной системы.
Среди ВПО по популярности лидируют коммерческие программы, а также их взломанные варианты. Чаще всего злоумышленники маскируют ВПО под легитимные документы, используя при этом двойное расширение (например .pdf.exe), и распространяют такие программы через фишинговые рассылки, малвертайзинг, т. е. вредоносную рекламу, и отравление поисковой выдачи.
Наиболее популярным у злоумышленников в 2023 году было шпионское ПО Agent Tesla, которое задействовали в 22% атак. Программа позволяет не только похищать данные с устройства жертвы, но и получать к нему удаленный доступ. В ходе одной из атак с помощью Agent Tesla преступникам удалось скомпрометировать 400 российских компаний всего за 24 часа.
В 2023 году среди злоумышленников резко выросла популярность легитимных инструментов Adminer и Gsocket. Первый часто использовали администраторы для управления базами данных на сайтах. Если раньше некоторые злоумышленники пытались эксплуатировать его уязвимости для получения несанкционированного доступа к этим базам, то теперь сами устанавливают Adminer на компьютер жертвы, чтобы незаметно выгрузить все данные. Gsocket стали активно применять в 2023 году, чтобы выполнять в удаленной системе произвольные команды и копировать файлы в обход межсетевых экранов.
Атакующие активно эксплуатировали уязвимости, однако далеко не все: из 29 065, найденных в 2023 году, в атаках использовались всего 26. Причина в том, что востребованные уязвимости обнаружены в широко распространенных системах и легко эксплуатируются, ведь для них есть публичные эксплоиты.
В случае успешной атаки киберпреступники в среднем проводят в скомпрометированной инфраструктуре 25 дней до обнаружения.
Однако этот показатель может варьироваться в зависимости от целей атаки. Злоумышленники, использующие программы-вымогатели, предпочитают действовать быстро и обычно проводят в скомпрометированной инфраструктуре около 5 дней. Если же цель преступников — шпионаж, они стремятся оставаться незамеченными как можно дольше: от нескольких месяцев до нескольких лет.
Но, если в организации есть современные средства мониторинга киберугроз, атаку выявляют на начальной стадии и купируют ее за короткое время: от нескольких минут до нескольких часов.
Ознакомиться с полной версией отчета Threat Zone можно по ссылке.
В каждой пятой российской ИТ-компании сотрудники плохо знают основы ИБ
В каждой пятой российской ИТ-компании сотрудники плохо знают основы ИБ. Такие данные получила компания «СёрчИнформ» в исследовании уровня информационной безопасности в организациях России за 2023 год. В 19% ИТ-компаний у сотрудников низкий уровень знаний основ информационной безопасности. Об этом говорят данные исследования уровня ИБ за 2023 год, проведенные «СёрчИнформ» в организациях России. В частных ИТ-компаниях больше сотрудников с хорошим уровнем знаний основ, чем в государственных – работники используют сильные пароли, не предоставляют коллегам доступ к своим учеткам и пр. Однако общий уровень подготовки у них хуже. Об этом 6 февраля 2024 года сообщила компания «СёрчИнформ».
Плохой уровень подготовки сотрудников – это ответственность работодателей. Зачастую они не вкладываются в обучение работников основам информационной безопасности. В 2022 году мы узнавали, как российские ИТ-компании строят обучение, и большинство из них указали, что знания по ИБ сотрудники получают в письменных регламентах, которые должны изучить самостоятельно. А 24% - вообще не обучают сотрудников. Однако работники часто не вчитываются в регламенты, так как они или непонятно написаны, или неубедительны, из-за чего нет веры в реалистичность прописанных угроз. И в итоге, сотрудники остаются без знаний о том же фишинге или других действиях социальных инженеров. А это ставит под угрозу защищенность компании. Поэтому сотрудников важно не только контролировать техническими средствами, но и качественно обучать, показывать на примерах, чем может обернуться несоблюдение базовых правил безопасности, чтобы уменьшить вероятность возникновения инцидентов. рассказал Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ» |
Несмотря на то, что больший процент компаний считают, что знания сотрудников средние, ситуация с защитой от рисков ИБ остается напряженной. Количество инцидентов по вине внутренних нарушителей возросло на 18% в сравнении с 2022 годом. При этом компании с «хорошим» и «средним» уровнем подготовки сотрудников сталкивались с инцидентами так же часто, как и организации с «плохим».
Всего с инцидентами ИБ столкнулись 69% компаний, чаще всего в них фиксировали утечку данных. Слив данных происходил почти в 2 раза чаще, чем годом ранее. Больше всего теряли: персональные данные, информацию о клиентах и сделках и техническую документацию.
При утечке данных большинство компаний проведет закрытое расследование, лишь четверть из них персонально информирует клиентов/партнеров/других лиц, а 9% – принесут публичные извинения или оповестят общественность через СМИ.
Для обеспечения должной защиты 39% ИТ-компаний увеличивают бюджет на информационную безопасность, больше половины оставляют бюджет без изменений. Чаще всего его выделяют на продление лицензионных ключей (68%), закупку оборудования (49%) и импортозамещение зарубежного ПО (42%). Совсем не выделяют бюджет – меньше 1% компаний.
В 2022 году 25% компаний увеличили бюджет на безопасность, в 2023 эта цифра выросла на 14%. Это большой скачек, так как в предыдущих исследованиях рост финансирования этой сферы стабильно фиксировали не больше четверти российских ИТ-компаний. На это, в том числе, повлияли запланированные изменения в российском законодательстве в области защиты ПДн – ужесточение ответственности и увеличение суммы штрафов до полумиллиарда рублей. Однако в 2023 году эти планы оказали опосредованное влияние на спрос, потому что окончательное решение еще не принято. В 2024 году должен сработать отложенный спрос на закупку и расширению имеющихся ИБ-решений. |
На рост инцидентов влияет не только низкий уровень знаний сотрудников или недостаточная оснащенность защитными средствами, но и нехватка квалифицированных кадров, которые могут работать со всеми этими направлениями. Компании по-прежнему испытывают дефицит ИБ-специалистов, 63% организаций считают, что он остается уровне 2021 и 2022 года, а 14% – что усилился. Наиболее привлекательным решением проблемы для частных компаний является привлечение готовых специалистов с рынка, почти половина используют этот подход. Для государственных – профессиональная переподготовка своих специалистов. 12% компаний используют аутсорсинг, ещё 10% планируют к ним присоединиться. Компании отмечают, что это поможет быстрее начать и оптимизировать ИБ и снизить трудозатраты. Проблем с дефицитом кадров нет и не было у 16% ИТ-компаний, 8% считают, что он ослаб.
Рост спроса на киберучения в 2 раза
В 2023 году спрос на проведение киберучений в крупных российских компаниях увеличился приблизительно в два раза по сравнению с предыдущим годом. Услуга востребована прежде всего среди организаций из телекоммуникационной отрасли, а также сфер финансов и промышленности. Об этом говорится в исследовании ИТ-интегратора «Инфосистемы джет», результаты которого обнародованы 24 января 2024 года.
В 2022 году из 350 компаний в сегменте крупного бизнеса, которые являются клиентами «Инфосистем джет», с заказом на проведение киберучений обратились 60 организаций. По итогам 2023-го, их количество возросло до 130, то есть, увеличилось приблизительно на 115% в годовом исчислении.
Основная причина повышения востребованности услуг по проведению киберучений заключается в росте интенсивности хакерских атак на фоне сложившейся геополитической обстановки. В 2023 году компании чаще всего интересовались проактивным выявлением угроз, безопасной разработкой, поиском и исследованием цифровых доказательств преступления. На спрос также повлиял законопроект об оборотных штрафах за утечку персональных данных, который Госдума приняла в первом чтении 23 января 2024 года.
О повышении спроса на киберучения, как отмечает газета «Ведомости», также говорят в компаниях Positive Technologies и ГК «Солар». В частности, в 2023 году количество коммерческих учений, проведенных ГК «Солар», подскочило в пять раз по сравнению с предыдущим годом. Группа выполнила такие заказы более чем для 200 организаций: 50 из них — это госорганы и около 10 — силовые ведомства. Примерно 140 киберучений проведены в коммерческих организациях, в том числе зарубежных.
По нашим данным, больше половины российских организаций проводили киберучения, а 75% респондентов намерены проводить их в будущем. В 2024 году мы прогнозируем рост еще в три раза, — говорит директор киберполигона ГК «Солар» Евгений Акимов.[1] |
69% корпоративных электронных писем были нелегитимными
По данным BI.ZONE CESP, больше всего потенциально опасных писем в корпоративном почтовом трафике встретилось в сферах промышленности, транспорта и логистики, строительства и недвижимости, а также профессиональных услуг. Об этом компания BI.Zone сообщила 22 января 2024 года.
Эксперты BI.ZONE отметили, что 68% целевых атак на российские компании начинается с письма. Через электронную почту распространяются и массовые нежелательные сообщения: как обычный рекламный спам и флуд с набором символов, так и фишинг, письма с вредоносным программным обеспечением (ВПО), а также спуфинг. В основном такие сообщения отправляют, чтобы похитить данные ради выкупа, продажи или публикации этой информации в даркнете, проверить, активны ли email-адреса получателей, и распространить рекламу. В 2023 году 2/3 всех писем в корпоративном трафике были нелегитимными.
Доля фишинговых писем в 2023 году выросла на 70% по сравнению с 2022-м. Одно из 137 относилось именно к такой категории. Главной мишенью стала сфера транспорта и логистики, где каждое 88-е письмо — фишинговое. Эта же отрасль — лидер по темпу роста фишинговых атак: их доля увеличилась в 2,4 раза по итогам года.
Злоумышленники постоянно адаптируют атаки, чтобы обходить средства защиты, но неизменно продолжают использовать электронную почту как основной метод получения первоначального доступа. Так, чтобы как можно дольше оставаться незамеченными в инфраструктуре взломанных компаний, в 2023 году киберпреступники впервые применили российские программы удаленного доступа. Чтобы доставить вредоносный файл, который устанавливал такое ПО, хакеры использовали электронную почту.
По сравнению с 2022 годом, доля писем с вредоносными вложениями выросла в 2,4 раза. Абсолютным лидером стал промышленный сектор: в этой сфере процент писем с ВПО почти в 6 раз превышает средний показатель.
Атакующие чаще всего использовали ВПО, распространяющееся по модели MaaS (malware‑as‑a‑service). Его следы встречаются более чем в 80% вредоносного трафика, поступающего на корпоративные почтовые серверы. Такое ВПО часто приобретают на теневых форумах злоумышленники, которым не хватает компетенций для собственной разработки. Это повышает охват атак с его применением.
Доля атак, в которых злоумышленник выдает себя за доверенный источник, сократилась в 2023 году по сравнению с 2022 в 1,5 раза. Специалисты BI.ZONE отмечают, что киберпреступники сместили фокус: чаще спам и рекламу (в том числе с непристойным контентом) рассылают не с поддельных email-адресов, а через взломанные легитимные учетные записи.
Несмотря на общий спад активности, связанной со спуфингом, к отдельным отраслям интерес злоумышленников увеличился. В частности, доля спуфинга выросла 2,2 раза в промышленном секторе, в 2 раза — в сфере транспорта и логистики и в 1,3 раза — в области финансов и страхования.
Одной из наиболее охватных спуфинг-кампаний стала рассылка якобы от лица органов власти. Злоумышленники подделывали email-адрес и отправляли письма с темами «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список» и пр. Это и текст сообщения побуждали пользователя открыть архив, доступный во вложении или по ссылке для скачивания. Там был вредоносный файл, который устанавливал ПО для получения полного контроля над скомпрометированной системой.
В 2023 году мы стали свидетелями массовых кибератак на российский бизнес. В рамках кампаний злоумышленники рассылали около 300 000 электронных писем за день. Такие атаки оказываются успешными из-за человеческого фактора. Поэтому обеспечивать защиту от нелегитимных писем необходимо еще до того, как они попадут на корпоративный сервер, — отметил Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE. |
Топ отраслей по доле нелегитимных писем в корпоративном трафике: · Промышленность — 74%. · Транспорт и логистика — 72%. · Строительство и недвижимость — 70%. · Профессиональные услуги — 70%.
Чтобы противостоять email-угрозам, эксперты BI.ZONE советуют обучать сотрудников принципам цифровой гигиены, регулярно проводить тренировочные атаки и использовать специализированные средства защиты электронной почты.
Сбои в ИТ-системах приводят к потере данных на работе чаще, чем кибератаки: исследование
Вирусы и кибератаки — не главная причина потери личных и рабочих данных россиян. Российская платформа онлайн-рекрутинга HeadHunter совместно с ИТ-компанией «Киберпротект» провели исследование и выяснили, что в 45% случаев данные теряются из-за сбоев ИТ-систем или человеческого фактора. В ходе исследования установили, какая информация пропадает чаще всего, что люди делают для предотвращения потерь и как на это влияет культура кибербезопасности в компаниях. Об этом hh.ru сообщил 18 декабря 2023 года.
Каждый четвертый (25%) опрошенный признался, что сталкивался с потерей рабочих данных. И виноваты тут вовсе не вирусы — по крайней мере, не они чаще всего являются причиной утраты информации. В 45% случаев виновны были сбои в ИТ-системе, в 33% — поломка устройства и программные ошибки, в четверти случаев люди сами забывали пароль или удаляли важные файлы случайно. И только 18% тех, кто когда-либо терял данные, ответили, что ответственно за это было вредоносное ПО.
За какие данные люди опасаются больше всего? Это личные фотографии и видео — так ответили 59% респондентов. Причем женщины обеспокоены этим сильнее, чем мужчины (74% против 48%). Весомыми для россиян являются также потери рабочих документов (44%) и переписок без возможности их восстановления (33%).
Опрос показал, что большинство компаний (58%) в принципе не проводит никаких тренингов по кибербезопасности. Если обучения проводятся, то чаще всего это происходит раз в полгода (21% из тех, у кого бывают такие тренинги) или раз в квартал (19%).
При этом тема безопасности данных беспокоит россиян — хотя бы иногда 84% опрошенных переживали о сохранности своих данных. Примечательно, что в отделах финансов и бухгалтерии больше всего сотрудников (45%) — испытывают сильное беспокойство по поводу потери данных и поэтому предпринимают меры, чтобы этого не произошло.
Основная стратегия защиты от безвозвратной потери данных — резервное копирование. Однако регулярным резервным копированием занимаются всего 34% опрошенных: 48% из них загружают данные на внешний носитель — это может быть жесткий диск или выделенный сервер — через специальные программы. Остальные копируют вручную.
В топ-3 способа защиты данных от потери или утечки среди респондентов вошли двухфакторная аутентификация (67% опрошенных используют ее), ограничение доступа к личным устройствам и аккаунтам (63%) и аккуратное использование личных данных в социальных сетях (62%).
К сожалению, потеря данных происходит даже в самых защищенных системах, и эту проблему часто недооценивают, — сказала Елена Бочерова, исполнительный директор компании "Киберпротект". — Лучший способ сохранить информацию и предотвратить потерю данных — регулярно делать резервные копии. Здесь мы рекомендуем придерживаться золотого правила «3-2-1»: создавайте не менее трех копий каждого файла; храните копии как минимум на двух разных типах носителей; создавайте одну копию на удаленном носителе (в облаке), на случай локального происшествия. |
Около 10% сотрудников российских компаний переходят по ссылкам в фишинговых сообщениях
Сотрудники российских компаний в 10% случаев не распознают социотехническую атаку на инфраструктуру компании и переходят по вредоносным ссылкам в фишинговых письмах. Об этом Angara Security сообщила 8 декабря 2023 года.
В тестировании рассылок фишинговых сообщений через электронную почту в 2022-2023 гг. приняли участие 8200 сотрудников организаций государственного и корпоративного сектора. В их число вошли финансовые, транспортные, логистические, промышленные, строительные, ИТ-компании, телеком-провайдеры и маркетплейсы.
В рамках эксперимента службы безопасности заказчиков заблокировали часть писем и предупредили пользователей, которые ввели свои данные, что необходимо изменить пароль от учетной записи. В большинстве случаев использовался сценарий с вводом логина и пароля от доменной учетной записи на стороннем сайте. Авторы теста обнаружили, что, в среднем, около 10% сотрудников при социотехнических атаках вводят действительные данные по вредоносным ссылкам из фишинговых сообщений.
Тестирование показало, что в среднем, в каждой компании есть хотя бы один сотрудник, который в случае фишинговой рассылки переходит по вредоносной ссылке и подвергает опасности личные данные и инфраструктуру компании. Так как злоумышленник получает доступ во внутреннюю сеть заказчика с УЗ пользователя, возможно даже и так имеющего доступ к критичным системам, а если и не имеющим, то злоумышленник имеет возможность повысить привилегии и получить критические данные из внутренней сети компании, - отметил Михаил Сухов, руководитель отдела анализа защищенности Angara Security. |
Специалисты сравнили результаты тестирования за 2022 и 2023 годы: в 2023 году статистика по реакциям на фишинговые атаки меняется: число переходящих по вредоносным ссылкам снизилось с 13% в 2022 году до 10% в 2023 году. Это говорит о том, что приоритет информационной безопасности в компаниях повышается и организации начинают уделять внимание защищенности человеческих ресурсов.
При построении защиты внешнего периметра организации не стоит останавливаться только на защите сетевых ресурсов: IDS, IPS, WAF и др. Стоит уделять внимание и разведке угроз (TI), и антиспам-системам, и обучению персонала, и правильному реагированию на фишинговые атаки, - подчеркнул Михаил Сухов, руководитель отдела анализа защищенности Angara Security. |
И в бизнесе, и в госсекторе существуют две уязвимые точки - сотрудники, которые не обладают необходимым уровнем киберграмотности, и дочерние компании, подрядчики и субподрядчики, которые далеко не всегда готовы по своей инициативе инвестировать в кибербезопасность на необходимом уровне. Например, в первом полугодии 2023 года число взломов[2] ИБ-инфраструктуры крупных компаний через подрядчиков выросло на 30%. Поэтому важно обеспечить сквозную информационную безопасность по всей цепочке поставок, снизить риски от человеческого фактора. Только в этом случае средства защиты информации могут выполнить возложенные на них задачи.
Более 30% сайтов региональных госорганизаций содержат личные e-mail-адреса сотрудников
Компания Angara Security изучила свыше 400 сайтов государственных организаций в более чем 80 регионах России. Объектом для анализа стали онлайн-ресурсы правительств субъектов РФ, экономических ведомств, министерств здравоохранения и образования. Мониторинг с помощью инструментов OSINT выявил несколько критичных рисков с позиции информационной безопасности онлайн-ресурсов. Об этом компания сообщила 4 декабря 2023 года.
Чаще всего на региональных сайтах используется небезопасный протокол HTTP, который передает конфиденциальную информацию, например, пароли, в открытом виде. Современные браузеры оповещают о данной проблеме пользователей, но это приводит к тому, что официальные сайты не воспринимаются в качестве легальных онлайн-ресурсов, принадлежащих организации. Эта уязвимость была выявлена в 60% случаев.
В 30% случаев эксперты Angara Security отметили, что сотрудники государственных ведомств на официальных ресурсах указывают личные адреса электронной почты для обращений граждан. Всего были проанализированы около 2000 e-mail-адресов, опубликованных на сайтах.
Публикация этих данных особенно рискованна с т.з. фишинговых атак: например, на почту может прийти сообщение от «жителя региона» с просьбой оказать помощь. А так как регионы объективно испытывают сложности с закупкой специализированного ПО, то учетные данные чиновников могут попасть в руки преступников и использоваться для более высокоуровневых кибератак от имени «сотрудников» ведомств, - подчеркнули в Angara Security. |
В компании Angara Security отметили, что чиновники, использовавшие личную почту для официальной коммуникации, указывали адреса в российской доменной зоне, т.е. @mail.ru или @yandex.ru. Адресов в международных доменах, например, Google (@gmail.com), выявлено не было.
Ранее руководители и специалисты по ИБ органов власти отметили ряд проблем ведомств в совместном исследовании Центра подготовки руководителей и команд цифровой трансформации ВШГУ РАНХиГС и Angara Security в сентябре 2023 года. В первую очередь, это нехватка финансирования для закупки необходимо ПО и оборудования (64%), дефицит кадров (68%) и отсутствие ресурсов для обработки информации, поступающей со средств ее защиты (23%).
Аналитики Angara Security также выявили, что на сайтах присутствует информация о семьях сотрудников ведомств, которая может быть использована в кибератаках с применением социальной инженерии.
В 10% случаев онлайн-ресурсы недоступны для пользователей и не содержат информацию о проведении технических работ, что усложняет получение информации и услуг для граждан. Аналитики отметили, что региональные сайты государственных ведомств зачастую не придерживаются единого стиля оформления порталов органов власти, а в некоторых случаях и единых доменных имен для сайтов.
На сайтах ряда регионов нет логотипов, обозначающих принадлежность к конкретному региону или ведомству. На первый взгляд, для преступников нет выгоды на таких ресурсах и нет мотивации для их подделки, но с помощью нелегальных сайтов можно собирать персональные данные граждан для дальнейших атак, - продолжили эксперты Angara Security. |
Все выявленные риски свойственны большинству онлайн-ресурсов государственных организаций во всех регионах России, при этом в некоторых отмечено наименьшее сочетание таких рисков с т.з. защиты информации и персональных данных на онлайн-ресурсах. К ним относятся Московская, Владимирская, Ленинградская, Калининградская области, регионы Дальневосточного федерального округа.
Исследование онлайн-ресурсов региональных государственных организаций проведено в период с 20 по 25 ноября 2023 года. Анализ сайтов проводился без применения специализированного ПО для анализа защищенности, использованы методы OSINT, которые предполагают анализ ресурсов с позиции пользователей (физических лиц).
Московские компании чаще всего сталкиваются с утечками данных, дискредитацией бизнеса и сторонней занятостью сотрудников
Московские компании чаще всего сталкиваются с утечками данных, дискредитацией бизнеса и сторонней занятостью сотрудников. Это выяснила компания «СёрчИнформ», опросив более 200 специалистов по информационной безопасности московских компаний. Респондентами исследования стали сотрудники и руководители ИБ-отделов коммерческих и государственных организаций различного масштаба. Об этом SearchInform сообщил 15 ноября 2023 года.
39% опрошенных московских компаний в 2023 году не заметили рост числа кибератак. 26% ответили, что внешние атаки по вине хакеров и мошенников увеличились. Больше трети респондентов затруднились ответить на вопрос.
Рост числа внутренних инцидентов заметили лишь 13% компаний Москвы. 42% сообщили, что число инцидентов не увеличилось, 45% – затруднились ответить на вопрос.
59% московских компаний в 2023 году столкнулись с попытками слива информации. Чаще всего инсайдеры «сливали» информацию о клиентах и сделках (44%), техническую документацию и персональные данные (37%). Об утечках финансовой информации сообщили 30% респондентов.
Из других инцидентов безопасности также встречаются дискредитация компании (например, распространение негативной информации в соцсетях и пр.) со стороны сотрудников (25%), фирмы-боковики/сторонняя занятость (20%), внешние атаки через сотрудников (20%), откаты и взяточничество (19%). Реже всего компании сталкивались с промышленным шпионажем – 8%.
Среди виновников нарушений 67% московских компаний называют рядовых сотрудников, 29% - линейных руководителей. Немного реже инциденты случались по вине руководителей направлений (17%), контрагентов (12%) и топ-менеджеров (9%).
В случае инцидента информационной безопасности 90% компаний проведут закрытое расследование. 19% респондентов сообщат о ситуации пострадавшим сотрудникам, клиентам или партнерам. 26% оповестят надзорные органы.
Среди московских компаний только 1% заменили иностранные операционные системы (ОС) и базы данных (БД) на отечественные. В процессе перехода находятся 24% опрошенных. В большинстве компаний (49%) его только планируют. 26% респондентов ответили, что не планируют переходить на отечественные ОС и БД.
По оценке участников рынка, основной трудностью остаются проблемы совместимости решений с текущим софтом и оборудованием.
Предварительные результаты исследования по Москве показали, что системное ПО поддается импортозамещению сложнее всего. Дело не только в трудозатратах, но и в необходимости переобучить сотрудников, адаптировать имеющийся софт. А быстро это не сделаешь – требуется время на доработку и интеграцию ПО в крупные компании. Кроме того, у коммерческих организаций нет прямого требования о переходе на отечественные ИТ-системы, тут решение добровольное. Поэтому результаты опроса ожидаемые: большинство компаний только планируют перейти на отечественные операционные системы и базы данных, - прокомментировал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». |
54% компаний Москвы в 2023 году оставили без изменений бюджеты на информационную безопасность. 36% опрошенных сообщили, что увеличили бюджеты, лишь 10% – урезали. Чаще всего организации выделяют бюджеты на продление лицензионных ключей (68%), на закупку нового оборудования и ПО (49%) и оплату техподдержки (35%). Также 35% респондентов сообщили, что выделяют средства на импортозамещение зарубежного ПО и оборудования. Реже всего на масштабирование имеющихся средств защиты – 23%.
Также результаты опроса показали, что дефицит кадров в области информационной безопасности продолжает расти. Квалифицированных ИБ-специалистов не хватает, об этом заявили 68% московских компаний. 10% респондентов отметили, что дефицит ИБ-кадров усилился. Лишь 3% опрошенных заметили, что кадровый голод ослаб, а 4% ответили, что специалистов на рынке достаточно.
31% московских компаний решение проблемы дефицита кадров видят в профессиональной переподготовке своих сотрудников. 30% опрошенных предпочитают привлекать готовых специалистов с рынка. 20% компаний рассказали, что нанимают студентов/выпускников, а 10% используют аутсорсинг ИБ. Еще 29% респондентов отметили, что не испытывают дефицита.
Представлены ТОП-10 уязвимостей внешнего периметра российских компаний
Angara Security 14 ноября 2023 года представила ТОП-10 уязвимостей внешнего периметра российских компаний.
Самые слабые места во внешнем периметре компаний — поддержка протокола TLS версии 1.0/1.1, использование нестойких алгоритмов шифрования в SSL и истечение срока действия сертификата SSL. Эти уязвимости приводят к тому, что канал подключения к удаленному ресурсу, например, web-сайту, будет незащищен, либо современные браузеры будут оповещать пользователей, что ресурс небезопасен, что в итоге может привести к оттоку клиентов.
Также в антирейтинг вошли самоподписанные сертификаты SSL, отсутствие применения заголовка HSTS (RFC 6797), использование в SSL/TLS модуля Диффи-Хеллмана <= 1024 бит (Logjam), подпись SSL-сертификата нестойким алгоритмом хеширования.
Кроме перечисленных уязвимостей в топ-10 вошли такие параметры, как использование неподдерживаемой версии веб-сервера, поддержка слабого набора шифров RC4 и цепочка SSL-сертификатов, которая содержит ключи RSA размером менее 2048 бит.
Сотрудники службы информационной безопасности могут просто не знать о новых сервисах, развернутых ИТ-подразделением. Для этого необходимо регулярно проводить инвентаризацию внешнего периметра: ежедневно, еженедельно. Уязвимости могут стать как причиной невыстроенного процесса vulnerability management (управления уязвимостями), так и следствием исключения DevSecOps в процессе разработки цифровых сервисов, — сказал Андрей Макаренко, руководитель отдела развития бизнеса Angara Security. |
Среди рекомендаций Angara Security также отмечает использование сервисов непрерывного мониторинга защищенности внешнего периметра. С одной стороны, это позволяет выявлять в режиме реального времени атакуемые цифровые активы, с другой, верифицировать критичность киберугроз по различным показателям в автоматическом режиме.
Более 50% российских компаний учитывают ИБ-риски при принятии решений
Более половины (52%) опрошенных российских компаний принимают ключевые решения с учетом ИБ-рисков. Особенно часто на риски обращают внимание крупный и средний бизнес, в то время как госсектор менее вовлечен в вопросы их анализа и оценки. Это следует из результатов исследования риск-менеджмента ИБ в организациях, проведенного группой компаний «Солар», которая сообщила об этом 26 октября 2023 года.
В исследовании приняли участие 157 представителей российских компаний из Москвы, Санкт-Петербурга, а также ряда городов РФ с населением более 500 тыс. человек. 47% опрошенных компаний представляют сегмент среднего бизнеса (с выручкой от 800 млн до 5 млрд рублей в год), 26% – крупного (с выручкой от 5 млрд до 60 млрд рублей в год), 15% – госсектор и 12% – Enterprise (с выручкой от 60 млрд рублей в год). Среднее количество сотрудников в компаниях-респондентах составило 2570 человек.
Согласно исследованию, 60% компаний сегмента среднего бизнеса большую часть ключевых решений принимают с учетом рисков. Среди крупных компаний эта доля составляет 46%, а в госсекторе и Enterprise – по 41%. При этом в госсегменте компаний, принимающих ключевые решения без учета рисков, больше, чем в других отраслях – их доля составляет 32% от опрошенных госкомпаний. Для сравнения, в сегментах Enterprise и в среднем бизнесе таких организаций почти в два раза меньше (18%), а в крупном бизнесе их доля не превышает 17%.
Лишь в 12% опрошенных компаний риск-менеджмент находится на стадии формирования, в других он реализован и работает в той или иной степени. По уровню зрелости в вопросах оценки и анализа рисков лидирует Enterprise: в 18% компаний этого сегмента наиболее развитые и продвинутые системы риск-менеджмента, а почти в половине случаев он существенно влияет на работу организации. На втором месте по уровню зрелости находится крупный бизнес (7% от общего числа компаний данного сегмента), на третьем – госсектор (5%), на последнем – средний бизнес (3%).
Примерно в половине организаций анализ рисков происходит не реже одного раза в год, и лишь в 17% он происходит ситуативно – в случае крупных изменений, после наступления инцидентов и т.д. Средний период пересмотра модели рисков и угроз составляет полтора года.
После внедрения анализа рисков большая часть компаний (40%) отмечают сокращение количества инцидентов в ИБ, 33% – сокращение потерь от инцидентов, и еще 28% – снижение расходов на ликвидацию последствий инцидентов.
Стоит подчеркнуть, что практически все (95%) российские компании анализируют риски для значимых цифровых и бизнес-изменений. Анализ и оценка рисков ИБ являются важной и востребованной процедурой, обеспечивающей полноценное функционирование компании и ее эффективное развитие. Бизнес это понимает, однако ему еще предстоит проделать немалый путь, чтобы выйти на достаточный уровень зрелости, – сказал руководитель направления аналитики киберугроз ГК «Солар» Дарья Кошкина. |
Более 90% российских компаний внедрили или готовы внедрить решения для выявления интернет-угроз
Подавляющее большинство (92%) российских компаний открыты к работе с решениями для выявления интернет-угроз. Из них 31% уже работают с этим классом, и еще 61% планируют внедрение в течение ближайших двух лет. Таковы результаты исследования ГК «Солар», посвященного уровню знания и использования продуктов для выявления интернет-угроз на отечественном рынке. Об этом компания сообщила 20 октября 2023 года.
В опросе приняли участие 153 российских компании из Москвы, Санкт-Петербурга и других городов с населением более 500 тыс. человек. 15% опрошенных компаний являются пред-ставителями сегмента Enterprise (с выручкой более 60 млрд рублей в год), 22% — предста-вители крупного бизнеса (выручка от 5 до 60 млрд рублей в год), 29% — среднего бизнеса (выручка от 800 млн до 5 млрд) и 34% — госсектор. Среднее количество сотрудников в компаниях-респондентах составило 23 тысячи человек.
За последний год среди угроз в информационной безопасности российские компании чаще сталкивались с утечками чувствительных данных (33%), атаками на незащищенные ресур-сы, связанные с выводом новых информационных активов (26%), появлением фейковых новостей (25%) и негативных публикаций о бизнесе в открытых источниках (23%). Средний ущерб от одного такого инцидента составил порядка 2 млн рублей (без учета репутационных потерь, как правило, растянутых во времени на 3-5 лет).
При этом более половины специалистов (55%) на рынке ИБ недостаточно знакомы с сервисами для выявления интернет-угроз, следует из исследования. 11% опрошенных компаний хорошо знают этот класс решений и имеют личный опыт использования, а 43% хорошо осведомлены, но не тестировали решения на практике. При этом сотрудники среднего бизнеса несколько лучше знакомы с подобными сервисами в сравнении с крупным бизнесом.
Компании, которые уже внедрили решения для выявления интернет-угроз, чаще использу-ют их для обнаружения утечек (53%), поиска публичных ресурсов, которые неправомерно используют бренд компании (47%), мониторинга негатива в медиа (45%) и обнаружения новых или некорректно выведенных из эксплуатации информационных активов инфраструк-туры (43%).
Наш сервис мониторинга внешних цифровых угроз Solar AURA выявил, что с начала года в открытый доступ попало 92 ТБ конфиденциальных данных 200 российских организаций. Злоумышленники постоянно совершенствуют инструменты для атак на бизнес и госструктуры, поэтому важно обращать внимание не только на защиту непосредственно периметра компании, но и на внешний киберландшафт, своевременно выявлять и блокировать интернет-угрозы. С этой целью мы реализуем для наших заказчиков комплексный мониторинг как открытых, так и теневых внешних источников, а также предлагаем оперативное реагирование на фишинг (блокировка найденного вредоносного сайта занимает от 1 часа), и проводим аналитические расследования, — отметил директор центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Игорь Сергиенко. |
Анализ защищенности и сетевая безопасность лидируют среди самых востребованных услуг ИБ в финансовом и страховом секторе
Эксперты Angara Security по итогам анализа более 450 конкурсных процедур и реализованных проектов в банковской сфере за 2022-2023 гг. определили пять ключевых направлений в сфере ИБ, которые актуальны для банков, финансовых организаций и страховых компаний. Об этом Angara Security сообщила 18 октября 2023 года.
Лидером в рейтинге самых востребованных сервисов (более 21%) стали услуги консалтинга и аудита информационной инфраструктуры, которые включают комплаенс, формирование политик ИБ в соответствии с требованиями регуляторов рынка, категорирование объектов КИИ, а также поиск оптимальных моделей формирования контура ИБ с учетом имеющегося на рынке оборудования и ПО.
На втором месте (более 20%) - услуги анализа защищенности информационной инфраструктуры. К ним относятся услуги по поиску уязвимостей веб-приложений, пользовательских интерфейсов, ИТ-систем организаций, управляющих массивами персональных данных, технологическими процессами, а также выявление уязвимостей иностранного ПО и оборудования, которые остались без поддержки после ухода вендоров. При этом спрос на эти услуги вырос с 14% в 2022 году до 20% в 2023 году.
На третьем месте (более 15%) - защита периметра и сетевая безопасность. Именно здесь наиболее серьезно сказывается нехватка решений по импортозамещению, готовых к внедрению, например, SIEM и NGFW, программно-управляемых сетевых инфраструктур и решений по управлению доменной инфраструктурой, решений для контроля сетевого доступа, брокеров безопасного облачного доступа и автоматизации аудита межсетевого экранирования.
На четвертом месте - услуги SOC-центров, а также мониторинг событий и реагирование (более 7%). В отличие от крупных банков, которые на своей инфраструктуре разворачивают собственные SOC-центры, для большинства организаций среднего звена проекты такого уровня инхаус недоступны только на базе собственных ресурсов. При этом подобные организации (например, региональные дочерние организации крупных финансовых и страховых институтов) рассматриваются как "точка входа" для кибератак на инфраструктуру банков федерального масштаба из-за более низкого уровня ИБ зависимых организаций и их подрядчиков, нехватки финансирования и специалистов, в том числе в сфере киберкриминалистики. На пятом месте (7%) – сервисы для защиты от целевых и DDoS-атак.
При миграции с иностранных решений сервисы заказчики от российских решений аналогичной функциональности и надежности. Однако копирования функциональности ИБ-продуктов уже явно недостаточно. В разработке и развитии российских решений нужно делать акцент на создании и внедрении в продукты прорывных технологий, что критически важно для долгосрочного развития рынка, - отмечают эксперты Angara Security. |
Компания также отмечает среди перспективных направлений решения на базе ИИ, широкое применение DevSecOps в финтехе, Threat Intelligence, киберкриминалистики, сервисов для управления уязвимостями, практик защиты бренда для массовых финансовых сервисов.
Дефицит кадров и финансирования – основные проблемы в формировании ИБ-инфраструктуры госорганизаций
С начала 2022 года региональные и федеральные органы власти сталкиваются с кибератаками на ИТ-инфраструктуру ведомств — об этом сообщили 73% респондентов совместного исследования Центра подготовки руководителей и команд цифровой трансформации ВШГУ РАНХиГС и компании Angara Security. В опросе приняли участие более 100 представителей российских федеральных и региональных ведомств — руководители ИТ- и ИБ-подразделений, направлений по цифровой трансформации и специалисты соответствующих направлений. Об этом 28 сентября 2023 года сообщила Angara Security.
Кибератаки на ИТ-инфраструктуру носят комбинированный характер и базируются на таких инструментах, как вредоносное программное обеспечение, фишинговые атаки и DDoS-атаки на внешние сервисы (сайты, сервера, сетевое оборудование). Каждый из таких типов атак встречается в 40% инцидентов, связанных с атаками на инфраструктуру. В меньшей степени фиксируются прямые атаки на пользователей с применением методов социальной инженерии.
Интенсивное развитие хакерских технологий требует реакции на разных уровнях — от реагирования на инциденты до системного мониторинга и аудита безопасности, развития цифровой культуры сотрудников организации, включая проведение регулярных тренингов как о базовых принципах безопасности в цифровом мире, так и о тенденциях развития информационных технологий и ИБ. При этом цифровая культура сотрудников должна быть встроена в корпоративную культуру организации и рассматриваться как приоритет для обеспечения безопасности информации и данных, — отметила Наталья Гаркуша, директор Центра подготовки руководителей и команд цифровой трансформации ВШГУ РАНХиГС. |
В большинстве случаев кибератаки нацелены как на сотрудников, так и на сетевую защиту внешнего периметра организаций. Киберпреступники чаще всего используют наиболее простые в реализации и невысокие по стоимости инструменты, при этом человек остается самым уязвимым звеном в цепочке. Поэтому на базовом уровне важно выстроить системный мониторинг защиты внешнего периметра и регулярно повышать киберграмотность и уровень осведомленности сотрудников, не связанных с обеспечением информационной безопасности и деятельностью ИТ-инфраструктуры, — отметили в пресс-службе Angara Security. |
Эксперты Angara Security отмечают, что для защиты от вредоносного ПО уже недостаточно только антивирусного ПО, необходимы более современные методы выявления угроз, например «песочницы», которые позволяют запустить любой файл от неизвестного источника в безопасной изолированной среде и обнаружить вредоносное ПО, которое может быть пропущено антивирусом. Кроме того, антивирусное ПО в меньшей степени эффективно при использовании фишинговых атак, ведущих пользователей на web-ресурсы.
Руководители и специалисты по информационной безопасности также выделили ряд проблем, с которыми сталкиваются в рамках защиты организаций от кибератак. Большинство респондентов отметили сложности с дефицитом кадров в сфере ИТ и ИБ (68%) и нехватку финансирования для закупки необходимого ПО и оборудования (64%).
У 23% организаций нет ресурсов для обработки информации, поступающей со средств защиты информации, у 18% не хватает экспертизы для настройки ИБ-системы до целевого уровня.
59% начальников ИБ-отделов стали положительно относиться к «удаленке»
59% начальников ИБ-отделов стали положительно относиться к «удаленке». Об этом 20 сентября 2023 года сообщила компания «СёрчИнформ».
В опросе приняли участие более 330 руководителей служб информационной безопасности из российских компаний кредитно-финансовой, промышленной, нефтегазовой, транспортной, строительной и других отраслей.
Вместе с тем, руководители служб ИБ по-прежнему считают, что некоторых специалистов не стоит отпускать на дистанционную работу. Так, 32% респондентов не готовы позволять работать из дома сотрудникам, имеющим доступы к критичным данным, а 9% – регулярным нарушителям политик безопасности.
Интересно, что результаты исследования «СёрчИнформ», которое было проведено после начала локдауна, в апреле 2020 года, показали зеркальное изменение отношения ИБ-директоров к удаленному формату работы. Тогда 61% руководителей российских компаний считали «удаленку» небезопасной с точки зрения ИБ. А по итогам первого пандемийного года 90% опрошенных отметили, что на «удаленке» ИТ-инфраструктура их организаций стала уязвимее.
Позитивное отношение к удаленному формату работы отражает тенденцию последних трех лет: бизнес-процессы нормализовались, компании адаптировались к контролю за сотрудниками вне офиса и обеспечению безопасности. При том, что в 2020 году лишь 23% компаний никак не контролировали сотрудников на «удаленке». Специалисты по ИБ имеют опыт организации защиты при различных форматах работы сотрудников, знают, как на практике перестроить ИТ-инфраструктуру. Компании стали более эффективно использовать имеющиеся ИБ-средства, в частности DLP-системы, тем самым снижая риски утечек данных, - сказал руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. |
71% российских компаний столкнулись с кибератаками на свои веб-ресурсы в первом полугодии
По данным опроса, проведенного Крок Облачные сервисы и разработчиком решения по защите веб-приложений SolidWall, в первом полугодии 2023 года 71% российских компаний столкнулись с кибератаками на свои веб-ресурсы. Большинство из них пострадали одновременно от нескольких типов комбинированных атак. При этом 37% опрошенных признались, что до сих пор никак не защищают свои веб-ресурсы. Об этом 15 сентября 2023 года сообщил Крок.
Согласно результатам опроса самыми распространенными стали DDoS-атаки: им подверглись 64% респондентов. Этот простой вид атак представляет собой массовую генерацию однотипных запросов к ресурсам, часто с использованием ботнетов либо уязвимостей перенаправления на сторонних сайтах. Пока массированные DDoS-атаки отвлекают внимание специалистов по безопасности, злоумышленники часто запускают перебор паролей, что является частью уже таргетированной атаки. С таким типом атак столкнулись 57% респондентов.
На 28% выросло число атак, эксплуатирующих различные уязвимости ПО. Они также часто идут в связке с DDoS. В 2022 году подобные атаки упоминали 15% компаний, а за первое полугодие 2023 года от них пострадали уже 43%. В основном для их проведения используются известные уязвимости в Open source компонентах или популярных фреймворках и CMS. Это связано с тем, что на сентябрь 2023 года у злоумышленников появилось множество инструментов для их массового поиска в Интернете. Также довольно часто компании сталкиваются с вирусами-шифровальщиками (18%).
Отдельно наблюдается тенденция роста атак на мобильные приложения. При этом уровень их защищенности не растет. Отчасти это связано с не самыми эффективными методами разработки и тестирования, а частично с невысоким уровнем грамотности пользователей. Нередко это открывает преступнику доступ к данным и устройствам самого пользователя. При этом, некоторые год потенциальные уязвимости компании сознательно не устраняют в угоду удобства использования приложения, например: отсутствие двухфакторной аутентификации, требований к сложности пароля и т.д. Подобная ситуация будет сохраняться, так как мобильные приложения все больше вливаются в жизнь обычных людей, а скорость внедрения методов защищенной разработки не успевает за потребностями бизнеса. Последнее усугубляется общей нехваткой специалистов.
Главным трендом, связанным с угрозами для веб-ресурсов, становится рост возможностей и упрощение реализации атак. Это объясняется тем, что более широкому кругу киберпреступников становятся доступны специфические инструменты и знания для поиска, эксплуатации уязвимостей, а также использования полученных результатов, - отметил директор по развитию бизнеса компании SolidSoft Вячеслав Железняков. |
В ходе опроса выяснилось, что у 37% компаний веб-ресурсы вообще не защищены. Самыми же популярными средствами защиты стали Anti-DDoS (63%), WAF (42%), Antibot (32%). Основными барьерами для развертывания собственных инструментов защиты, помимо недооценки рисков, являются их дороговизна, продолжительные сроки доставки, подключения и настройки, отсутствие нужных компетенций. Все эти факторы повлияли на быстрый рост спроса на облачные инструменты защиты. Количество таких запросов к Облаку КРОК возросло в 2 раза за последние полгода. Наиболее эффективной для отражения атак показала себя защита в три эшелона: Anti-DDoS, Antibot и WAF. Они помогают нейтрализовать DDoS-атаки, фильтровать запросы бот-сетей, защищать веб-ресурсы от кибератак в режиме реального времени.
Защита веб-ресурсов компании – необходимость для ведения успешного бизнеса. Рост спроса на предоставление средств защиты из облака стал логичным ответом рынка на умножающиеся угрозы и отсутствие возможности у компаний обеспечить безопасность своими силами. Во-первых, предоставление средств защиты из облака позволяет существенно сократить затраты на их развертывание и поддержку, при этом обеспечивая высокую скорость внедрения. Во-вторых, облачная защита позволяет гарантировать непрерывные обновления и мониторинг, освобождая компанию от необходимости тратить ресурсы на самостоятельное обслуживание и обновление инфраструктуры, – отметил директор бизнес-юнита КРОК Облачные сервисы Сергей Зинкевич. |
67% компаний избегают публичных высказываний о произошедших инцидентах с утечкой данных
Эксперты «СёрчИнформ» проанализировали ситуацию с утечками информации в отечественных компаниях за первое полугодие 2023. В частности, исследовали, как компании реагируют на утечки и сколько организаций уведомляет Роскомнадзор об инциденте. Об этом компания «СёрчИнформ» сообщила 7 августа 2023 года.
По подсчетам компании «СёрчИнформ» на конец июня произошло 103 утечки. Чаще всего инциденты с конфиденциальными данными происходят в компаниях ритейла – более четверти от всех случаев. Каждый 12-й инцидент приходится на финансовые и ИТ-компании (в том числе те, что обслуживают государственных и около государственных заказчиков). Остальные утечки были выявлены в организациях сферы образования, общественного питания, промышленности, строительства, здравоохранения и других отраслей, чьи инциденты по количеству не превысили 2%. Вместе с персональными данными утекали исходные коды проектов, внутренняя документация, техническая информация, медицинские сведения, корпоративные адреса электронной почты и т.п. 88% утечек происходит в коммерческих организациях, 11% – в государственных, 1% – в НКО.
Подавляющее большинство организаций предпочитают воздержаться от комментариев в СМИ или публичных извинений на своем сайте или в блогах – это 67%. Полностью избежать комментариев чаще получается у малых компаний, чье имя еще не стало «брендом». Прямо подтвердить утечку в СМИ решила каждая 11 компания. Еще 7% компаний подтвердили утечку, но с оговорками о том, что утечка старая, была вызвана сторонним сервисом или содержала некритичные данные. Полностью отрицали утечку 5%, а 2% не смотря на отрицательный ответ СМИ, передали информацию об инциденте в Роскомнадзор.
После инцидентов организации восстанавливают работу сервисов, проводят проверку всех систем безопасности, при необходимости сбрасывают все пароли в системе, меняют ключи от серверов и сервисов, которые могли быть скомпрометированы, расследуют утечку и отправляют данные в Роскомнадзор. Публично о проверке компаний Роскомнадзор заявлял 23 раза, из них как минимум 5 организаций не уведомили ведомство об инциденте. За свежие утечки в первом полугодии были оштрафованы 3 компании. Все штрафы не вышли за пределы 60 тыс рублей – это самая нижняя планка, от которой начинается наказание за утечку ПДн.
На ситуацию с утечками сильно повлиял мораторий на проверки предприятий и предпринимателей. Компании, в которых хранятся огромные массивы клиентских данных: сфера услуг, локальный ритейл, микрофинансовые организации – это малый и средний бизнес. До них «руки» Роскомнадзора и раньше не всегда доходили, а с учетом запрета, за эти полгода и вовсе не было полномочий проверять компании. В вопросе количества штрафов и их суммы я согласна с мнением депутата Александра Хинштейна. Штрафов и не должно быть много, они не источник наполнения бюджета, а превентивная мера и мотивация для руководителя компании задуматься о защите данных. Уже известен размер оборотных штрафов, их верхний предел составит 500 млн рублей. Сумма значительная, но это не единственная выплата, которая может грозить компаниям. После масштабной утечки в «Яндекс.Еда» начала развиваться судебная практика – некоторые пользователи подают исковые заявления в суд. Таких прецендентов пока не много, так как размеры компенсаций невысокие, есть сложности с оценкой «доказательств из интернета», но эту тенденцию нельзя сбрасывать со счетов. Даже компенсация в размере 5000 рублей при утечке более 100 тыс строк и оплата потенциального штрафа могут равняться сумме, которая вполне сопоставима с бюджетом на покупку защитных решений, а у кого-то и превышает его, – поделилась Ольга Минаева, GR-директор «СёрчИнформ». |
Громких инцидентов с исковыми заявлениями против операторов персональных данных в первом полугодии 2023 не было – ни одна компания не получила иск от клиентов, чьи данные были скомпрометированы.
Многие российские компании не обладают профессиональной защитой от DDoS-атак на уровне L7
Компания StormWall провела аналитическое исследование по наличию профессиональной защиты от DDoS-атак среди 100 крупнейших по выручке российских компаний, о чем сообщила 4 июля 2023 года. По данным экспертов, все ведущие компании используют внешние решения для защиты от атак на уровне L3-L4 (уровень сети), однако ситуация с защитой на других уровнях вызывает опасения. Эксперты выявили, что 30% компаний из списка ТОП-100 не имеют никакой профессиональной защиты от атак на уровне L7 (уровень приложений). В этом случае, компании либо совсем никак не защищены, либо пытаются бороться с атаками самостоятельно, что не всегда эффективно. Подробнее здесь.
Более 60% руководителей подразделений ИБ уже определили недопустимые для своих организаций события или планируют сделать это
Компания Positive Technologies 31 мая 2023 года представила результаты опроса, в котором выяснила, что отечественные компании и организации активно внедряют концепцию результативной кибербезопасности. Согласно исследованию, 71% респондентов знаком с данной концепцией, а более 60% опрошенных специалистов и руководителей уже определили недопустимые для своих организаций события или планируют сделать это в ближайшее время. Двадцать процентов всех опрошенных сообщили, что в их организациях проводились киберучения или были запущены программы багбаунти. Уровень осознания концепции результативной безопасности в сообществе растет, а на рынке увеличивается запрос на измеримую кибербезопасность с гарантированным результатом.
Проведенный опрос выявил, что часть организаций совершенствует внутренние процессы в соответствии с новым подходом: 27% всех опрошенных сообщили, что в их компаниях уже составлен перечень недопустимых для них событий, а еще 34% планируют это сделать. В 22% случаев респонденты ответили, что их организации смогли выстроить ряд необходимых для поддержания киберустойчивости процессов, включая такие, как мониторинг и противодействие киберугрозам.
Каждый пятый респондент отметил, что их компании внедрили практику проведения киберучений или даже запустили программу поиска уязвимостей за вознаграждение — багбаунти, — отметила Екатерина Семыкина, аналитик исследовательской группы Positive Technologies. — Ранее считалось, что запуск таких программ был интересен в первую очередь высокотехнологичным компаниям. Мы видим, как этот тренд охватывает и такие сегменты, как сфера услуг, ритейл, государственные и финансовые учреждения, страхование, транспорт и другие. В ближайшие годы мы прогнозируем развитие программ нового типа, нацеленных не только на поиск уязвимостей, но и на демонстрацию реализации недопустимого для организации события. Компании уже проявляют заинтересованность в таком подходе и ждут первых успешных примеров его реализации. |
В исследовании Positive Technologies отмечается, что роль кибербезопасности в устойчивости бизнеса и государства становится все более значимой, а потребность в результативной безопасности оказывается одной из ключевых идей в достижении высокого уровня защищенности. Эксперты при этом подчеркивают, что изменения заметны и на уровне регуляторов: Указ Президента РФ от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» вынудил многие российские компании пересмотреть подход к обеспечению своей защиты, а также обозначил, что ответственность за кибербезопасность теперь лежит на руководящем звене и первых лицах компании. Ощутимый вклад в этом направлении внес Федеральный закон № 152-ФЗ, который обязывает компании в течение суток уведомлять ФСБ и Роскомнадзор о произошедших утечках персональных данных, а также эксперимент Минцифры, описанный в Постановлении правительства РФ № 860 и направленный на оценку подхода результативной безопасности.
На достижение цели киберпреступникам нужно в среднем 7 дней
На достижение цели киберпреступникам нужно в среднем 7 дней. Такие выводы следуют из отчета, подготовленного центром расследования инцидентов Solar JSOC CERT компании «РТК-Солар», котораяи сообщила об этом 14 апреля 2023 года.
Этот тренд эксперты связывают с ростом количества атак по политическим мотивам, а также их усложнением. Менее профессиональные хакеры объединяются под началом злоумышленников с высокой квалификацией, а различные инструменты для реализации атак (ВПО, эксплойты и т.п.) все чаще бесплатно распространяются на форумах в даркнете или даже в ТГ-каналах. При этом киберзащита многих организаций все еще остается недостаточно высокой.
Аналитика составлена на основе расследований, проведенных с марта 2022 по март 2023 года. Всего было разобрано 40 успешных атак, связанных с проникновением в ИТ-инфраструктуру российских организаций, представляющих госсектор, промышленность, энергетику, ритейл, телеком, СМИ, финансы.
Расследования показали, что киберпреступники преследуют 3 основных цели: шифрование данных для получения выкупа, кибершпионаж и хактивизм. Последний стал основным трендом 2022 года – количество подобных кейсов выросло в 5 раз. Для наибольшего резонанса хактивисты выбирали в качестве жертв известные широкой общественности организации из госсектора, СМИ, финансов, телекома и других отраслей.
Для проникновения в инфраструктуру жертвы в 54% кейсов использовались уязвимости в сервисах, доступных из интернета. Самый распространенный пример – это ProxyLogon (критическая уязвимость 2021 года в Microsoft Exchange Server). Несмотря на распространение этого почтового сервиса, многие компании не спешат исправлять недостаток. В итоге злоумышленники могут не только быстро получить доступ к переписке сотрудников, но и, проникнув в ИТ-инфраструктуру, развить атаку уже в локальной сети. Также в расследованиях Solar JSOC CERT встречались взломы таких сервисов, как Apache, Oracle WebLogic Server, Bitrix. Как правило, эту технику использовали хактивисты и хакеры, шифрующие инфраструктуру.
Профессиональные APT-группировки применяли более разнообразные способы получения первичного доступа. В отчетном периоде впервые атаки через подрядчиков использовались чаще, чем заражение через классический фишинг. На фоне возрастающей угрозы крупные компании усилили киберзащиту, в том числе и от рассылки вредоносов через почту, поэтому профессиональным злоумышленникам пришлось искать точки входа в подрядных организациях. Последние обычно хуже защищены, и через них можно попасть в инфраструктуру основой жертвы.
Мы увидели немало тревожных трендов. Во-первых, внимание киберпреступников теперь привлекает вся российская ИТ-инфраструктура, а не отдельные ее сегменты, как раньше. Мы видим, как выросла активность прогосударственных APT-группировок. Их интересы уже давно не ограничиваются федеральными и региональными органами власти. Мы встречаем их в инфраструктурах энергетических компаний и даже СМИ. Нельзя забывать про ускорение развития атак и повышение квалификации хакеров. Все чаще профессиональные злоумышленники объединяют под своим началом хактивистов. Последние учатся не просто организовывать DDoS или дефейс, а нацелены уже на продолжительное присутствие в ИТ-инфраструктуре и даже получение доступов через связанные между собой организации. Все это говорит о том, что защита от кибератак становится приоритетом для всех сфер и отраслей, – сказал руководитель центра расследования киберинцидентов Solar JSOC CERT компании "РТК-Солар" Игорь Залевский. |
За год компании укрепили внешний периметр, но забыли про внутренние сети
За год на фоне многочисленных кибератак российские компании укрепили защиту ИТ-периметров, но они по-прежнему недооценивают угрозу внутреннего нарушителя. Это следует из результатов пентестов, проведенных экспертами «РТК-Солар» с марта 2022 по март 2023 года. Так треть (35%) компаний выдержали испытание внешним пентестом (годом ранее этот показатель составлял только 24%). В то же время цели внутри ИТ-периметров были достигнуты в 100% случаев (год назад - только в 63%). Об этом компания сообщила 3 апреля 2023 года.
Всего за отчетный период эксперты отдела анализа защищенности центра противодействия кибератакам Solar JSOC компании «РТК-Солар» реализовали около 80 проектов в разных отраслях, включая госсектор, телеком, энергетику, ИТ, ритейл. Полученные результаты позволяют предположить, что компании действительно озаботились реальной безопасностью своей ИТ-инфраструктуры и закрыли часть слабых мест. Стимулом для этого стали постоянные атаки после начала СВО, активная эксплуатация злоумышленниками различных уязвимостей и отчеты ИБ-специалистов о текущих угрозах. В частности, это касается корпоративных веб-приложений, которые всегда были и остаются самым слабым звеном внешнего периметра. Если в начале 2022 года низкий уровень их защищенности отмечался в 53% проектов, то теперь этот показатель составляет 20%.
Однако количество успешных внутренних пентестов значительно выросло. При этом более 90% исследованных инфраструктур были отмечены низким уровнем защищенности. Значит, организации не уделяют должного внимания защите внутреннего периметра, даже несмотря на постоянные кибератаки.
Последний год сильно повлиял на подход компаний к собственной кибербезопасности. Слабые места на внешних периметрах, которые образовались за 2 года пандемии и удаленки, пришлось спешно закрывать, ведь многие уязвимости легко находились и эксплуатировались даже хакерами со средней квалификацией. Между тем внутренние сети по-прежнему демонстрируют крайне низкий уровень защищенности. Причем большинство векторов, которые успешно реализовали наши специалисты, включают эксплуатацию известных уязвимостей, которые позволяют получить полный контроль над доменом и при этом не требуют сложных инструментов и кастомизированного набора эксплойтов, - отметил руководитель отдела анализа защищенности компании «РТК-Солар» Александр Колесов. |
Самые распространенные уязвимости внешних периметров связаны со слабыми [пароли|паролями]] от учетных записей, недостатками контроля доступа, использованием уязвимостей в известном ПО (например, Bitrix) и возможностью внедрения SQL-кода.
Слабые и повторяющиеся пароли также являются ключевой проблемой внутренних сетей. В одной из организаций эта уязвимость позволила реализовать атаку Password Spraying (направлена на подбор учетных данных) и скомпрометировать более 180 доменных учетных записей.
Проблемой абсолютного большинства (более 80%) веб-приложений является некорректная настройка доступа, а самый частый пример – небезопасные прямые ссылки на объекты. Благодаря этой уязвимости злоумышленник может без разрешения администратора получить доступ к объекту (пользователю, счету в личном кабинете и т.п.) и выполнять с ним различные манипуляции. А в 62% приложений раскрывались данные об их структуре, компонентах и особенностях работы. При этом в большинстве кейсов уязвимая функциональность доступна любому внешнему пользователю, даже если у него нет каких-либо привилегий в приложении.
Свыше 60% компаний сталкиваются с угрозами привилегированного доступа ежемесячно
Компания «Ростелеком-Солар» 20 марта 2023 года опубликовала результаты исследования «Угрозы привилегированного доступа в российских организациях». С угрозами со стороны привилегированных пользователей 1 раз в месяц или чаще сталкивается свыше 60% российских компаний. Наиболее распространенный вид угроз – это скачивание запрещенного контента: с ним раз в месяц и чаще имеют дело 13% крупных и небольших компаний, а также 11% госструктур. Кроме того, организациям серьезно угрожает обход привилегированными пользователями политик безопасности в личных целях: от этого ежемесячно и чаще страдает 19% крупных компаний, 18% небольших организаций и 21% госструктур.
Свыше 50% респондентов опасаются роста числа обезличенных и неуправляемых учетных записей в организации и отсутствия видимости всех привилегированных пользователей. Именно эти факторы, по мнению большинства крупных компаний, больше всего мешают организациям в защите от угроз привилегированного доступа.
Причем большинство проблем такого доступа организации связывают именно с удаленными, а не с офисными сотрудниками. В дистанционном формате в 80% случаев сложнее установить, произошла ли компрометация учетных данных удаленного привилегированного пользователя. В этой категории 80% пользователей работают на своих личных устройствах, и у 80% из них возникают проблемы с аутентификацией в корпоративной сети (с паролями, «двухфакторкой» и проч.)
Более половины российских компаний основной задачей в области снижения угроз привилегированного доступа видят реализацию полной подконтрольности действий внешних поставщиков, контрагентов и подрядчиков в информационных системах компании. При этом эксперты рынка информационной безопасности отмечают, что на март 2023 года чуть ли не половина всех утечек данных из отечественных организаций происходит через контрагентов.
В то же время лишь 10% компаний используют для решения проблем с привилегированным доступом соответствующие специализированные системы. 30% применяют какие-то другие нецелевые системы, 41% компаний управляет доступом привилегированных пользователей вручную (соответственно, серьезно возрастают угрозы, связанные с человеческим фактором). А еще 19% организаций приняли эти риски и не управляют доступом привилегированных пользователей вообще.
Часть опрошенных нами респондентов с сожалением отметили, что пока руководству российских компаний не хватает понимания важности снижения рисков привилегированного доступа. Другие посетовали на нехватку бюджетов на информационную безопасность в целом и управление доступом в частности. Между тем более половины всех нарушений прав доступа приводят к утечкам конфиденциальной информации, наказание за которые руководство страны стремится ужесточить. А украденные привилегированные учетные записи используются при проведении подавляющего большинства кибератак, – подчеркнул директор центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар» Дмитрий Бондарь. |
Для целей исследования были опрошены свыше 100 российских компаний в сегментах B2G, B2E, B2B и SMB. Компании представлены регионами Москва, Санкт-Петербург, а также городами с населением свыше 1 млн жителей. Свыше 60% организаций относятся к коммерческому сектору, 20% респондентов составили компании с госучастием, остальные – госорганы. В опросе приняли участие специалисты по ИБ/ИТ, ИТ/ИБ-директора, руководители отделов, операционные директора и владельцы бизнеса.
75% компаний не выполняют требования закона о персональных данных
1 марта 2023 года компания К2 Интеграция сообщила о проведении опроса среди предприятий на тему реализации требований федерального закона «О персональных данных». Оказалось, что 75% компаний еще не выполнили положения закона, начавшие действовать в сентябре 2022 года. А к соблюдению второй части поправок, вступающей в силу 1 марта 2023 года, полностью не готов практически никто. В опросе приняли участие более 100 представителей бизнеса из разных отраслей экономики.
С 1 сентября 2022 года вступила в силу первая часть требований Федерального закона от 14.07.2022 № 266-ФЗ. Он направлен на то, чтобы повысить ответственность операторов персональных данных, сделать их деятельность более прозрачной и защитить личные данные российских граждан. В частности, закон обязывает компании и ИП в течение 24 часов уведомлять Роскомнадзор об инцидентах связанных с утечками персональных данных, а затем в течение 72 часов сообщать информацию о результатах внутреннего расследования по факту такого инцидента.
Вступление в силу второй части поправок к закону «О персональных данных» с 1 марта 2023 года предполагает дальнейшее усиление мер по контролю за процессами обработки персональных данных (ПДн). Например, в мартовском пакете изменений самое большое внимание уделено трансграничной передаче ПДн: введено требование по уведомлению Роскомнадзора о трансграничной передаче персональных данных, определены сроки и порядок их рассмотрения, установлены случаи ограничения и запрета на трансграничную передачу ПДн. Кроме того, введены степени вреда, который может быть причинен субъекту персональных данных, определен порядок проведения его оценки и документирования результатов, а также установлены требования к подтверждению факта уничтожения ПДн.
Согласно результатам опроса компании К2 Интеграция, к выполнению мартовских требований в разной степени готовности находится треть опрошенных (31%), при этом только 3% — готовы полностью, а 66% — еще не приступали к этому процессу.
Немалая часть тех, кто стремится выполнять все требования закона ФЗ-266, испытывает трудности с его применением. Так больше всего сложностей у опрошенных компаний вызывает выполнение требований по уведомлению об инцидентах в области персональных данных: с ними сталкиваются 56% респондентов. Почти столько же – 53%, – пока не разобрались в нюансах оценки вреда субъектам; 47% самым трудным считают внесение изменений в локальные нормативные акты в области ПДн, отвечающие за систему обработки персональных данных внутри организации, а 41% — выполнение требований по уничтожению ПДн .
За 2022 год по данным Роскомнадзора в России произошло более 150 утечек данных, по информации других источников, их было еще больше. Такой рост числа утечек в определенной мере объясняет ужесточение требований к обработке инцидентов в области персональных данных, — сказал руководитель направления консалтинга ИБ компании К2 Интеграция Анастасия Федорова. – При этом с сентября 2022 года в Роскомнадзор уже было подано около 100 уведомлений об утечках. |
2022
Подавляющее большинство компаний уделяют внимание повышению ИБ-грамотности сотрудников
20 февраля 2023 года компания «СёрчИнформ» сообщила о том, что выяснила, в каких компаниях активнее обучают сотрудников правилам информационной безопасности.
По информации компании, эксперты «СёрчИнформ» проанализировали ситуацию с уровнем информационной безопасности (ИБ) в отечественных компаниях. В частности, исследовали, как организации решают вопрос обучения сотрудников основам ИБ – созданию сложных паролей, распознаванию фишинга, телефонного мошенничества и пр. Это важно для профилактики внутренних нарушений и внешних атак, где входной точкой выступает сотрудник (такие фиксируют 11% организаций).
Подавляющее большинство (78%) компаний уделяют внимание повышению ИБ-грамотности сотрудников. Из них 59% составляют письменные регламенты, которые сотрудники должны изучить самостоятельно – это самая популярная форма обучения.
На февраль 2023 года это самый распространенный подход, потому что самый простой – достаточно один раз сформулировать правила работы с данными. Но такие регламенты мало кто читает. Это как инструктаж по пожарной безопасности. Ознакомлять с ними «под подпись» бесполезно – люди распишутся «для галочки» или прочитают «по диагонали», потому что не верят в реальность риска или не понимают, почему это их касается и важно в работе. Необходимо как минимум проверять, насколько усвоена информация, а лучше – показывать ее пользу на практике. Это требует времени и сил, которые у ИБ-отделов ограничены, а руководство не всегда готово
отрывать сотрудников от работы ради непрофильного обучения. Повышать защищенность компаний и снижать риски атак и утечек необходимо – потому что негативные последствия инцидентов ИБ скажутся на всем бизнесе, включая сотрудников. рассказал Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ» |
Понимая, что только инструкций недостаточно, часть организаций комбинирует подходы к обучению. Так, 51% рассылают сотрудникам письма с предупреждениями об угрозах, 12% – проводят вебинары с демонстрацией ИБ-проблем и способов их избежать, а 16% – устраивают полномасштабные киберучения. Часть респондентов обращаются к услугам профильных организаций: 27% пользуются бесплатными обучающими программами от ИБ-экспертов, 17% готовы заплатить за такие курсы для сотрудников.
Примечательно, что активнее вопросами повышения ИБ-грамотности персонала заняты в госсекторе: 82% государственных организаций проводят обучение для персонала, тогда как в бизнесе – 77%. Также в госсекторе охотнее заказывают платное обучение у поставщиков (22% против 15% в частном секторе), но заметно реже организуют киберучения (10% против 19% в бизнесе).
В разрезе отраслей лучше всего ситуация с ИБ-грамотностью кадров выглядит в ритейле и здравоохранении – регулярное обучение там проводят 80% организаций, это больше, чем, например, в промышленности. Однако в медицине это ограничивается предоставлением сотрудникам регламентов по ИБ для самостоятельного изучения (70%), а в ритейле только в 5% случаев прибегают к курсам внешних ИБ-экспертов. Практикоориентированные методы обучения чаще всего используют в компаниях нефтегазового сектора: 21% организует киберучения, 13% проводит вебинары-демонстрации.
Наглядность в обучении таким абстрактным с виду вещам, как киберграмотность –залог успеха. Чтобы условный менеджер понял, почему важно иметь разные пароли для личных и рабочих аккаунтов, научился распознавать интернет-мошенничество и следил, чтобы доступ к его рабочим документам не получили посторонние, нужно показать ему на живых примерах, чем оборачивается несоблюдение правил. Важно, чтобы примеры были максимально приближены к его сфере деятельности и привычкам. Затем нужно сделать «срез», как сотрудники усвоили информацию. Один из самых действенных способов – киберучения. Это возможность ИБ-специалистам оценить бдительность сотрудников, а сотрудникам – почувствовать угрозу на себе. порекомендовал Алексей Дрозд |
Исследование «СёрчИнформ» проходило с сентября по ноябрь 2022 года в 25 городах. В нем приняли участие более 1100 респондентов – специалистов и руководителей по ИТ и ИБ из государственных, коммерческих и некоммерческих организаций во всех сферах экономики.
77% организаций в России недостаточно защищены от взлома
Группа анализа защищенности компании Innostage провела тестирование на проникновение (пентест) в российских компаниях и 28 декабря 2022 года поделилась промежуточными итогами. Целью пентеста являлось получение максимально возможных привилегий или выполнение нелегитимного действия по отношению к ИТ-инфраструктуре организации.
В 77% организаций специалистам удалось получить административный доступ к критичным объектам или чувствительной информации, находясь за пределами внешнего периметра.
В рамках внутренних пентестов (изнутри ИТ-инфраструктуры) удалось скомпрометировать доменную инфраструктуру 91% организаций-участников. Рекордная по скорости компрометация заняла всего 3 часа.
В процессе проведения фишинговых рассылок у каждой второй компании более 10% сотрудников отреагировали на письмо и выполнили соответствующие действия: выслали ответное письмо с запрашиваемой информацией, запустили вредоносное ПО, ввели учетные данные. В одной из компаний этот показатель обратной связи достиг 34%, что явно говорит о недостатке осведомленности сотрудников об атаках с применением социальной инженерии.
«Полученные нами результаты говорят, что в 61,5% организаций уровень защищенности недостаточный для противодействия внешнему нарушителю и в 91% – недостаточный для защиты от внутреннего нарушителя», ― рассказал Александр Борисов, руководитель направления анализа защищенности Innostage. |
Аналитики Innostage отмечают, что основными уязвимостями, используемыми при преодолении сетевого периметра, являются уязвимости веб-приложений и использование слабых паролей для внешних сетевых сервисов.
Использование предсказуемых паролей пользователями не только дает возможность внешнему удаленному злоумышленнику преодолеть сетевой периметр организации, но и делает уязвимой внутреннюю ИТ-инфраструктуру. Зачастую парольная политика в компаниях существует только на бумаге. Дополнительные средства, которые могли бы контролировать ее исполнение, организации не применяли. Используемые компаниями стандартные средства контроля не могли обеспечить достойное соблюдение требований к длине или сложности пароля. В сервисах, не поддерживающих централизованное управление парольной политикой, контроль учетных данных отсутствовал полностью.
Кроме использования словарных паролей, аналитики Innostage выделяют избыточные и небезопасные протоколы. При этом в большинстве случаев они не являлись технической необходимостью, представляя собой настройку «по умолчанию».
Уязвимости, эксплуатация которых способствовала успешному проведению атак в процессе внутреннего тестирования, и процентное соотношение частоты использования в ходе проведения работ специалистами Innostage представлены ниже:
- использование предсказуемых паролей (87%),
- применение небезопасных протоколов (78%),
- небезопасная конфигурация учетных записей в AD (39%),
- небезопасная конфигурация хостов в домене (39%),
- отсутствие принудительной подписи протоколов (34%),
- небезопасное хранение паролей (30%),
- отсутствие разграничения доступа к информации, размещенной в общих сетевых папках (17%),
- небезопасная конфигурация AD CS (13%).
По итогам проведенных работ организации получили рекомендации по повышению уровня защищенности с учетом особенностей импортозамещения.
Треть российских компаний увеличивает бюджет на безопасность
Результаты опроса, проведенного среди 1124 ИБ-специалистов и ИБ-директоров российских компаний, показали, что треть российских компаний увеличивает бюджет на безопасность. Основной рост закупок ожидается с 2023 года. Об этом 16 декабря 2022 года сообщила компания «СёрчИнформ».
По информации компании, сильнее всего бюджет на безопасность вырос среди компаний, которые относятся к критической инфраструктуре – 39% опрошенных представителей субъектов КИИ сообщили об этом. Немногим отстают отнесенные к системообразующим организациям (36%).
Картина по системообразующим организациям и субъектам КИИ отражает общее внимание к безопасности в этих категориях компаний. Сводные же данные и отдельные по госорганизациям вызывают обеспокоенность. Учитывая, что почти 100% из них – это операторы персданных, видно, что аспект защиты этой информации остается недооцененным. Бюджетов на защиту выделяется недостаточно. При этом при их дефиците нет и каких-то значимых мер господдержки, чтобы операторы ПД могли активнее внедрять защищающее ПО, особенно в сфере малого и среднего бизнеса. прокомментировал Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ» |
Компании чаще всего выделяют бюджет на продление лицензионных ключей (78% опрошенных), на закупку оборудования и ПО (54%). По всем организациям, которые относятся к субъектам КИИ, системообразующим или операторам ПД эти цифры выше.
Компании, у которых затраты на ИБ в 2022 году выросли, заметно чаще направляют бюджет на закупку оборудования и ПО. Связано это в большей степени с тем, что в компаниях стремились оплатить «железо» до того, как оно подорожало или опасаясь дефицита.
Реальные потребности бизнеса по-прежнему заметно обгоняют мотив выполнять требование регуляторов. Зеркальная картина только у компаний – субъектов КИИ, госорганизаций.
Государственные организации и субъекты КИИ – держатели огромных объемов ПД и чувствительной информации. Строгие законодательные требования позитивно сказываются на оснащенности защитными решениями. Но ИБ-программы – это как правило сложные системы, с которыми нужно работать. И если ИБ-специалисты не видят для себя пользы, это создает риск формальной, а не реальной защиты. Срез по отраслям показывает, что только компании финансовой и нефтегазовой сферы активно наращивают бюджеты. В других отраслях, особенно в ритейле, ситуация хуже общей картины. При этом сфера торговли всегда была в числе «передовиков» по оснащенности защитным ПО. Обилие персональных и коммерческих данных, которые требуется защищать, мотивировало активное внедрение софта. Поэтому выводы о том, наблюдаем ли мы вектор на снижение внимания к задаче защиты данных, будет правильнее делать в 2023 году. рассказал Алексей Парфентьев |
Общая картина выделения бюджетов заметно отличалась только в 2020-м пандемийном году, когда компании были вынуждены экстренно переориентироваться под удаленный формат работы и вопросы безопасности откладывали. Примерно в 60% компаний бюджет остается без изменений, при этом информационная безопасность в компаниях недофинансирована – оснащенность защитными средствами остается недостаточной. По данным исследования 2021 года меньше половины компаний в России внедряют в свою работу серьезные средства защиты от кибератак, а большинство обходится только антивирусом.
Мы прогнозируем, что ситуация начнет меняться, начиная с 2023 года. Это глобальный тренд – Gartner сообщает, что в 2023 г. рынок, разбалансированный геополитической неопределенностью, нормализуется. У этого глобального тренда в России свое развитие. В 2022 году проблема защиты информации стала очевидна. Помимо традиционных рисков утечек информации и атак вирусами-шифровальщиками, с которыми и раньше сталкивалось большинство, многие компании стали жертвами т.н. хактивизма. Кроме того, мы прогнозируем, что начнет работать отложенный спрос. Даже те компании, которые не обязаны переходить на российское ПО, закладывают бизнес-риски ухода иностранных вендоров. Доверие к ним подорвано, и в комфортном для себя темпе компании будут стремиться импортозаместиться. дополнил Алексей Парфентьев |
«СёрчИнформ» проводит исследование «Ситуация с ИБ в компаниях России и СНГ» шестой год подряд. Респонденты – более 1000 ИБ-специалистов и ИБ-директоров. Опрос проводился в период с сентября по ноябрь 2022 года.
Половина российских компаний увидели необходимость в перестройке собственных систем киберзащиты
К концу 2022 года почти половина (42%) российских организаций пришли к выводу, что им необходимо перестроить свою систему киберзащиты. При этом в госсекторе этот показатель выше – 61%. Основные причины, которые заставили пересмотреть подход к ИБ: рост киберугроз (более чем на 50% возросло число значимых инцидентов после начала СВО), введенные регуляторные требования (Указ №250 и не только), уход зарубежных вендоров из России и потребность в импортозамещении. Такие данные следуют из исследования, проведенного экспертами компании «РТК-Солар», которая и сообщила об этом 25 ноября.
Всего было опрошено более 150 респондентов, представляющих госвласть, крупный и средний бизнес, включая ИТ, промышленность, транспорт, ритейл, здравоохранение. Опрос проводился в 1 и 4 кварталах 2022 года, что позволило увидеть результаты в динамике. Также была проанализирована информация о закупках и фактическом количестве решений по кибербезопасности на российском рынке.
Перестраивать свои ИБ-системы организации планируют с помощью российских ИБ-вендоров. А 76% респондентов заявили, что перейдут на отечественные СЗИ до конца 2022 года. Однако уже на ноябрь 2022 года доля российских ИБ-решений составляет 35% (в 1 квартале этот показатель равнялся 29%). А к концу 2023 года их доля может достигнуть уже 52%, таким образом темпы импортозамещения не будут снижаться.
Наибольшим спросом пользуются VPN-шлюзы – их планируют внедрить или поменять 29% опрошенных. Здесь важную роль играют нормативные требования по защите информации. На втором месте по популярности (19%) – системы защиты от утечек (DLP), что объясняется ростом инцидентов по вине инсайдеров. Также опрошенные планируют внедрять отечественные шлюзы безопасности (SWG), межсетевые экраны (NGFW), системы защиты веб-приложений (WAF) и системы управления событиями безопасности (SIEM).
Фактическая доля отечественных решений выросла на 6-8% за 2022 год. Но в то же время сохраняются и определённые барьеры, которые мешают импортозамещению. В частности, респонденты указывали на рост стоимость российских СЗИ – в среднем на 14%. Также всё больше компаний говорят об увеличении сроков поставок. В 1 квартале 47% респондентов столкнулись с подобной проблемой, а к 4 кварталу их доля выросла до 59%. Чтобы ситуация не усугублялась, необходимо уже сейчас прорабатывать подходы к импортозамещению ключевых СЗИ, – отметила руководитель группы рыночной аналитики компании «РТК-Солар» Юлия Косова. |
Закупка новых СЗИ – не единственная мера, которую предпринимают организации на фоне возрастающей угрозы. Так крупные коммерческие компании начали активнее разрабатывать планы по реагированию на инциденты. Если в начале года таких компаний было только 50%, то к 4 кварталу уже 70%. Госсектор же старается укрепить собственные ИБ-службы. В 4 квартале 24% респондентов отметили, что наняли новых специалистов, а в начале года таких было всего 12%. Примечательно, что для коммерческих компаний кибератака сопряжена в первую очередь с репутационными рисками, в то время как госсектор больше опасается за потерю данных из закрытых систем.
В 100% исследованных компаний обнаружены незакрытые трендовые уязвимости
В 100% исследованных компаний обнаружены незакрытые трендовые уязвимости. Такие данные 22 ноября 2022 года сообщила компания Positive Technologies. В топ-10 самых часто встречающихся в компаниях трендовых уязвимостей вошли известные уязвимости в продуктах Microsoft, большинство из них в компонентах ОС Windows и пакетах Microsoft Office.
Трендовые уязвимости — это опасные уязвимости, которые активно используются в атаках или с высокой степенью вероятности будут применяться в ближайшее время. В топ-10 распространенных трендовых уязвимостей вошли в том числе уязвимости прошлых лет – по данным Positive Technologies, они продолжают быть актуальными и активно применяются атакующими.
Исследование основано на результатах 27 крупнейших пилотных проектов MaxPatrol VM, которые проводились в 2022 году. Во всех организациях (100% исследованных компаний) были обнаружены трендовые уязвимости, которые активно используют злоумышленники и для которых вендоры уже выпустили рекомендации и обновления.
В среднем в пределах пилотной зоны выявлялось около 600 трендовых уязвимостей, десятая часть этих уязвимостей содержалась на активах высокой степени значимости. На каждые 100 активов в среднем приходится 47 трендовых уязвимостей, а на один актив высокой степени значимости – 2 трендовых уязвимости.
По нашим данным, самые опасные уязвимости (мы их называем трендовые) распространены повсеместно во всех отраслях, в том числе на критически важных активах. В ситуации, когда установить все доступные обновления ПО невозможно, а экспертов, готовых работать с уязвимостями (приоритизировать, устранять, проверять установку обновлений или вводить другие компенсационные меры) мало, компаниям нужны отечественные решения, которые помогут построить эффективный процесс vulnerability management (VM) и будут взаимодействовать со смежными системами для достижения оптимального результата, — подчеркнул Эльман Бейбутов, директор по развитию продуктового бизнеса, Positive Technologies. |
Например, уязвимость критического уровня опасности CVE-2020-0646 в Microsoft.NET Framework была выявлена в инфраструктуре 48% организаций, а уязвимость высокого уровня опасности Microsoft Office CVE-2021-40444 – в инфраструктуре 41% организаций. Эти уязвимости были выявлены и на активах высокой степени значимости.
То, что на пилотных проектах мы видим уже известные уязвимости (к которым вендоры уже выпустили соответствующие патчи или обновленные версии ПО), говорит о том, что в компаниях плохо выстроен процесс управления уязвимостями, — сказал Павел Попов, лидер практики продуктов для управления уязвимостями и мониторинга ИБ, Positive Technologies. — Компании либо не контролируют устранение уязвимостей, поэтому не знают, что что-то выпало из процесса патч-менеджмента. Либо неправильно приоритизируют уязвимости – не учитывают их критичность или значимость активов, на которых они расположены. Но на ноябрь 2022 года на рынке уже есть подходы и решения, способные обеспечивать инвентаризацию, категоризацию, поиск уязвимостей, контроль за устранением и еще вагон функций. |
96% организаций не защищены от проникновения в локальную сеть
16 ноября 2022 года компания Positive Technologies поделилась итогами исследования состояния защищенности российских компаний. В ходе пентестов 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.
По данным исследования, уровень защищенности от внешнего и внутреннего нарушителя в проанализированных компаниях оказался преимущественно низким: в организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов не нужно обладать высокой квалификацией.
Анализ показал, что в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть. В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов; в среднем для этого потребовалось бы четыре шага. Самая быстрая атака была проведена пентестерами за час. Исследования показали, что в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.
Основными точками входа стали уязвимости и недостатки конфигурации веб-приложений — такие векторы были выявлены во всех без исключения компаниях. Среди всех векторов проникновения в сеть, в которых использовались уязвимости веб-приложений, 14% включали эксплуатацию уязвимостей нулевого дня. Всего при проведении внешнего пентеста было выявлено пять таких уязвимостей. Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО; в половине исследованных компаний были выявлены критически опасные уязвимости в коде веб-приложений. Для того чтобы обеспечить безопасность веб-приложений, эксперты Positive Technologies рекомендуют регулярно проводить анализ защищенности, внедрять процесс управления уязвимостями и использовать межсетевые экраны уровня приложений.
По данным исследования, при проведении внешнего пентеста в 9 из 10 компаний потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации, например к сведениям, составляющим коммерческую тайну. Киберпреступники могут продать такую информацию конкурентам компании-жертвы или использовать ее для того, чтобы потребовать выкуп за неразглашение. Помимо доступа во внутреннюю сеть компании, атака на ресурсы сетевого периметра может повлечь за собой и другие негативные последствия: например, дефейс веб-приложения, изменение информации на официальных ресурсах или размещение вредоносного кода для атаки на клиентов жертвы, получение учетных данных сотрудников и, как следствие, доступ к корпоративным ресурсам и почте с последующей рассылкой спама и фишинга.
При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена. Получить доступ к конфиденциальной информации было возможно в 68% компаний. В качестве конфиденциальной информации выступали, к примеру, персональные данные клиентов, базы данных компаний. В 85% организаций были выявлены критически опасные уязвимости и уязвимости высокой степени опасности, связанные с недостатками парольной политики. В 60% компаний обнаружены уязвимости критического и высокого уровня опасности, связанные с использованием устаревших версий ПО. Эксперты Positive Technologies рекомендуют внедрить строгую парольную политику, а также использовать двухфакторную аутентификацию для доступа к критически важным ресурсам.
В 47% исследованных компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учетным записям топ-менеджеров компаний, хищение денежных средств, остановка ключевых бизнес-процессов.
Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации, — сказала аналитик Positive Technologies Яна Юракова. — В среднем на осуществление недопустимого события злоумышленникам потребовалось бы 10 дней. В некоторых случаях для этого даже не требовалось получать максимальные привилегии в домене. Большая часть недопустимых событий, для которых была доказана возможность их реализации, связаны с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%). |
В исследовании представлена тепловая карта MITRE ATT&CK, где показаны популярные техники и подтехники, которые успешно использовались пентестерами Positive Technologies. В компании считают, что такая карта может быть особенно полезна специалистам по оперативному реагированию на инциденты и лицам, ответственным за информационную безопасность, ведь пентестеры имитируют действия реальных злоумышленников. Зная подходы преступников, можно обеспечить превентивную защиту и уделить особое внимание мониторингу и реагированию на инциденты.
Только 8% компаний в России не имеют отдельно выделенного ИБ-подразделения
8 ноября 2022 года компания «Инфосистемы Джет» поделилась результатами исследования особенностей организации служб ИБ в разных сферах бизнеса. Его результаты показали, что почти половина опрошенных организаций (41%) имеет собственную службу информационной безопасности, подчиненную высшему менеджменту. В 23% случаев служба ИБ подчиняется ИТ-блоку, в 25% — службе безопасности, 3% имеют иную структуру подчиненности.
При этом только 8% компаний не имеют отдельно выделенного ИБ-подразделения. Обычно это небольшие организации коммерческого сектора. Поддержкой ИБ-процессов в таких компаниях неформально занимаются ИТ-работники, которые получают такие обязанности как дополнительную нагрузку и выполняют их по остаточному принципу.
Полученные данные значительно отличаются от тех, которые мы фиксировали в российских компаниях 5–7 лет назад. Растет понимание необходимости выведения ИБ-подразделений из подчинения ИТ-службам и службам безопасности, что подтверждает довольно высокая цифра в 41%, — отметил Александр Морковчин, эксперт по информационной безопасности компании «Инфосистемы Джет». |
1 мая 2022 года был подписан Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Под действие указа подпадают компании из многих сфер бизнеса: коммерческие и государственные организации, включая стратегические, системообразующие субъекты КИИ. Ключевые требования указа — создание в компании структурного подразделения, отвечающего за вопросы ИБ, а также назначение ответственного за ИБ, который должен подчиняться руководителю организации и входить в состав основных совещательных органов.
Ключевой целью исследования «Инфосистемы Джет» стала оценка уровня соответствия компаний введенным требованиям. Выводы сделаны на основе данных, полученных в ходе проектов по аудиту ИБ в 2019–2021 годах, и результатов опроса заказчиков компании. В выборку вошли 100 компаний из более чем 10 отраслей, география исследования включает компании России, Азербайджана и Узбекистана.
Практика выделения ИБ-службы в самостоятельное структурное подразделение наиболее характерна для компаний финансового и государственного секторов, сферы услуг, девелопмента. Подчинение безопасников департаменту ИТ чаще всего встречается в телекоме и промышленности. Ситуация, когда ИБ относится к службе безопасности, характерна для топливно-энергетического комплекса и ритейла.
В исследовании также собрана информация об интегральном уровне зрелости процессов ИБ. Инструментом измерения стала Capability Maturity Model Integration (CMMI) — модель совершенствования процессов, характеризующаяся шестью уровнями. Большая часть (58%) компаний имеет интегральный второй (повторяемый) уровень зрелости, что показывает наличие минимально необходимых средств защиты, планирование и повторяемость ИБ-процессов. В то же время для этого уровня характерны отсутствие соответствия общепринятым практикам и плохая управляемость процессами, в том числе из-за недостатка ресурсов.
Несмотря на то, что около 92% компаний уже имеют штат собственных специалистов ИБ, общий уровень зрелости процессов ИБ по-прежнему остается достаточно низким. Такая ситуация обусловлена как нехваткой профессиональных кадров, так и недостаточным финансированием со стороны бизнеса. Наиболее зрелыми отраслями традиционно остаются финансовый сектор и крупные ИТ-компании, — отметил Александр Морковчин. |
Почти каждая третья российская компания не проверяет ПО на защищенность
«РТК-Солар» 1 ноября 2022 года представил результаты исследования защищенности ПО в российских организациях. 32% организаций не проверяют разрабатываемые или используемые приложения на защищенность. 59% организаций считают, что им необходимо усилить процессы мониторинга и устранения уязвимостей (24% компаний уже предпринимают необходимые меры, в 35% — подобные меры не планируются). При этом практически каждая третья компания сталкивается с финансовым (31%) или репутационным (31%) ущербом из-за инцидента, связанного с уязвимостями.
Результаты опроса показали, что 32% организаций не проверяют разрабатываемые или используемые приложения на защищенность. Столько же респондентов (32%) заявили, что, напротив, регулярно осуществляют проверку безопасности программного обеспечения. От случая к случаю анализ проводит 22% компаний. Сканируют приложения на безопасность раз в полгода 14% респондентов.
Среди тех, кто проводит анализ безопасности приложений, практически половина (46%) устраняет все уязвимости, 31% — уязвимости высокой и средней критичности. Ограничиваются устранением уязвимостей только высокой критичности 12% респондентов. Российские компании отметили, что наиболее часто встречающиеся в коде уязвимости — это неэффективный мониторинг (38%), использование компонентов с известными уязвимостями (30%), небезопасная конфигурация (30%). Эксплуатация перечисленных уязвимостей злоумышленниками способна обернуться компрометацией уязвимых систем, нарушением конфиденциальности и доступности обрабатываемых данных.
Практически каждая третья компания сталкивается с финансовым (31%) или репутационным (31%) ущербом из-за инцидента, связанного с уязвимостями. Наиболее часто финансовый ущерб выражается в дополнительных ресурсных затратах на устранение уязвимостей, что подтверждает необходимость перехода от традиционной модели тестирования к модели shift left. Она заключается в переносе стадии тестирования на ранние этапы жизненного цикла разработки ПО и позволяет упростить и ускорить исправление ошибок в коде.
Даже те компании, которые разрабатывают приложения на заказ, не всегда анализируют защищенность разрабатываемого ПО: 23% респондентов отметили, что не проверяют защищенность приложений, 32% — проверяют от случая к случаю, 35% — осуществляют проверки постоянно в процессе разработки новой версии (анализ кода встроен в процесс разработки), 10% — сканируют приложения раз в полгода. Недостаток защищенности приложений приводит к ожидаемым результатам. Среди разработчиков заказного ПО, кто не проверяет защищенность ПО или проверяет от случая к случаю, каждый четвертый респондент (25%) отметил, что уязвимости в ПО привели к значимым инцидентам ИБ. Это подчеркивает необходимость анализа защищенности приложений и устранения уязвимостей и НДВ в коде.
С каждым годом количество используемых цифровых инструментов растет. Компаниям, которые их используют, важно как можно скорее предоставить их сотрудникам, чтобы повысить эффективность бизнес-процессов. Компаниям, которые их разрабатывают, важно как можно скорее выпустить продукт или новую версию, чтобы закрыть актуальные потребности заказчиков. В этой гонке бизнес чаще отдает приоритет скорости, делая это в ущерб безопасности. Начиная с весны 2022 на фоне многочисленных сообщений о росте кибератак на российские организации ситуация изменилась. Мы отмечаем рост спроса на инструменты анализа защищенности приложений. Чтобы заказчикам не нужно было идти на компромисс со скоростью доставки обновлений, мы рекомендуем внедрить инструменты анализа уязвимостей в цикл разработки ПО, сказал Даниил Чернов, директор Центра Solar appScreener компании «РТК-Солар».
|
59% организаций считают, что им необходимо усилить процессы мониторинга и устранения уязвимостей (24% уже предпринимают необходимые меры, в 35% — подобные меры не планируются). 41% респондентов считает, что текущих инструментов достаточно для закрытия задач по выявлению и устранению уязвимостей.
Какие угрозы в сфере информационной безопасности наиболее актуальны для российских компаний в 2022 году
Давление со стороны киберпреступников на российские компании и предприятия госсектора с конца февраля 2022 года серьезно возросло. Злоумышленники тестируют на отечественных организациях самые современные типы кибератак. Тем не менее, по словам экспертов, все проблемы известны и решаемы. Однако необходим комплексный подход к обеспечению информационной безопасности и квалифицированные ИБ-сотрудники.
Многие ожидали, что после ухода зарубежных вендоров, на рынке информационной безопасности наступит паника, эти ожидания не оправдались. Да, выбор средств ИБ сократился, но тем не менее практически по всем классам решений есть отечественные аналоги, - поясняет Дмитрий Гусев, заместитель генерального директора компании «ИнфоТеКС». |
Конечно, в некоторых случаях потребуется приложить усилия к поиску удобной комбинации продуктов и их интеграции с имеющейся инфраструктурой заказчика, и это займет какое-то время, но все проблемы решаемы, успокаивает эксперт «ИнфоТеКС».
Наиболее актуальная угроза на текущий момент – политически активные хакеры, нацеленные на причинение максимального ущерба и организованные преступные группировки, утверждает Виталий Масютин, заместитель руководителя центра экспертизы по информационной безопасности IBS Platformix.
Защититься от хакеров и других угроз можно. Для этого необходимо грамотное сочетание технических средств, организационных мер и постоянное участие квалифицированных специалистов, - отмечает Масютин. |
С ним соглашаются специалисты Cross Technologies. По их словам, для нейтрализации этих угроз есть специализированные средства, но по большей части секрет хорошей защиты заключается в квалификации ИБ-сотрудников заказчика или обслуживающей (консультирующей) компании.
Утечки информации и потеря доступа к данным из-за кибератак – одни из наиболее актуальных угроз, считает Роман Подкопаев, генеральный директор Makves (Маквес). По его мнению, для защиты данных необходимо использовать комплекс решений, который подбирается под задачи, масштаб и специфику бизнеса.
Сейчас российский рынок информационной безопасности предлагает решения практически в любом классе. Мы в свою очередь предлагаем концептуально изменить подход к угрозам и сосредоточиться на защите данных, интересующих хакеров в первую очередь. Решения класса DCAP/DAG помогают значительно сократить поверхность кибератаки и обеспечить надежную защиту данных, - поясняет эксперт. |
Перечень актуальных угроз индивидуален для каждой организации, соглашается Николай Фокин, директор Центра информационной безопасности «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ). По наблюдениям специалистов компании, наибольшие риски сейчас связаны с угрозами от хакерских атак. Например, участившиеся DDoS-атаки способны сделать недоступными веб-ресурсы и часть инфраструктурных сервисов организаций, попавших под нее. С ними могут справиться специализированные сервисы и оборудование.
Кроме того, популярны компьютерные атаки с использованием известных уязвимостей, для которых существуют эксплойты в открытом доступе. Для минимизации рисков, связанных с такими атаками, необходимо настраивать процессы патч-менеджмента и управления уязвимостями.
В то же время компьютерным атакам подвержены веб- и мобильные приложения. Для их защиты используют решения по анализу исходного кода на уязвимости и web application firewall (WAF).
Как отмечают в компании АСТ, угрозы, связанные с компрометацией приложений, разработанных без учета требований к безопасной разработке, сейчас также выходят на первый план.
В условиях отсутствия достаточного количества времени на разработку и шквального характера импортозамещения уязвимости приобретают критический характер, - говорят в компании. |
Еще одна распространенная на данный момент угроза – компьютерные атаки с использованием шифровальщиков. Основными их векторами является социальная инженерия с использованием зараженных веб-сайтов и фишинговых писем. К тому же злоумышленники могут получить доступ к инфраструктуре, например, через похищенные учетные записи пользователей.
Для выстраивания эффективной защиты, которая поможет сдержать такие атаки, необходим комплексный подход к обеспечению информационной безопасности, - подтверждает Николай Фокин. - Также стоит отметить компьютерные атаки на цепочки поставок. Действительно, они наблюдались и ранее, однако сейчас это один из ключевых рисков, связанный как с использованием open-source решений и библиотек в разработке, так и с получением обновлений иностранного ПО. |
Генеральный директор Security Vision Руслан Рахметов предупреждает, что после спешного ухода иностранных вендоров опасными стали даже незначительные угрозы, которые перестали митигироваться их решениями: при частичном или полном отключении защитного функционала банальная фишинговая ссылка или известное вредоносное ПО сможет причинить компании немало хлопот. Поэтому следует осуществить миграцию с западных решений оперативно, сравнивая доступные российские альтернативы по функционалу, стоимости, заявленному качеству предоставляемых сопутствующих услуг по консалтингу, внедрению, поддержке.
Рынок российских ИБ-решений достаточно обширный, он охватывает практически весь спектр актуальных киберугроз. Даже если для конкретного киберриска сейчас пока нет отечественного средства защиты, то заказчики могут решить задачу компенсирующими мерами, защищенной настройкой конечных точек и серверов, ограничением сетевого доступа, реализацией принципа наименьших полномочий и т.д., - поясняет эксперт Security Vision. |
Дмитрий Романченко, руководитель департамента информационной безопасности Rubytech, призывает не забывать, что сегодня нам приходится существовать в условиях многофакторной кибервойны, противостоять которой способна только мощная и непрерывно развивающаяся индустрия.
Исследована готовность российских компаний к аутсорсингу защиты от утечек
Национальный провайдер технологий и сервисов кибербезопасности «РТК-Солар» 19 сентября 2022 года выпустил аналитическое исследование «Контроль конфиденциальной информации: аутсорсинг или inhouse?». На сентябрь 2022 года услугами защиты от утечек информации пользуется лишь чуть более 18% опрошенных компаний: 52% респондентов эксплуатируют DLP-систему самостоятельно, а почти 30% – вообще не имеют в компании специализированных средств защиты от утечек.
Интересно, что среди большинства компаний, использующих защиту от утечек «на дому», 11% тем не менее считают оптимальным вариантом частичный аутсорсинг DLP, когда можно отдать внешнему подрядчику либо техническую поддержку решения, либо ее аналитическое сопровождение. При этом доля пользователей DLP-услуг в чисто сервисной модели (полный аутсорсинг: и техническая поддержка, и аналитическое сопровождение) невысока, всего 4%.
Данные исследования говорят о том, что заказчиков почти в 4 раза больше волнует конфиденциальность собираемой информации, чем доступ сторонних лиц к техническим средствам DLP-системы: техническую поддержку на аутсорсинг отдают в 4 раза чаще, чем привлекают внешних аналитиков для работы с внутренним, чувствительным трафиком. Таким образом, основным барьером к массовому переходу на DLP as a Service являются опасения, связанные с доступом к конфиденциальной информации третьих лиц – аутсорсинговых аналитиков, сказала Елена Черникова, старший бизнес-аналитик Центра продуктов Dozor «РТК-Солар».
|
Наибольшим риском аутсорсинговой модели участники исследования назвали утечку из компании информации об утечках (76% респондентов). Второй по критичности риск связан со снижением скорости реагирования на инциденты: об этом беспокоится 17% опрошенных.
Ожидаемо, в регионах объем использования услуг защиты от утечек ниже, чем в столице: 23% и 77% соответственно.
Что касается стоимости услуг DLP, то подавляющее большинство – 75% респондентов – считают, что стоимость аутсорсинговой модели должна определяться масштабами возможного ущерба. Еще 21% участников исследования называют усредненную фиксированную стоимость в границах от 1 до 10 млн рублей за инсталляцию DLP-системы на рабочие станции 1000 сотрудников.
Для целей исследования аналитики «РТК-Солар» опросили свыше 200 представителей российских организаций, относящихся к сегментам среднего и крупного бизнеса.
Половина российских компаний не способна защитить персональные данные клиентов
5 сентября 2022 года компания HFLabs сообщила о том, что несмотря на громкие утечки персональных данных, только 50% российских компаний планируют увеличить бюджет на их защиту. При этом больше половины респондентов не уверены в том, что личные сведения их клиентов находятся в безопасности.
HFLabs опросила представителей 172 российских компаний, чтобы понять, как бизнес реагирует на произошедшие громкие утечки и планирует ли менять подходы к работе с персональными данными.
53% опрошенных сказали, что в их компании «утечки вероятны», а еще 9% сообщили, что они уже происходили. И только 37% респондентов уверены, что в их организации утечки данных клиентов не произойдут.
Число таких инцидентов в России выросло в первом полугодии 2022 года в восемь раз, по сравнению с аналогичным периодом 2021 года. Так, по данным телеграм-канала «Утечки баз данных» в 2022 году в этот период произошли 33 «слива» персональных данных россиян – в открытом доступе оказались 167 млн строк с личными сведениями клиентов разных организаций. В 2021 году в период с января по июль – семь утечек на 21 млн строк.
Среди мер, которые компании предпринимают на сентябрь 2022 года для защиты сведений о клиентах, участники опроса чаще всего называли ограничение доступа сотрудников к персональным данным, внедрение IT-систем для защиты данных и ужесточение правил работы с данными. При этом почти 50% опрошенных сообщили, что их организации не планируют увеличивать бюджет на защиту персональных данных.
Информация имеет свойство утекать. Любые переданные клиентом данные о себе тоже рано или поздно окажутся в открытом доступе. Поэтому у граждан должна быть возможность получать товары и услуги, оставаясь при этом полностью анонимными. К примеру, чтобы доставлять еду, компании не нужно знать имя и телефон человека – связаться с ним курьер может через колл-центр или любой другой суррогатный идентификатор.
Фактически бизнес может существовать без сбора такого количества персональных данных. И, конечно, сами люди должны соблюдать цифровую гигиену и следить за тем, где и какую информацию о себе они оставляют, считает Дмитрий Журавлев, сооснователь и генеральный директор HFLabs.
|
Только 5,2% компаний из опрошенных HFLabs зафиксировали значительное количество обращений от клиентов после крупных утечек данных. Еще 15% респондентов сообщили о единичных потребителях, которые были обеспокоены сохранностью личных сведений.
План действий на случай утечек имеют 10% компаний. Еще 11% понимают его необходимость, но плана у них еще нет. Интересно, что в 2022 году значительно выросло количество утечек с ФИО, телефонами и адресами электронной почты россиян. А вот количество утечек с контактами из мессенджеров, хешами паролей, логинами и IP-адресами, напротив, сократилось.
Кража учетных данных продолжает оставаться самым популярным методом атаки
В отчете Ponemon Institute от 2022 года говорится, что 54% инцидентов, связанных с киберпреступностью, были вызваны кражей учетных данных. После нее в "топе" идут вымогательское ПО и DDoS-атаки. Кроме того, 59% организаций не аннулируют учетные данные, которые больше не нужны, тем самым делая их легкой добычей для хакеров. Об этом стало известно 16 августа 2022 года.
В свою очередь, в отчете Verizon от 2022 года о расследовании утечек данных говорится, что почти 50% всех утечек данных произошли из-за кражи учетных данных. Согласно тому же отчету, украденные учетные данные чаще всего используются для атак на веб-приложения. Специалисты подчеркнули, что веб-приложения являются одним из основных векторов атак, так как организации из разных отраслей стараются внедрить цифровые решения и интернет-технологии для оптимизации работы.
В качестве примеров можно взять обрабатывающую промышленность и сектор здравоохранения: в обеих отраслях устройства почти всегда подключены к интернету, чтобы получать обновления и быстро выполнять свои задачи, облегчая работу сотрудникам. Однако, это ведет и к возникновению рисков в каждой точке доступа.
Если обычные пользователи могут использовать интернет для доступа к сетям, серверам и данным, то это может сделать и злоумышленник. Ровно так же это работает и с учетными данными. А если еще взять во внимание то, что к некоторым системам и серверам могут получать удаленный доступ сторонние поставщики ПО, то получается очень неприятная комбинация из возможных рисков и уязвимостей.
Поэтому организациям приходится постоянно бежать за последними трендами в ИБ, обеспечивая максимальную безопасность учетных данных и IoT. Ведь если они этого не будут делать, то им придется бежать и исправлять весь ущерб, который был нанесен злоумышленниками[3].
Слабые пароли оказались одной из ключевых проблем внешних ИТ-периметров компаний
Ненадежные пароли были обнаружены в системах и приложениях внешнего периметра почти 80% организаций. Таковы результаты проектов по анализу защищенности российских компаний, проведенных экспертами «Ростелеком-Солар» в период с начала 2021 по май 2022 года. Об этом компания сообщила 8 июля 2022 года. Чаще всего подобный недостаток встречается в приложениях и сервисах, в том числе удаленного доступа (например, VPN или RDP и т.д.). Проведенные работы показали, что веб-приложения стали наиболее вероятной точкой проникновения хакеров в корпоративную сеть. Объектами исследования стали организации из сферы финансов, энергетического комплекса, ИТ, телекома, ритейла и других отраслей.
Примечательно, что еще в 2020 году слабая парольная политика (ненадежные, словарные, повторяющиеся и пароли по умолчанию) была свойственна чаще всего приложениям во внутреннем периметре. Однако за последние полтора года в разы выросло количество приложений и сервисов, в том числе систем удаленного доступа, которые были выведены на внешний периметр, отмечают эксперты. Это связано с тем, что большинство компаний решили сохранить удаленный или гибридный формат работы, и им потребовалось предоставить сотрудникам возможность пользоваться корпоративными ресурсами из дома.
Конечно, само наличие корпоративных ресурсов на внешнем периметре не несут дополнительных рисков, но использование слабых паролей и отсутствие второго фактора аутентификации при удаленном подключении создают возможность их нелегитимного использования. При проведении работ мы встречали даже такие легко подбираемые комбинации логина и пароля, как Administrator:123, test:test, admin:admin. Простые учетные данные открывает хакерам привилегированный доступ к приложениям, а также доступ во внутренние сети, например, через системы удаленного доступа, — отметил руководитель отдела анализа защищенности компании «Ростелеком-Солар» Александр Колесов. |
Помимо систем удаленного доступа, большая часть векторов проникновения в сеть организаций связана с эксплуатацией уязвимостей веб-приложений (например, электронная почта, портал для сотрудников, личный кабинет на сайте). По результатам проведенных работ низкий уровень защищенности был отмечен в 53% исследованных веб-приложений. В ряде проектов для преодоления внешнего периметра использовались системы управления обучением, проектами, бизнес-процессами и рекламой, корпоративные чаты. Среди распространённых проблем веб-приложений: внедрение команд уровня ОС, загрузка исполняемых файлов, доступ к административной функциональности в обход правил доступа, некорректная настройка прав доступа.
Во внутренних сетях организаций, помимо слабых парольных политик, также часто встречается небезопасное хранение данных: чувствительная информация в общедоступных директориях была обнаружена в 42% проектах. Например, в части организаций экспертам «Ростелеком-Солар», во внутренних периметрах удалось найти в открытом доступе учетные данные от сервисов, финансовые документы и данные для подключения к критичным системам.
Несмотря на множество недостатков в системах и сетях, компании все-таки стремятся их устранять. На это указывает тот факт, что при проведении повторных тестирований в среднем 63% всех ранее обнаруженных уязвимостей уже устранены. При этом компании обращают большее внимание на уязвимости с высокой степенью критичности, которые представляют серьезную угрозу для безопасности. Уязвимости же с низкой критичностью могут оставаться не устранёнными дольше.
Российский бизнес сталкивается с вызовами в сфере ИБ, но недооценивает вероятность хакерских атак
Половина предпринимателей (53%) сообщили, что за последний месяц сталкивались с проблемами в области информационной безопасности в своих компаниях – сбоями оборудования, вирусами, мошенническими схемами. При этом 68% предпринимателей считают хакерские атаки на их компании маловероятными. Таковы результаты исследования, проведенного Аналитическим центром НАФИ совместно с компанией «Киберпротект», которая и сообщила об этом 30 июня 2022 года.
Две трети российских предпринимателей (68%) считают маловероятной или невозможной угрозу хакерской атаки на свои компании (чаще всего так говорят представители строительной отрасли – 83%, руководители микропредприятий – 66%). Допускают вероятность киберугроз 21% организаций.
Чаще киберугрозы ожидают компании, работающие в сфере цифровых технологий, информации и связи (52%), а также предприятия, работающие на рынке более 10 лет (17%).
Половина предпринимателей (53%) отмечают, что за последний месяц сталкивались с проблемами в области информационной безопасности.
В ТОП-3 проблем, с которыми сталкивались бизнесмены, вошли:
- потеря данных в результате поломки, сбоев в работе устройств или человеческого фактора – 19%,
- интернет-мошенничество (введение в заблуждение с целью получения денег или конфиденциальной информации) – 18%,
- заражение вирусами рабочих компьютеров сотрудников, в том числе с последующим вымогательством денег – 14%.
Кроме того, за последний месяц респонденты сталкивались с атаками на сайт компании и несанкционированным доступом к корпоративной информации (по 10%), взломом почтовых ящиков сотрудников (9%), кражей персональных данных клиентов (6%).
Компании малого и среднего бизнеса принимают меры, чтобы обеспечить информационную безопасность и защитить свои данные. Большинство представителей компаний отметили, что в их компаниях на каждый компьютер устанавливается антивирусное программное обеспечение (78%), правила информационной безопасности разрабатываются и доводятся до сведения сотрудников (64%), проводится резервное копирование данных (62%).
Может показаться, что компании МСП интересны киберпреступникам в значительно меньшей степени, чем крупный бизнес. Однако это не так. Практика показывает, что даже самые небольшие организации находятся под угрозой. В частности, фишинговые письма и вредоносные вложения представляют опасность для компаний любого размера, где сотрудники имеют низкий уровень цифровой грамотности. Доверчивость, цифровая некомпетентность даже одного сотрудника, открывшего фишинговое письмо и допустившего активацию мошеннической программы, может привести к негативным последствиям для всего бизнеса. Российским предпринимателям важно, с одной стороны, вкладываться в программные и аппаратные решения для обеспечения информационной безопасности, с другой – активно повышать уровень цифровых компетенций своих сотрудников, чтобы максимально обезопасить себя от цифровых угроз в современных условиях, сказала Лейсан Баймуратова, директор направления исследований в сфере цифровой экономики Аналитического центра НАФИ.
|
К сожалению, уже не существует компаний, которые используют информационные технологии и при этом никогда не сталкиваются с кибератаками. Более того, атаки не только повышают нагрузку на информационные системы организаций, но и достигают своих целей — это лишь вопрос времени. Мы видим, что даже самые защищенные организации страдают от успешных кибератак. Внимание к информационной безопасности снижает вероятность их успешности, а если цели злоумышленников достигнуты — грамотные действия служб информационной безопасности позволяют восстановить деятельность организации быстро и без существенных потерь. Это подтверждают результаты опроса: компании, которые долго работают на рынке, трезво оценивают угрозы и готовятся к кибератакам заранее. Очевидно, что им уже приходилось реагировать на инциденты в области кибербезопасности. На июнь 2022 года к наиболее уязвимым точкам любой организации можно отнести: устойчивость информационных систем, потеря важных данных и репутационные риски. Надежная защита, ответственное отношение к возможным утечкам данных, хранению, резервному копированию — ключевые задачи служб информационной безопасности, отметила Елена Бочерова, исполнительный директор компании «Киберпротект».
|
Всероссийский репрезентативный опрос предпринимателей проведен Аналитическим центром НАФИ в мае 2022 г. Опрошены 500 представителей микро, малого и среднего бизнеса всех основных отраслей экономики во всех федеральных округах РФ. В качестве респондентов выступали собственники бизнеса, первые лица компаний и индивидуальные предприниматели.
В России резко вырос спрос на обучение топ-менеджеров компаний информационной безопасности
К концу мая 2022 года в России резко вырос спрос на обучение топ-менеджеров компаний информационной безопасности. Отчасти это происходит из-за президентского указа, согласно которому ответственность за кибербезопасность ложится на заместителей руководителей предприятий.
Как сообщает «Коммерсантъ» со ссылкой на данные Group-IB, в мае 2022 года количество запросов на обучение ИБ-специалистов увеличилось на 30% относительно аналогичного периода 2021-го. В первую очередь за услугой обращаются крупные и быстрорастущие компании, их интересуют курсы Incident Response (реагирование на инциденты и локализация инцидента) и построение SOC (Security operations center — операционный центр безопасности), отметили эксперты.
В «Лаборатории Касперского» также наблюдают высокий спрос на программы по кибербезопасности для руководителей и тренинги по повышению киберграмотности рядовых сотрудников. Больше половины от всех проведённых тренингов приходится на промышленный сектор.
Гендиректор Kontakt Intersearch Марина Тарнопольская говорит, что при подборе персонала на руководящие позиции работодатель обращает особое внимание на знания в сфере информационной безопасности. Поэтому топ-менеджмент компании хочет более детально разобраться в киберугрозах и на основе этого принимать решения по развитию направления, полагает генеральный директор Cyberok Сергей Гордейчик.
По указу президента руководитель в сфере ИБ, по сути, становится стратегом и начинает отвечать за развитие этого направления в перспективе трех-пяти лет, - указал он. |
По словам источника газеты на ИБ-рынке, ответственность топ-менеджмента за инциденты уже доходит до уголовной и руководители хотят понимать, за что они ее несут.[4]
Путин подписал указ о дополнительных мерах по обеспечению информационной безопасности России
1 мая 2022 года стало известно о том, что Путин подписал указ о дополнительных мерах по обеспечению информационной безопасности России.
Текст указа разместили на официальном интернет-портале правовой информации.
В целях повышения устойчивости и безопасности функционирования информационных ресурсов РФ постановляю: руководителям федеральных органов исполнительней власти, высших исполнительных органов государственной власти субъектов РФ, государственных фондов, государственных корпораций и иных организаций… возложить на заместителя руководителя органа полномочия по обеспечению информационной безопасности органа, в том числе по обнаружению, предупреждению и ликвидаций последствий компьютерных атак, реагированию на компьютерные инциденты, — говорится в сообщении. |
Путин поручил руководителям ведомств и регионов, госфондов, госкорпораций, стратегических и системообразующих предприятий "возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности" в сфере компьютерных атак.
Отмечается, что в каждом ведомстве, учреждении и системообразующих предприятиях было поручено создать подразделения по ИТ-безопасности.
Помимо этого президент потребовал "обеспечивать должностным лицам органов Федеральной службы безопасности беспрепятственный доступ к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети интернет".
Кроме того, с 1 января 2025 года в России запрещается использовать средства защиты информации, происходящие из недружественных стран.
С 1 января 2025 года органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении РФ, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им, либо аффилированные с ними, — говорится в сообщении[5]. |
Group-IB обнаружила в России 7 500 незащищенных баз данных
27 апреля 2022 года компания Group-IB сообщила, что в ходе глобального исследования цифровых активов выявила около 400 000 общедоступных баз данных, хранящихся в открытом доступе. Почти 7 500 «бесхозных» — находятся на российских серверах. Эксперты Group-IB предупреждают, что незащищенные базы данных являются легкой добычей для киберпреступников и могут привести не только к утечкам персональных данных, но и целевым атакам на организации.
По информации компании, глобальное исследование, проведенное экспертами подразделения Group-IB Attack Surface Management, охватывает период с Q1 2021 по Q1 2022. Согласно отчету, уже к концу 2021 года количество общедоступных баз данных в мире составляло 308 000. Большинство из них хранилось на серверах в США, Китае, Германии, Франции и Индии. В первом квартале 2022 года их число выросло на 12% и достигло 399 200.
Обнаружив доступную базу данных, злоумышленники могут украсть конфиденциальную информацию или использовать ее как точку входа для дальнейшего продвижения по сети. По данным IBM, в 2021 году средняя стоимость утечки данных увеличилась с $3,86 млн до $4,24 млн., а международные компании были оштрафованы почти на $1,2 млрд за нарушение Общего регламента защиты персональных данных (GDPR).
В России в 2021 году были обнаружены 5 493 незащищенных баз данных, а в целом за период Q1 2021 -Q1 2022 — 7 426. Согласно выводам подразделения Group-IB Attack Surface Management, с момента обнаружения базы до изъятия ее из публичного доступа в России проходит в среднем 250 дней, при том, что в мире эта процедура происходит быстрее — в среднем за 170 дней.
Дальнейшая цифровизация сервисов, миграция данных в облачные инфраструктуры, приводят к росту цифровых активов в мире. Часть из них оказывается в "тени" — при том, что к ним есть доступ извне, организация их не обновляет, не контролирует и не защищает.
Подразделение Group-IB Attack Surface Management ежедневно сканирует пространство IPv4 (англ. Internet Protocol version 4, фактически весь Интернет) и выявляет не только актуальные киберугрозы — вредоносное ПО, фишинговые панели, но и незащищенные корпоративные цифровые активы. К ним могут относиться забытые облачные сервисы с уязвимым программным обеспечением, некорректно сконфигурированные базы данных, случайно ставшие доступными из сети, или самостоятельно развернутые веб-сервера — все, что может привести к несанкционированному доступу к инфраструктуре компании.
Появление неконтролируемых IT-ресурсов подвергает организации серьезному риску и сводит на нет инвестиции в сетевую безопасность. По нашим данным, более 50% инцидентов, расследованных Лабораторией цифровой криминалистики Group-IB в 2021 году, произошли в результате эксплуатации уязвимостей периметра и могли быть предотвращены. Для этого необходимы надежные инструменты для мониторинга и комплексной инвентаризации имеющихся цифровых активов. комментирует Тим Бобак, руководитель отдела Group-IB Attack Surface Management |
99% облачных ресурсов предоставляют чрезмерные разрешения
14 апреля 2022 года стало известно, что команда исследователей Palo Alto Unit 42 пришла к выводу, что облачные пользователи, роли, службы и ресурсы предоставляют чрезмерные разрешения, подвергая организации риску компрометации. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) открывает двери для злоумышленников, нацеленным на облачную инфраструктуру и учетные данные. Подробнее здесь.
75% уязвимостей в компаниях могли быть закрыты с помощью патчей
Для 75% уязвимостей, найденных в инфраструктурах российских организаций, есть простые способы устранения, включая патч-менеджмент. Однако они на 12 апреля 2022 года остаются незакрытыми, следует из отчета «Ростелеком-Солар». При этом в некоторых инфраструктурах встречаются хорошо известные уязвимости, обновления для которых были выпущены уже несколько лет назад. Об этом сообщила Компания «Ростелеком-Солар» 12 апреля 2022 года. Закрытие таких уязвимостей становится для организаций критически важным условием базовой киберзащиты, предупреждают эксперты.
Всего в рамках исследования были проанализированы внутренние и внешние сетевые периметры, а также веб-приложения более 50 организаций из различных отраслей (ИТ, промышленность, ритейл, медицина, госструктуры). В итоге было выявлено более 150 тысяч уязвимостей, из них 7,5 тысяч (то есть 5%) уникальные. Большая часть (94%) последних имеет уровень критичности выше среднего, и для большого количества этих уязвимостей есть опубликованный эксплойт, что делает их доступным инструментом для злоумышленников.
Во внутреннем периметре встречаются уязвимости старше 20 лет. В среднем же окно возможностей злоумышленника составляет 10–12 лет (разница между наиболее старой и наиболее новой уязвимостью с эксплойтом, обнаруженной в инфраструктуре). Среди трендовых уязвимостей, которые были выявлены во внутреннем периметре, – Log4j, BlueKeep, ShellShock, EternalBlue и т.п. И несмотря на то, что о них много говорили как ИБ-эксперты, так и широкая общественность, в ряде компаний они остаются неисправленными.
Регулярный контроль уязвимостей мог бы значительно повысить кибербезопасность организаций. Эксплойты для старых и известных уязвимостей находятся в открытом доступе, и для злоумышленников не составляет труда их использовать. А на апрель 2022 года, когда количество кибератак на российские компании растет, вероятность того, что хакеры найдут слабое место в инфраструктуре, увеличивается в разы. В итоге отсутствие такой простой вещи, как обновление, может обернуться для организации финансовыми и репутационными потерями, а также остановкой ключевых бизнес-процессов, отметил руководитель направления Vulnerability Management компании «Ростелеком-Солар» Максим Бронзинский.
|
Также на внешних периметрах компаний трендовых уязвимостей не обнаружено, но эксперты «Ростелеком-Солар» фиксируют проблемы с инвентаризацией. Кроме этого, все исследуемые компании используют небезопасные методы шифрования или испытывают трудности с сертификатами или конфигурацией, что может нарушить целостность данных и привести к их перехвату. Эта проблема может быть устранена выполнением корректных настроек.
Веб-приложения также остаются достаточно уязвимыми перед злоумышленниками. В 56% случаев встречается проблема использования уязвимых и устаревших компонентов. Среди других ошибок: возможность проведения SQL-инъекций и атак типа «межсайтовый скриптинг» (XSS), применение уязвимых конфигураций безопасности, проблемы шифрования.
89% организаций не обеспечивают защиту данных на должном уровне
22 февраля 2022 года компания Veeam Software сообщила о том, что 88% ИТ-руководителей ожидают, что бюджеты на защиту данных будут расти быстрее, чем общие расходы на ИТ, поскольку данные становятся критическим фактором успеха бизнеса, а задачи по их защите — все сложнее. Более двух третей компаний переходят на облачные сервисы для защиты своих данных.
По информации компании, при подготовке отчета Veeam Data Protection Trends Report 2022 был проведен опрос более 3000 лиц, принимающих решения (ЛПР) в глобальных корпорациях, что помогло сформировать актуальное представление о стратегиях в области защиты данных на ближайшие годы. Исследование отвечает на вопросы, как компании готовятся отвечать на стоящие перед ними ИТ-вызовы, включая взрывной рост использования облачных сервисов и нативной облачной инфраструктуры, и расширяющийся ландшафт кибератак, а также, какие меры, они предпринимают для реализации современных стратегий защиты данных, обеспечивающих непрерывность бизнеса.
За последние два года (с начала пандемии) объем данных увеличился более чем в два раза, в немалой степени из-за перехода на удаленную работу и применение облачных сервисов. По мере роста объема данных увеличиваются риски в области их защиты. Ярким примером являются вирусы-вымогатели. Исследование показало, что организации осознают эти проблемы и вкладывают значительные средства, чтобы обеспечить необходимый уровень защиты, на который рассчитывают пользователи. Темпы модернизации производственных платформ опережают темпы совершенствования методов и стратегий защиты. Объемы данных и разнообразие платформ продолжат расти, точно так же будет расширяться пространство для других киберугроз. Поэтому руководители компаний должны инвестировать в стратегию, которая позволит закрывать существующие пробелы и будет соответствовать растущим требованиям в области защиты данных. отметил Ананд Эсваран (Anand Eswaran), генеральный директор Veeam |
Респонденты указали, что их возможности по защите данных отстают от потребностей бизнеса, 89% отметили разрыв между тем, сколько данных они могут позволить себе потерять в результате сбоя, и тем, как часто создаются резервные копии. За последний год этот показатель увеличился на 13%, что свидетельствует о том, что хотя объемы и ценность данных продолжают расти, остаются сложности в обеспечении их защиты на должном уровне. Ключевой причиной является то, что ИТ-вызовы в области защиты данных, с которыми сталкиваются компании, масштабны и разнообразны.
Второй год подряд кибератаки становятся основной причиной простоев. За последний год 76% организаций сообщили как минимум об одном инциденте, связанном с вирусами-вымогателями. Обеспокоенность вызывает не только частота, но и масштаб этих инцидентов. В результате одной атаки компаниям не удавалось восстановить 36% потерянных данных, что доказывает неспособность применяемых стратегий по защите данных предотвратить, устранить и восстановить работу бизнеса после атак вирусов-вымогателей.
В ситуации, когда кибератаки становятся все более сложными и предотвратить их все труднее, решения для резервного копирования и восстановления данных становятся важнейшей основой современной стратегии защиты данных для любой организации. Компании должны быть на 100% уверены, что резервное копирование выполняется в рамках выделенного окна, а восстановление осуществляется в соответствии с требуемым SLA. Лучший способ обеспечить защиту и возможность восстановления данных в случае атаки вируса-вымогателя — привлечь стороннего специалиста и инвестировать в автоматизированное решение для оркестрации, обеспечивающее защиту многочисленных дата-центров и облачных производственных платформ, на которые в 2022 году опирается бизнес любого масштаба. говорит Дэнни Аллан (Danny Allan), главный технический директор Veeam |
Чтобы устранить разрыв между возможностями по защите данных и растущим спектром угроз, организации планируют ежегодно инвестировать в защиту данных в среднем на 6% больше, чем на ИТ в целом. И хотя это лишь немного перевесит наметившуюся тенденцию на отставание средств защиты данных от быстро растущих потребностей в такой защите, хорошо уже то, что руководители компаний признают острую необходимость внедрять современные стратегии защиты данных.
Облака постепенно превращаются в доминирующую платформу хранения и обработки данных, и 67% организаций уже применяют облачные сервисы в рамках своих стратегий защиты данных, а 56% либо уже используют контейнеры в повседневной работе, либо планируют начать применять их в ближайшие 12 месяцев. В 2022 году разнообразие платформ продолжит расширяться, а разрыв между долями дата-центров (52%) и облачных серверов (48%) продолжит сокращаться. Это одна из причин, по которой 21% компаний назвали возможность защищать размещенные в облаке рабочие нагрузки основным фактором для покупки корпоративных решений для защиты данных в 2022 году. 39% считают, что возможности IaaS/SaaS являются ключевой особенностью современного подхода к защите данных.
Гибридная ИТ-инфраструктура обеспечивает достаточную мощность, чтобы удовлетворять потребности как производства, так и защиты, обеспечивая и облачное хранение, и аварийное восстановление с помощью размещаемой в облаке инфраструктуры. Возможности инвестиций в современную защиту данных выходят далеко за рамки обеспечения спокойствия компаний, непрерывности бизнеса и сохранения доверия клиентов. Чтобы обеспечить правильное соотношение между стратегическими цифровыми инициативами и издержками, ИТ-руководители должны внедрять надежные решения при минимально возможных затратах. отметил Дэнни Аллан |
Ключевые выводы отчета Veeam Data Protection Trends Report 2022:
- Компании испытывают проблему «разрыва доступности»: 90% респондентов подтвердили, что сталкиваются с проблемой «разрыва доступности» — разницей между ожидаемым уровнем SLA и тем, насколько быстро они смогут вернуться к нормальной работе. Этот показатель вырос на 10% по сравнению с 2021 годом.
- Данные остаются без защиты: несмотря на то, что резервное копирование является основным компонентом любой стратегии защиты данных, данные 18% организаций по всему миру остаются без резервного копирования — то есть, абсолютно незащищенными.
- Человеческие ошибки происходят слишком часто: технические ошибки продолжают оставаться самой частой причиной простоя, в среднем 53% респондентов столкнулись со сбоями в работе инфраструктуры/сети, а также аппаратной и программной составляющих серверов. 46% респондентов столкнулись с ошибками конфигурирования со стороны администраторов, а 49% – со случайным удалением/перезаписью данных или их повреждением пользователями.
- Защита удаленных работников: только 25% всех организаций используют решения для оркестрации рабочих процессов и переподключения ресурсов в случае сбоя, 45% – запускают заранее прописанные скрипты, а 29% переконфигурируют схемы подключения пользователей вручную.
- Ценовой фактор продолжает играть решающую роль: решающим фактором для покупки корпоративного решения для работы с данными для 25% ИТ-руководителей является экономическая эффективность такого решения.
Ключевые выводы отчета Veeam Data Protection Trends Report 2022 по России:
- С проблемой «разрыва в защите» сталкиваются 77% российских компаний. 82% испытывают проблему «разрыва доступности».
- В среднем 16% данных компаний остаются незащищенными.
- В 2022 году 93% российских компаний планируют увеличить бюджеты на защиту данных — в среднем это на 7% выше, чем в 2021 году.
- 97% компаний столкнулись с непредвиденными сбоями в работе за последний год.
- 69% российских компаний пострадали от атак вирусов-вымогателей; второй год подряд именно кибератаки становятся одной из ключевых причин простоев в работе.
- В среднем 29% потерянных в результате атаки данных компании не подлежат восстановлению. 71% компаний не смогли восстановить как минимум часть потерянных данных.
- 44% компаний в качестве основной причины ИТ-сбоев назвали случайное удаление, перезапись или повреждение данных. 37% компаний столкнулись со сбоями, вызванными ошибками конфигурирования, и сбоями вследствие умышленных действий администраторов или пользователей.
- 32% российских компаний используют решения для оркестрации рабочих процессов для переподключения ресурсов в случае сбоя. 44% компаний запускают заранее сконфигурированные скрипты, а 24% перенастраивают подключение пользователей вручную.
- 64% российских компаний уже используют облачные сервисы в рамках своей стратегии защиты данных.
- 70% крупных компаний уже используют контейнеры в основной деятельности, а 26% планируют начать их использование в течение 2022 года.
- 52% инфраструктуры данных крупных компаний размещены в дата-центре, а 48% — в облаке.
2021
Средства мониторинга угроз в России не внедряют из-за кадрового голода
Компания «СёрчИнформ» 12 сентября 2022 года сообщила о проведении исследования практического применения систем мониторинга и управления событиями информационной безопасности (SIEM) в российском бизнесе. В опросе приняли участие 300 коммерческих, государственных и некоммерческих организаций из разных отраслей экономики. Подробнее здесь.
В госсекторе 71% компаний вкладываются в ИБ для соблюдения нормативов
Оснащенность организаций ИБ-средствами в ближайшее время может упасть на треть. Это коснется тех сегментов информационной безопасности, где велика доля внедрения иностранного ПО. Компания «СёрчИнформ» 7 апреля 2022 года поделилась данными своего опроса об оснащенности защитными решениями российских организаций.
По информации компании, оснащенность российских компаний защитным программным обеспечением не соответствует уровню существующих угроз информационной безопасности. По данным исследования «СёрчИнформ», которое компания проводила в конце 2021 года, даже встроенные в операционные системы инструменты безопасности используются не везде.
Основным мотиватором к внедрению ПО для информационной безопасности респонденты из коммерческого сектора называют реальные потребности бизнеса (70%). На втором месте – требования регуляторов (32%). В госсекторе картина противоположная: там 71% компаний вкладываются в ИБ для соблюдения нормативов и только 31,5% ощущают реальную потребность в защите данных. Также госорганизации втрое чаще сталкиваются с наказанием от регуляторов за нарушения требований информационной безопасности (25,5% респондентов против 8% в коммерческом секторе), хотя главной проблемой после утечек считают ущерб репутации. Так, 55% госкомпаний заявляют, что несут в основном имиджевый ущерб от таких инцидентов, в бизнесе его фиксируют только 22% опрошенных.
Компании чаще всего тратят бюджеты на продление лицензионных ключей на защитные решения и техподдержку (86% опрошенных). О закупке оборудования и ПО говорили немногим больше половины опрошенных (53%).
В нынешней ситуации перед организациями встает вопрос усиления защиты. Но в течение последних трех лет мы видим, что только четверть российских компаний увеличивают расходы на ИБ. В 62% компаний бюджет остается без изменений и тратят его на продление лицензионных ключей и техподдержку, тогда как в 2022 года необходимы закупки и масштабирование уже внедренного ПО. Еще одна проблема, которая встает перед компаниями, – это необходимость замещения тех зарубежных решений, которые приостановили работу на российском рынке. Это вызовет необходимость увеличить бюджеты на закупку ПО – мы прогнозируем рост затрат на восполнение потерь в два раза в течение года. В этой связи государственные меры поддержки по субсидированию закупок будут иметь большое значение. К сожалению, на апрель 2022 года субсидируется ограниченный круг ПО, этого недостаточно. Например, есть мера поддержки внедрения облачных программ для МСП, но она не предполагает субсидии на ИБ-софт. Это создает риск, что бизнес-процесс будет переведен в цифру, но защищен не будет. Но замещение не всегда возможно или невозможно в быстром темпе, поэтому оснащенность компаний по некоторым классам программных продуктов упадет на треть. В частности, речь про специализированное отраслевое ПО, которое уникально для каждой отрасли. Например, ПО для цифровизации производства будет заменить сложно – софт для инжиниринга или контроля производства. Мало того, что это ПО часто иностранное, так оно еще и в каждом случае дорабатывается под конкретное предприятие годами. То есть весь путь внедрения софта компаниям придется начать сначала, даже если аналог из РФ формально существует. |
В исследовании принял участие 1286 человек: это начальники и сотрудники ИБ-подразделений, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (24%) и некоммерческой сфер (2%). Исследование затронуло IT, нефтегазовый сектор, промышленность и транспорт, кредитно-финансовую сферу, ритейл, здравоохранение и другие отрасли.
Анкетирование проводилось в городах России и СНГ. Респонденты были опрошены в сентябре – ноябре 2021 года в офлайн-формате в регионах России и онлайн в странах СНГ.
Топ-5 трендов среди киберугроз для корпоративных сетей
Компания Accenture 27 февраля 2022 года представила данные отчета об уровне угроз для корпоративных сетей «Cyber Threat Intelligence Report» по итогам второго полугодия 2021 года.
Более 20 лет эксперты Accenture комплексно отслеживают и анализируют случаи кибервторжений и риски, которые они несут для бизнеса. Специалисты компании также рассматривают методы отражения кибератак в корпоративных сетях. На основе этих данных они выделили пять ключевых трендов, которые стоит учесть бизнесу при формировании ИБ-стратегии.
Тренд №1: Атаки программ-вымогателей все еще бьют в цель
По данным Accenture, доля атак от программ-вымогателей составила 35% от общего объема всех атак в 2021 году, что на 107% больше, чем в 2020 году. Большое количество таких атак в мире приходится на США: почти 45% от общего объема.
В основном атаки программ-вымогателей используются против предприятий обрабатывающей промышленности, финансового сектора, здравоохранения, ИТ-сферы и строительной отрасли. Атаки вымогателей остаются самыми дорогостоящими для бизнеса. Среди самых активных хакерских группировок названы LockBit и Conti. При этом конечных бенефициаров подобных киберпреступлений отслеживать крайне сложно.
Тренд №2: Цепочки поставок – под ударом
Технологические ландшафты постоянно усложняются, во многих отраслях цепочки поставок становятся все более разветвленными, охватывая разные города, страны и континенты. Усложнение цепочек поставок и отсутствие единой политики работы с данными для всех звеньев становится новой головной болью для компаний.
Существует проблема доступа через партнеров, которая при усложнении рынка становится все более комплексной.
Слабые звенья в цепочках поставках хакеры могут использовать для криптоджекинга (несанкционированного использования чужих устройств с целью скрытого майнинга криптовалют), промышленного шпионажа, развертывания программ-вымогателей и совершения целенаправленных атак. В 2021 году, по данным Accenture, 30% всех инцидентов были связаны с бэкдор-угрозами, то есть несанкционированным доступом к сетям и ПО компаний.
Тренд №3: Бум краж корпоративной информации
На кражи корпоративной информации пришлось 10% всех атак, совершенных в 2021 году. На черном рынке данных активизировалась торговля скомпроментированными данными для входа в различные системы, в том числе корпоративные. Это пароли для входа, системная информация и файлы использование cookies. Ситуацию усугубляют относительно невысокие цены на такую информацию в даркнете. Доступность данных развязывает злоумышленникам руки для доступа в сети компаний.
Тренд №4: Облака становятся новой целью хакеров
Популярность модели cloud computing несет множество плюсов для бизнеса, но одновременно привлекает внимание хакеров к системам хранения данных в облаке.
Злоумышленники все чаще используют инфраструктуру публичных облаков как плацдарм для атак. Один из потенциальных сценариев здесь – криптоджекинг (криптомайнинг). Хакеры используют чужие вычислительные ресурсы для «майнинга» криптовалют. При этом далеко не все компании контролируют облачную инфраструктуру так же хорошо, как локальные серверы.
Перенос процессов в облака усложняет задачу по защите данных, однако зачастую риски являются надуманными. 74% опрошенных IDG и Accenture компаний считают размещение данных в облаках безопасным. 73% заявили, что в результате миграции они получили лучший уровень информационной безопасности.
Более того, высокий уровень защиты данных сегодня входит в топ-3 факторов при принятии решения о переходе в облако. Еще в 2016 году более 50% компаний называли ИБ-риски главным барьером для миграции. Но уже в конце 2017 столько же организаций указали надежность защиты данных как одну из причин переноса ИТ-систем в облако.
Тренд №5: Дальнейшее развитие технологий для поиска уязвимостей
Эксперты Accenture отмечают значительный рост рынка подпольных технологий для поиска уязвимостей, которые позволяют злоумышленникам получить несанкционированный доступ к корпоративным сетям. Общие меры защиты для компаний включают реализацию принципа «нулевого доверия», мониторинг сетевой безопасности, строгий контроль доступа в сеть и всех конечных точек пользователей.
По словам Андрея Тимошенко, руководителя практики информационной безопасности Accenture в России, приведенные в исследовании тренды актуальны и для России, но с определенными оговорками.
Например, в России переход в облака находится условно на ранней стадии, поэтому все возможные последствия использования недостаточно защищенных облаков отечественному рынку только предстоит ощутить.
В отношении вирусов-шифровальщиков есть ряд факторов, позволяющих утверждать, что у нас это распространено в меньшей степени. С одной стороны, «русские хакеры» (если они существуют) не хотят связываться с нашими правоохранительными органами, поэтому стараются не атаковать российские компании. С другой стороны, есть основания полагать, что отечественное антивирусное ПО эффективнее работает против вирусов-шифровальщиков. Ну, и наконец, у нас обязательные требования сообщать государственным регуляторам о компьютерных атаках распространяются в основном на банки и объекты критической информационной инфраструктуры. Остальные компании, вероятно, не раскрывают эту информацию. А те, кто должны сообщать, часто просто не знают о том, что их взломали. Поэтому мы знаем только о самых громких случаях, - отмечает Андрей Тимошенко. |
Более половины организаций сталкиваются с проблемами в имплементации Zero Trust
Компания Fortinet 26 января 2022 года представила отчет the Global State of Zero Trust Report. Опрос показывает, что хотя большинство организаций понимают важность внедрения Zero Trust или находятся в процессе реализации инициатив, связанных с этой технологией, более половины из них не могут воплотить это представление в реализуемых ими решениях из-за отсутствия некоторых основных базовых принципов Zero Trust.
В связи с развитием ландшафта киберугроз, переходом на удаленную работу и необходимостью безопасного управления приложениями в облаке, модель Zero Trust является первостепенной задачей для организаций. Наше исследование показало, что хотя большинство организаций в той или иной форме стараются внедрять Zero Trust, они не имеют целостной стратегии и не могут реализовать некоторые основные принципы безопасности этого подхода. Эффективное решение для закрытия всех основных потребностей, связанных с Zero Trust в инфраструктуре, включая конечные точки, облачные и локальные системы, требует использования подхода на основе платформы кибербезопасности с ячеистой структурой. Если решение не включает все эти пункты, оно будет лишено широкой видимости и интегрированности во все процессы – сказал Джон Мэддисон, первый вице-президент отдела маркетинга продуктов и решений компании Fortinet. |
Отчет Threat Landscape Report от FortiGuard Labs продемонстрировал увеличение количества и повышение уровня изощренности атак, направленных на частных лиц, организации и критическую инфраструктуру. Организации ищут решения для защиты от этих эволюционирующих угроз, и Zero Trust стоит здесь на первом месте по нескольким причинам. Кроме того, переход к удаленной работе привлек особое внимание к сетевому доступу с нулевым доверием (ZTNA), поскольку организациям необходимо обезопасить себя и свои активы от последствий небезопасных подключений к домашним сетям с плохой защитой.
Отчет демонстрирует некоторую путаницу в понимании того, что включает в себя полноценная стратегия внедрения Zero Trust. Респонденты указали, что они понимают концепцию Zero Trust (77%) и ZTNA (75%), а более 80% сообщили, что уже имеют или разрабатывают стратегию внедрения Zero Trust и/или ZTNA. Тем не менее, чуть больше 50% указали, что не могут реализовать основные возможности Zero Trust. Почти 60% указали, что у них нет возможности аутентифицировать пользователей и устройства на постоянной основе, а 54% испытывают трудности с мониторингом пользователей после аутентификации.
Этот пробел вызывает озабоченность, поскольку эти функции являются важнейшими принципами Zero Trust, и это ставит под сомнение реальное положение дел с их внедрением в организациях. Дополнительную путаницу вносят термины «доступ с нулевым доверием» и «cетевой доступ с нулевым доверием (ZTNA)», которые иногда используются как взаимозаменяемые.
Приоритетами для Zero Trust являются: «минимизация последствий нарушений и вторжений», за которым следуют «защита удаленного доступа» и «обеспечение непрерывности бизнеса или другой деятельности». «Улучшение пользовательского опыта» и «достижение гибкости для обеспечения безопасности в любом месте» также являются важными приоритетами.
«Безопасность всей поверхности цифровых атак» была единственным наиболее важным качеством, указанным респондентами, за которым следует «лучший пользовательский опыт для удаленной работы (VPN)».
Подавляющее большинство участников опроса считают, что для решений безопасности с нулевым доверием жизненно важно быть интегрированными в существующую инфраструктуру, работать в облачных и локальных средах и быть безопасными на уровне приложений. Однако более 80% респондентов отметили, что внедрение стратегии Zero Trust в расширенной сети сопряжено с трудностями. Для организаций, не имеющих или не разрабатывающих такую стратегию, препятствия включают нехватку квалифицированных ресурсов, а 35% организаций используют другие ИТ-стратегии для решения проблемы Zero Trust.
Исследование основано на глобальном опросе руководителей[[]] ИТ-подразделений, цель которого – лучше понять, насколько далеко продвинулись организации на пути к Zero Trust. Цель опроса – понять следующее:
- насколько хорошо респонденты понимают суть Zero Trust и ZTNA.
- восприятие преимуществ и проблем при реализации стратегии Zero Trust.
- внедрение и элементы, включенные в стратегию нулевого доверия.
Опрос был проведен в сентябре 2021 года с участием 472 руководителей в области ИТ и безопасности из 24 стран, представляющих практически все отрасли, включая государственный сектор.
Выявлена 31 000 уязвимостей на один пилотный проект MaxPatrol VM
17 января 2022 года Positive Technologies сообщила о факторах, которые влияют на значимость уязвимостей, почему нужно быстро устранить трендовую уязвимость, если такая была обнаружена в системе, в чем ошибка компаний при определении угроз и как можно оптимизировать процесс приоритизации уязвимостей.
Специалисты Positive Technologies проанализировали данные, полученные в рамках пилотных проектов MaxPatrol VM в 2021 году, по результатам которых было просканировано более 15000 сетевых узлов в инфраструктурах госучреждений, учреждений науки и образования, финансовых организаций и телекоммуникационных компаний.
В ходе сканирований в среднем в рамках одного пилотного проекта было выявлено 31 066 уязвимостей, при этом критически опасные уязвимости были обнаружены на всех пилотных проектах. В среднем, более 800 уязвимостей в инфраструктуре компаний являются крайне опасными, такие уязвимости Positive Technologies называет трендовыми (которые активно используются в атаках или с высокой степенью вероятности будут применяться в ближайшее время), требующими первоочередных действий по устранению.
Эксперты Positive Technologies подчеркивают необходимость приоритизации уязвимостей по степени их влияния на реализацию недопустимых для компаний событий, поскольку далеко не все уязвимости, даже обладающие критическим и высоким риском, могут негативно повлиять на наиболее ценные активы компании.
На наш взгляд, есть две группы факторов, которые влияют на приоритет устранения уязвимости: значимость и доступность для злоумышленника актива, на котором обнаружена уязвимость, и степень опасности самой уязвимости – высокая вероятность того, что злоумышленник ее проэксплуатирует. Нередко специалисты по безопасности забывают про первую группу факторов и руководствуются только второй. Например, по результатам нашего опроса оказалось, что 29% респондентов приоритизируют обнаруженные уязвимости только по типу, базовой оценке CVSS и наличию эксплойта. Однако, мы считаем, что нельзя пренебрегать ни одной группой факторов, - сказал аналитик компании Positive Technologies Яна Юракова. |
Таблица 1 – Примеры трендовых уязвимостей
По мнению экспертов Positive Technologies, прежде чем переходить к процессу выявления уязвимостей, необходимо убедиться, что сканирование узлов выполняется правильно. Процесс vulnerability management должен охватывать всю ИТ-инфраструктуру компании, то есть необходимо проверить, что все активы идентифицированы, а в случае появления новых узлов или вывода из эксплуатации систем, перечень узлов для сканирования будет обновлен. В противном случае, может произойти ситуация, когда важный актив, например, сервер 1С или контроллер домена не попадает в область сканирования.
Для этого предлагается последовательно осуществить следующие шаги:
- определить, какие события могут нанести компании недопустимый ущерб, выявить ключевые и целевые системы, и разметить активы по степени значимости;
- провести оценку последствий использования уязвимости. Для этого нужно понять, что удастся сделать злоумышленнику в результате ее эксплуатации;
- ранжировать уязвимости по наличию публичного эксплойта или PoC;
- определите доступность системы и привилегии злоумышленника, который может потенциально использовать уязвимость;
- определить уровень опасности уязвимости по базовой оценке CVSS.
Этот подход будет актуален, если компания хочет построить результативную систему безопасности.
В компании Positive Technologies считают, что применение этого подхода позволит в первую очередь устранять самые опасные уязвимости на действительно критичных активах, и только тогда, когда самые важные системы будут защищены, можно будет перейти к устранению уязвимостей на менее значимых активах, используя тот же принцип.
72,5% организаций регистрируют у себя случаи нарушений в части управления доступом в информационные системы
Компания «Ростелеком-Солар» 3 декабря 2021 года представила результаты исследования «Нарушения в части управления доступом в российских компаниях». Опросив представителей около 100 столичных и региональных компаний из 9-ти отраслей, эксперты выяснили: 72,5% организаций регистрируют у себя случаи нарушений в части управления доступом в информационные системы, а в 55% российских компаний такие инциденты приводят к утечке конфиденциальной информации.
При этом почти 90% участников исследования признали, что число таких нарушений в компаниях в 2021 году по сравнению в предыдущим годом выросло. 40% компаний регистрируют случаи нарушений доступа более 3-х раз в год, а 32,5% – свыше 5-ти раз в год. Еще около 30% организаций сталкиваются с такой проблемой не чаще 2-х раз в год. В то же время ни один участник опроса не указал, что его компания не сталкивалась с подобными случаями.
Утечка конфиденциальной информации из компаний названа самым частым последствием, к которому приводят различного рода нарушения доступа в инфраструктуру организации – так полагает более половины опрошенных. Вторым наиболее распространенным последствием подобных нарушений (в 40% случаев) является временная недоступность информационных систем компании – сайтов, клиентских сервисов и т.п.
В целом, самые частые ошибки корпоративных пользователей участники опроса связывают с небрежным или халатным отношением персонала к вопросам информационной безопасности и низкой ИБ-грамотностью. 40% нарушений доступа вызваны передачей сотрудниками своих логинов-паролей от внутренних систем компании коллегам, подрядчикам, друзьям; в 30% случаев персонал использует ненадежные пароли и еще в 22,5% – небезопасно их хранит.
Эта проблема актуальна для всех компаний без исключения, и её трудно изжить. Наиболее уязвимым звеном информационной безопасности является человеческий фактор – низкая ответственность людей и осведомлённость в вопросах ИБ, что приводит к серьезному ущербу для компании – не только к гипотетическому репутационному, но и вполне реальному финансовому. Это и утечки конфиденциальной информации, которые в некоторых случаях могут привести к потере всего бизнеса. И вывод из строя ИТ-ресурсов организации, краткосрочный или длительный, который чреват уплатой компенсаций партнерам и заказчикам за простой в рамках исполнения компанией своих обязательств, потерей клиентов и упущенной выгодой. Бороться с этим непросто. Наиболее перспективным решением видится использование специализированных систем автоматизированного управления доступом с применением многофакторной аутентификации, биометрии и тому подобных передовых технологий, – подчеркнул Дмитрий Бондарь, директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар». |
Еще одна острейшая проблема в информационной безопасности организаций связана со слабым распространением практики автоматизированной блокировки учетных записей уволившихся из компании сотрудников. По данным исследования, в 50% компаний доступы уволившихся сотрудников ко внутренним системам так или иначе остаются незаблокированными. О части покинувших компанию работников просто забывают, блокируют выбывшему персоналу доступ не во все системы либо вовсе не блокируют «учетки» ушедших специалистов. По наблюдениям экспертов «Ростелеком-Солар», такие ситуации не редкость не только в небольших компаниях, но и, например, в крупных российских организациях банковской сферы. Также проблема актуальна для крупных предприятия IT-сферы, хотя их уровень зрелости в вопросах информационной безопасности вроде бы должен быть высоким.
География респондентов распределилась по 7-ми федеральным округам России, в число опрошенных не вошли представители Дальневосточного ФО. Опрос респондентов проводился в октябре-ноябре 2021 года.
36% сотрудников дома заботятся о безопасности данных меньше, чем в офисе
30 ноября 2021 года Iron Mountain Incorporated поделилась результатами исследования поведенного в сентябре 2021 года. Были опрошены 11 000 сотрудников компаний из 10 стран Европы. Результаты исследования показали, что низкий уровень осведомленности о рисках несанкционированного доступа к данным становится растущей угрозой для информационной безопасности. Помочь компаниям повысить свою устойчивость в условиях «новой нормальности» может переосмысление стратегии управления рисками.
Четверть (25%) респондентов заявили, что стали жертвами мошенничества или фишинга. Несмотря на это, сотрудники продолжают ставить под угрозу безопасность данных: 34% респондентов используют один и тот же пароль на нескольких платформах; 27% — забывают закрыть свой ноутбук, когда уходят со своего рабочего места; 24% использует публичный Wi-Fi во время работы; 18% — хранят на столе заметку со своим паролем; 11% оставляют документы с чувствительными данными на столе.
Только 32% опрошенных видят смысл в шредировании бумаги.
При гибридной работе риски увеличиваются: более трети сотрудников (36%) признают, что дома они заботятся о безопасности данных меньше, чем в офисе.
Согласно полученным данным, каждый третий сотрудник (32%) утверждает, что совершил «критическую» ошибку при работе с информацией, а 14% пошли на риск, который стоил их организации денег.
Три четверти сотрудников считают, что управление рисками жизненно важно для защиты конфиденциальной информации, однако половина респондентов (49%) все же считает, что рисковать на работе стоит — причем так считают большее количество мужчин, чем женщин (54% против 44%).
Мы все совершаем ошибки, поэтому риск по своему определению является постоянно присутствующим фактором в бизнесе, — отметила Сью Тромбли, управляющий директор по консалтингу компании Iron Mountain. Но в эпоху цифровых технологий, риски возрастают, следовательно, управление рисками должно постоянно развиваться. В условиях образовавшихся бизнес-моделей, гибридной работы и растущей угрозы кибератак как никогда важно эффективно управлять сотрудниками и внутренними рисками, чтобы создать устойчивость к внешним воздействиям намеренно. |
В то время как средняя стоимость утечки данных достигла 4,24 миллиона долларов США, эти тенденции подчеркивают важность эффективного обучения на рабочем месте, чтобы каждый сотрудник переосмыслил свою роль в управлении рисками.
Тем не менее, выводы исследования также заставляют задуматься о результативности текущих усилий по повышению осведомленности. В то время как 66% опрошенных менеджеров по управлению данными заявили, что тренинги по рискам посещают 50-100% сотрудников, более трети (36%) работников сообщили, что никогда не проходили такого обучения.
Доля рискованности позволяет бизнесу внедрять инновации, но недостаточная осведомленность о потенциальных повседневных опасностях может помешать долгосрочной устойчивости, — добавила Сью Тромбли. — Мы советуем дать возможность каждому сотруднику понять свою роль в управлении рисками путем внедрения в культуру компании осознанности рисков. |
Внешний злоумышленник может проникнуть в локальную сеть 93% предприятий
Эксперты Positive Technologies проанализировали результаты тестирования на проникновение и выяснили, что в 93% случаев внешний злоумышленник может преодолеть сетевой периметр и получить доступ к ресурсам локальной сети, причем на проникновение во внутреннюю сеть компании в среднем уходит два дня. В 100% исследованных компаний внутренний злоумышленник может получить полный контроль над инфраструктурой. Об этом PT сообщила 29 ноября 2021 года.
Исследование проводилось среди финансовых организаций (29%), организаций ТЭК (18%), в государственных (16%), промышленных (16%) и ИТ-компаниях (13%), а также в компаниях из некоторых других отраслей.
В ходе работ по анализу защищенности от внешнего злоумышленника экспертам Positive Technologies удалось преодолеть сетевой периметр в 93% проектов. По данным экспертов компании, этот показатель уже многие годы остается на высоком уровне и подтверждает, что практически для любой корпоративной инфраструктуры преступники смогут подобрать ключ и проникнуть внутрь.
В 20% проектов была проведена верификация недопустимых для компаний событий ИБ, — сказала руководитель исследовательской группы департамента аналитики информационной безопасности Positive Technologies Екатерина Килюшева. – В данных проектах компании в среднем обозначали шесть недопустимых событий, которые необходимо было реализовать. По мнению наших клиентов, наибольшую опасность для них представляют события, связанные с нарушением технологических процессов, процессов оказания услуг, кражей денежных средств и важной информации. Всего удалось подтвердить возможность реализации 71% обозначенных событий. Примечательно, что на атаку, которая приведет к реализации недопустимого события, злоумышленнику потребуется не больше месяца. Развитие атак на некоторые системы и вовсе может произойти за считаные дни. |
Несмотря на то, что финансовые организации считаются одними из наиболее защищенных, в рамках верификации недопустимых событий в каждом банке специалистам удалось выполнить действия, нарушающие бизнес-процессы банка и влияющие на качество оказываемых услуг. Например, был получен доступ к системе управления банкоматами с возможностью кражи денежных средств.
Путь злоумышленника из внешних сетей до целевых систем начинается с преодоления сетевого периметра. По данным исследования, в среднем на проникновение во внутреннюю сеть компании уходит два дня. Основным способом проникновения в корпоративную сеть эксперты назвали подбор учетных данных (71% проектов), в первую очередь связывая это с тем, что сотрудники любят устанавливать простые пароли, в том числе для учетных записей, используемых для администрирования систем.
Злоумышленник, обладающий учетными данными с привилегиями администратора домена, может получить множество других учетных данных для горизонтального перемещения по корпоративной сети и доступа к ключевым компьютерам и серверам. Получить доступ в изолированные сегменты сети нарушителю зачастую помогают средства администрирования, виртуализации, защиты или мониторинга. По данным исследования, в большинстве компаний отсутствует сегментация сети по бизнес-процессам, что позволяет развивать несколько векторов атак до тех пор, пока не будут реализованы несколько недопустимых событий одновременно.
Чтобы выстроить эффективную систему защиты, необходимо понимать, какие недопустимые события актуальны для той или иной компании, — отметила Екатерина Килюшева. — Идя по пути бизнес-процесса от недопустимых событий к целевым и ключевым системам, можно отследить взаимосвязи и определить последовательность применяемых мер по защите. Чтобы затруднить продвижение злоумышленника внутри корпоративной сети по направлению к целевым системам, мы предлагаем ряд взаимозаменяемых и взаимодополняемых мер, среди которых разделение бизнес-процессов, контроль безопасности конфигурации, усиленный мониторинг и удлинение цепочки атаки. Выбор тех или иных решений должен основываться на возможностях компании и ее инфраструктуре. |
90% работников считают, что организации часто жертвуют кибербезопасностью ради других целей
26 ноября 2021 года компания Trend Micro Incorporated подселась результатами исследования, согласно которым 90% ИТ-руководителей утверждают, что их компании готовы к компромиссам в вопросах кибербезопасности в пользу цифровой трансформации, повышения производительности или достижения иных целей. Больше того, 82% опрошенных почувствовали, что на них давят, требуя преуменьшить серьёзность киберрисков перед советом директоров.
ИТ-руководители вынуждены заниматься самоцензурой: выступая перед советом директоров, они опасаются звучать чересчур настойчиво или слишком пессимистично. Почти треть из них ощущает давление постоянно. Но такой подход только укрепляет порочный круг, в котором топ-менеджеры не осознают истинные масштабы рисков, — сказал Бхарат Мистри (Bharat Mistry), технический директор Trend Micro в Великобритании. — О рисках следует говорить таким образом, чтобы кибербезопасность рассматривалась как фундаментальный драйвер роста бизнеса, помогая объединить усилия ИТ-руководителей и руководителей компаний, которые на самом деле борются за одно и то же. |
Сотрудники, принимающие решения в области ИТ, ни в коем случае не должны преуменьшать серьёзность киберрисков для совета директоров. Но им, возможно, придётся подобрать иную терминологию, чтобы обе стороны понимали друг друга, — отметил Фил Гоф (Phil Gough), глава отдела информационной безопасности Nuffield Health, крупнейшей в Великобритании компании в области здравоохранения. — Это первый шаг к согласованию бизнес-стратегии со стратегией кибербезопасности, и этот шаг очень важен. Формулирование киберрисков в бизнес-терминах привлечёт к ним необходимое внимание и поможет высшему руководству признать безопасность фактором роста, а не препятствием для инноваций. |
Исследование показывает, что только 50% ИТ-руководителей и 38% лиц, принимающих бизнес-решения, считают, что топ-менеджмент полностью осознаёт масштаб киберрисков. Хотя некоторые считают, что это связано с тем, что тема сложная и постоянно меняется, многие уверены, что руководитель либо недостаточно старается (26%), либо просто не хочет понимать (20%).
Существуют также разногласия между ИТ-лидерами и руководителями бизнеса по поводу того, кто в конечном итоге несёт ответственность за управление рисками и их смягчение. ИТ-руководители почти в два раза чаще, чем бизнес-лидеры, указывают на ИТ-команды и директоров по информационным технологиям. 49% респондентов утверждают, что киберриски по-прежнему рассматриваются как проблема ИТ, а не как бизнес-риски.
Подобное противоречие может стать причиной серьёзных неприятностей: 52% респондентов согласны с тем, что отношение их организации к киберрискам непоследовательно и меняется от месяца к месяцу. Однако 31% респондентов считают, что кибербезопасность является самым большим бизнес-риском, а 66% утверждают, что она оказывает наибольшее влияние на затраты из всех бизнес-рисков — это выглядит противоречием, если учесть общую готовность идти на компромисс в отношении безопасности.
Респонденты считают, что есть три основные фактора, которые вынудят высшее руководство обратить больше внимания на киберриски:
- 62% думают, что это случится после взлома организации,
- 62% считают, что поможет возможность давать более чёткое и понятное объяснение бизнес-рисков, причиной которых являются киберугрозы,
- 61% уверены, что на ситуацию могут повлиять клиенты — если начнут требовать более совершенной защиты данных.
Чтобы кибербезопасность превратилась в вопрос уровня совета директоров, топ-менеджмент должен рассматривать её как полноценный инструмент поддержки бизнеса, — сказал Марк Уолш (Marc Walsh), архитектор корпоративной безопасности в Coillte, ирландской компании в области лесного хозяйства. — Это побудит руководителей ИТ и безопасности формулировать проблемы перед советом директоров на языке бизнес-рисков. И для этого потребуются приоритетные упреждающие вложения со стороны совета директоров, а не только временные решения после взлома. |
Целевым атакам подвергались треть российских компаний
9 ноября 2021 года компания Positive Technologies сообщила о том, что провела анонимный опрос среди специалистов по информационной безопасности компаний из девяти отраслей: финансовой, промышленной, государственного сектора, ТЭК, образования, телекоммуникаций, здравоохранения, СМИ и IT. В каждой сфере были обнаружены организации, которые подвергались целенаправленным атакам. Чаще всего жертвами становились финансовые компании - 44% случаев, на втором месте оказались предприятия топливно-энергетического комплекса - 33%, замыкают тройку госучреждения - 29% случаев. Подробнее здесь.
Более 55% крупных компаний недостаточно защищены от кибератак
8 ноября 2021 года компания Accenture сообщила, что выпустила отчет «State of Cybersecurity Resilience 2021». Исследование отвечает на вопрос: насколько эффективные меры предпринимают компании для защиты корпоративных сетей. Команда Accenture Research опросила 4744 руководителя компаний с годовым доходом не менее 1 млрд долларов в 23 отраслях и 18 странах мира.
Более 55% крупных компаний недостаточно эффективно предупреждают кибератаки, а также слишком медленно обнаруживают и устраняют уязвимости, говорится в исследовании Accenture.
По информации компании, 81% респондентов полагают, что затраты на предупреждение кибератак неоправданно высоки. В исследовании 2020 года так считали только 69% опрошенных.
82% компаний увеличили расходы на кибербезопасность, но количество взломов, включая несанкционированный доступ к данным, приложениям, сервисам, сетям или устройствам, выросло на 31% по сравнению с 2020 годом. В среднем на одну компанию пришлось 270 таких инцидентов.
В отчете подчеркивается необходимость использовать меры по защите информации не только внутри компании, но и в рамках партнерской сети во всей экосистеме. Взломы корпоративных сетей происходят зачастую через «звенья» в цепочке связанных электронными документооборотом организаций. 67% компаний считают, что их экосистема безопасна, однако непрямые (через партнера) атаки составили в 2021 году 61% от общего числа (44% - годом ранее).
Аналитики Accenture выявили среди респондентов небольшую группу компаний – 5%, которые оказались не только киберустойчивы, но и окупили инвестиции в безопасность. Их назвали «киберчемпионами».
Стратегия «киберчемпионов» состоит из нескольких пунктов:
- существует баланс между возможностями технологий обеспечить кибербезопасность и желаниями и бизнес-целями компании развиваться и расширяться;
- ИБ-департаменты подчиняются непосредственно генеральному директору и совету директоров, демонстрируя большее понимание стратегии развития и рисков в тесной работе с бизнес-подразделениями и финансовым директором;
- предприняты дополнительные меры и внедрены технологии для обеспечения защиты данных, в том числе для приложений и данных в облаках;
- зрелость и работоспособность программы кибербезопасности оценивается регулярно, не реже раза в год.
Для достижения устойчивой и измеримой киберустойчивости директорам по ИБ необходимо выйти за рамки своей функции, ориентированной только на безопасность, и начать сотрудничать с другими подразделениями в организации, чтобы получить полное представление о бизнес-рисках и приоритетах.
«В России до сих пор есть компании, которые не полностью внедрили даже базовый или «джентльменский» набор мер защиты, не говоря уже об эшелонированной системе обороны от кибератак. В таких организациях существует прямая корреляция между уровнем зрелости кибербезопасности и поддержкой со стороны руководства и бизнеса. Чем больше поддержки и вовлеченности менеджмента, тем выше киберустойчивость компании и наоборот», - |
При этом, по его словам, в России также есть и свои «киберчемпионы» – компании, которые больше других находятся в фокусе внимания киберпреступников и достаточно инвестируют в безопасность.
По мнению Андрея Тимошенко, в условиях ограниченности ресурсов – таких как время, квалифицированные кадры, финансирование – нужно правильно расставить приоритеты и приложить усилия для обеспечения киберустойчивости.
«Развитие компетенций и повышение осведомленности в области безопасности за рамками функции ИБ, автоматизация рутинных операций и выполнение нормативных требований поможет усилить систему защиты в краткосрочной и долгосрочной перспективе», - добавляет Андрей Тимошенко. |
Кибербезопасности гибридных рабочих мест угрожает идеальный шторм
28 октября 2021 года компания HP Inc. опубликовала отчет HP Wolf Security «С глаз долой, из сердца вон» (Out of Sight & Out of Mind) об изменениях в поведении пользователей и появлении проблем для ИТ-подразделений, связанных с ростом числа гибридных рабочих мест.
Согласно исследованию, все большее число пользователей приобретают и подключают устройства к корпоративной сети без ведома или одобрения ИТ-подразделений. В отчете HP Wolf Security специалисты также отмечают возросший уровень угроз и увеличение числа успешных обходов механизмов защиты, фишинговые атаки случаются всё чаще. В результате ИТ-поддержка сотрудников становится более сложной, трудоемкой и дорогостоящей, чем когда-либо.
Отчет «С глаз долой, из сердца вон» объединяет данные глобального онлайн-опроса YouGov, в котором приняли участие 8 000 офисных сотрудников, перешедших на удаленный режим работы в период пандемии, а также данные опроса среди 1100 лиц, принимающих решения в области ИТ, проведенного Toluna. Среди основных выводов можно отметить следующие:
Использование «теневых ИТ» нарушает корпоративные стандарты безопасности: термин ‘Shadow IT’ («теневые ИТ») подразумевает использование рабочих инструментов в обход специалистов ИТ-отдела. Подобный феномен становится весьма распространенным. За 2020 год около 45% интервьюированных сотрудников приобрели ИТ-оборудование (например, принтеры или ПК) для работы из дома. При этом 68% заявили, что вопросы безопасности не входили в перечень основных критериев при принятии решения о покупке, 43% респондентов не передавали свой новый ноутбук или ПК для проверки и настройки ИТ-специалисту, 50% аналогичным образом ответили на подобный вопрос о своем новом принтере.
Фишинговые атаки стали чаще достигать цели: 74% сотрудников ИТ-отделов отметили, что за последний год переходов на вредоносные ссылки или открытий зараженных вложений в электронной почте стало больше. В течение 2020 года 40% интервьюированных офисных работников в возрасте от 18 до 24 лет открывали небезопасные электронные письма, причем почти половина (49%) объяснила это переходом на удаленный режим работы. Из числа офисных сотрудников, получивших «ссылки-ловушки» от киберпреступников, 70% не сообщили о переходе на вредоносные сайты в ИТ-департамент, 24% не посчитали это важным, 20% указали на «фактор сложности», а 12% опасались дисциплинарных взысканий.
Рост числа взломанных устройств пропорционален количеству запросов на восстановление: 79% ИТ-специалистов сообщают, что за время пандемии увеличилось число запросов на восстановление взломанных систем. Объем обращений напрямую коррелирует с количеством персональных устройств, которым требуется очистка и повторная установка ПО из-за того, что они были атакованы. Это, в свою очередь, означает, что все больше злоумышленников успешно преодолевают существующую защиту. Реальная цифра может быть еще выше: 80% опрошенных ИТ-специалистов опасаются, что устройства сотрудников могут быть взломаны, при этом сами пользователи могут об этом не подозревать.
Пользователи зачастую не знают, переходили ли они по каким-то вредоносным ссылкам и открывали ли они зараженные вложения, поэтому реальные цифры могут быть намного выше, – сказал Йэн Пратт (Ian Pratt), глобальный руководитель отдела безопасности персональных систем в HP Inc. – Злоумышленники, как правило, делают все, чтобы оставаться как можно дольше незамеченными. Действуя аккуратно, они пробираются в самую глубь инфраструктуры, где уже совсем иная стоимость ущерба. Так, например, они используют облачные резервные копии для извлечения конфиденциальных данных, шифруют эти файлы на серверах и затем требуют многомиллионный выкуп.
Нельзя допускать такого легкого проникновения злоумышленников в систему по причине открытия почтового вложения. Изоляция и сдерживание угроз могут позволить смягчить любое разрушительное воздействие, препятствуя закреплению вредоносного кода и предотвращая возможность масштабирования атаки. |
С ростом угроз ИТ-отделам становится все труднее осуществлять поддержку информационной безопасности. В частности, 77% специалистов сообщили, что за последний год увеличились затраты ресурсов, необходимых для выявления угроз, в то же время 62% оповещений о риске взлома устройств оказались ложными, что привело к потере времени. Поскольку ИТ-команды заняты отработкой таких сигналов, им становится все труднее выявлять угрозы и интегрировать новых работников в корпоративную сеть:
- 65% ИТ-специалистов утверждают, что установка патчей безопасности на персональные устройства требует много времени и осложняется массовым переходом сотрудников на удаленный режим работы. Отвечая на вопрос о предоставлении и настройке системы безопасности для новых пользователей, 64% специалистов сослались на те же сложности.
- В результате, по оценкам специалистов, стоимость ИТ-поддержки по обеспечению безопасности выросла за последние 12 месяцев на 52%.
- 83% сотрудников ИТ-отделов отмечают увеличение нагрузки в период пандемии из-за проблем с защитой пользователей, находящихся на удаленном режиме работы. 77% ИТ-команд говорят, что переход сотрудников на дистанционный формат значительно усложняет рабочий процесс. В компаниях опасаются, что это приведет к профессиональному выгоранию специалистов по кибербезопасности и, как следствие, оттоку кадров.
В связи с увеличением нагрузки и сложности задач, стоящих перед ИТ-командами, управлять процессами по обеспечению безопасности становится всё сложнее, – заключил Пратт. – Чтобы гибридная работа была успешной, сотрудники ИТ-отделов должны быть освобождены от необходимости тратить часы на обработку рутинных запросов пользователей, чтобы сосредоточиться на более приоритетных задачах. Нам необходима новая архитектура безопасности, которая защищает не только от известных и еще не выявленных угроз, но и помогает снизить нагрузку на специалистов и пользователей. Придерживаясь принципов Zero Trust, организации могут разрабатывать устойчивые системы безопасности, чтобы защитить бизнес и обеспечить быстрое восстановление систем в том случае, если они будут скомпрометированы. |
HP помогает организациям обезопасить гибридные рабочие места, предоставляя командам все необходимые инструменты управления. Благодаря HP Wolf Security организации получают надежную встроенную защиту от «железа» до «облака» и от BIOS до браузера. Решение HP Wolf Security позволяет анализировать отчетные данные с устройств, что помогает командам добиться комплексной защиты и конфиденциальности.
Компании реагируют на кибератаки лишь через 2 дня
В середине октября 2021 года появилась информация о том, что реагирование на кибератаки занимает у средней компании 20,9 часа, что составляет более двух рабочих дней. Это следует из нового отчета компании Deep Instinct, в котором говорится, что 86% специалистов по безопасности не уверены в том, что их сотрудники не будут переходить по вредоносным ссылкам.
В отчете от Deep Instinct проанализированы ответы 1,5 тыс. специалистов по кибербезопасности, работающих в компаниях со штатом более 1 тыс. человек из 11 стран. Респонденты назвали недостаток средств предотвращения угроз, специфичных для невиданных ранее вредоносных программ, одной из своих главных проблем, за которой следуют нехватка квалифицированных сотрудников и тактика скрытого противодействия.
Атаки вирусов-вымогателей и вредоносного ПО в ближайшее время не прекратятся. Именно поэтому организациям необходимо лучше подготовиться к борьбе с потенциальными угрозами, применяя подход, основанный на предотвращении. Наши результаты проливают свет на многочисленные проблемы с которыми ежедневно сталкиваются команды безопасности и дают представление о серьезных потребностях, которые необходимо решить отрасли, - сказал генеральный директор Deep Instinct Гай Каспи (Guy Caspi). |
Исследование также показало, что 99% респондентов считают, что не все конечные точки в их компаниях защищены хотя бы одним программным агентом. Только одна треть утверждает, что все конечные точки имеют одинаковый уровень защиты, при этом 60% заявили, что они не могут последовательно блокировать угрозы на разных конечных точках.
Участники опроса, проведенного компанией Deep Instinct, также отметили, что компромиссы в облачных и файловых хранилищах по-прежнему трудно устранить. 80% сообщили, что файлы, хранящиеся в облаке, не проверяются на наличие уязвимостей, а 68% заявили, что испытывают хотя бы некоторую обеспокоенность по поводу того, что у них есть хоть какое-то беспокойство по поводу того, что коллеги-сотрудники невольно загружают вредоносные файлы и компрометируют среду.[6]
Глобальные организации используют в среднем 29 решений для мониторинга безопасности
12 октября 2021 года компания Trend Micro Incorporated сообщила о том, что глобальные организации используют в среднем 29 решений для мониторинга безопасности. Это усложняет работу центров управления кибербезопасностью (SOC) по приоритизации предупреждений и эффективному управлению рисками.
Глобальное независимое исследование выявило серьёзные проблемы, с которыми сталкиваются команды SOC, занимающиеся обнаружением киберугроз и реагированием на них. Специалисты, которые работают в организациях с более чем 10 тысячами сотрудников, имеют дело в среднем с почти 46 инструментами для мониторинга.
Половина (51%) респондентов заявили, что они фактически не используют многие из имеющихся в наличии инструментов по таким причинам:
- отсутствие интеграции (42%),
- нехватка квалифицированных специалистов (39%),
- сложности в управлении инструментами (38%),
- устаревание инструментов (37%),
- отсутствие доверия к ним (20%).
Потенциальный урон в результате подобных проблем может быть высок: респонденты заявили, что в среднем их организации могут потерять более 235 тысяч долларов США, если из-за какого-либо инцидента будет нарушен регламент GDPR.
Чрезмерное количество инструментов — всё более распространённое явление в глобальных организациях любого размера. Тем не менее, когда дело доходит до обнаружения инцидентов и реагирования, расходы, иногда неподтверждённые, продолжают расти, — сказал технический директор Trend Micro в Великобритании Бхарат Мистри (Bharat Mistry). |
Исследование также показало, что 92% респондентов рассматривали возможность аутсорсинга обнаружения и реагирования с использованием управляемых услуг. Подобные решения обычно помогают возместить нехватку внутренних ресурсов и обеспечить компанию единой унифицированной платформой для улучшения реагирования на инциденты.
Несмотря на то, что организации вынуждены платить за лицензирование и обслуживание, команды SOC всё чаще подвергаются стрессу, пытаясь управлять несколькими решениями одновременно. Отсутствие возможности приоритизировать предупреждения может привести к потере данных. Неудивительно, что многие организации предпочитают схему ″центр управления безопасностью как услуга″ (SOC-as-a-Service), — добавил Бхарат Мистри. |
Исследование основано на интервью с 2303 лицами, ответственными за принятие решений в области ИТ-безопасности в 21 стране. В их число входят руководители, которые управляют командами SOC (85%), и те, кто управляет SecOps из внутренней группы ИТ-безопасности (15%). Все респонденты представляли компании с более чем 250 сотрудниками.
Свыше 77% российских предпринимателей не готовы платить выкуп за расшифровку данных
23 сентября 2021 года компания Group-IB сообщила, что 77,4% российских предпринимателей совершенно не готовы платить выкуп за расшифровку данных, при этом больше половины опрошенных — 51,9% — признают, что их компания «скорее не защищена» от атак программ-вымогателей.
В начале сентября 2021 года издание The Bell совместно с экспертами Group-IB провели online-исследование среди российских предпринимателей на тему, сталкивались ли они с кибератаками, защищены ли их сети от программ-вымогателей, и хорошо ли бизнесмены понимают, что даже такая привычная вещь, как электронная почта, может стать точкой входа для злоумышленников.
По данным опроса, 27,4% российских предпринимателей за последние два года подвергались кибератакам, большинство (59,4%) утверждают, что и эта проблема не коснулась — «им везло», еще 13% не знают, были ли вообще такие атаки, потому что этим вопросом должны заниматься ИТ-специалисты или служба безопасности. Больше половины опрошенных бизнесменов (50,9%) считают опасной угрозу программ-шифровальщиков и примерно столько (51,9%) же убеждены, что их компания «скорее не защищена» от атак шифровальщиков.
Стоит отметить, что последние годы мишенью для программ-вымогателей являются не только крупные корпорации, но и компании из сегмента среднего и малого бизнеса, в том числе и в России. По данным Лаборатории компьютерной криминалистики Group-IB, количество атак на организации на территории РФ в 2021 году увеличилось более чем на 200%. Размер запрашиваемого у российских компаний выкупа, как правило, зависит от величины организации. В целом, «вилка» колеблется от нескольких сотен тысяч до десятков миллионов рублей, при этом средний выплаченный выкуп в 2021 году составил порядка 3 млн рублей. Среднее время простоя атакованной компании составляет 18 суток.
77,4% опрошенных The Bell представителей российского малого и среднего бизнеса, «совершенно не готовы платить» киберпреступникам за расшифровку данных в случае, если их атакует программа-вымогатель. Еще 17,9% готовы расстаться с 5 миллионами рублей, а 3,7% переведут злоумышленникам даже 10 миллионов рублей, чтобы вернуть ценные данные. Только 1% опрошенных заявили, что не пожалеют за расшифровку 100 миллионов рублей. При этом 33% предпринимателей заявили, что остановка всего на несколько часов уже критична для их бизнеса, еще для 30% критичным является простой на 1 день.
Электронная почта наряду с компрометацией публично доступных терминальных серверов (RDP) остается одним из самых популярных первичных векторов целевой атаки, как у киберкриминала, так и прогосударственных хакерских групп. О том, что электронная почта в 40-60% является точкой проникновения в сеть знают 50% опрошенных The Bell российских предпринимателей. При этом столько же — 50% — не используют дополнительных технологий защиты почты, ограничиваясь встроенными возможностями. Около 16% вообще не думают о том, что почту нужно как-то защищать.
Несмотря на то, что результаты нашего исследования выглядят довольно оптимистично, они показали парадоксальную вещь: большинство опрошенных знают о том, что они не защищены от атак, осознают опасность программ-вымогателей, но при этом не пытаются от них эффективно защититься. Пока я не видел электронную почту, которую невозможно было бы «пробить». Недооценка этого простейшего вектора проникновения тех же вымогателей — опасна. Иллюзию защищенности подпитывает тот факт, что громких новостей с огромными выкупами, как на Западе, в России, пока нет. Но это лишь вопрос времени, сказал Олег Скулкин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB.
|
Специалисты Group-IB разработали онлайн-тест, позволяющий оценить уровень защиты электронной почты и вероятность стать жертвой злоумышленников. Тест построен более, чем на 30 сценариях реальных кибератак. Его было предложено пройти всем участникам Bell.Club. Согласно опросу, 50% предпринимателей выразили готовность оценить насколько они защищены.
1 из 10 российских организаций осознает опасность уязвимостей в веб-приложениях
В 2020 году атаки на веб составили треть всех инцидентов информационной безопасности. Однако только 10% российских организаций считают, что веб-приложения являются приоритетным элементом инфраструктуры для сканирования на уязвимости. Это следует из опроса «Ростелеком-Солар», посвященного трендам Vulnerability Management (VM), которыми компания поделилась 14 сентября 2021 года. Регулярные пентесты, проводимые специалистами компании, показывают, что больше половины (57%) веб-ресурсов имеют критические уязвимости, которые могут использовать даже непрофессиональные хакеры.
В рамках исследования, которое проводилоcь в апреле-июне 2021 года, были опрошены представители 200 организаций разного масштаба и профиля (госсектор, финансы, промышленность, ИТи др.).
Согласно данным опроса, всего 7% организаций осознают значимость сканирования изолированного (т.е. не подключенного к интернету) сегмента ИТ-инфраструктуры. Например, это промышленные сети или закрытые государственные системы обмена данными. Сканирование внешнего периметра считают важным 29% респондентов. Ключевым же элементом для анализа уязвимостей 45% опрошенных назвали локальную сеть организации. И лишь десятая часть респондентов считает важным сканирование всех элементов инфраструктуры.
Концентрация на одном из сегментов инфраструктуры приводит к существенному ослаблению безопасности другого. С одной стороны, именно уязвимости внутренних сетевых узлов хакеры используют для развития атаки внутри инфраструктуры (для кражи данных, влияния на технологические процессы и т. п.). С другой – компании, концентрируясь на внутренних уязвимостях, уделяют недостаточно внимания внешним, которые позволяют злоумышленникам проникнуть во внутренний контур, - отметил Максим Бронзинский, руководитель направления Vulnerability Management платформы сервисов кибербезопасности Solar MSS компании «Ростелеком-Солар». - По нашей оценке, 44% веб-приложений (например, корпоративные порталы, почтовые приложения) имеют некорректную настройку прав доступа, а 29% – возможности внедрения SQL-инъекций. Если говорить об изолированном контуре, то автоматические обновления ПО, которые закрывают многие уязвимости, здесь недоступны из-за отсутствия подключения к интернету. Это становится критично, так как ручной или полуручной процесс установки патчей отсутствует в 90% российских организаций. |
В целом, согласно опросу, контроль уязвимостей в том или ином виде есть в 70% организаций. Однако в большинстве из них сканирование проводится недостаточно регулярно: более 60% компаний сканируют инфраструктуру раз в квартал или реже. Это, по оценкам специалистов «Ростелеком-Солар», не соответствует динамике появления уязвимостей. В то же время анализ критических серверов и рабочих компьютеров сотрудников проводится более регулярно. Раз в квартал и реже эти элементы инфраструктуры проверяют 40% респондентов, остальные – чаще.
Почти во всех организациях сканирование либо проводится автоматически (так ответили 41% респондентов), либо силами одного выделенного ИБ-специалиста (39%). Этого недостаточно для оперативной обработки полученных со сканера данных и формирования актуальных рекомендаций по закрытию найденных уязвимостей – отмечают эксперты.
В то же время часть опрошенных указывает на проблемы во взаимодействии между ИБ-службами и ИТ-администраторами своих организаций в вопросах установки патчей. В 12% опрошенных компаний ИТ-службы никак не реагируют на запросы о проведении необходимых обновлений даже в период массовых атак-пандемий.
Регулярное сканирование обеспечивает, помимо прочего, инвентаризацию цифровых активов. Если же в компании отсутствует процесс управления уязвимостями и нет ресурсов на обработку полученных данных, в инфраструктуре возникают так называемые shadow IT – неучтенные и потому незащищаемые участки ИТ-ландшафта, которые могут использоваться хакерами для совершения атаки.
Производственные предприятия – самые частые «жертвы» внутренних нарушений ИБ
Компания «Ростелеком-Солар» 9 сентября 2021 года поделилась результатами исследования «Какие организации чаще других подвержены внутренним нарушениям корпоративной безопасности и служебной дисциплины?». Проанализировав данные пилотных проектов использования системы защиты от утечек Solar Dozor в 97-ми российских компаниях с 2018 по 2020 гг., аналитики «Ростелекома» составили портрет организации – типичной «жертвы» внутренних нарушителей.
Среднестатистическая организация, в которой наиболее часто происходят различные нарушения внутренней ИБ и трудовой дисциплины (включая нарушение правил безопасного обращения с конфиденциальной информацией) относится к производственной/научно-производственной сфере, имеет в штате свыше 1000 чел. Здесь фиксируется в среднем 1900 нарушений за 3 месяца, 7 из которых признаются ИБ-службой высококритичными.
Вопреки расхожему мнению о том, что для производственного блока информационные утечки не характерны и здесь люди заняты делом, а не сидят в соцсетях, пилотирование нашей DLP-системы в организациях этой сферы демонстрирует обратное. В целом, здесь основная доля нарушений фиксируется среди так называемого офисного, или административного, персонала производственных предприятий. Существенной долей этих нарушений являются нарушения служебной дисциплины – подработки, нецелевое использование рабочего времени и оборудования работодателя. В то же время, таким компаниям есть что терять и, соответственно, серьезно охранять: утечка инновационных и секретных разработок, результатов научных исследований чревата серьезными потерями, как репутационными, так и финансовыми. А в случае с государственными научно-производственными организациями речь вполне может идти об утечках информации, составляющей государственную тайну, сказала Елена Черникова, старший бизнес-аналитик компании «Ростелеком».
|
Из 97 организаций, испытавших на себе работу системы защиты от утечек, в 70-ти были зафиксированы различные события информационной безопасности. Их общее количество составило свыше 320 тысяч – то есть примерно 4600 потенциальных дисциплинарных и ИБ-нарушений в среднем в каждой организации. Одним из «лидеров» по количеству и частоте выявления критичных нарушений стала компания сферы управленческого консалтинга и рекрутмента: 196 критичных нарушений из зафиксированных 14.5 тысяч «событий» (каждое 80-е событие безопасности является критичным). 172 события критичного уровня было зафиксировано в организации транспортно-логистической сферы, общий объем накопленного трафика в которой за 2 месяца пилотирования составил чуть менее 780 тысяч сообщений. Замыкает «веселую тройку» крупная финансовая организация, в которой среди накопленных 13 млн сообщений зафиксировано 54 критичных события.
В целом, «Топ-5» отраслей, в которых компании столкнулись с наибольшим количеством критичных нарушений, включает научно-производственные организации (4181 нарушений), производство (1968), финансовые организации (1847), транспорт и логистика (1335), органы государственной власти и предоставление государственных услуг (460). Наиболее часто в компаниях этих отраслей встречаются внутренние нарушения правил работы с документами с грифом «Для служебного пользования» и иными конфиденциальными документами. Их бесконтрольно копируют на съемные носители, пересылают на внешние адреса электронной почты на бесплатных почтовых сервисах, хранят в открытом доступе во внутренней сети.
Лидеры по числу выявляемых нарушений — подразделения, обслуживающие основные производственные процессы: бухгалтерия (14,8%), ИТ и техподдержка (12,9%), кадры и маркетинг (10,3%) и закупки (9,5%). Суммарно на них приходится почти половина всех нарушений. Здесь чаще всего фигурирует распространенный вид нарушения «нецелевое использование рабочего времени». В то же время не следует недооценивать риски со стороны более «дисциплинированных» подразделений. Здесь внутренние нарушения могут обернуться самыми серьезными последствиями для компании: через отдел продаж может «утекать» чувствительная информация о клиентах, а через конструкторское бюро — уникальные технологические наработки.
Исследование основано на анализе обезличенных данных отчетов о пилотировании DLP-системы Solar Dozor в 97 организациях России и СНГ на протяжении трех лет: с 2018 по 2020 гг. При этом для целей исследования также было опрошено чуть менее 300 специалистов различных подразделений данных организаций. Половину участвовавших в исследовании организаций составляют компании численностью свыше 1000 человек. В выборку вошли такие рыночные сегменты, как Производство, Образование, Финансы, Ритейл, Услуги, Транспорт, Культура, Медицина, Промышленность, ИТ/Телеком, Государственное управление и ряд других направлений — всего свыше 15-ти отраслей.
91% ИТ-сотрудников вынуждены идти на компромиссы в вопросах кибербезопасности
9 сентября 2021 года HP Inc. опубликовала отчет HP Wolf Security под названием `Rebellions & Rejections` («Бунтарство и неприятие») – глобальное исследование, указывающее на наличие внутренних трений и напряженности между ИТ-специалистами и сотрудниками, работающими в удаленном режиме. Чтобы защитить рабочие места в будущем, руководителям служб безопасности следует обратить внимание на эту проблему.
Результаты исследования показывают, что на фоне растущих угроз ИТ-сотрудники вынуждены идти на компромиссы и рисковать кибербезопасностью предприятий для обеспечения непрерывности бизнеса. Усугубляет ситуацию то, что их усилия и попытки улучшить меры безопасности для удаленных сотрудников зачастую не находят понимания у этих самых сотрудников. Это особенно актуально для молодежи в возрасте 18-24 лет, которые все чаще разочаровываются в том, что правила безопасности мешают им выполнять работу в поставленные сроки, из-за чего многие вынуждены обходить меры контроля.
В отчете HP Wolf Security представлены объединенные данные глобального онлайн-опроса YouGov, в котором приняли участие 8 443 офисных работника, перешедших на удаленный формат работы во время пандемии, а также глобального опроса, который был проведен исследовательской фирмой Toluna среди 1 100 лиц, принимающих решения в сфере ИТ. В числе основных выводов можно отметить следующие:
- 76% опрошенных ИТ-сотрудников признают, что для обеспечения непрерывности бизнеса в период пандемии вопросы безопасности уходят на второй план, при этом 91% респондентов сообщают, что вынуждены идти на компромиссы в вопросах безопасности в угоду сохранения непрерывности бизнеса.
- Почти половина (48%) опрошенных молодых офисных сотрудников (в возрасте 18-24 лет) воспринимают меры безопасности как помехи при выполнении своей работы, в результате чего почти треть (31%) опрошенных пытается обойти корпоративные политики безопасности, чтобы своевременно выполнять поставленные задачи.
- 48% опрошенных офисных работников согласились с тем, что меры безопасности, хоть и выглядят необходимыми, приводят к значительной потере времени, и этот показатель увеличивается до 64% для лиц в возрасте от 18 до 24 лет.
- Более половины (54%) молодых респондентов в возрасте от 18 до 24 лет были скорее обеспокоены тем, чтобы соблюсти дедлайны, нежели тем, что их организация может быть подвержена утечке данных; 39% не знали, о чем говорится в корпоративных политиках безопасности, или даже о существовании таковых в их компаниях, что свидетельствует о растущем безразличии среди молодых сотрудников.
- В результате, 83% ИТ-специалистов считают, что увеличение доли сотрудников, работающих из дома, приводит к эффекту «бомбы замедленного действия», и неизбежно приведет к взлому корпоративной сети.
Тот факт, что работники активно обходят меры безопасности, должен вызывать беспокойство у любого директора по информационной безопасности – именно так возникают угрозы и случаются утечки, – сказал Йэн Пратт (Ian Pratt), глава отдела безопасности в подразделении персональных систем HP Inc. – Если система безопасности слишком сложна и создает помехи для людей, люди так или иначе найдут способ ее обойти. Поэтому она должна максимально соответствовать существующим рабочим процессам и задействовать ненавязчивые, защищенные и интуитивно понятные для пользователей технологии. В конечном итоге нам нужно сделать так, чтобы безопасная работа была такой же простой и удобной, как и работа без защитных технологий, и мы можем добиться этого, изначально встраивая безопасность в корпоративные системы. |
В отчете подчеркивается, что 91% компаний обновили свои политики безопасности с учетом растущего числа работающих из дома сотрудников, а 78% ограничили им доступ к веб-сайтам и приложениям. Однако все эти меры зачастую вызывают недовольство пользователей, которые отвергают нововведения и противодействуют им, в результате чего сотрудники, отвечающие за ИТ-безопасность, чувствуют, что их не воспринимают всерьез:
- 37% опрошенных офисных сотрудников утверждают, что технологии безопасности зачастую носят слишком строгий характер.
- 80% специалистов по ИТ-безопасности сталкивались с противодействием со стороны пользователей, которым не нравятся принимаемые меры для работающих из дома; 67% ИТ-специалистов сообщают о том, что каждую неделю получают жалобы пользователей по этому поводу.
- 83% ИТ-специалистов заявили, что попытки установить корпоративные политики кибербезопасности и обеспечить их соблюдение невозможны в силу того, что границы между личной и профессиональной жизнью сотрудников чрезвычайно размыты.
- 80% ИТ-специалистов считают, что обеспечение информационной безопасности становится «неблагодарной задачей», потому что к их мнению никто не прислушивается.
- 69% ИТ-специалистов утверждают, что из-за необходимости введения подобных ограничений они ощущают себя «в роли злодеев».
Директора по информационной безопасности сталкиваются с растущим объемом атак, увеличением их скорости и серьезности их характера, – отметила Джоанна Берки (Joanna Burkey), директор по информационной безопасности (CISO) в HP Inc. – Их командам приходится работать круглосуточно, чтобы обеспечить информационную безопасность, и при этом стараться проводить цифровизацию бизнеса в условиях, когда устройства сотрудников находятся вне периметра компании. Бремя обеспечения безопасности не должно лежать исключительно на плечах ИТ-специалистов, ведь информационная безопасность – это комплексная задача, в решении которой должен участвовать каждый.
Чтобы сделать культуру безопасности общим делом, мы должны вовлекать в ее формирование сотрудников и информировать их о растущих рисках. В то же время, ИТ-отделам необходимо лучше понимать, как кибербезопасность влияет на рабочие процессы и продуктивность сотрудников. Таким образом, нам следует переосмыслить обеспечение безопасности с учетом потребностей как бизнеса, так и гибридной рабочей силы. |
Технологическая сеть 75% промышленных предприятий открыта для хакерских атак
Эксперты Positive Technologies отметили низкую защищенность компаний промышленного сектора. В ходе тестов на проникновение специалисты компании получили доступ в технологический сегмент сети 75% промышленных компаний. Об этом PT сообщила 24 августа 2021 года.
Как отмечают эксперты, вектор атаки для доступа к критически важным системам может быть простым, а потенциальный ущерб — серьезным. Так, получение доступа к системам управления технологическим процессом злоумышленником может привести к остановке производства, выводу из строя промышленного оборудования, порче продукции и аварии.
На август 2021 года защищенность в большинстве промышленных компаний находится на низком уровне, — отметил старший аналитик Positive Technologies Ольга Зиненко. — Главными недостатками являются слабая защита внешнего периметра сети, доступного из сети Интернет, низкая защищенность от проникновения в технологическую сеть, недостатки конфигурации устройств, а также использование словарных паролей и устаревших версий ПО. |
По данным исследования, в 75% промышленных компаний был получен доступ в технологический сегмент сети, что позволило затем в 56% случаев получить доступ к системам управления технологическим процессом. Таким образом, при получении доступа в технологический сегмент сети злоумышленникам более чем в половине случаев удастся получить еще и доступ к системе управления производственным процессом, что может привести к серьезным последствиям: от нарушения работы предприятия до человеческих жертв.
По мнению экспертов Positive Technologies, проверить реализацию большинства недопустимых событий в реальной инфраструктуре невозможно. Здесь на помощь может прийти киберполигон, использование которого для анализа защищенности производственных систем позволит без страха нарушения реальных бизнес-процессов корректно верифицировать недопустимые события и последствия их реализации, оценить возможный ущерб. Например, на киберполигоне The Standoff 2021 командам атакующих было предложено реализовать недопустимые события на инфраструктуре газораспределительной станции. На нарушение технологического процесса подачи газа атакующим потребовалось два дня. Хакерам удалось получить доступ к системе управления газовой станцией, остановить процесс подачи газа и устроить взрыв. В реальной жизни хакерская атака на газораспределительную станцию может привести к человеческим жертвам, отставке руководства, судебным искам. Провести атаки, нарушающие или останавливающие технологические или бизнес-процессы на реальной инфраструктуре, экспертам по ИБ точно бы не позволили, а значит, и реализуемость недопустимых событий осталась бы под вопросом.
Рост риска кибератак на бизнес во всем мире за год на 24%
06 августа 2021 года компания Avast на основании данных собственного исследования сообщила, что вероятность того, что бизнес столкнется с киберугрозами, выросла во всем мире за год на 24% — с 11,25% до 13,9%. Эта информация представлена в последнем отчете Avast Global PC Risk Report, в котором рассматриваются угрозы для ПК, заблокированные Avast в марте-апреле 2021 года. Результаты сравнивают с данными 2020 года за тот же период.
Согласно отчету, в России вероятность того, что бизнес столкнется с любым типом вредоносного ПО для ПК, составляет 20,64%. Это выше, если сравнивать со средним показателем в мире.
«Из-за пандемии многие компании были вынуждены в очень сжатые сроки перевести своих сотрудников на удаленную работу из дома. Это создало серьезные проблемы для безопасности: далеко не каждая организация была готова предоставить доступ через VPN и решения для удаленного доступа. Киберпреступники воспользовались этим. Мы наблюдали рост RDP-атак (RDP — протокол удаленного рабочего стола); увеличение атак программ-вымогателей. В целом, вероятность того, что организации столкнутся с атаками вредоносного ПО, увеличилась во всем мире», — рассказывает Михал Салат, директор по анализу угроз Avast. |
В отчете исследователи также рассматривают риск поражения бизнеса продвинутыми угрозами. Avast определяет продвинутые угрозы как новые, ранее не замеченные разработчиками антивирусного ПО угрозы, разработанные для обхода распространенных технологий защиты, включенных в защитное программное обеспечение, таких как сигнатуры, эвристика, эмуляция, фильтрация URL-адресов и сканирование электронной почты. Для продвинутого типа угроз коэффициент риска для бизнеса в России — 4,17%, в целом в мире — 2,29%.
Ситуация в мире
Регионы с более острой, конфликтной социально-политической ситуацией, похоже, подвергаются бОльшему риску в сети. Азиатские страны вошли в число стран с самым большим риском для бизнеса, за ними следуют страны Африки и Восточной Европы.
Топ-10 стран, в которых бизнес подвергается наибольшему риску столкновения с угрозами:
Регионы с наименьшим риском столкновения со всеми типами угроз — страны Северной, Западной и Центральной Европы, а также США, Латвия и Доминиканская Республика.
Ситуация меняется при рассмотрении сложных угроз, где общим знаменателем, по-видимому, является величина государств с населением менее 11 миллионов человек.
Отчет Avast Global PC Risk Report содержит статический срез кибератак за первое полугодие 2021 года (с учетом данных за период с 16 марта 2021 года по 14 апреля 2021 года).[7]
Больше половины веб-приложений позволяют хакерам проникнуть в инфраструктуру российских предприятий
57% веб-приложений содержат критические уязвимости, которые позволяют хакерам похищать конфиденциальные данные, запускать произвольный код и полностью контролировать работу атакуемого ресурса. Таковы результаты анализа защищенности российских компаний, реализуемого экспертами «Ростелеком-Солар» в течение года, которыми компания поделилась 22 июля 2021 года. Объектами исследования стали организации из сферы финансов, энергетического комплекса, информационных технологий, телекома и других отраслей.
Веб-приложения – это сайты, которые взаимодействуют с пользователями. Например, электронная почта, личный кабинет банка или интернет-магазина, корпоративный портал для сотрудников и т.п. Такие интерактивные ресурсы стали еще более актуальными за время пандемии, когда многие активности перешли в онлайн и интернет стал ключевым каналом взаимодействия с клиентами, бизнес-партнерами и коллегами.
Плохо защищенное веб-приложение открывает злоумышленникам массу возможностей. Это может быть доступ в локальную сеть компании, контроль над сервером, нарушение работы самого приложения, распространение вредоносного ПО, кража базы данных и многое другое. При этом большинство уязвимостей и недостатков, которые мы находим в ходе тестирований на проникновение, имеют достаточно низкую сложность эксплуатации, то есть провести удачную атаку с их помощью могут даже хакеры-любители, не говоря уже о профессиональных киберпреступниках. Это делает веб-приложение одним из самых уязвимых элементов внешнего периметра. Поэтому важно анализировать защищенность разрабатываемых приложений до их вывода в продуктив, а также в процессе обновлений, чтобы исправить критические уязвимости, – отметил руководитель отдела анализа защищенности компании «Ростелеком-Солар» Александр Колесов. |
Самые распространенные веб-уязвимости – это некорректная настройка прав доступа и раскрытие конфигурационных данных. Некорректная настройка прав доступа позволяет пользователю выполнять действия, на которые у него не должно быть прав, например, повысить свою учетную запись до уровня администратора. Эта уязвимость связана со сложной логикой веб-приложений, которые включают в себя различную функциональность для большого количества пользовательских ролей.
При раскрытии конфигурационных данных злоумышленник получает информацию о структуре веб-приложения (внутренние IP-адреса, API-ключи, отладочные сценарии, журналы приложений). При этом в журналах приложений, помимо технической информации, иногда можно найти и персональные данные клиентов и сотрудников организации.
Некоторые обнаруженные уязвимости позволяют проникнуть в сеть компании даже без полного «захвата» приложения. Например, подделав запрос на стороне сервера (SSRF). С помощью данной уязвимости злоумышленник может отправлять от имени сервера запросы как к внешним, так и к внутренним ресурсам и извлекать закрытую информацию из системы. Такой сценарий возможен, когда приложение, получив URL-адрес или HTTP-сообщение, не проверяет адреса назначения перед отправкой запроса.
Также в некоторых системах эксперты нашли ошибки, позволяющие совершить атаку непосредственно на пользователя (например, межсайтовый скриптинг – XSS). Такие атаки работают по следующему принципу: в приложение внедряется JavaScript-код, который затем исполняется в браузере жертвы. Цели у хакеров могут быть разные: выполнение действий от имени пользователя, кража его личных данных, майнинг криптовалют и многое другое.
Помимо веб-приложений также вероятной точкой проникновения в корпоративную сеть являются системы удаленного доступа (например, VPN или RDP). В период пандемии количество подобных атак значительно выросло, так как многие компании перешли на удаленный режим работы. Распространенным недостатком здесь являются отсутствие дополнительного фактора аутентификации при подключении к сервису, а также слабые и повторяющиеся пароли пользователей. Часто злоумышленники получают доступ в сеть через VPN-подключение с помощью ранее скомпрометированного пароля.
К 2025 г. появятся полноценные кибертехнологии для убийства людей на предприятиях
Согласно прогнозу исследовательской компании Gartner, технологическое оснащение киберпреступников к 2025 г. позволит им проводить целенаправленные атаки на предприятия с конкретной целью причинения увечий и убийства людей. Об этом стало известно 21 июля 2021 года. Аналитики прогнозируют, что использование киберпреступниками военизированных операционных технологий и других киберфизических систем только с учетом случаев смертельного исхода к 2023 г. нанесет ущерб по всему миру на сумму более $50 млрд.
По мнению аналитиков, даже если не бы не пришлось говорить о ценности человеческой жизни, затраты компаний на судебные разбирательства, компенсационные выплаты, страхование, выплаты штрафов регулирующим органам будут значительными, не говоря о гигантских репутационных потерях. В компании прогнозируют, что большинство руководителей будут нести личную ответственность за такие инциденты.
Руководителям служб безопасности и управления рисками следует больше беспокоиться о реальных угрозах людям и окружающей среде нежели о краже информации, – сказал старший директор по исследованиям Gartner Вам Востер (Wam Voster). – Изучение опыта клиентов Gartner показывает, что компаниям ресурсоемких отраслей – таких как производство, добыча полезных ископаемых и коммунальные услуги, порой сложно определиться с подходящими для них системами контроля. |
Атаками киберпреступников на ИТ-инфраструктуру предприятий в Gartner называют стороннее злоумышленное воздействие на комплексы аппаратного и программного обеспечения, которые отслеживают или контролируют работу промышленного оборудования. На фоне цифровизации и внедрения автоматических процессов на производстве, военизированные операционные технологии также проходят свой путь эволюции, отмечают аналитики – от инцидентов для временной остановки технологического процесса на заводе до нарушения целостности промышленной среды и целенаправленного причинения физического ущерба.
В Gartner классифицируют инциденты безопасности в среде операционных технологий по трем основным классам мотивации: для нанесения фактического ущерба; в целях коммерческого вандализма, ведущего к снижению производительности; в целях репутационного вандализма, в итоге чего производитель признается ненадежным и не заслуживающим доверия.
Для повышения безопасности на промышленных объектах и предотвращения цифровых кибератак с целью повреждения оборудования или нанесения физического ущерба сотрудникам, в Gartner разработали десять рекомендаций, которые изложены в документе Reduce Risk to Human Life by Implementing this OT Security Control Framework («Снижение риска для жизни людей за счет реализации концепции контроля безопасности операционных технологий»).
Специалисты Gartner рекомендуют назначить менеджера по безопасности операционных технологий для каждого промышленного или производственного объекта. Менеджер должен отвечать за распределение и документирование ролей и обязанностей, связанных с безопасностью, для всех сотрудников, старших менеджеров и любых третьих лиц, имеющих доступ к объекту.
Каждый сотрудник, имеющий отношение к операционным технологиям, обязан обладать необходимыми навыками для выполнения своих обязанностей. Работники на каждом объекте должны быть обучены распознавать и оценивать риски безопасности, наиболее распространенные направления распространения атак, а также натренированы на совершение конкретных действий в случае инцидента безопасности.
Для каждого объекта предприятия должен быть внедрен специальный протокол управления инцидентами безопасности операционных технологий. В него должно входить четыре этапа: подготовка; обнаружение и анализ; локализация, ликвидация и восстановление; действия после инцидента.
ИТ-инфраструктура предприятия должна быть оснащена надлежащими механизмами резервирования и аварийного восстановления данных. Чтобы избежать влияния физических деструктивных событий – например, пожара, следует хранить носители резервных копий отдельно от резервной системы. Носители резервной копии должны иметь защиту от несанкционированного доступа или неправомерного использования. Для исключения фатальных событий по итогам инцидентов высокой степени серьезности, должна быть обеспечена возможность восстановления резервной копии в новой системе или виртуальной машине.
На предприятии должна быть внедрена политика обязательного сканирования всех портативных носителей данных, включая USB-накопители и портативные компьютеры, вне зависимости от принадлежности устройства сотруднику или стороннему посетителю – например, представителю субподрядчика или производителя оборудования.
К среде операционных технологий могут быть подключены только проверенные носители без вредоносного кода или нежелательного ПО.
Менеджер по безопасности должен производить инвентаризацию оборудования и ПО, задействованного в среде операционных технологий, и постоянно обновлять этот список актуальными данными.
Сети среды операционных технологий должны быть физически или логически отделены от любой другой сети – как внутри, так и снаружи периметра ИТ-инфраструктуры предприятия. Весь сетевой трафик между операционными технологиями и остальной частью сети должен осуществляться через безопасный шлюз, при этом сессии взаимодействия с операционными технологиями должны происходить с многофакторной аутентификацией на шлюзе.
Для автоматической регистрации и анализа потенциальных и фактических событий безопасности на предприятии должны быть внедрены соответствующие политики и процедуры. Они должны четко определять сроки хранения журналов безопасности и быть защищены от несанкционированного доступа или модификации.
Для всех систем, применяемых в среде операционных технологий – таких как рабочие места, серверы, сетевые устройства и устройства для выездной работы, должны быть разработаны, стандартизированы и развернуты безопасные конфигурации. ПО для безопасности рабочих мест – такое как антивирусы, должно быть установлено на всех поддерживаемых компонентах среды операционных технологий.
До развертывания среды операционных технологий необходимо внедрить процесс проверки и установки обновлений. После верификации производителями оборудования, обновления могут быть развернуты в соответствующих системах с заранее заданной периодичностью[8].
«Информзащита» расследовала взлом телефонной сети государственного промышленного предприятия
Киберкриминалисты «Информзащиты» расследовали взлом телефонной сети государственной промышленной компании. Эксперты предупреждают, что IP-телефония, которая реализована практически в каждой организации, слишком открыта для атак злоумышленников. Об этом «Информазащита» сообщила 27 мая 2021 года. Подробнее здесь.
Компании испытали простои из-за потери данных, несмотря на применение до 10 решений по защите информации
12 апреля 2021 года компания Acronis, представитель в области киберзащиты, обнародовала результаты своего второго ежегодного исследования Cyber Protection Week, которое выявило опасный дисбаланс между необходимостью защищать данные и неэффективностью инвестиций компаний в достижение данной цели.
Хотя в 2020 году компании закупили новые системы для обеспечения безопасности удаленных сотрудников во время пандемии COVID-19, эти вложения не окупаются. Глобальный опрос показал, что в настоящее время 80% компаний одновременно используют до 10 решений для защиты данных и кибербезопасности, однако более половины из этих организаций в прошлом году пострадали от непредвиденных простоев из-за потери данных.
Результаты ежегодного опроса Acronis, в ходе которого было опрошено 4400 ИТ-пользователей и профессионалов в 22 странах на шести континентах, развеивают миф о том, что простое включение дополнительных решений решит проблемы кибербезопасности и защиты данных. Вложения в закупку все большего количества решений не только не обеспечивает более надежную защиту, но во многих случаях попытки управлять защитой в нескольких решениях создают большую сложность и меньшую прозрачность для ИТ-группы, что увеличивает риск.
Исследование Cyber Protection Week в 2021 году ясно показывает, что большее количество решений не обеспечивает более надежную защиту, поскольку использование отдельных инструментов для решения отдельных типов уязвимостей является сложным, неэффективным и дорогостоящим, - сказал Сергей Белоусов, основатель и генеральный директор Acronis. Эти результаты подтверждают нашу веру в то, что более разумным подходом является киберзащита, которая объединяет защиту данных, кибербезопасность и управление конечными точками в одно целое. |
Ситуация усложняется тем, что пользователи и ИТ-специалисты не осознают, какие возможности ИТ и кибербезопасности им доступны, что может привести к потере драгоценного времени, денег и безопасности.
- 68% ИТ-пользователей и 20% ИТ-специалистов не знали, были ли их данные изменены без их ведома, потому что их решение затрудняет определение такого рода взлома.
- 43% ИТ-пользователей не знают, останавливает ли их антивирусное ПО угрозы нулевого дня, потому что их решение не обеспечивает легкодоступность этой информации. Легкий доступ к такой информации о кибербезопасности имеет решающее значение для обеспечения защиты данных.
- 10% ИТ-специалистов не знают, подпадают ли их организации под действие положений о защите персональных данных. Если лица, ответственные за обеспечение конфиденциальности персональных данных, не знают, что они виноваты, они не могут реализовать стратегии или оценить решения, необходимые для выполнения требований. Это незнание подвергает бизнес огромному риску получить крупные штрафы за потенциальные нарушения в 2021 году.
Для тех, кто использует несколько решений для выполнения своих задач в области ИТ и кибербезопасности, непрозрачность такой информации только усугубляется. Они не только должны помнить, какое решение предоставляет конкретную точку данных, но и постоянно переключаются между консолями, чтобы найти нужные детали, что ведет к неэффективности.
Опрос также выявил поразительно слабый подход к защите данных среди ИТ-пользователей.
- 83% ИТ-пользователей в 2020 году тратили больше времени на использование своих устройств, но только половина из них предприняла дополнительные меры для их защиты.
- 33% признают, что не обновляли свои устройства в течение как минимум недели после получения уведомления о неполадке.
- 90% ИТ-пользователей сообщили о выполнении резервного копирования, но 73% безвозвратно потеряли данные хотя бы один раз, что говорит о том, что они не знают, как выполнять резервное копирование или восстановление должным образом.
Усилия отдельных лиц по защите своих данных не оберегают от угроз, что, вероятно, связано с ложными предположениями или с использованием автоматических решений.
В каждой государственной и промышленной компании обнаружено вредоносное ПО
Positive Technologies 10 марта 2021 года сообщила результаты анализа мониторинга сетевой активности в 41 компании, где проводились пилотные проекты по внедрению PT Network Attack Discovery (PT NAD) и комплекса для раннего выявления сложных угроз (PT Anti-APT), в состав которого входит PT NAD. В ходе анализа в большинстве компаний была выявлена подозрительная сетевая активность, а вредоносное ПО было обнаружено в каждой государственной и промышленной организации.
По результатам пилотных проектов в 90% компаний была выявлена подозрительная сетевая активность, например сокрытие трафика, запуск инструментов сканирования сети, попытки удаленного запуска процессов. Эксперты отмечают, что использование NTA-систем позволяет не только вовремя обнаружить подозрительные подключения, но и обратиться к истории сетевой активности узла и проверить, не было ли других подобных попыток.
Переход компаний на удаленную работу повлиял и на сетевую активность: выросла доля подключений во внешнюю сеть по протоколу RDP, — отмечает старший аналитик Positive Technologies Ольга Зиненко. — Такие подключения должны тщательно контролироваться, ведь количество атак через протоколы удаленного доступа в 2020 году увеличилось в три раза. |
Нарушения регламентов ИБ встретились в каждой организации. Одним из часто выявляемых нарушений регламентов ИБ стало использование незащищенных протоколов передачи данных (64%). По мнению экспертов, это говорит о том, что в инфраструктуре важные данные передаются в открытом виде, а значит кто угодно в корпоративной сети, в том числе потенциальный злоумышленник, может перехватывать трафик и искать в нем конфиденциальную информацию, например логины и пароли.
В ходе пилотных проектов по мониторингу сетевой активности и выявлению сложных угроз в 2020 году эксперты столкнулись с активностью 36 семейств вредоносного ПО. Эксперты называют среди них шифровальщик WannaCry, банковские трояны RTM, Ursnif и Dridex. В 68% анализируемых компаний была выявлена активность вредоносного ПО, при этом ВПО было обнаружено во всех исследуемых государственных и промышленных организациях. В каждой третьей компании были отмечены попытки эксплуатации уязвимостей в ПО.
Может случиться так, что в момент проведения атаки еще не существовало правил обнаружения угроз и индикаторов компрометации, которые позже стали доступны. Поэтому необходимо проверять трафик не только в режиме реального времени, но и проводить ретроспективный анализ с учетом появившейся информации, — комментирует Наталия Казанькова, менеджер по продуктовому маркетингу Positive Technologies. — Сохранение копий трафика и повторный его анализ с помощью NTA-системы позволяют провести детальное расследование и обнаружить действия злоумышленника даже для тех событий, которые произошли раньше. |
Концепция BYOD трансформировалась в BYEH
26 февраля 2021 года компания McAfee рассказала о кибербезопасности «удаленки» и о последней концепции Bring Your Enterprise Home.
Более 20 лет внимание специалистов по кибербезопасности было ориентировано на работу с предприятиями, а не на построении интегрированной системы защиты, и уж тем более не на комплексной защите домашних сетей. И хотя умные устройства для дома приобретают все большую популярность и признание, главной задачей отрасли по-прежнему остается обеспечение корпоративной безопасности.
Например, NIST Cybersecurity Framework, один из основных американских регламентов, адресован предприятиям, а не частным лицам. При этом число устройств и подключений во многих домах намного превышает аналогичные показатели, характерные для малого бизнеса 20-летней давности. Домашние ИТ-системы развиваются по той же схеме, что и системы малых предприятий, и поэтому нуждаются в дополнительном внимании и защите.
Пандемия COVID-19 в мгновение ока изменила привычный уклад организаций и стала причиной вынужденного перевода сотрудников из централизованных рабочих сред на высокораспределенные инфраструктуры для работы из дома. Внезапный переход на незащищенную и неконтролируемую «удаленку» (включая ИТ, IoT, мобильные, облачные и другие среды) значительно усложнил обеспечение кибербезопасности предприятий и одновременно серьезно расширил поверхность цифровых атак. Поскольку многим сотрудникам приходится использовать для решения рабочих задач личные устройства, организациям необходимо внедрять политики, которые улучшат управление и контроль над ними. Концепция BYOD (Bring Your Own Device — личные устройства на работе) трансформировалась в BYEH — Bring Your Enterprise Home (корпоративные устройства дома). Чтобы адаптироваться к этой перемене, нужны новые стандарты и процедуры безопасности.
Хотя в различных компаниях и предприятиях изначально имелись политики, процессы и средства управления, оборудование и программное обеспечение для защиты такой распределенной корпоративной экосистемы, они разрабатывались с учетом того, что современный частный дом — не самая «гостеприимная» среда для внедрения защит.
Например, в доме есть умные замки и розетки, несколько телевизоров Smart TV и устройств для потоковой передачи данных, охранная система, цифровые ассистенты, беспроводные светильники, колонки, камеры, термостаты и другие подключенные устройства. И всё это не считая компьютеров, ноутбуков, планшетов и смартфонов. Устройства IoT, число которых постоянно растет, позволяют превратить обычные дома в умные. Но собственники не всегда знают, как эффективно защитить это оборудование от киберпреступников. Кроме того, многие решения не поддерживают интеграцию или обмен данными с другими системами, что уменьшает возможности обнаружения слабых мест в защите.
Хакер может проникнуть в дом, не переступая его порога, и похитить самое ценное — банковский счет, реквизиты доступа и душевный покой (например, включив свет в 3 утра или музыку из умных колонок на полную громкость). Это серьезная проблема как для физических лиц, так и для компаний и государства: для них «удаленка» — это возможность продолжить работу несмотря на пандемию COVID-19.
Нужно посчитать все устройства (умные и обычные) в квартире и умножить их на количество сотрудников федерального правительства, чтобы получить представление о масштабах угрозы, которую создали переводом персонала на удаленную работу. Если добавить сюда подрядчиков правительственных учреждений, уровень безопасности систем которых обычно ниже, чем у штатных работников. Опасности подвергается не только правительство — речь идет об угрозе национального масштаба, поэтому компаниям и организациям необходимо обеспечить надежную защиту удаленного доступа сотрудников к корпоративным ресурсам.
При этом кибербезопасность — только одна из областей, на которую нужно обратить внимание. Например, в случае выхода оборудования из строя поставщики услуг в первую очередь предоставляют поддержку корпоративным клиентам. Если о неисправности сообщила компания, ее устранят за пару часов. Потребители могут прождать решения проблемы несколько дней.
«Удаленка» превратила квартиры в домашние офисы, виртуальные учебные классы, кабинеты врача и магазины, а каждое подключенное личное устройство — в потенциальный источник опасности для работодателей.
Пока идет адаптация к реалиям, очень важно переосмыслить безопасность домов и квартир и разработать стандарты их защиты.
Оснащенность организаций системами для защиты от утечек остается недостаточой
В России растет обеспеченность бизнесов средствами информационной безопасности, но ситуация улучшается только в части защищенности от хакерских атак. Такой вывод можно сделать на основе данных исследования «СёрчИнформ», которые компания продставила 17 февраля 2021 года.
По данным опроса за четыре года (с 2017 года) обеспеченность средствами администрирования выросла на 31%, антивирусными программами на 15%, SIEM-системами – на 7%. Динамика оснащения программами для защиты от утечек данных хуже, DLP-системы стоят в 31% компаний, это только на 3% больше, чем в 2017-м году. При этом число утечек информации также год от года почти не меняется – число пострадавших компаний остается на уровне 60% ежегодно. В подавляющем большинстве потеря данных происходит по причине инсайдерского нарушения или ошибки.
Таким образом, оснащенность ИБ-средствами российских организаций остается недостаточной. Особенно это касается госсектора, где базовое ПО для защиты от утечек (DLP-системы) судя по опросу стоит в 20% компаний, что на 11% ниже, чем в частном секторе. В то же время программа стала привычным инструментом для целого ряда отраслей: кредитно-финансовой сферы, промышленности, ИТ, ТЭК, ритейла. В тех компаниях, где стоит DLP, 72% внутренних инцидентов выявляется с помощью этого ПО и всего 6% утечек выявляются не внутри отдела ИБ, а кем-то вне компании. Это вдвое меньше, чем в других организациях.
Системы аудита баз данных и файловых хранилищ (DCAP и DAM-системы для защиты т.н. «данных в покое») – пока малоизвестный для российского рынка инструмент и применяются не более чем в 1-2% организаций.
Одна из причин недостаточной оснащенности в том, что компаниям приходится решать вопросы защиты в режиме ограниченного бюджета. Более того, в 2020 году вдвое больше компаний сообщили, что он сократился, и такая тенденция сохраняется третий год подряд. Но защитное ПО становится частью базового пакета ИТ-решений для бизнеса, поэтому компании будут чаще обращаться к более бюджетным вариантам обеспечить защиту. Мы прогнозируем, что распространение сервисной, MSSP-модели получит распространение в ближайший год-два, и динамика ускорится. Компании станут чаще брать ПО в аренду, выбирать облачные решения и аутсорсинг DLP. Это хорошее временное решение в условиях, когда организации не могут выделять бюджеты разом. Это также актуально в условиях нехватки кадров, – комментирует Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». |
Также показательны цифры исследования о том, как в инфобезе приживаются трендовые технологии.
В 2020 году компаниям было в основном не до внедрения инструментов, но организации демонстрируют интерес к ним. Компании видят в технологиях возможность снизить затраты на безопасность: автоматизировать контроль и сократить трудоемкость. Но главное – принципиально меняется запрос компаний: выявлять инцидент по факту совершения поздно, нужно предотвращать и предсказывать его. Это позволяют делать поведенческие технологии, – говорит Алексей Парфентьев. |
Исследование «СёрчИнформ» – это традиционный отчет о ситуации с информационной безопасностью в компаниях России и СНГ. В исследовании приняли участие 833 человека: начальники и сотрудники ИБ-подразделений, эксперты отрасли и руководители организаций из коммерческой (71,5%), государственной (26,5%) и некоммерческой сфер (2%). Исследование затронуло ИТ, нефтегазовый сектор, промышленность и транспорт, кредитно-финансовую сферу, ритейл, здравоохранение и другие отрасли. Анкетирование проводилось в городах России и СНГ. Респонденты были опрошены в сентябре – ноябре 2020 года в офлайн-формате в регионах России и онлайн в странах СНГ.
58% российских Data Science специалистов использовали дополнительные меры защиты данных
В декабре 2020 – январе 2021 года компания DIS Group опросила специалистов по работе сданными из крупных и средних российских компаний. Более половины респондентов заявили, что их организации в 2020 году были вынуждены вводить дополнительные меры для защиты корпоративных данных. Об этом DIS Group сообщила 5 февраля 2021 года.
Необходимость в дополнительных мерах могла возникнуть из-за перехода многих сотрудников на удалёнку, а также из-за активизации мошенников, – отмечает Павел Лихницкий, генеральный директор DIS Group. |
Защита данных всё чаще становится ключевым приоритетом для большинства организаций. Консалтинговая компания IDC летом 2020 года по заказу корпорации Informatica провела масштабное исследование особенностей управления данными в организациях по всему миру. В исследовании приняли участие более 1200 директоров по данным и сотрудников их офисов. 65% опрошенных сообщили, что считают, что защита данных относится к главным KPI директора по данным.
Однако выстроить защиту информации в своей компании до сих пор удаётся немногим. 40% опрошенных IDC заявили о том, что в их организациях нет мониторинга показателей рисков, связанных с корпоративными данными, 53% не используют не используют инструменты для защиты данных и управления конфиденциальной информацией, 80% признались в том, что за защиту данных у них отвечает четыре или меньше сотрудников.
Ранее по результатам предыдущих двух кварталов 2020 года компания DIS Group отметила рост интереса к решениям для защиты данных – маскирования данных и создания тестовых сред – на 20%.
За время пандемии выросла важность защиты конфиденциальной информации в компаниях
Отчет Cisco 2021 Data Privacy Benchmark Study, посвященный корпоративным практикам защиты информации, продемонстрировал, что за время пандемии выросли как важность конфиденциальности, так и преимущества, которые получают компании, внедряющие усиленные меры защиты. В анонимном независимом отчете проанализированы ответы 4400 специалистов по безопасности и защите данных из 25 стран, в том числе из России. В частности, исследовались отношение к законодательным актам, касающимся защиты конфиденциальности, и появление показателей конфиденциальности в отчетах для высшего руководства, рассказали 3 февраля 2021 года в компании Cisco Systems.
На фоне вызванной пандемией дестабилизации и неопределенности люди увидели, что от них ждут, а иногда и требуют предоставлять персональную информацию для борьбы с распространением COVID-19. В то же время большая часть жизненной активности переместилась в интернет — в обычном режиме этот процесс мог бы занять не один год. Такие масштабные перемены, затронувшие общение людей и их погружение в цифровую среду, поставили немало вопросов, связанных с защитой конфиденциальности, перед организациями, которые хотят соблюдать закон и остановить пандемию, уважая при этом права личности. У потребителей и населения в целом растет обеспокоенность тем, как используются их персональные данные.
Главные выводы отчета:
- Конфиденциальность перестала быть просто вопросом соответствия требованиям регулятора: бизнес рассматривает ее как одно из основных правил, соблюдению которого топ-менеджеры должны уделять первоочередное внимание.
- 60% организаций заявили, что они не были готовы к связанным с переходом на удаленную работу требованиям по безопасности и защите данных.
- 93% организаций для решения этих проблем обратились к собственным специалистам по защите данных.
- 87% потребителей выразили озабоченность уровнем защищенности данных в инструментах, необходимых для удаленной работы, взаимодействия и подключения.
- 90% организаций теперь отчитываются перед топ-менеджерами и советами директоров по показателям защиты данных.
- Наблюдается явный переход конфиденциальности в разряд стандартных обязательных требований при обсуждении вопросов цифровизации и достижения бизнес-целей.
- Более 140 стран уже приняли комплексное законодательство касательно защиты конфиденциальности; почти 80% респондентов считают, что эти законы оказывают положительное влияние.
- Большинство согласны предоставлять информацию о своем здоровье для защиты рабочего места и борьбы с пандемией, но при этом с недоверием относятся к использованию этих данных в других целях, например, для исследований.
- 57% поддерживают использование личных данных работодателями для повышения безопасности рабочих мест, при этом с определением местонахождения, отслеживанием контактов, раскрытием информации о зараженных и с использованием личных данных в исследовательских целях согласны меньше половины опрошенных.
- Экосистема защиты конфиденциальности в частности и кибербезопасности вообще будет играть ключевую роль в росте экономики и ее восстановлении после пандемии COVID-19.
- С восстановлением экономической и общественной жизни возникнет множество важнейших вопросов, связанных с тем, как государства, бизнес и частные лица соблюдают баланс прав человека и интересов общества в процессе сбора, обработки и защиты персональных данных.
- Сохраняется привлекательность инвестиций в защиту персональных данных: 75% организаций считают, что они выгодны с точки зрения смягчения ущерба безопасности, роста маневренности, инновационности и операционной эффективности, а также для укрепления лояльности и доверия заказчиков.
- Более трети организаций получают выгоду, как минимум вдвое превышающую вложенные инвестиции.
«Конфиденциальность достигла совершеннолетия — она признана одним из базовых прав человека и стала критически приоритетной для высшего руководства, — отметил Харви Янг (Harvey Jang), вице-президент и главный директор Cisco по защите персональных данных. — Теперь, на фоне нарастающей тенденции работать в любой точке мира, конфиденциальность все более важна для цифровизации, корпоративной устойчивости, маневренности и инноваций». |
Данные по России:
- По результатам исследования 2021 Data Privacy Benchmark Study, в отношении числа удаленных сотрудников российские организации распределились следующим образом:
- в 24% компаний доля удаленных сотрудников составляет 76-100%;
- в 31% предприятий 51-75% специалистов работают из дома;
- в 27% организаций удаленный формат взаимодействия используют 26-50% работников;
- в 18% компаний от 1 до 25% сотрудников выполняют свои обязанности в удаленном режиме.
- Анализ ответов специалистов по обеспечению информационной безопасности из России позволил сделать вывод, что средние расходы на защиту данных в их организациях составили порядка $1,4 млн.
- По данным отчета, в 66% российских организаций инвестиции в защиту данных «способствовали инновациям».
- Преимущества, которые их компании получили вследствие усиления мер защиты данных, российские респонденты оценили в $2,1 млн в год.
- Опрошенные из России заявили, что выгода от внедрения технологий защиты данных вдвое превышает инвестиции.
2020
76% компаний зафиксировали рост числа кибератак, направленных на удаленных сотрудников
Компания VMware 10 июня 2021 года представила четвертую часть доклада Global Security Insights, основанного на результатах проведенного в декабре 2020 года онлайн-опроса 3 542 ИТ-директоров, технических директоров и директоров по информационной безопасности со всего мира. Доклад посвящен проблеме кибератак и уязвимостей в системах безопасности, а также их влиянию на работу организаций.
Стремительная цифровая трансформация приводит к тому, что специалистам по кибербезопасности приходится сталкиваться со все новыми угрозами: киберпреступники проводят целенаправленные атаки с использованием принципиально новых уязвимостей. Перевод сотрудников на удаленную работу продемонстрировал уязвимость устаревших технологий и политик безопасности — почти 80% опрошенных представителей бизнеса заявили, что их компания была мишенью кибератаки.
«Массовое внедрение облачных технологий дало руководителям организаций возможность пересмотреть свой подход к обеспечению кибербезопасности, — отметил Рик Макэлрой (Rick McElroy), руководитель направления по стратегии кибербезопасности в VMware. — Организациям требуется такое решение, которое позволит перейти от защиты конечных устройств к контролю рабочих нагрузок, что повысит безопасность данных и приложений. Мы продолжаем внедрять средства информационной безопасности, созданные специально для облачной среды, и работаем над созданием решений для оперативного выявления и предотвращения попыток взлома». |
По мнению опрошенных, проблеме не уделяется должное внимание, несмотря на стремительный рост количества взломов с серьезными последствиями. За последние двенадцать месяцев 81% опрошенных пострадали от кибератак, причем в 4 из 5 случаев (82%) был причинен существенный ущерб. Тем не менее лишь 56% заявили, что опасаются роста ущерба от кибератак в следующем году, и чуть более трети (41%) обновили политику безопасности с целью снижения рисков.
Появление новых программ-вымогателей и удаленная работа создают благоприятную среду для злоумышленников. 76% опрошенных заявили, что объемы атак возросли, причем причиной этого большинство называет сотрудников, работающих из дома, а 79% заявили, что атаки стали более изощренными. В 2020 году облачные атаки были наиболее частым типом атак, в то время как основными причинами взлома оказались сторонние приложения (14%) и программы-вымогатели (14%).
Опрос показал, что стратегии облачной безопасности нашли применение во всех отраслях. 98% опрошенных уже используют или планируют использовать стратегию облачной безопасности. Однако переход в облако привел к росту количества потенциальных угроз. Почти две трети опрошенных (61%) согласны с тем, что с расширением возможностей для злоумышленников необходимо иначе взглянуть на проблему безопасности.
Безопасность приложений — главная проблема для директоров по информационной безопасности. Приложения считаются наиболее уязвимыми точками на пути передачи данных. 60% опрошенных поделились тем, что высшее руководство их компании все более скептически относится к использованию новых приложений из-за растущих угроз и ущерба от кибератак.
Следующим этапом бизнес-инноваций может стать использование искусственного интеллекта. Однако более половины опрошенных (56%) заявляют о том, что проблемы безопасности удерживают их от внедрения искусственного интеллекта и машинного обучения.
В докладе Global Security Insights также содержится информация о структуре системы кибербезопасности, тенденциях в области кибератак и защиты от них, а также о текущих приоритетах в области безопасности. Опрос был проведен независимой исследовательской организацией Opinion Matters в декабре 2020 г.
Каждая пятая российская компания регистрировала ИБ-инциденты, связанные с правами доступа
Национальный провайдер сервисов и технологий кибербезопасности «Ростелеком-Солар» 17 мая 2021 года сообщил итоги исследования проблем с управлением доступом в российских компаниях. Опросив свыше 200 организаций, эксперты выяснили, что 20% компаний в 2020 году регистрировали инциденты информационной безопасности, связанные с правами доступа. 46% из них указали на среднюю и высокую критичность выявленных инцидентов.
Несанкционированный доступ зачастую оборачивается для компаний самыми серьезными последствиями. Это и мошеннические действия с клиентскими данными, и нанесение вреда инфраструктуре компании, и финансовый и репутационный ущерб. У всех на слуху случаи, когда в результате неправомерного доступа к клиентским базам данных, хранящимся в банках, мошенники выводят со счетов денежные средства. Известны инциденты вмешательства спецслужб в работу критически важных объектов других стран с помощью скомпрометированного доступа, отмечает директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар» Дмитрий Бондарь.
|
При этом ни один респондент не отметил наличия в компании полной автоматизации управления правами доступа. Это означает, что в каждой российской компании имеется практика их предоставления в ручном режиме, что часто приводит к ошибкам – накоплению у сотрудников избыточных прав доступа, несвоевременной блокировке доступа при увольнении и прочим. Следствием этого являются инциденты ИБ, финансовый и репутационный ущерб для организации.
В то же время, как видно из результатов исследования, компании в достаточной степени осознают серьезность проблемы. Так, 56% опрошенных высказали полную неудовлетворенность либо среднюю удовлетворенность существующей в компании системой управления доступом. Больше недовольны используемыми решениями и подходами представители частных компаний – 58% по сравнению с 52% в государственных организациях.
Среди основных причин низкой удовлетворенности существующей системой управления доступом компании обозначили отсутствие инструментов контроля прав доступа для обеспечения защиты информации (указали 66% недовольных текущей системой управления доступом) и высокую нагрузку на ИТ-персонал компании (отметили 40% недовольных).
Действительно, частичная автоматизация закрывает часть задач, связанных с заменой ручного труда в процессах управления доступом, но не решает все проблемы для крупной компании с разнородной ИТ-архитектурой. Для осуществления полноценного контроля доступа необходим централизованный механизм, который объединит все разрозненные процессы, разные ИТ-системы и территориально распределённую структуру компании в единое целое, позволит внедрить общие политики и процедуры для контроля всего ИТ-ландшафта компании, – подчеркнул директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар» Дмитрий Бондарь. |
Вместе с тем более 40% компаний, принявших участие в исследовании, готовы автоматизировать свои процессы управления доступом: такую готовность чаще высказывают столичные компании – 51% опрошенных – по сравнению с 41% в регионах. Среди основных препятствий для подобной автоматизации респонденты обозначили отсутствие бюджетов на решение задач управления доступом и высокую стоимость решений данного класса.
В «Ростелеком-Солар» отметили, что респонденты из государственных компаний активнее выражают готовность автоматизировать процессы управления доступом – 47% опрошенных vs 43% в коммерческом секторе. По мнению экспертов «Ростелеком-Солар», этот фактор объясняется меньшей степенью автоматизации процессов управления доступом в российском госсекторе по сравнению с коммерческими компаниями на май 2021 года..
61% российских компаний не имеют комплексной стратегии кибербезопасности
14 мая 2021 года Microsoft представила итоги исследования, проведенного аналитической компанией IDC в шести странах Центральной и Восточной Европы. Исследование показало, что бизнес не готов в полной мере ответить на вызовы в сфере ИБ: более половины компаний (58%) не имеют комплексной стратегии кибербезопасности.
Исследование проводилось с сентября по ноябрь 2020 года в Венгрии, Греции, Польше, России, Румынии и Чехии, в нем приняли участие специалисты по безопасности, а также ИТ-специалисты и руководители предприятий из разных отраслей. Компании отвечали на вопросы о событиях 2020 года и о планах на два года вперед. В исследовании приняли участие 1500 человек, из них 400 – из России, из которых 48% составили представители малого и среднего бизнеса.
Год пандемии выявил многочисленные проблемы кибербезопасности, поскольку компании были вынуждены срочно адаптироваться к «норме» удаленной и гибридной работы, это повлекло за собой рост числа уязвимостей и риски.
79% респондентов в шести странах назвали безопасный удаленный доступ к корпоративным сетям своей основной областью внимания. Раньше первое место занимала защита конечных точек (69%). В России эти показатели составили 79% и 61%.
Проведенное исследование показало, что значение кибербезопасности возросло: 9 из 10 компаний планируют сохранить или увеличить бюджет на безопасность в ближайшие два года. 60% российских компаний сохранят прежний бюджет на ИБ, и только менее трети (28%) повысят расходы на ИБ в ближайшие два года. Это ниже среднего числа компаний, планирующих увеличить бюджет в странах Центральной и Восточной Европы (36%).
Только 42% компаний в Центральной и Восточной Европе разработали комплексную стратегию безопасности, при этом значительное большинство респондентов (86%) заявили, что удовлетворены уровнем кибербезопасности своей организации. Это может означать, что некоторые компании испытывают ложное чувство безопасности. Жизненно важно, чтобы подход к кибербезопасности был динамичным, позволяя обеспечивать защиту от атак, которые с каждым днем становятся все более изощренными.
В России число компаний, разработавших стратегию ИБ, ниже среднего по странам Центральной и Восточной Европы (39% против 42%). Лидером рейтинга по этим показателям стала Греция, где 63% компаний уже разработали комплексную стратегию кибербезопасности и 66% намерены увеличить бюджет на ИБ.
Одним из факторов, влияющим на уровень ИБ, являются облачные решения: 54% респондентов заявили, что планируют перейти на облачные технологии в течение двух лет. В России этот показатель еще выше: 66% респондентов планируют использовать облако через два года.
Это позитивный тренд для компаний, стремящихся сохранить гибкость своего подхода, поскольку облачные решения, как правило, более безопасны и позволяют быстрее обновлять системы ИБ.
С помощью машинного обучения мы можем автоматически анализировать закономерности в области ИБ. Это позволяет организациям выявить факт проникновения злоумышленников, как они передвигаются в системе и даже какую конечную цель они преследуют. Все это отслеживается в режиме реального времени. Такой анализ могут обеспечить только облачные решения, они помогают компаниям оставаться в безопасности, сказал Андрей Савчук руководитель отдела корпоративной безопасности, соответствия требованиям и идентификации Microsoft в Центральной и Восточной Европе.
|
Опрос выявил основные направления развития компаний в области ИБ на следующие два года. Можно отметить растущую важность постоянного обучения как сотрудников, так и ИТ-специалистов в области ИБ. В 2020 году большинство организаций (54%) проводили обучение по вопросам ИБ только на разовой основе. Похоже, что ситуация изменится, поскольку компании рассматривают повышение квалификации как основной драйвер повышения ИБ.
68% компаний в Центральной и Восточной Европе планируют организовать обучение сотрудников принципам кибергигиены в течение двух лет, при этом 56% уделят внимание повышению уровня технических специалистов. В России сравнимые показатели: 68% планируют повышать знания по кибербезопасности для сотрудников, а 48% планируют разработать стратегию безопасности или улучшить существующую стратегию.
Последние 12 месяцев принесли значительные изменения во все сферы рабочей жизни и стимулировали многие организации к ускорению цифровой трансформации. Результаты исследования подчеркивают необходимость проактивного подхода к кибербезопасности, чтобы соответствовать этой эволюции.
Бизнес должен использовать модель Zero Trust, при которой каждый пользователь, запрашивающий какой-либо доступ, должен пройти строгую аутентификацию, авторизацию с учетом ограничений политик и проверку на аномалии — только после этого доступ может быть предоставлен. Для предотвращения вторжений проверяется все — от удостоверений пользователей до среды размещения приложений, отметил Андрей Савчук руководитель отдела корпоративной безопасности, соответствия требованиям и идентификации Microsoft в Центральной и Восточной Европе.
|
Руководители в Европе ожидают, что только 5% сотрудников вернутся к офисной работе на постоянной основе. Чтобы снизить риск, связанный с обеспечением безопасности удаленных сотрудников, руководители компаний должны поддерживать своих работников: как путем повышения уровня кибергигиены, так и предоставления инструментов, которые снижают риски, позволяя при этом сотрудникам оставаться продуктивными.
Количество инцидентов на промышленных предприятиях увеличилось на 91%
28 апреля 2021 года Positive Technologies сообщила о том, что ее эксперты проанализировали киберугрозы 2020 года и выяснили, что по сравнению с 2019 годом количество инцидентов на промышленных предприятиях увеличилось на 91%, а число атак с использованием вредоносов увеличилось на 54%. На первом месте по количеству атак с использованием шифровальщиков оказались медицинские учреждения.
Как показало исследование, общее количество киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Больше всего злоумышленников интересовали государственные учреждения (19%), промышленные компании (12%) и медицинские организации (9%).
По сравнению с 2019 годом в 2020 году число атак на промышленные компании выросло почти вдвое: прирост составил 91%. В основном эту отрасль атаковали операторы программ-вымогателей, в частности RansomExx, Netwalker, Clop, Maze, Ragnar Locker, LockBit, DoppelPaymer, а также Snake, который перед началом шифрования удаляет теневые копии и имеет функции, позволяющие принудительно остановить процессы в АСУ ТП. На промышленность нацелены и многие APT-группировки. Для стран СНГ остаются актуальными атаки группировки RTM: за 2020 год эксперты PT Expert Security Center выявили более 100 фишинговых рассылок этой группы.
Реализация рисков в промышленности влечет за собой глобальные последствия, как в случае атаки на инфраструктуру водоснабжения и канализации в Израиле или в случае с отключением электроэнергии из-за кибератаки в Индии, — комментирует руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский. — Из-за атак некоторые компании, например Huber+Suhner и Honda, были вынуждены приостановить производство. Предугадать возможность реализации самых опасных рисков и оценить масштаб последствий на объектах критически значимой инфраструктуры сложно, поскольку даже самые опытные специалисты не могут дать гарантию, что все предусмотренные защитные механизмы сработают как нужно. Для адекватной оценки актуальных рисков предприятия недостаточно тестов на проникновение и аудита с типовым моделированием угроз. Типовые методы анализа защищенности либо нельзя применять в действующей инфраструктуре, либо они просто неэффективны. Ключевой аспект анализа защищенности — верификация наиболее опасных, неприемлемых производственных и бизнес-рисков. Имитировать ход атаки хакеров и при этом не навредить «боевым» системам можно с помощью цифровых двойников или на киберполигоне, где в безопасной среде есть возможность получить наиболее полное представление о том, реально ли осуществить конкретные риски (например, переполнение нефтяного хранилища), возможность проверить, сработают ли механизмы защиты и успеет ли команда специалистов по безопасности вовремя увидеть инцидент и предотвратить его развитие. |
По данным Positive Technologies, использование вредоносного ПО по-прежнему в тренде. В 2020 году количество подобных атак увеличилось на 54% по сравнению с 2019 годом. Разработчики ВПО уделяли много внимания методам сокрытия деструктивного воздействия и совершенствовали способы доставки, переключились на использование уязвимостей на сетевом периметре. Организации становились в основном жертвами программ-вымогателей, а частных лиц чаще атаковали с помощью шпионского ПО и банковских троянов.
Доля атак шифровальщиков среди всех атак с использованием ВПО, нацеленных на организации, составляет 45%. При этом на первом месте по числу атак с использованием шифровальщиков оказались медицинские учреждения (17%). Второе и третье места достались госучреждениям (16%) и промышленным предприятиям (15%) соответственно.
Мы видим усиление тренда на кражу данных перед шифрованием с последующим требованием двойного выкупа — за дешифровщик и неразглашение украденной информации, — отмечает аналитик Positive Technologies Яна Юракова. — В течение всего 2020 года появлялись сайты операторов программ-вымогателей для размещения похищенной информации, за которую ее владельцы отказывались платить. В случае отказа операторы шифровальщиков не только шантажировали жертв разглашением украденной информации, но и устраивали DDoS-атаки. Кроме того, злоумышленники объединялись в новые группировки и спекулировали на своей причастности к более «могущественным» операторам шифровальщиков. |
97% организаций в мире подвергались атакам на мобильные устройства
13 апреля 2021 года компания Check Point Software Technologies, поставщик решений в области кибербезопасности, опубликовала отчет о мобильной безопасности. В Mobile Security Report 2021 специалисты Check Point исследовали последние угрозы, нацеленные на корпоративные мобильные устройства, и предоставили обзор основных тенденций в области мобильных вредоносных программ, уязвимостей и кибератак государственного уровня. В отчете представлена информация о том, как организации могут защититься от сложных мобильных угроз и прогнозы развития этих угроз в ближайшем будущем.
Переход к массовой удаленной работе во время пандемии COVID-19 привел к резкому росту количества мобильных атак, в результате чего 97% организаций столкнулись с угрозами сразу с нескольких направлений. Специалисты прогнозируют, что к 2024 году 60% всех офисных сотрудников станут мобильными, поэтому защита мобильных устройств должна быть приоритетом для организаций.
Абсолютно все компании подвержены риску мобильных атак: почти каждая организация в 2020 году столкнулась по крайней мере с одной мобильной вредоносной атакой. 93% угроз возникали то стороны сети и были нацелены на похищение учетных данных, либо пытались убедить пользователей установить вредонос с зараженных веб-сайтов или URL-адресов.
Почти половина организаций в мире пострадала от вредоносных мобильных приложений: в 46% компаний по крайней мере один сотрудник загрузил вредоносное приложение в 2020 году, тем самым поставив под угрозу корпоративные данные и сеть организации в целом.
Четыре из десяти мобильных устройств во всем мире уязвимы: исследование Check Point Achilles показало, что по крайней мере 40% мобильных устройств в мире содержат уязвимости в чип-сете, которые нуждаются в срочном исправлении. Рост числа мобильных вредоносных программ: в 2020 году активность банковских троянов, которые способны похищать учетные данные пользователей мобильного банкинга, выросла на 15%. Часто злоумышленники распространяют мобильное вредоносное ПО, в том числе трояны для удаленного доступа к мобильным устройствам (MRAT), банковские трояны и программы дозвона премиум-класса через приложения, якобы связанные с COVID-19.
APT-группы атакуют мобильные устройства: например, в 2020 году иранская группа Rampant Kitten проводила тщательно продуманные многоуровневые целевые атаки для слежки за пользователями и кражи конфиденциальных данных.
2020 год показал, что ландшафт мобильных угроз продолжает расширяться, и практически каждая организация сталкивается с атаками, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — Мы все в той или иной мере работаем на мобильных устройствах, и грань между личным и рабочим стирается. Но это не значит, что защита персональных мобильных устройств — исключительно в руках конечных пользователей. Киберпреступники начинают активно использовать тренд и адаптируют под него свои методы атак, чтобы через конечные и зачастую личные мобильные устройства пользователей получать доступ к корпоративным данным. Организациям стоит серьезно задуматься и об их защите. |
В 2020 году Check Point впервые обнаружила атаку, в которой злоумышленники использовали систему управления мобильными устройствами (MDM) крупной международной корпорации. Через решение, которое изначально предназначалось для управления устройствами в организации, хакерам удалось распространить вредоносное ПО на более чем 75% мобильных устройств компании.
Отчет Check Point 2021 Mobile Security Report основан на статистических данных, полученных с 1 января по 31 декабря 2020 года от 1800 организаций, которые используют Check Point Harmony Mobile — решение для защиты от мобильных угроз. В отчете также были проанализированы данные аналитики Check Point ThreatCloud— совместной сети для борьбы с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. Также в отчете были учтены данные расследований Check Point Research (CPR) и исследований внешних организаций за последние 12 месяцев.
Пандемия и удаленная работы сделали средства защиты информации актуальными
Компания Cisco подвела итоги 2020 года в сфере обеспечения информационной безопасности. Об этом стало известно 5 марта 2021 года. Пандемия и удаленная работы сделали средства защиты информации актуальными как никогда прежде. Организациям пришлось ускоренными темпами защищать и масштабировать средства удаленного доступа на фоне возросших рисков кибербезопасности.
В 2020 году отмечался массовый всплеск угроз, причинами которого могли стать как ускорение цифровой трансформации во всех индустриях, так и повсеместный переход на удаленную работу, - прокомментировал Алексей Лукацкий, бизнес-консультант по безопасности Cisco. – В течение года количество кибератак росло, повышалась их сложность, и противостоять им становилось все труднее. Cisco регулярно публикует исследования, в которых анализирует актуальные угрозы и дает рекомендации по противодействию им. Отчеты, представленные по итогам 2020 года, содержат исчерпывающие сведения об актуальных рисках, а также рекомендации по защите от кибератак. Основываясь на этих исследованиях, компании могут смело реализовывать планы цифровой трансформации и строить надежную и защищенную ИТ-инфраструктуру. |
По мнению Cisco, эти тенденции были наиболее заметными в 2020 году:
Тренд 1: Усиление защиты здравоохранения
В 2020 году критичной точкой в области обеспечения информационной безопасности на фоне вспышки пандемии стала сфера здравоохранения.
Огромной проблемой стали унаследованные и устаревшие технологии. Глобальный отчет по кибербезопасности Cisco 2021 Security Outcomes Study, в котором приняли участие 4800 специалистов в области ИБ, ИТ и защиты конфиденциальности из 25 стран, подтвердил, что эффективное взаимодействие ИТ- и ИБ-служб в сфере здравоохранения повысило способность организаций избегать серьезных инцидентов в среднем почти на 16% и минимизировать незапланированные и ресурсоемкие работы в среднем на 20%.
Тренд 2: защита подключений при удаленной работе
Переход на удаленную работу в 2020 г. подразумевал, во-первых, что все сотрудники должны иметь возможность безопасно работать из дома, и во-вторых, что они сохраняют доступ ко всем необходимым корпоративным ресурсам. Поэтому многие обратились к технологии рабочих столов Remote Desktop, которая позволяет пользователю удаленно подключаться к компьютеру.
Любое решение для удаленных рабочих столов в случае компрометации предоставляет злоумышленнику доступ к ресурсам организации. Компании, в которых применяется протокол RDP, должны предпринять дополнительные меры защиты, чтобы обезопасить себя и своих сотрудников.
Тренд 3: безопасность персональной информации
Среди ИБ-специалистов, принявших участие в опросе, более трети заявили, что конфиденциальность данных является одной из основных сфер ответственности, наряду с оценкой и управлением рисками и реагированием на угрозы. Причем более трети организаций, инвестирующих в защиту персональных данных, получают выгоды, которые как минимум вдвое превышают объем вложенных средств.
В отношении числа удаленных сотрудников российские организации распределились следующим образом:
· 24% компаний доля удаленных сотрудников составляет 76-100%; · 31% предприятий 51-75% специалистов работают из дома; · 27% организаций удаленный формат взаимодействия используют 26-50% работников; · 18% компаний от 1 до 25% сотрудников выполняют свои обязанности в удаленном режиме.
Средние годовые расходы на защиту данных в российских организациях, участвовавших в опросе, составили порядка 1,4 млн долларов.
Преимущества, которые их компании получили вследствие усиления мер защиты данных, российские респонденты оценили в 2,1 млн долларов в год.
Тренд 4: актуализация программ-вымогателей
В 2020 г. атаки на корпоративные сети посредством программ-вымогателей отличались новыми тактиками. Например, злоумышленники начали встраивать в вымогатели таймеры обратного отсчета, угрожая окончательным уничтожением данных или запуском атаки Big Game Hunting («Охота за большой добычей»).
Участились рассылки с объявлениями о продаже, в которых преступники продают другим злоумышленникам доступ к различным сетям. Кроме того, теперь они используют «двойной шантаж»: до запуска программ-вымогателей похищаются большие объемы корпоративных данных, и жертвам приходится не только восстанавливать скомпрометированные сети, но и ликвидировать угрозу обнародования интеллектуальной собственности, коммерческих тайн и другой конфиденциальной информации.
В число прочих методов, которые положительно влияют на достижение желаемых результатов в области обеспечения информационной безопасности, входят точное обнаружение угроз, своевременное реагирование на инциденты и эффективное использование автоматизации. Важными факторами обеспечения кибербезопасности также являются соблюдение принципа нулевого доверия и тщательная инвентаризация активов, так как невозможно по-настоящему обезопасить то, о чем не подозреваешь.
Тренд 5: охота на пароли
По данным отчета Verizon 2020 Data Breach Investigations Report, кража идентификационных данных занимает второе место среди самых распространенных действий взломщиков. И это очень серьезно, ведь используя легальные пароли, злоумышленники могут получать доступ ко всей сети, оставаясь незамеченными.
6 основных тенденций в области кибербезопасности на 2021 год
22 декабря 2020 года стало известно о том, что по прогнозам экспертов HP Inc., в 2021 году негативное влияние пандемии COVID-19 на безопасность ИТ-инфраструктур компаний продолжится, что сформирует ряд актуальных тенденций.
Уязвимость корпоративной безопасности приведет к увеличению числа инсайдерских угроз
Как пояснялось, радикальные изменения рабочих процессов и другие последствия COVID-19 стали причиной ослабления защиты ИТ-инфраструктуры. Неэффективная реализация удаленного доступа, уязвимости в VPN и нехватка персонала, способного решить эти проблемы, привели к тому, что корпоративные данные оказались под угрозой несанкционированного доступа.
Повышенному риску подвержены и домашние устройства: возросшее число удаленных сотрудников создало такие условия, когда злоумышленники легко подключаются к корпоративным ПК через незащищенные локальные сети, а пользователи не имеют возможности оперативно связаться с ИТ-специалистами и предотвратить угрозу несанкционированного вторжения.
При удаленной работе у сотрудников размывается грань между выполнением рабочих и личных задач на корпоративном устройстве, а безобидные действия — например, чтение личной электронной почты — могут иметь серьезные последствия. Компании будут все чаще сталкиваться с эмоциональным выгоранием сотрудников, что может привести к росту ошибок.
Продолжится рост числа кибератак с целью вымогательства
Программы-вымогатели стали излюбленным инструментом киберпреступников, и эта тенденция продолжится в 2021 году. Рост числа программ-вымогателей стимулирует развитие целой экосистемы преступных инструментов. Вредоносные ПО рассылаются по электронной почте, а такие вирусы, как Emotet, TrickBot и Dridex, часто предшествуют внедрению этих программ. Многие криминальные группы с помощью агрессивных инструментов взламывают контроллеры доменов, которые часто оказываются самыми подходящими точками для внедрения программ-вымогателей.
Рост числа двухэтапных вымогательских кампаний, в рамках которых данные о жертве фильтруются перед шифрованием, особенно сильно ударит по государственным структурам, располагающим большим количеством персональных данных.
Инновации в фишинге приведут к росту числа кибератак «перехват сеанса» и «уэйлинг»
В 2021 году появится больше инновационных фишинговых приманок, предназначенных для обмана пользователей и усложнения идентификации атак. Самый инновационный метод массового фишинга, который наблюдается на декабрь 2020 года, это перехват электронной почты ботнетом Emotet. Ботнет автоматически создает письма-приманки, используя данные, украденные из взломанных сервисов электронной почты. Эти данные впоследствии используются в переписках, что делает их очень убедительными и подталкивает жертвы открывать файлы с вредоносным ПО.
Перспектива продолжения режима самоизоляции побуждает людей обмениваться большим количеством личной информации в Интернете, которая может стать оружием в руках киберпреступников. «Уэйлинг» — вид фишинга, нацеленный на руководителей высшего звена, станет еще более опасным, поскольку киберпреступники смогут использовать персональную информацию, найденную или украденную в Интернете, для создания убедительных писем-приманок на адреса корпоративной почты. При этом хакеры будут активно эксплуатировать острые темы 2020 года, чтобы подтолкнуть людей к открытию вредоносных электронных писем. Это может быть информация о вакцинах от COVID, предупреждения о финансовых проблемах или политической нестабильности.
Хакерские атаки будут направлены на ключевые социальные инфраструктуры
Одной из отраслей, подверженной наибольшему риску в 2021 году, станет сфера здравоохранения. Медицинские организации, как правило, не имеют достаточных ресурсов для защиты ИТ-инфраструктур, не склонны к изменениям и медленно внедряют инновации. Образование также соответствует критериям уязвимости и может стать одной из основных мишеней. При этом угроза распространяется не только на больницы и медицинские учреждения, но и на более крупные исследовательские центры. Участвуя в гонке за созданием вакцины, фармацевтические компании и исследовательские центры будут сталкиваться с повышенными рисками.
Производители автомобилей, специализирующиеся на электрическом транспорте, также станут мишенями для кибератак в связи с ростом их престижа и прибыли. Кроме того, можно ожидать рост числа хакерских атак на критические инфраструктуры и промышленный Интернет вещей (IIOT).
Модель нулевого доверия будет эффективной, если станет прозрачной для пользователей
Традиционные способы защиты доступа к корпоративной сети, приложениям и данным больше не работают, стратегия построения защиты сети по периметру устарела. Кроме того, с годами децентрализованность персонала привела к росту популярности модели SaaS — это означает, что критически важные данные оказываются за пределами локальных корпоративных серверов. Организациям приходится защищаться от неизвестных ранее угроз, поэтому такие технологии, как биометрия, будут активно использоваться компаниями в будущем.
Нулевое доверие — подход для обеспечения защиты информации при удаленной работе, однако для эффективного управления идентификацией и доступом, система должна быть простой в использовании. Ключевой приоритет модели нулевого доверия — качественные методы аутентификации, например, биометрия.
Возрастет необходимость другого подхода обеспечения безопасности
2020 год продемонстрировал острую необходимость внедрения других подходов обеспечения безопасного удаленного доступа к оконечным устройствам и защищенного управления распределенной инфраструктуры конечных точек. В будущем каждый элемент ИТ-инфраструктуры станет полем битвы за кибербезопасность, от ПК и смартфонов удаленных сотрудников до промышленных компонентов Интернета вещей. Организациям необходимо адаптировать системы безопасности и управления, внедрять необходимые технологические инновации в рабочие процессы.
Такие технологии, как микровиртуализация, прозрачны для конечных пользователей. Это означает, что они с могут открывать вложения электронной почты и загружать файлы, зная, что система защитит их устройство от проникновения вируса. Этот подход к защите не оставляет хакерам шансов, помогая организациям справляться с любыми угрозами как в 2021 году, так и в долгосрочном будущем.
2020 год выдался тяжелым как для частного бизнеса, так и для государственных и социальных структур. Особенно активным атакам подверглись госучреждения, производственные предприятия, медицинские и образовательные организации, а также финансовая отрасль. Переход к удаленной работе расширил фронт атак и усложнил жизнь службам информационной безопасности. Это означает, что дни, когда основная задача состояла в защите сети по периметру, остались позади. На декабрь 2020 года необходимо смещать акценты на обеспечение защиты конечных точек. Весь 2020 год мы были свидетелями повышения целенаправленности хакерских атак, использования изощренных приманок, побуждающих пользователей совершать рискованные действия. В 2021 году мы увидим дальнейшее развитие этих тенденций, увеличение числа хитроумных целевых взломов, направленных на пользователей и конечные точки. Организации не могут позволить себе игнорировать возрастающую угрозу и просто надеяться на улучшение ситуации, поэтому крайне важно обеспечить защиту оконечных устройств, что позволит им всегда быть на шаг впереди киберпреступников. прокомментировал Павел Анохин, генеральный директор HP Inc. в России |
Каждая вторая организация сообщает об увеличении кибератак во время пандемии
15 декабря 2020 года компания Check Point Software Technologies Ltd.(NASDAQ: CHKP), поставщик решений в области кибербезопасности по всему миру, представила результаты исследования, в котором показала основные приоритеты и проблемы кибербезопасности организаций до 2023 года, а также основные изменения в их стратегиях кибербезопасности, возникшие из-за пандемии COVID-19 в 2020 году.
Ниже – ключевые выводы опроса более 600 специалистов по ИТ и ИБ по всему миру:
Главные проблемы безопасности в 2021 году:
- Обеспечение безопасности сотрудников, работающих удаленно –– это отметили 47% респондентов
- Защита от фишинга и атак с использованием социальной инженерии –– 42%
- Предоставление безопасного удаленного доступа –– 41%
- Защита облачных приложений и инфраструктуры –– 39%
Главные задачи безопасности на следующие 2 года:
- Обеспечение удаленной работы – 61% респондентов
- Безопасность конечных точек и мобильных устройств – 59%
- Защита публичных и гибридных облаков – 52%
Наша реальность:
- 50% всех респондентов считают, что их подход к безопасности не вернется к допандемийным нормам.
- 29% заявили, что в какой-то момент в будущем ожидают возвращения к тем нормам, которые были до COVID-19
С начала пандемии организации сталкиваются с растущим количеством атак:
- 58% респондентов заявили, что их организации испытали рост атак и угроз с начала вспышки COVID-19.
- 39% заявили, что объем атак остался прежним.
Перемены в стратегиях безопасности на 2020 год:
- 95% респондентов заявили, что их стратегии изменились во второй половине года. При этом самым крупным изменением стала возможность массовой удаленной работы – об этом рассказали 67% опрошенных.
- 39% отметили, что теперь для сотрудников проводится обучение базовым правилам кибербезопасности.
- 37% рассказали, что улучшили сетевую безопасность и предотвращение угроз.
- 37% заявили, что расширили безопасность конечных точек и мобильных устройств.
- 31% отметили быстрое внедрение облачных технологий.
- 27% заявили, что они ускорили текущие ИТ-проекты в течение 2020 года – для большинства меры, предпринятые из-за пандемии, включали незапланированное переосмысление их бизнес-модели.
Советы Check Point, которые помогут организациям улучшить свои стратегии безопасности:
- Предотвращайте в режиме реального времени. Вакцинация лучше лечения – в кибербезопасности тоже действует это правило. Профилактика является ключом к защите сетей, сотрудников и данных от атак и угроз.
- Защищайте все части сети. Организации должны пересмотреть и проверить уровень безопасности и актуальность своей сетевой инфраструктуры, устройств, процессов, соответствие подключенных устройств, (в том числе и IoT) и прочее. Активное применение облаков требует повышенного уровня безопасности, особенно в технологиях, которые защищают рабочие нагрузки, контейнеры и бессерверные приложения.
- Объединяйте решения и сокращайте количество поставщиков. С таким количеством изменений, внесенных в инфраструктуру организаций, важно регулярно спрашивать себя: действительно ли мы обеспечиваем необходимую безопасность, все ли мы защищаем, нет ли никаких слепых зон. Высокий уровень видимости сети повышает эффективность безопасности. Идеальное решение – унифицированное управление и улучшенная видимость рисков для всей архитектуры безопасности. Но этого можно добиться только за счет сокращения количества поставщиков и точечных решений.
Согласно исследованию, большинство организаций не ожидают, что их текущие проблемы и приоритеты безопасности сильно изменятся в течение следующих двух лет. Для многих те временные изменения, которые они внесли в свои сети и инфраструктуры во время пандемии, останутся навсегда, — рассказывает Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — В то же время количество кибератак и угроз растет, поскольку хакеры пытаются воспользоваться этой ситуацией. Компаниям необходимо устранять любые бреши в своих новых распределенных сетях — от личных устройств сотрудников до центра обработки данных. Преодоление влияния пандемии на бизнес и обеспечение работы с максимальной эффективностью и безопасностью – вот самые главные задачи для большинства организаций. |
Четверть организаций по всему миру за год подверглась минимум семи кибератакам
7 декабря 2020 года компания Trend Micro представила результаты опроса, согласно которому за последний год 23% организаций по всему подверглись семи или более атакам, завершившимся проникновением в их сети или системы. Подавляющее большинство (83%) опрошенных организаций считают, что существует «некоторая» или «высокая» вероятность успешной атаки в ближайшие 12 месяцев.
Американская исследовательская организация Институт Понемона (Ponemon Institute) опубликовала последнюю версию Индекса киберрисков Trend Micro (Cyber Risk Index — CRI), для расчёта которого измеряется разница между текущим уровнем безопасности организации и вероятностью подвергнуться атаке.
«В этом году мы добавили данные по Европе и Азиатско-Тихоокеанскому региону, чтобы можно было представить поистине глобальную картину. Это поможет организациям во всем мире найти более эффективные способы упрощения работы, снижения угроз от действий инсайдеров и из‑за нехватки навыков, а также повысить уровень безопасности облачных сред и в результате минимизировать киберриски и поддержать быстрое восстановление после пандемии», — отметил Джон Клэй (Jon Clay), директор отдела информирования о глобальных угрозах Trend Micro. |
Индекс CRI представляет собой числовую шкалу от –10 до 10, где –10 — наивысший уровень риска. Текущий глобальный индекс составляет –0,41, что соответствует «повышенному» риску. Наиболее высокий риск зафиксирован в США (–1,07) из-за недостаточной готовности систем защиты от кибератак по сравнению с другими регионами.
По мнению организаций, главными киберрисками в мире являются:
- фишинг и социальная инженерия;
- кликджекинг;
- программы-вымогатели;
- бесфайловые атаки;
- ботнеты;
- атаки типа man-in-the-middle (связанные с перехватом канала связи).
Наибольшую тревогу у организаций по всему миру вызывают:
- потеря данных клиента;
- доступ к финансовой информации;
- потеря клиентов;
- кража или повреждение оборудования.
Между некоторыми странами наблюдаются различия. США — единственная страна, где респонденты отметили возникновение расходов на оплату услуг внешних консультантов как основное негативное последствие атаки, в то время как в странах Азиатско-Тихоокеанского региона большее волнение вызывает ущерб критически важной инфраструктуре организации.
К основным глобальным рискам безопасности ИТ-инфраструктуры относятся:
- несогласованность и сложность систем внутри организации;
- небрежность сотрудников;
- инфраструктура облачных вычислений и её поставщики;
- нехватка квалифицированных кадров;
- действия злоумышленников-инсайдеров.
Исследование CRI проводится в США в третий раз. Оно демонстрирует значительное увеличение киберрисков в 2020 году. Полный отчёт отображает изменение связанных с этим показателей с течением времени, содержит информацию о самых серьёзных проблемах безопасности для предприятий по всему миру и советы по минимизации угроз безопасности.
После пандемии 12% компаний приняли решение создать отдел ИБ «с нуля»
После пандемии 12% компаний приняли решение создать отдел ИБ «с нуля». Об этом HeadHunter сообщил 12 ноября 2020 года.
88% ИБ-специалистов считают, что ИТ-инфраструктура в период пандемии стала более уязвимой, при этом 59% компаний были вынуждены обходиться вообще без ИБ-специалистов.
Компании испытывают кадровый голод – более четверти опрошенных ИБ-специалистов сообщили, что при экстренном переводе на удаленку в 2020 году им не хватало рук. 30% смогли нанять новых сотрудников, еще 24% увеличили штат за счет кадрового резерва. 12% усиливали коллектив за счет ресурсов на стороне – аутсорсинговых компаний.
Несмотря на сложности, с которыми столкнулись компании, 61% компаний не планирует на 2021 год кадровых изменений в отделе ИБ: ни увеличения числа сотрудников, ни сокращения. Четверть опрошенных сообщили, что планируют расширение штата, в 12% компаний принято решение о создании подразделения «с нуля».
Лев Матвеев, председатель совета директоров «СёрчИнформ»:
Перевод сотрудников на удаленку привел к росту уязвимости ИТ-инфраструктуры. Компании осознали, что необходимо отражать не только внешние атаки, но и контролировать собственных сотрудников от случайных и намеренных нарушений. Наш опрос показал, что ИБ-специалистов в компаниях не хватает. И недостаточно именно квалифицированных профессионалов, которые умеют выявлять, расследовать и предотвращать инциденты ИБ. Поэтому мы прогнозируем, что ситуация будет вынуждать компании все чаще прибегать к аутсорсингу процессов ИБ. |
Виталий Терентьев, директор департамента специальных проектов hh.ru:
Данные, полученные в ходе опроса «СёрчИнформ», подтверждают, что пандемия и массовый переход в онлайн сильно повлияли на рост востребованности специалистов в сфере кибербезопасности: 25% компаний уже под влиянием этих обстоятельств расширили штат таких специалистов путем найма сотрудников или переводом из других подразделений. По данным hh.ru, количество вакансий для таких специалистов в РФ показывают двузначные темпы роста: если в 2018 г. было открыто свыше 17 тысяч вакансий, то за неполный 2020 (с января по октябрь) уже почти 30 тысяч. Еще более быстрыми темпами растут резюме ИБ-специалистов: в 2018 г. их было 18 тысяч, в 2019 – 25 тысяч, а за неполный 2020 – уже свыше 55 тысяч. Показатель конкуренции в этой сфере очень низкий – в 2018-2019 гг. он был на уровне 1 и только в 2020 году он вышел на уровень 2 человек на место, что говорит об остром дефиците. |
«СёрчИнформ» провела опрос в сентябре – октябре 2020 года, в нем приняли участие свыше 800 респондентов: начальники и сотрудники ИБ-подразделений, эксперты отрасли и руководители российских организаций.
Большинство российских компаний готовы тратить 25% годового бюджета на киберполигоны ИБ
10 ноября 2020 года компания Positive Technologies сообщила итоги опроса среди отечественных специалистов по информационной безопасности, чтобы узнать, как они оценивают киберзащищенность своих компаний, с реализацией каких кибер-рисков они сталкивались в течение 2020 года, и какие инструменты защиты считают наиболее эффективными.
В опросе приняли участие посетители сайта Positive Technologies, аудитория интернет-портала SecurityLab.ru и участники ряда отраслевых сообществ.
В выборку вошли респонденты из различных отраслей: ИТ, кредитно-финансовая, промышленность, ритейл, государственные организации и др.
О том, что их организации становились жертвами кибератак, рассказали 57% опрошенных. Вот ТОП-5 наиболее часто упоминаемых последствий целенаправленных действий злоумышленников:
- утечка информации (в 37% случаев);
- простой инфраструктуры (27%);
- нарушение технологического процесса (20%);
- уничтожение данных (20%);
- ущербрепутации (17%).
Оценить финансовые потери в следствие утечки данных сложно, так как в большинстве случаев речь идет об упущенной выгоде или, скажем, репутационном ущербе, а вот ущерб от остановки в работе всех систем хотя бы на один день, как показало одно из наших более ранних исследований, большинство компаний оценивают в суммы от 0,5 до 2 млн. руб.
При этом только менее четверти опрошенных респондентов (23%) считают, что выделяемого бюджета на информационную безопасность в их компаниях достаточно для внедрения всех необходимых мер по обеспечению ИБ (большая же часть респондентов – около 30% – довольствуются внедрением минимального набора соответствующихмер). Тем не менее, результаты опроса показали, что тема киберучений актуальна и 87% респондентов хотели бы принять в них участие для того, чтобы:
- повысить квалификацию сотрудников (данную задачу отмечают 75% опрошенных);
- проанализировать защищенность систем (66%);
- верифицировать потенциальные риски (55%);
- протестировать средства защиты в процессе киберучений (59% опрошенных, причем так ответили две трети тех, кто считает, что в компании принимается недостаточно средств защиты).
В компании отметили, что треть респондентов (32%) готова (или может позволить себе) потратить на киберучения не более 2 млн. рублей, и еще 5% ― могут выделить на это до 10 млн. рублей. Как показало одно из наших более ранних исследований, большая часть компаний (почти 70%), размером от 500 до 1000 чел. обладает бюджетом менее 10 млн. руб. Таким образом, пятую часть своего годового бюджета отечественные компании готовы потратить на участие в киберполигоне, что говорит о понимании важности практической безопасности даже в условиях недостаточного финансирования.
Лучшим решением является проведение киберучений с привлечением нескольких команд, атакующих цифровую модель организации, соответствующей реальной инфраструктуре компании – цифрового двойника (digital twin). В этой концепции мы уже не один год развиваем The Standoff, как инструмент моделирования угроз и оценки реального уровня защищенности конкретных технологий, ― поясняет Андрей Бершадский, директор центра компетенции, Positive Technologies. ― В последние годы мы видим рост востребованности киберполигона как услуги. Так, если в 2019 году в той или иной форме активными участниками полигона было 15 компаний, то в этом их число перевалило за 20. И каждая компания интегрировала те или иные части своей инфраструктуры и бизнес-процессов в виртуальную среду полигона. То есть рост востребованности есть, рынок зреет, но, помимо этого, актуальной остается и максимальная ценовая эффективность, а это достигается только на централизованных онлайн-площадках. |
Ежемесячная аудитория портала Securitylab.ru на ноябрь 2020 года насчитывает около полумиллиона посетителей ежемесячно, большая часть из которых — программисты, ИТ- и ИБ-специалисты, руководители соответствующих отделов.
Совокупная аудитория сообществ более 16 000 ИТ- и ИБ-экспертов из различных сфер отечественного бизнеса.
Разногласия между отделами ИТ и ИБ сказываются на безопасности бизнеса
Компания Positive Technologies 6 ноября 2020 года сообщила итоги опроса среди экспертов по ИБ, целью которого было выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских организациях. В опросе участвовали специалисты по ИБ из госсектора (22%), кредитно-финансовых организаций (17%), промышленных (17%) и ИТ-компаний (16%), ТЭК (9%) и других отраслей (19%).
Как показал опрос, больше всего времени специалисты по ИБ тратят на разбор результатов сканирования на наличие уязвимостей в ИТ-инфраструктуре и на попытки убедить ИТ-специалистов в необходимости установить обновления (так ответили 48% респондентов). Кроме того, прослеживается тенденция: чем больше компания, тем сложнее специалистам по ИБ договориться с ИТ-отделом. Если для представителей малого бизнеса наиболее трудоемкий процесс — анализ результатов сканирования (50% респондентов), то для представителей среднего и крупного бизнеса это согласование установки обновлений (55% и 56% соответственно).
Также к трудоемким задачам 31% специалистов отнесли проверку устранения уязвимостей (это характерно как для больших, так и для малых компаний).
В ходе опроса 11% респондентов рассказали, что им приходится отдельно обосновывать устранение каждой уязвимости. При этом 11% опрошенных не проверяют, устранил ли ИТ-отдел обнаруженные уязвимости. Это говорит о том, что во многих российских компаниях отсутствует такой важный этап процесса vulnerability management, как контроль уровня защищенности ИТ-активов.
Не все специалисты спешат устанавливать обновления — каждый десятый опрошенный ответил, что в его компании критически опасные уязвимости на важных активах не устраняются более полугода. Компании затягивают с обновлениями, в то время как злоумышленники действуют быстро и адаптируют эксплойты для своих атак иногда в течение суток.
Управление уязвимостями должно быть эффективным как в штатном режиме, так и при экстренной проверке, — говорит Анастасия Ляшенко, менеджер по продуктовому маркетингу компании Positive Technologies. — Мы попросили респондентов ответить, чтó они будут делать в первую очередь, если узнают о серьезной уязвимости в ПО. Половине опрошенных понадобится провести дополнительное сканирование, чтобы узнать о существовании в сети уязвимого ПО, 19% смогут сразу принять меры по защите компании. Учитывая сложный процесс согласования полноценного сканирования во многих компаниях, оперативно узнать, опасна ли уязвимость для инфраструктуры, будет затруднительно. Эффективнее, если система управления уязвимостями сохраняет информацию о просканированных активах и может высчитывать применимость уязвимости к сети автоматически на основании прошлого сканирования. |
Опрос показал, что в процессе vulnerability management специалисты по ИБ сталкиваются со множеством сложных задач. Решить их будут способны специальные системы, которые помогают правильно выстроить управление активами (asset management), соблюдение регламентов по сканированию, контроль устранения уязвимостей, а также тесное сотрудничество службы ИБ с ИТ-подразделением.
Только 4% компаний SMB имеют надежную защиту ИТ-инфраструктуры
14 сентября 2020 года Softline подвела итоги первого месяца реализации услуги «Базовый анализ защищенности инфраструктуры». Итоги исследования показали, что информационные системы 96% компаний малого и среднего бизнеса уязвимы к атакам извне.
В течение месяца специалисты Infosecurity a Softline Company проводили оценку уровня защищенности 47 российских организаций SMB сегмента с использованием собственной услуги компании «Базовый анализ защищенности инфраструктуры». В ходе исследования в 45 компаниях были обнаружены серьезные уязвимости.
Наиболее часто встречающаяся проблема – отсутствие установленных обновлений безопасности. Подобного рода инциденты были выявлены абсолютно во всех проверенных организациях, причем в ряде случаев уязвимые версии программного обеспечения использовались на критически важных для функционирования компании объектах.
На втором месте стоит использование слабых паролей или паролей «по умолчанию». В 70 процентах компаний зафиксированы случаи использования ненадежных паролей как на рабочих станциях, так и на сетевом оборудовании.
Более чем в половине компаний, воспользовавшихся услугой «Базовый анализ защищенности инфраструктуры», были обнаружены критические уязвимости, позволяющие удаленно выполнять произвольный код, что делало данные организации совершенно беззащитными перед лицом внешних злоумышленников. Кроме того, в 11 случаях специалисты Infosecurity обнаружили следы предыдущих взломов (web-шеллы, дампы баз данных и нелегитимно созданные учетные записи). Все это лишний раз свидетельствует о том, что киберпреступники проявляют активный интерес к любым слабозащищенным компаниям, стремясь извлечь из этого материальную выгоду, а значит, среднему и малому бизнесу крайне важно уделять повышенное внимание вопросам защиты информации.
Эксперты ИБ-провайдера подготовили рекомендации по устранению всех выявленных уязвимостей. Кроме того, в течение 30 дней после завершения первоначального анализа доступно проведение бесплатной повторной проверки инфраструктуры компании с целью оценки качества работ по устранению угроз.
Наряду с атаками на инфраструктуру компании, связанными с проникновением внутрь защищенного периметра, в последние месяцы компания Infosecurity фиксирует рост числа DDoS-атак на ресурсы малого и среднего бизнеса. При этом DDoS-атаки используются не только для нарушения функционирования внешних сервисов компании и, как следствие, затруднения коммуникации с партнерами и клиентами, но и в целях воспрепятствования доступа находящихся на удаленной работе сотрудников к инфраструктуре организации, что влечет за собой фактическую остановку бизнес-процессов и способно нанести серьезный ущерб бизнесу.
Вредоносное ПО – основной вектор кибератак на российские компании в первом полугодии
28 августа 2020 года аналитики Angara Professional Assistance, сервис-провайдера тиражируемых услуг кибербезопасности группы компаний Angara, поделились результатами исследования событий ИБ за I полугодие 2020 года.
Согласно исследованию, в январе-июне 2020 года основные векторы атак на информационные системы российских компаний пришлись на заражение вредоносным программным обеспечением (ВПО, 28%), эксплуатацию уязвимостей (12%) и доставку ВПО через e-mail (т.е. фишинг, 7%). Для сравнения, во II полугодии 2019 года доля заражения ВПО была на уровне 7%, а доли эксплуатации уязвимостей и доставки ВПО через e-mail – на уровне 4% каждый.
«Такой профиль подтвержденных инцидентов ИБ в I полугодии 2020 года является следствием экстренного перехода компаний на режим удаленной работы и последующей адаптации ИТ-инфраструктур к новому формату взаимодействия, – рассказал руководитель Angara Professional Assistance Оксана Васильева. – Размытие периметра ИБ, недостаточное внимание к защите средств удаленного доступа привело к лавинообразному росту самых простейших видов атак». |
Из отчета следует, что большое количество ВПО было скачано пользователями под видом легитимных приложений (в том числе игровое ПО, средства для взлома ПО, мессенджеры и т.д.). Подобные инциденты, непосредственно связанные с удаленной работой, составили 12% от всех событий, относящихся к ВПО. Увеличение их количества вызвано прямым доступом в сеть интернет мимо корпоративных средств анализа веб-трафика.
Аналитики ACRC зафиксировали большое количество фишинговых писем на корпоративные адреса компаний, содержащих вредоносные вложения или ссылки на вредоносный контент. Чаще всего вредоносное вложение доставляется в архиве с паролем, что позволяет обойти проверку содержимого средствами антивирусной защиты на почтовом сервере. Одна из заметных фишинговых рассылок была замаскирована под запрос Федеральной налоговой службы России: пользователь получил письмо от адресата info@nalog.ru с темой «Запрос ФНС». Во вложении находился исполняемый файл, который при запуске инициировал установку средства удаленного администрирования Remote Manipulator System (RMS), которое злоумышленники давно используют для управления скомпрометированными хостами.
Что касается эксплуатации уязвимостей, то во время удаленной работы регистрировались инциденты, связанные с эксплуатацией таких брешей, как CVE-2019-0708 (BlueKeep) и CVE-2017-0144 (EternalBlue) протоколов RDP и SMB на корпоративных хостах. В ходе расследования выяснилось, что хостам выдавались белые адреса сети интернет для работы из дома, что позволило внешним злоумышленникам осуществить попытки эксплуатации уязвимостей.
Согласно статистическим данным по месяцам, уже в мае ситуация стабилизировалась: число подтвержденных инцидентов ИБ упало на 45% к предыдущему месяцу.
«В первой половине года мир столкнулся с новыми вызовами. Приспосабливаться в сжатые сроки пришлось всем, в частности, коммерческим поставщикам услуг SOC. Центру киберустойчивости и нашим клиентам удалось адаптироваться к текущей ситуации за короткое время и, хотя и произошел общий рост вредоносной активности, она не отразилась на функционировании бизнеса заказчиков», – подвела итоги Оксана Васильева. |
Отчет Angara Professional Assistance основан на статистике, собираемой в рамках предоставления услуг по мониторингу и управлению инцидентами информационной безопасности на базе Центра киберустойчивости Angara Cyber Resilience Center (ACRC).
Пять основных трендов в области кибербезопасности
Корпорация Microsoft 19 августа 2020 года поделилась результатами исследования, в котором приняли участие крупные компании в Индии, Германии, Великобритании и США. Цель исследования состояла в том, чтобы выявить изменения, произошедшие в первые два месяца пандемии коронавируса в области цифровой трансформации и информационной безопасности. Результаты исследования отразили пять основных трендов в области кибербезопасности.
1. Безопасность - основа для обеспечения продуктивности в эпоху цифровых технологий.
Повышение производительности во время удаленной работы является основным приоритетом руководителей бизнес-подразделений по обеспечению ИБ (41%), а "распространение технологий защиты данных на большее количество приложений для удаленной работы" респонденты назвали самым положительным явлением для пользователей в этой области. Неудивительно, но "предоставление безопасного удаленного доступа к ресурсам, приложениям и данным" одновременно является и самой сложной задачей. Большинство опрошенных компаний в качестве первого шага на пути к этой цели назвали внедрение системы многофакторной аутентификации.
2. Все находятся на пути к концепции «Никому не доверяй» (Zero Trust).
Концепция в первые же дни пандемии из интересной возможности превратилась в бизнес-приоритет. В свете перехода на удаленную работу 51% руководителей в сфере ИБ ускоряют развертывание архитектуры Zero Trust. В результате концепция может стать отраслевым стандартом, поскольку 94% компаний сообщают, что они в той или иной степени уже внедряют элементы Zero Trust, отметили в Microsoft.
3. Больше различных наборов данных - больше информации о возможных угрозах.
Пандемия позволила оценить возможности облачных технологий. Microsoft ежедневно отслеживает более 8 триллионов сигналов об угрозах из самых разных источников (продуктов, сервисов, подписок на индикаторы компрометации и т.д.) по всему миру. Автоматизированные инструменты помогли специалистам по безопасности выявлять новые угрозы до того, как они достигнут клиентов - иногда за доли секунды.
Облачные фильтры и средства обнаружения угроз также позволили предупреждать службы безопасности о подозрительном поведении, что было крайне актуальным для бизнеса, поскольку 54% руководителей служб безопасности сообщили об увеличении количества фишинговых атак с начала пандемии. Об успешных фишинговых атаках значительно чаще сообщали компании, которые описали свои ресурсы как преимущественно локальные (36%), по сравнению с 26% в компаниях, которые опираются на облачную инфраструктуру.
4. Кибербезопасность является основой для операционной отказоустойчивости.
Поскольку все больше организаций предоставляют сотрудникам решения безопасной удаленной работы. Облачные технологии упрощают разработку комплексной стратегии обеспечения защиты и непрерывности бизнеса в условиях активных киберугроз (киберустойчивости) и подготовку к широкому спектру непредвиденных обстоятельств. Более половины компаний, использующих облачные или гибридные технологии, сообщают о наличии стратегии киберустойчивости для большинства сценариев, по сравнению с 40% организаций, опирающихся на локальную инфраструктуру, из которых 19% вообще не имеют такого плана в документированном виде.
5. Облако является необходимым условием эффективного обеспечения безопасности.
В то время как специалисты часто думали о безопасности как наборе решений для развертывания поверх существующей инфраструктуры, такие события, как масштабный переход на удаленную работу, демонстрируют необходимость внедрения систем интегрированной безопасности для компаний любого размера.
Помимо этого, с момента начала пандемии более 80% компаний нанимали специалистов в сфере безопасности. Большинство руководителей служб информационной безопасности сообщили об увеличении бюджета на ИБ (58%) и соответствие нормативным требованиям (65%), чтобы адаптироваться к многочисленным последствиям пандемии для бизнеса.
В то же время 81% из них также сообщили о необходимости снизить затраты на ИБ компании в целом. Чтобы сократить расходы в краткосрочной перспективе, руководители работают над улучшением систем интегрированной защиты от угроз для значительного снижения риска ущерба от кибератак. Почти 40% предприятий заявляют, что в долгосрочной перспективе отдают предпочтение инвестициям в облачную безопасность, за которыми следуют безопасность данных и информации (28%) и антифишинговые инструменты (26%).
На сетевом периметре 84% компаний выявлены уязвимости высокого риска
Эксперты компании Positive Technologies 12 августа 2020 года поделились результатами инструментального анализа защищенности сетевых периметров корпоративных информационных систем. Согласно данным исследования, в 84% организаций выявлены уязвимости высокого уровня риска, причем в 58% компаний есть хотя бы один узел с уязвимостью высокого уровня риска, для которой существует общедоступный эксплойт. В открытом доступе есть эксплойты для 10% всех выявленных уязвимостей, а значит, каждую десятую уязвимость злоумышленник может проэксплуатировать, даже не имея профессиональных навыков программирования или опыта обратной разработки. Это при том, что половина уязвимостей может быть устранена установкой актуальных обновлений ПО, подчеркнули в Positive Technologies.
«Проблемы с наличием обновлений были выявлены во всех компаниях, — рассказала аналитик компании Positive Technologies Яна Авезова. — А в 42% организаций используются программные продукты, производители которых официально прекратили поддержку и больше не выпускают обновления безопасности. Например, в 32% компаний есть приложения, написанные на языке программирования PHP версии 5, который не поддерживается с января 2019 года. К слову, возраст самой старой уязвимости, обнаруженной в ходе инструментального анализа, 16 лет». |
Как сообщается в исследовании, в 26% компаний на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP, что подвергает компании риску заражения шифровальщиком WannaCry.
На сетевом периметре большинства компаний были выявлены доступные для подключения веб-сервисы, электронная почта, интерфейсы для удаленного администрирования, файловые службы. Более чем в половине организаций внешние ресурсы содержат уязвимости, связанные с выполнением произвольного кода или повышением привилегий. Максимальные привилегии позволяют редактировать и удалять любую информацию на узле, следовательно, возникает риск отказа в обслуживании, а для веб-серверов — еще и возможность дефейса, несанкционированного доступа к базе данных, проведения атак на клиентов. Кроме того, у злоумышленника появляется возможность развивать атаку на другие узлы. Эксперты советуют ограничить количество сервисов на сетевом периметре и убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны из интернета. Если это так, необходимо обеспечить безопасную их конфигурацию и установить обновления, закрывающие известные уязвимости, считают в Positive Technologies.
Во всех компаниях выявлены узлы, на которых раскрывается та или иная техническая информация: содержимое конфигурационных файлов, маршруты к сканируемому узлу, версии ОС или поддерживаемые версии протоколов. Чем больше подобной информации об атакуемой системе удается собрать злоумышленнику, тем выше его шанс на успех. По мнению экспертов, причина кроется в небезопасной конфигурации служб.
По оценкам специалистов, управление уязвимостями ИБ — сложная задача, при решении которой специалистам невозможно обойтись без инструментальных средств. Современные средства анализа защищенности позволяют не только автоматизировать инвентаризацию ресурсов и поиск уязвимостей, но и оценить соответствие инфраструктуры политикам безопасности. При этом, как подчеркнули в компании Positive Technologies, инструментальное сканирование сетевых ресурсов — лишь первый шаг на пути к приемлемому уровню защищенности компании, за которым обязательно должны следовать верификация, приоритизация, устранение рисков и причин их возникновения.
Более половины российских компаний в период пандемии увеличили расходы на кибербезопасность
57% российских компаний в период пандемии сделали кибербезопасность одним из своих стратегических приоритетов. К такому выводу пришли эксперты проекта «HR Lab. – Лаборатория HR Инноваций» и платформы «Академия Здоровья», которые провели исследование для Аналитического центра «АльфаСтрахование. Медицина». Об этом «АльфаСтрахование» сообщила 17 июля 2020 года.
Специалисты опросили руководителей ИТ-отделов более 100 российских компаний (с оборотом от 100 млн руб. в год).
48% опрошенных рассказали о том, что их компания всегда уделяла внимание безопасности информационных процессов, однако переход сотрудников на дистанционный формат поставил перед ИТ-отделами особые задачи. 36% обратили внимание, что ведение электронного документооборота в условиях удаленной работы потребовало дополнительных мер защиты для домашних компьютеров пользователей.
27% респондентов отметили, что деятельность их сотрудников связана с расчетами с клиентами, поэтому компании пришлось выделять средства на установку дополнительного защитного ПО для обеспечения безопасности транзакций. 24% участников опроса обратили внимание на то, что их коллегам для работы из дома потребовался удаленный доступ к базам данных компаний, для чего также понадобилась установка на домашние компьютеры защитных программ.
Среди всех респондентов 70% обратили внимание, что их руководство было готово к дополнительным тратам на кибербезопасность. В то же время для 30% в условиях пандемии такие расходы стали неожиданностью и негативно сказались на экономических результатах компании.
Пандемия и перевод значительной доли рабочих процессов в онлайн создали дополнительную нагрузку на ИТ-подразделения российских компаний. Кибербезопасность – это не та область, на которой можно экономить, ведь информация и данные в современном мире лежат в основе бизнес-процессов. Большинство российских компаний смогли наладить защищенную работу для сотрудников, ушедших на удаленку, и это является хорошим показателем состояния бизнеса. Все это дало возможность не останавливать работу в самоизоляции. А тот факт, что больше половины компаний признали кибербезопасность своим стратегическим приоритетом, говорит о том, что в случае непредвиденных ситуаций в будущем переход на дистанционную работу станет менее болезненным, – говорит Алиса Безлюдова, директор департамента маркетинга «Медицина» Группы «АльфаСтрахование». |
Проект «HR Lab. – Лаборатория HR Инноваций» в партнерстве с цифровым издательством «Альпина Диджитал», компанией HeadHunter и HBR-Россия работает с марта 2016 г. Проект ориентирован на HR-директоров, специалистов в области управления персоналом, собственников и генеральных директоров компании. Его главная задача – поиск и аккумуляция всех необходимых инструментов, компетенций и практик для успешной работы с персоналом в условиях турбулентного рынка.
40% представителей малого бизнеса зафиксировали кибератаки на персональные устройства работников
Согласно исследованию «Лаборатории Касперского», 85% сотрудников российских компаний, чей штат не превышает 50 человек, используют для удалённой работы в период пандемии личные устройства. Об этом Лаборатория сообщила 9 июня 2020 года.
При этом 19% работников начали применять собственные устройства в бизнес-целях после перехода на дистанционный режим работы, а 54% отметили, что делали это и раньше.
Как правило, микробизнесу сложно обеспечить весь штат необходимой техникой, поэтому в таких компаниях часто распространена политика Bring Your Own Device («принеси своё устройство», BYOD). Однако применение стороннего оборудования может быть сопряжено с определёнными киберрисками. Если устройство сотрудника, подключённое к корпоративной сети, защищено недостаточно хорошо, то злоумышленники без труда доберутся до непубличных данных.
Ещё до пандемии предприниматели сообщали, что становились жертвами атак зловредов на персональные устройства работников — в ходе исследования «Лаборатории Касперского» это подтвердили 40% респондентов. В связи с ростом использования личных устройств и всё более активным переходом бизнеса в цифровое пространство, эти показатели могут даже ухудшиться.
В сложившейся ситуации компаниям следует повышать цифровую грамотность сотрудников и информировать их о таких базовых требованиях информационной безопасности, как наличие защитного решения на рабочем устройстве, использование надёжных и уникальных паролей, регулярное обновление программ. Но подобные инструкции получали лишь 8% сотрудников малых организаций.
Небольшие компании оказались в трудных условиях, им приходится бороться за свой бизнес и сохранение рабочих мест. Поэтому нет ничего удивительного в том, что кибербезопасность заботит их в меньшей степени. Однако реализация даже базовых мер по защите от цифровых угроз может значительно снизить вероятность финансового ущерба или зашифровки документов в результате атаки программы-вымогателя, — комментирует Андрей Данкевич, эксперт «Лаборатории Касперского» по киберзащите для малого и среднего бизнеса. — Существует определённый набор важных правил цифровой гигиены бизнеса на удалёнке. И, конечно же, они должны соблюдаться не только во время самоизоляции, но и на постоянной основе. |
Для эффективной защиты от киберугроз «Лаборатория Касперского» рекомендует небольшим компаниям:
- использовать пароли для всех устройств, включая мобильные телефоны и Wi-Fi роутер. Если у роутера пароль стоит по умолчанию, его следует сменить на новый;
- настроить тип шифрования в роутере. В идеале это должен быть самый защищённый тип — WPA2;
- включить VPN, особенно если сотрудник использует общественные точки доступа Wi-Fi;
- использовать надёжное защитное решение, специально созданное для обеспечения безопасности малого бизнеса и предпринимателей, например Kaspersky Small Office Security. Такая защита помогает безопасно проводить финансовые операции в интернете, создавать и надёжно хранить устойчивые к взлому пароли, блокировать атаки вредоносного ПО, создавать автоматические резервные копии всех файлов. ;
- предоставить сотрудникам список надёжных облачных сервисов, которые они могут использовать для хранения или передачи корпоративных данных;
- организовать тренинг по кибербезопасности для всех работников. Он должен включать как минимум базовые практики информационной безопасности и быть направлен на повышение киберграмотности в условиях оторванности от офиса.
У 70% компаний на «удалёнке» нет объективной картины внутренних инцидентов ИБ
22 апреля 2020 года компания «СерчИнформ» сообщила, что согласно проведенному исследованию, меньше половины компаний, перешедших на удаленный формат работы, контролируют действия сотрудников средствами специализированных программ. При этом 15% опрошенных используют ПО для оценки дисциплины, но не информационной безопасности. В результате в трети организаций не могут оценить, как меняется число инцидентов ИБ в связи с экстренным переходом на дистанционную работу. Об этом говорят данные анонимного опроса «СёрчИнформ». Подробнее здесь.
Злоумышленники могут получить доступ к каждому десятому открытому удаленному рабочему столу
27 марта 2020 года компания Positive Technologies сообщила о том, что в ходе мониторинга актуальных угроз (threat intelligence) эксперты компании выяснили, что число сетевых узлов в России, доступных по протоколу удаленного рабочего стола (RDP) всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 000. Уже сейчас свыше 10% таких ресурсов уязвимы для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows.
Для атаки достаточно отправить специальный RDP-запрос к уязвимым службам удаленного рабочего стола (RDS). Аутентификации при этом не требуется. В случае успеха злоумышленник сможет устанавливать и удалять программы в скомпрометированной системе, создавать учетные записи с максимальным уровнем доступа, читать и редактировать конфиденциальную информацию. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2.
По динамике роста числа открытых по RDP узлов по состоянию на март 2020 года лидирует Уральский федеральный округ: оно увеличилось на 21%, а общая доля узлов, уязвимых для BlueKeep, составляет 17%. Далее идут Сибирский (21% и 16% соответственно), Северо-Западный (19% и 13%), Северо-Кавказский (18% и 17%), Южный (11% и 14%), Приволжский (8% и 18%), Дальневосточный (5% и 14%) и Центральный федеральные округа (4% и 11%).
На сетевом периметре российских компаний начало увеличиваться число ресурсов, атака на которые позволит злоумышленникам получить контроль над сервером и проникнуть в локальную сеть. Мы связываем это, в первую очередь, с поспешным переводом части сотрудников на удаленную работу. Независимо от выбранного типа удаленного подключения разумно обеспечить удаленный доступ через специальный шлюз. Для RDP-подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать не рекомендуется, — отметил Алексей Новиков, директор экспертного центра безопасности Positive Technologies |
В Positive Technologies предупреждают, что открытие доступа к отдельным подсетям сразу всем пользователям VPN существенно снижает защищенность организации и не только дает широкие возможности внешнему атакующему, но и повышает риск атаки со стороны инсайдера. Поэтому IT-специалистам необходимо сохранять сегментацию сетей и выделять необходимое число VPN-пулов.
Эксперты Positive Technologies отдельно подчеркивают угрозу появления каналов удаленного доступа к критически важным для бизнеса сетям и системам (например, технологическим сетям на производстве и в энергетике, сетям управления банкоматами или карточным процессингом в банках, серверам «1C», конфиденциального документооборота). Службам ИБ рекомендуется строго контролировать попытки администраторов упростить себе задачи управления и конфигурации для таких сегментов с помощью отдельного незащищенного подключения. Обеспечить контроль можно с помощью постоянного мониторинга периметра сети организации, особенно ключевых ее сегментов. Кроме того, необходимо строго регламентировать использование ПО для удаленного администрирования (например, RAdmin или TeamViewer) и отслеживать случаи их нелегального применения (например, по артефактам в трафике с помощью NTA-решений). Также в условиях изменения традиционной модели поведения сотрудников организации (массового удаленного доступа) необходимо перенастроить и правила корреляций в используемых системах мониторинга и защиты от кибератак.
Помимо этого, Positive Technologies рекомендует обратить внимание на критически опасную уязвимость (CVE-2019-19781) в программном обеспечении Citrix, которое используется в корпоративных сетях, в том числе для организации терминального доступа сотрудников к внутренним приложениям компании с любого устройства через интернет. В случае эксплуатации этой уязвимости злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.
Кроме того, к числу уязвимостей, требующих особого внимания в условиях увеличившегося числа открытых удаленных доступов, относятся уязвимость в протоколе рабочего стола CVE-2012-0002 (MS11-065) восьмилетней давности, которая до сих пор встречается на сетевых периметрах организаций, и уязвимости служб удаленного рабочего стола CVE-2019-1181/1182 в различных версиях операционной системы Microsoft (включая Windows 10). Следует устранить и уязвимость в PHP 7 (CVE-2019-11043), которая, по оценке Positive Technologies, вошла в список наиболее опасных по итогам 2019 года. Факт наличия перечисленных уязвимостей в инфраструктуре компании может быть оперативно выявлен посредством сканеров уязвимостей. Для устранения уязвимостей во всех случаях необходимо по меньшей мере выполнить соответствующие рекомендации производителя уязвимой версии ПО или оборудования.
Лишь 17% компаний готовы эффективно сопротивляться кибератакам
19 февраля 2020 года компания Accenture подвела итоги исследования в области кибербезопасности. В нем приняло участие 4644 руководителей отделов информационной безопасности (ИБ) компаний с доходом более $1 млрд из 24 различных отраслей в 16 странах. Третий ежегодный отчет о киберустойчивости сфокусирован на выявлении ключевых факторов успеха компаний-лидеров по защите бизнеса от киберугроз.
Несмотря на многолетний рост уровня инвестиций в ИБ, только 17% компаний были способны построить на их фундаменте эффективные системы обеспечения безопасности («лидеры»), остальные компании были определены как «средние» (9%) и «отстающие» (74%). По результатам исследования выяснилось следующее:
- «лидеры» способны предупреждать и останавливать в 4 раза больше атак – только 1 из 27 атак нарушает безопасность компании;
- «лидеры» обнаруживают проникновения в 4 раза быстрее (88% нарушений обнаруживаются в течение одного дня), а устраняют их в 3 раза быстрее (96% «лидеров» устраняют проникновения в срок менее чем за 15 дней), «отстающим» требуется гораздо больше времени – от 16 дней и больше, а почти половина из них иногда тратит на это более одного месяца;
- «лидеры» также способны существенно снижать урон от атак (58% проникновений не причиняют им какого-либо урона).
Кроме того, «лидеры» направляют большую часть своего бюджета на поддержку существующих систем безопасности, тогда как «отстающие» больше сосредоточены на пилотировании и запуске новых решений. Также «лидеры» в 3 раза чаще проводят обучение персонала и обеспечивают его необходимыми инструментами безопасности.
«Наш практический опыт подсказывает, что для России распределение «лидеров» и «средних» существенно меньше двадцати шести процентов из-за отсутствия у них базовых систем защиты и зрелых процессов ИБ, а также к сожалению, из-за значительного отставания финансирования ИБ», |
В качестве основных факторов киберустойчивости авторы исследования называют три ключевых показателя:
- скорость обнаружения нарушений безопасности – для 58% «лидеров» это является основным критерием эффективности их программы безопасности в компании;
- скорость восстановления после инцидента – второй по важности критерий для 53% компаний-лидеров;
- скорость реагирования на инциденты – это третий основной критерий для 52% «лидеров».
Подход компаний-лидеров в применении технологий информационной безопасности отличает фокус на скорость обнаружения, реагирования и восстановления. Так, количество компаний, выделяющих более 6% бюджета на ИБ, увеличилось вдвое за последние 3 года.
При этом они четко понимают необходимость максимизировать ценность каждой отдельно взятой инвестиции. Для этого они применяют масштабирование технологий ИБ на всю организацию, развивают кооперацию с партнерами, профессиональными и отраслевыми сообществами и, разумеется, уделяют большое внимание полноценному обучению ИТ- и ИБ-специалистов, а также пользователей в обращении с принятыми на вооружение инструментами безопасности.
Однако в погоне за новыми инструментами безопасности нельзя забывать про уже внедренные в компании ИБ-решения. В отличие от «отстающих», «лидеры» видят преимущества инвестирования в поддержку и модернизацию внедренных инструментов защиты. Они распределяют бюджет в более-менее равных пропорциях между внедрением новых технологий, их масштабированием и улучшением работы уже имеющихся решений по ИБ. «Отстающие» же чаще тратят время на пилотирование и внедрение новых средств защиты в то время, как возможности уже существующих в компании ИБ-решений раскрыты не до конца.
«Этот подход актуален для российских компаний, в которых традиционно присутствует дисбаланс между финансированием таких направлений, как приобретение новых систем защиты, расширение штата специалистов по ИБ и поддержка и развитие существующих средств защиты. Часто при покупке нового современного средства защиты банально не хватает специалистов, способных выжать из него максимум пользы», отметил Андрей Тимошенко, руководитель практики Accenture Security в России |
Также в отчете приводятся дополнительные различия между лидерами и отстающими:
- у «лидеров» почти в 3 раза реже случались утечки более чем 500 000 записей о клиентах в результате кибератак за последние 12 месяцев (15% - против 44% у «отстающих»);
- «лидеры» примерно в 3 раза чаще проводят необходимое обучение по использованию инструментов защиты информации для своих пользователей (30% - против 9% у отстающих).
Внедрив применяемый лидерами подход, компания может существенно повысить свою кибер-устойчивость и снизить стоимость инцидентов ИБ – с $380 тыс. до $107 тыс., утверждают в Accenture.
83% респондентов верят, что для полноценной защиты нужно обеспечить безопасность не только своей компании, но и экосистемы, в которой она работает. Необходимо принимать меры по снижению потенциальной опасности, исходящей от партнеров, поставщиков, вендоров и др., ведь около 40% угроз и нарушений ИБ, по мнению авторов исследования, связано именно с ними.
На основе данных исследования команда Accenture Security рекомендует три практических шага, которые каждая организация может сделать, чтобы стать ближе к «лидерам» в области кибербезопасности.
- Инвестировать в скорость – расставить приоритеты в применении технологий, направленных на ускорение процессов обнаружения, реагирования и восстановления.
- Инвестировать с умом – больше масштабировать, обучать и сотрудничать.
- Поддерживать то, что есть – повышать отдачу от внедренных решений и базовых инструментов защиты.
Сети 97% компаний содержат следы возможной компрометации
10 февраля 2020 года Positive Technologies сообщила, что ее эксперты проанализировали сетевую активность крупных компаний (со штатом более тысячи человек) из ключевых отраслей экономики в России и СНГ. По результатам глубокого анализа сетевого трафика в 97% компаний была обнаружена подозрительная сетевая активность, а в 81% компаний — активность вредоносного ПО.
В ходе анализа главным признаком возможной компрометации эксперты назвали подозрительную активность в сетевом трафике исследуемых компаний (97%). В 64% случаев это сокрытие трафика (VPN-туннелирование, подключение к анонимной сети Tor или проксирование), а в каждой третьей компании выявлены следы сканирования внутренней сети, что может свидетельствовать о разведке злоумышленников внутри инфраструктуры.
Опасность сокрытия трафика в том, что пока сотрудники подключаются к Tor, поднимают прокси-серверы и настраивают VPN для обхода блокировки веб-ресурсов, злоумышленники могут использовать те же технологии для связи с управляющими серверами. С их помощью атакующие могут управлять вредоносным ПО и отправлять полезную нагрузку, комментирует результаты исследования аналитик Positive Technologies Яна Авезова
|
Это опасение небезосновательно, поскольку в 81% компаний анализ сетевого трафика выявил активность вредоносного ПО — майнеров (55% от общей доли зараженных компаний), рекламного (28%), шпионского ПО (24%) и др. В 47% организаций выявлено вредоносное ПО сразу нескольких типов.
Как считают специалисты, нарушения регламентов ИБ (выявлены в 94% компаний) напрямую влияют на снижение уровня безопасности, практически открывают взломщикам двери организации. Так, в ИТ-инфраструктуре 81% компаний чувствительные данные передаются в открытом виде, что позволяет потенциальному злоумышленнику искать в трафике логины и пароли для перемещения по корпоративным ресурсам. В 67% компаний используется ПО для удаленного управления, такое как RAdmin, TeamViewer, Ammyy Admin. Проникнув в инфраструктуру, злоумышленник сможет использовать эти инструменты для перемещения по сети, оставаясь не замеченным средствами защиты.
В 44% компаний сотрудники используют протокол BitTorrent для передачи данных, например для скачивания фильмов. Как отмечают эксперты, это не только создает дополнительную нагрузку на канал связи и снижает его пропускную способность, но и повышает риск заражения вредоносным ПО.
Подавляющее большинство угроз (92%) были выявлены внутри периметра. По мнению экспертов, это свидетельствует о том, что важно не только предотвращать атаки на периметре, но и проводить мониторинг внутренней сети, в том числе анализируя сетевой трафик. Это позволит выявлять злоумышленников на первых этапах развития атаки.
2019
82% компаний пострадали от кибератак и происшествий
Согласно исследованию Dell Technologies, Global Data Protection Index 2020 Snapshot, проведенному в 2020 году, на март 2020 года организации управляют 13,53 петабайтами (Пб) данных, что на 40% больше чем в среднем 2018 году (9,7 Пб) и на 831% больше чем в 2016 году (1,45Пб). Значительный рост данных порождает закономерные сложности. Абсолютное большинство (81%) респондентов отметило, что текущие решения для защиты данных, не отвечают будущим потребностям бизнеса. Этот обзор является продолжением исследования Global Data Protection Index, которое проводится раз в два года. Он представляет результаты опроса 1000 ИТ-руководителей из 15 стран, которые работают в государственных и частных организациях с более чем 250 сотрудниками, о влиянии этих проблем и передовых технологий на готовность компаний к защите данных. Результаты также показывают положительные изменения, так как большее число организаций — 80% в 2019 году против 74% в 2018 году — понимают ценность своих данных и извлекают или планируют извлекать из них выгоду.
«Данные — это жизненная энергия бизнеса и ключ к цифровому преобразованию организации. Мы вступаем в новое десятилетие цифровых данных, и нам необходимы надежные и современные стратегии защиты данных, которые помогут бизнесу принимать взвешенные и оперативные решения и бороться с последствиями дорогостоящих сбоев», отметила Бет Фален (Beth Phalen), президент подразделения по защите данных Dell Technologies |
Согласно исследованию, наибольшую опасность для данных представляет растущее число инцидентов: от кибератак до потери данных и простоя систем. Большинство организаций (82% в 2019 году по сравнению с 76% в 2018 году) заявляет, что пострадало от таких происшествий в последний год. Еще 68% беспокоятся, что их организация столкнется с таким происшествием в течение следующих 12 месяцев.
Еще большую озабоченность вызывает то, что организации, использующие больше одного поставщика решений по защите данных, примерно в два раза больше подвержены риску кибератак (так процент подверженности риску кибератак составляет 39% для компаний с двумя или более поставщиками в сравнении с 20% для компаний с одним поставщиком). При этом использование услуг нескольких поставщиков становится все более популярным. Например, 80% организаций выбирают решения по защите данных от двух и более провайдеров, что на 20% выше, чем в 2016 году.
Стоимость восстановления после сбоев также быстро растет. Средняя стоимость простоя увеличилась с 2018 по 2019 года на 54%, таким образом, оценочная стоимость выросла с $526,845 в 2018 году до $810,018 в 2019 году. Оценочная стоимость утечки данных также повысилась с $995,613 в 2018 году до $1,013,075 в 2019 году. Эта стоимость значительно выше для организаций, которые используют более одного провайдера защиты данных — в среднем стоимость простоя выше в два раза, а стоимость утечки — в пять.
Развитие современных технологий и формирование цифровой среды заставляет организации учиться использовать эти технологии для достижения лучших результатов. Исследование показывает, что почти каждая организация инвестирует в развивающиеся технологии. Самые популярные из них — это облачные приложения (58%); искусственный интеллект (ИИ) и машинное обучение (МО) (53%); облачные услуги по программному обеспечению (SaaS) (51%); 5G и облачная Edge инфраструктура (49%); Интернет вещей/конечные точки (36%).
Однако почти три четверти (71%) респондентов полагают, что современные технологии создают больше сложностей для защиты данных, а 61 % отметили, что технологии представляют риск для нее. Более половины компаний, которые используют развивающиеся технологии, стараются найти эффективные решения защиты данных, которые бы соответствовали их нуждам, включая:
- 5G и облачные Edge инфраструктура (67 %),
- платформы МО и ИИ (64%),
- облачные приложения (60%),
- Интернет вещей и конечные точки (59%),
- роботизированная автоматизация процессов (56%).
В ходе исследования 81% респондентов заявили, что решения для защиты данных, действующие в организации, не справятся с проблемами бизнеса в будущем. Респонденты испытывают неуверенность относительно следующих сфер:
- восстановления данных после кибератак (69%),
- восстановления данных после их утечки (64%),
- соответствия требованиям местного законодательства по управлению данными (62%),
- соответствия задачам служб резервного копирования и восстановления (62%).
При развертывании приложений для бизнеса и в рамках защиты рабочей нагрузки (включая контейнеры, облачные приложения и SaaS) компании используют сочетание различных облачных технологий. Исследования показывают, что организации предпочитают использовать публичное облако/SaaS (43%), гибридное облако (42%) и частное облако (39%) в качестве среды для размещения новых приложений. Кроме того, 85% опрошенных организаций заявили о чрезвычайной важности обеспечения сохранности облачных приложений со стороны поставщиков решений для защиты данных.
В связи с тем, что большое количество данных проходит через Edge среду, многие респонденты предпочитают использовать облачное резервное копирование для управления и защиты данных, созданных в Edge сетях. При этом 62% выбрали для размещения решений частное облако и 49% — публичное облако.
«Эти исследования доказывают, что защита данных должна быть ключевым элементом в бизнес-стратегии компании. Поскольку ландшафт данных становится более сложным, организациям нужны гибкие, устойчивый стратегии защиты данных, которые могут работать в многоплатформенном, многооблачном мире», отметила Бет Фален (Beth Phalen), президент подразделения по защите данных Dell Technologies |
Исследование IBM X-Force: Кража учетных данных и уязвимости стали главными врагами бизнеса
11 февраля 2020 года компания IBM опубликовала ежегодный индекс угроз IBM X-Force Threat Intelligence Index 2020, который показал, как изменились методы киберпреступников за несколько десятилетий незаконного доступа к миллиардам корпоративных и персональных записей и использования сотен тысяч уязвимостей в программном обеспечении. Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей ПО, что позволяло злоумышленникам меньше полагаться на обман пользователей, чтобы получить доступ к данным.
Отчет IBM X-Force наглядно демонстрирует факторы, способствовавшие этому сдвигу, включая три основных вектора атак:
- Фишинг успешно использовался в качестве первоначального метода проникновения менее чем в трети случаев (31%), в то время как в 2018 году эта цифра достигала половины.
- Выявление и использование уязвимостей были причиной 30% взломов по сравнению с 8% в 2018 году. И даже давно известные уязвимости в Microsoft Office и Windows Server Message Block продолжают успешно и масштабно эксплуатироваться.
- Использование ранее украденных учетных данных также набирает популярность в качестве точки входа: речь идет о 29% случаев. Только в 2019 году более 8,5 млрд записей было скомпрометировано — это на 200% больше по сравнению с предыдущим годом, а значит в руки преступников попало еще больше учетных данных, которыми в дальнейшем можно будет воспользоваться.
«То количество взломанных учетных записей, которое мы видим, говорит о том, что в руки киберпреступников попадает все больше ключей, открывающих доступ к нашей частной жизни и работе. Им больше не нужно тратить время на изобретение хитрых способов проникновения в компанию — преступники могут проникать в сеть и проводить атаки, просто используя известные методы, такие как вход в систему с украденными учетными данными. Усиленные меры защиты вроде многофакторной аутентификации или технологий single sign-on необходимы для обеспечения киберустойчивости организации и защиты пользовательских данных», отметила Венди Уитмор, вице-президент IBM X-Force Threat Intelligence |
IBM X-Force составляет отчеты, анализируя ежедневно более 70 млрд событий из сферы информационной безопасности более чем в 130 странах мира. Используются и дополнительные источники данных: X-Force IRIS, X-Force Red, IBM Managed Security Services и официально опубликованные сообщения об утечках. Помимо этого, специалисты IBM X-Force используют тысячи спам-ловушек по всему миру и отслеживают десятки миллионов фишинговых и спам-атак ежедневно, а также анализируют миллиарды веб-страниц и изображений для выявления мошенничества или незаконного использования брендов, отметили в IBM.
Ключевые выводы, представленные в отчете:
- Небрежная конфигурация. Анализ IBM показал, что из отчетов по более чем 8,5 млрд взломанных записей в 2019 году 7 млрд, то есть более 85%, были связаны с неправильной настройкой облачных серверов и других некорректно сконфигурированных систем. Это разительная перемена по сравнению с 2018 годом, когда соответствующая цифра не превышала половины всех взломанных записей.
- Вирусы-шифровальщики в банковской сфере. Согласно отчету за 2019 год, некоторые из наиболее активных банковских троянов, такие как TrickBot, стали чаще использоваться в качестве плацдарма для проведения масштабных ransomware-атак. Фактически вирусы-шифровальщики и новые коды, которые используют банковские трояны, возглавили рейтинг рассмотренных в отчете вредоносных программ.
- Фишинг на доверии. Технологические компании, социальные сети и стриминговые сервисы вошли в десятку брендов, за представителей которых чаще всего выдают себя мошенники с целью фишинга. Эти изменения могут говорить о том, что люди стали больше доверять технологическим провайдерам, а не розничным сетям и финансовым компаниям, как было раньше. В числе наиболее крупных брендов, используемых в мошеннических схемах, значатся Google, YouTube и Apple.
Отчет IBM X-Force выявил общемировые тренды в сфере атак с целью вымогательства, которые поражают как общественный, так и частный сектор. 2019 год продемонстрировал значительный рост активности вирусов-шифровальщиков — подразделение IBM X-Force усилило профильную службу реагирования, чтобы поддержать своих клиентов из 13 различных отраслей во всем мире, еще раз подтверждая, что подобные атаки не имеют привязки к индустрии.
Более 100 государственных служб в США подвергались атакам вирусов-шифровальщиков в прошлом году. Специалисты IBM X-Force также отметили масштабные атаки в адрес ритейлеров, производственных и транспортных компаний — все они, как известно, владеют большими объемами монетизируемых данных либо полагаются на устаревшие технологии и, как следствие, оказываются в зоне риска. В 80% атак преступники использовали уязвимости Windows Server Message Block. Та же тактика применялась для распространения вируса WannaCry, который нанес ущерб компаниям в 150 странах в 2017 году.
Атаки вирусов-шифровальщиков стоили организациям более $7,5 млрд в 2019 году, при этом злоумышленники наслаждаются добычей и не планируют останавливаться в 2020. В отчете IBM, подготовленном совместно с компанией Intezer, говорится, что новый вредоносный код был замечен в 45% банковских троянов и в 36% вирусов-шифровальщиков. Это говорит о том, что, создавая новые коды, преступники продолжают работать над тем, чтобы избежать своего обнаружения.
Специалисты IBM X-Force отметили тесную связь между вирусами-шифровальщиками и банковскими троянами: трояны открывают двери для прицельных и высокодоходных вымогательских атак. Таким образом расширяются способы развертывания программ-вымогателей. Например, существуют подозрения, что наиболее активная финансовая вредоносная программа TrickBot была использована для развертывания вируса Ryuk в корпоративных сетях. Другие банковские трояны, такие как QakBot, GootKit, Dridex, также развиваются в этом направлении.
Чем больше пользователи узнают о фишинговых письмах, тем более таргетированными становятся атаки. Вместе с некоммерческой организацией Quad9 специалисты IBM выявили усиливающуюся тенденцию в сфере фишинга: преступники выдают себя за крупные потребительские технологические бренды (технологические компании, социальные сети, стриминговые сервисы) и подделывают ссылки на их сайты с целью фишинга.
Почти 6 из 10 наиболее часто используемых мошенниками брендов относились к доменам Google и YouTube. Бренды Apple (15%) и Amazon (12%) также использовались мошенниками с целью кражи монетизируемых данных пользователей. По мнению IBM X-Force, эти бренды были выбраны в первую очередь из-за того, что у них есть монетизируемые данные.
Facebook, Instagram и Netflix также вошли в десятку наиболее подделываемых брендов, но со значительно меньшей долей использования. Возможно, причина в том, что у них обычно нет данных, которые можно непосредственно монетизировать. Поскольку мошенники часто делают ставку на использование одинаковых паролей — и достигают успеха — специалисты IBM X-Force полагают, что частое применение одинаковых паролей как раз могло сделать эти бренды главной целью преступных атак. Исследование The Future of Identity, проведенное IBM, показало, что 41% опрошенных представителей поколения миллениалов используют один и тот же пароль множество раз, а у поколения Z в среднем всего пять разных паролей, то есть степень повторного использования очень высока.
Отличить поддельный домен от настоящего может быть очень сложно — именно этим и пользуются мошенники. Десять наиболее часто подделываемых брендов, указанных в отчете, на которые в сумме приходится около 10 млрд учетных записей, открывают преступникам широкое поле для деятельности. При таких масштабах высока вероятность, что ничего не подозревающий пользователь кликнет на поддельную ссылку.
Другие выводы, представленные в отчете:
- Позиции ритейла растут в рейтингах целевых отраслей. Сфера розничной торговли стала второй наиболее атакуемой отраслью в 2019 году. С небольшой разницей в количестве атак первое место в этом списке четвертый год подряд занял финансовый сектор. Атаки Magecart, затронувшие 80 сайтов интернет-магазинов летом 2019 года, стали одними из наиболее значимых атак на сферу ритейла. Вероятно, целью киберпреступников были личные данные потребителей, данные платежных карт и даже ценная информация программ лояльности. Согласно данным подразделения IBM по реагированию на инциденты безопасности, ритейлеры также подверглись большому количеству атак вирусов-шифровальщиков.
- Рост атак на промышленные системы управления (ICS) и операционные технологии (OT). В 2019 году число атак на OT-системы выросло в 21 раз по сравнению с прошлым годом. Это беспрецедентное количество атак на ICS и OT как минимум за последние три года. В наиболее крупных атаках использовались известные уязвимости в аппаратном обеспечении систем SCADA и ICS в сочетании с подбором паролей путем их «распыления».
- Северная Америка и Азия — наиболее атакуемые регионы. В этих регионах в прошлом году наблюдалось наибольшее количество атак (более 5 млрд) и наиболее существенные утечки данных — более 2 млрд записей.
В отчете использовались данные, собранные IBM в 2019 году для анализа глобального ландшафта угроз и информирования специалистов в сфере кибербезопасности об опасностях, наиболее релевантных для той или иной организации.
Более половины российских компаний беспокоятся о защите ПДн сотрудников и клиентов
17 января 2020 года стало известно, что более половины российских компаний беспокоятся о защите персональных данных сотрудников и клиентов. Об этом сообщили в компании Eset по итогам своего исследования. Так, разные виды киберугроз затронули 90% предприятий. 60% российских ИТ-менеджеров всерьез озабочены сохранностью персональных данных. Исследователи связывают тенденцию с ужесточением законодательства и усилением ответственности за нарушения.
Чаще всего российский бизнес сталкивается со спамом. Это отметили в опросе Eset 65% респондентов. На втором месте – вредоносное ПО, 47%. 22% опрошенных сообщили, что их компании становились жертвами фишинговых атак, 21% пострадали от DDoS-атак и 35% - от шифраторов.
По информации Eset, 54% опрошенных волнует безопасность баз контактов, сведений о клиентах и партнерах, 55% считают, что в особой защите нуждается финансовая информация.
Для обеспечения информационной безопасности компании в основном прибегают к антивирусам для защиты рабочих станций - 90% организаций; 53% устанавливают контроль за обновлением ПО; 45% следят за внешними носителями.
Eset выяснил, что 58% респондентов удовлетворены уровнем безопасности в их компаниях и считают, что принимаемых мер достаточно. 5% задумываются об увеличении бюджета на информационную безопасность.
Директор управления информационных технологий Eset Russia Руслан Сулейманов считает, что в 2020 году в целом ситуация в отрасли ИБ сильно не изменится. Основными способами проникновения вредоносного ПО в корпоративную сеть останутся спам и фишинг. Специалист ожидает рост объема используемых IoT-устройств в качестве возможного вектора атак на корпоративную инфраструктуру.
«Сыграет свою роль прекращение поддержки Windows 7. Многие российские компании, несмотря на риски, продолжат использовать операционную систему на рабочих местах. Это приведет к увеличению риска заражения новыми вирусами, компрометации и потере корпоративных данных», отметил Руслан Сулейманов, директор управления информационных технологий Eset Russia |
Кроме того, 14 января 2020 года завершилась поддержка серверных систем Windows 2008 и Windows 2008 R2. Их использует множество компаний среднего и малого бизнеса. По словам Руслана Сулейманова, в 2020 году останется актуальным тренд на мощные и частые DDoS-атаки на корпоративный сектор, а также сохранится опасность дипфейков.
Консультант центра информационной безопасности «Инфосистемы Джет» Елена Агеева отмечает среди угроз, актуальных для российских компаний в прошлом году, социальную инженерию, атаки вирусов-вымогателей и криптомайнеров, а также утечки персональных данных.
«Мы ожидаем, что они сохранят актуальность и в 2020 году. Кроме того, развитие облачных технологий продолжит способствовать росту количества атак на облачные сервисы. Также будут актуальными атаки на цепи поставок, суть которых заключается в компрометации компаний со стороны их подрядных организаций», отметила Елена Агеева, консультант центра информационной безопасности «Инфосистемы Джет» |
В 2019 году наблюдался заметный рост фишинговых атак и распространения вредоносного ПО, в том числе и вирусов-вымогателей. По данным InfoWatch, в России главной угрозой для личной информации клиентов компаний были и остаются рядовые сотрудники. На их долю приходится более 70% нарушений, приведших к утечкам.
Руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев полагает, что дальнейшее развитие в 2020 году получат фишинговые атаки. По мере развития технологий искусственного интеллекта возрастает риск использования методов deepfake для проведения атак на компании, в том числе с целью нанести серьезный удар по репутации бизнеса.
«Для получения персональных данных внешние злоумышленники будут широко использовать атаки на цепочку поставок программных продуктов», отметил Андрей Арсентьев, руководитель отдела аналитики и спецпроектов InfoWatch |
Постепенно сфера безопасности личной информации в России приближается к западной практике. Как следствие, бизнес все острее начинает ощущать проблемы, связанные с утечками. Регуляторы ужесточают ответственность, потеря данных сказывается на лояльности клиентов, многие утечки приводят к прямым финансовым потерям и больно бьют по репутации. На это обращает внимание Андрей Арсентьев.
Согласно исследованию «Лаборатории Касперского», российские компании, действительно, очень озабочены необходимостью не допустить утечки данных, а также защищать инфраструктуру от целевых атак. В 2019 году организации сталкивались с заражениями вредоносным ПО корпоративных (43%) и BYOD-устройств (37%), а также проблемой утери сотрудниками их устройств (33%). В 2020 году компании планируют начать проводить обучение сотрудников правилам кибербезопасности, внедрять сервисы для реагирования на киберинциденты и защиты от целевых атак. О том, что такие решения используют в организациях, сообщила почти треть опрошенных.
По словам руководителя группы системных архитекторов «Лаборатории Касперского» Дмитрия Стеценко, все большую популярность набирают практически не выявляемые стандартными защитами атаки через цепочки поставщиков (supply chain) и BEC (Business Email Compromise). После заражения системы злоумышленники предпочитают использовать легальные ИТ-инструменты для развития атаки, что тоже усложняет защиту данных.
По данным отчета Positive Technologies, одним из ключевых трендов рынка кибербезопасности в 2019 году были утечки данных - наряду с целенаправленными атаками (APT-атаками) и поиском аппаратных уязвимостей.
«Новости об утечках в 2019 году стали особенно громкими. Это в том числе связано со сменой подходов злоумышленников. Киберпреступники начали объединять собранные в течение последних лет данные в единый массив для торговли на теневом рынке более полными цифровыми досье. В сегменте финансовых организаций в 74% атак применялся фишинг и в 80% атак - вредоносное ПО, в сегменте промышленных компаний в 83% атак использовался фишинг и в 89% атак - зараженное ПО, в сегменте государственных организаций в 49% атак применяли фишинг, а в 63% - вредоносное ПО», |
По его мнению, с точки зрения техник компрометации в 2019 году злоумышленники чаще всего использовали фишинг и вредоносное ПО.
Кибератаки с целью кражи информации преобладают над другими взломами. По информации Positive Technologies, в III квартале 2019 года 61% кибератак направлен именно на хищение данных. В каждой четвертой кибератаке украдены персональные данные сотрудников или клиентов компании. Эта тенденция отмечалась и в первом полугодии 2019 года. Например, во II квартале персональные данные утекли в 29% кибератак на организации.
«В 2020 году бизнес будет оставаться в зоне повышенного риска как массовых киберкампаний, так и целевых атак группировок. Хакерам придется прибегать не только к изощренному фишингу и созданию более совершенных образцов ВПО, но и к взлому менее защищенных компаний, аффилированных с целевыми для злоумышленников организациями. Атаки с целью кражи информации будут преобладать над атаками с целью непосредственных финансовых хищений. Причем, как предполагает он, целевые атаки будут преобладать над массовыми. Это связано с тем, что организации из любой отрасли стараются максимально обезопасить себя от финансовых потерь и продумывают такие риски в первую очередь. А инцидент с хищением данных может и вовсе остаться незамеченным длительное время, особенно если в компании не обеспечивается постоянный мониторинг событий ИБ и расследование киберинцидентов»[9], отметил Евгений Гнедин, руководитель отдела аналитики Positive Technologies |
Анализ «громких» инцидентов в сфере информационной безопасности в 2019 году
2019 год был богат на инциденты. Было отмечено много случаев неправильного хранения информации и несвоевременного устранения критических уязвимостей, приведших к крупным утечкам данных, а также много атак на финансовые организации, ритейл, устройства Интернета вещей. Несколько опасных по своим последствиям атак было проведено на промышленные предприятия. В статье описаны наиболее крупные и интересные атаки в условной сортировке по ключевой бреши в системе защиты или ключевому действию, производимому злоумышленником.
Бюджеты на кибербезопасность выросли на 20%, но компании не успевают их тратить
19 декабря 2019 года компания Positive Technologies сообщила, что в России в 2019 году запланированные бюджеты на кибербезопасность выросли в среднем на 20%, но компании не успели их израсходовать. Причина — необходимость проходить длительные конкурсные процедуры: компании просто не успевают закупить те средства защиты, которые им необходимы. Помимо этого, эксперты Positive Technologies отмечают, что среди топ-менеджмента отечественных компаний сформировался запрос на практическую информационную безопасность. Однако компании, которые ставят перед собой цель реально защитить себя в киберпространстве, сталкиваются с тотальным дефицитом кадров, имеющих достаточный уровень знаний и навыков. Все более востребованы становятся специалисты, обладающие сразу несколькими компетенциями, например совмещают знания в сфере кибербезопасности со знаниями в области data science или АСУ ТП. Бизнес осознает нехватку таких специалистов у себя в штате и приходит к аутсорсингу или аутстаффингу, а в некоторых случаях даже вынужден самостоятельно обучать такого рода кадры.
В числе ключевых тенденций, сформировавшихся в 2019 году, эксперты Positive Technologies отметили следующие:
- Безопасная разработка в тренде. Для производителей финансового ПО обязательное прохождение анализа уязвимостей становится конкурентным преимуществом. Многие разработчики банковского ПО говорят о заключении договоров с ведущими компаниями в сфере ИБ на работы по анализу исходного кода. В Positive Technologies ожидают, что в течение ближайших двух–трех лет выстраивание доказуемого цикла безопасной разработки для производителей банкового ПО станет мейнстримом.
- Преимущество на стороне злоумышленников. Соотношение сил между преступниками и защитниками складывается не в пользу последних. Например, между использованием новейших техник взлома и внедрением новейших средств защиты может пройти до трех лет. А если сравнивать скорость использования новых уязвимостей и скорость выпуска исправлений, победа практически всегда на стороне злоумышленников, которые адаптируют новейшие эксплойты для своих атак иногда в течение суток.
- Госсектор под ударом. Государственные учреждения по всему миру находятся под прицелом сложных целенаправленных атак. По данным Positive Technologies, 68% APT-группировок, исследованных специалистами экспертного центра безопасности Positive Technologies, атакуют государственные учреждения. В 2019 году эксперты PT ESC выявили группировку Calypso, специализирующуюся именно на атаках госучреждений в разных странах. На руку киберпреступникам играют применение базовых средств защиты, неграмотность сотрудников в вопросах ИБ, а также публичность информации о госзакупках защитного ПО.
- Массовые атаки на финсектор теряют смысл. Общее число атак на финансовые организации снизилось. Это может объясняться существенным снижением доли массовых атак на такие учреждения. Большинство банков, особенно крупные, готовы эффективно отразить массовую атаку (например, рассылку шифровальщика), и хакеры сконцентрировали свое внимание на других, менее защищенных отраслях. При этом число целенаправленных атак остается на прежнем уровне. Эксперты также отмечают увеличение числа мошеннических операций с бесконтактной оплатой: в основном это связано с операциями ниже лимитов CVM (Cardholder Verification Method), при которых пользователю для подтверждения транзакций не нужно вводить PIN.
- Преступники объединяют утечки разных лет и продают на теневом рынке оптом. Причем злоумышленникам, распространяющим за деньги такие полные цифровые досье, вовсе не нужно быть хакерами, достаточно просто грамотно переработать информацию об имеющихся в истории той или иной компании утечках. Подобные инциденты сказываются прежде всего на репутации компании, допустившей утечку.
- Аппаратные уязвимости диктуют бизнесу смену модели угроз. Два последних года показали только верхушку айсберга аппаратных уязвимостей, их поиск стал настоящим трендом среди исследователей, которые переходят на все более низкий уровень, ищут (и находят!) уязвимости на уровне печатной платы, элементов аппаратной логики. Крупные компании осознают масштаб проблемы, закладывая такие уязвимости в свою модель угроз; в частности, инвестируют в разработку защитного оборудования и в обучение персонала.
Среди возможных негативных сценариев 2020 года эксперты Positive Technologies отмечают:
- Схемы киберуслуг на продажу будут развиваться. Так, может приобрести большую популярность схема «доступ как услуга» (access as a service), при которой злоумышленники, взломавшие инфраструктуры компаний, продают или сдают такой доступ в аренду другим участникам теневого рынка.
- Промышленный кибершпионаж продолжится. Атаки с целью шпионажа на промышленный и топливно-энергетический сектор могут стать продолжением тех атак, которые были успешно проведены ранее. При этом компании научатся их выявлять. Этому будут способствовать не только требования регуляторов к защите КИИ, но и осознание руководством промышленных и энергетических компаний необходимости строить действительно эффективную ИБ.
- Под угрозой могут оказаться выборы в США. Как показало исследование умных урн для голосования, такие системы крайне слабо защищены и могут быть легко взломаны киберпреступниками. В преддверии президентских выборов в США стоит также ожидать резонансных кибератак, которые будут направлены на дефейс сайтов политических партий и кандидатов в президенты. Кроме того, можно ожидать попыток повлиять на общественное мнение через социальные сети, утверждают в Positive Technologies.
- Внедрение сетей 5G сулит операторам новые риски. В современном мире в любой сети злоумышленник может вывести из строя элементы умного дома или промышленного IoT. С распространением сетей 5G и развитием интернета вещей увеличится и масштаб угрозы, жертвами кибератаки могут стать подключенные автомобили или системы жизнеобеспечения города. До тех пор, пока реальные сети 5G построены на базе сетей прошлых поколений, все недостатки их защиты будут актуальны и для абонентов 5G.
- Вырастет число атак на пользователей интернет-ресурсов. Бурный рост рынка электронной коммерции будет провоцировать взломщиков на новые изощренные атаки на частных лиц с использованием веб-уязвимостей, в том числе обусловленных ошибками при разработке кода, которые в 2019 году составили 82% от общей доли уязвимостей веб-приложений.
- Новостей об утечках станет больше. Участятся случаи продажи данных пользователей — не только украденных, но и скомпилированных из предыдущих утечек. В Positive Technologies предполагают, что утечки баз данных будут все чаще освещаться в СМИ.
- Хакеры сосредоточатся на атаках мобильных финансовых приложений. Скорее всего, преступников будут интересовать уязвимости, связанные с раскрытием информации о пользователях, в связи с чем можно ожидать новостей об утечках персональных данных и данных банковских карт.
75% ИБ-специалистов считают, что их компания защищена недостаточно
11 ноября 2019 года компания «СёрчИнформ» представила результаты опроса представителей служб информационной безопасности о главных ИБ-угрозах и о том, как повысить уровень защищенности бизнеса.
Согласно опросу, мошеннические схемы ИБ-специалисты считают самой большой угрозой внутренней безопасности компании. 45% опрошенных сообщили, что откаты, боковые схемы и махинации с документами грозят наибольшим ущербом. На втором месте – сливы данных. О серьезности этой угрозы сообщили 19% опрошенных. Промышленный шпионаж, саботаж и нерациональное использование рабочего времени и ресурсов сотрудниками беспокоит 14,5% специалистов по безопасности.
При этом только 15% представителей служб безопасности говорят о том, что в компании обеспечен достаточный уровень защищенности. Остальные опрошенные считают, что им не хватает «рук» – об этом сообщила почти половина опрошенных. 22% сказали, что нужны более продвинутые технические средства защиты. Еще 15% признали, что в компании не хватает ни «рук», ни технической оснащенности.
Что касается обеспеченности кадрами, только 2% опрошенных считают, что на рынке ИБ в них нет недостатка. 12% обозначают ситуацию как «острый кадровый голод», большинство – 79% – говорят о том, что специалиста можно найти, но на это уходит много времени.
В результате почти половина компаний вынуждены растить кадры самостоятельно, а 15% переманивают специалистов у конкурентов.
53% считают, что не все российские компании пока готовы к тому, чтобы отдать вопрос внештатным специалистам. Но более трети опрошенных считают, что аутсорсинг информационной безопасности способствовал бы улучшению ситуации.
«Две трети опрошенных считают, что их компании защищены недостаточно, и эти цифры, казалось бы, выглядят пугающими. Но для сферы информационной безопасности нормально и правильно исходить из пессимистичных оценок ситуации, потому что это позволяет предусмотреть по-настоящему эффективные меры защиты. Повышаются требования к мерам по обеспечению ИБ и к роли специалиста. Но на фоне этих оценок тревожно выглядит, что ИБ-службы фактически недофинансированы. Только 2% опрошенных не испытывает кадровый голод, а более 36% нуждается в дополнительном техническом инструментарии. При этом отношение к аутсорсингу как к альтернативному решению проблемы сохраняется скептическим. Хотя ситуация меняется: еще 2-3 года назад ИБ-специалисты были уверены, что анализ внутренних процессов категорически противопоказано передавать за штат. Со временем скопились примеры удачных практик, и аутсорсинг становится все более распространен», отметил Георгий Минасян, директор по безопасности «СёрчИнформ» |
Слабым звеном в защите конечных точек является персонал
Компания «Код безопасности» провела аналитическое исследование о защите конечных точек, выявив существующие проблемы и решения. Эксперты определили актуальные векторы атак, самые опасные последствия инцидентов для разных отраслей, а также распространенность различных типов средств защиты. Результаты исследования показали, что наиболее актуальными являются атаки, связанные с действиями персонала. Об этом 21 октября 2019 года сообщили в компании «Код безопасности».
Для оценки особенностей обеспечения ИБ на конечных точках аналитики «Кода безопасности» опросили 220 специалистов ИБ-подразделений организаций из 10 отраслей: госсектор, здравоохранение, ИТ и телеком, образование, промышленность, транспорт, топливно-энергетический комплекс, торговля и услуги, культура и финансы.
Цифровизация российской экономики – один из основных трендов развития информационных технологий. Повсеместно внедряются искусственный интеллект, машинное зрение и обучение, интернет вещей, виртуальная и дополненная реальности, облачные решения. Вместе с тем цифровизация приносит и новые поводы для беспокойства: количество векторов атак неизбежно увеличивается. По данным исследования «Защита корпоративных сетей», почти половина респондентов считают, что наибольшую опасность представляет атака на рабочие станции. Аналитики «Кода безопасности» выявили наиболее актуальные векторы атак в 2019 году.
Как отметили респонденты, одной из самых больших угроз для ИТ-инфраструктуры является собственный персонал. Чтобы снизить риск, необходимо предпринимать меры организационного (разделение полномочий, принцип минимально необходимых прав) и обучающего (обучение основам цифровой гигиены, регулярные тестирования и проверки знаний) характера.
Высокая актуальность атак, связанных с наличием уязвимостей в операционной системе и прикладном программном обеспечении, вызвана развитием ИТ-инфраструктуры и неэффективными внутренними процессами управления уязвимостями. Для решения этих задач необходимо отладить процесс приоритизации обновлений и инвестировать в мониторинг безопасности и своевременную адаптацию политики безопасности средств защиты.
Каждый пятый респондент отметил актуальность атак с использованием закладок. Большая часть мер, которые помогут справиться с этим типом атак, находится в области управления поставщиками и управления цепочками поставок. Также целесообразными могут быть спецпроверки и специсследования критичных элементов ИТ-инфраструктуры.
Последствия любых атак и, соответственно, приоритет при выделении ресурсов на те или иные задачи обеспечения информационной безопасности значительно различаются в зависимости от отрасли. Эксперты «Кода безопасности» выделили наиболее актуальные виды последствий: штраф регуляторов, остановка бизнес-процессов, кража денег, репутационный ущерб и пр.
Штрафа со стороны регуляторов больше всего опасаются организации с жестким регулированием: государственные компании (62%), организации здравоохранения (62%), образовательные (41%) и финансовые организации (40%). Многие отрасли наиболее неприятным последствием ИБ-угроз считают остановку бизнес-процессов. Важным по значению стал репутационный ущерб: для транспортной отрасли (81%); компаний ИТ и телекома (79%); образовательных организаций (65%), финансового сектора (60%). Банки и другие финансовые компании отмечают повышенную озабоченность последствиями, связанными с кражей денежных средств.
Информационную безопасность можно обеспечить только комплексными мерами защиты, важную часть которых составляют технические средства. В свою очередь, большой «парк» средств защиты может создать сложности для ИТ-инфраструктуры компании, считают исследователи.
Основной «киберболью» при использовании средств защиты конечных точек для пользователей стало снижение производительности системы – его отметили 66% респондентов. На второе место участники рынка поставили конфликты между различными СЗИ, установленными в системе, – 64%. И 49% ИБ-специалистов назвали ключевым неудобство, связанное с конфликтами эксплуатируемых СЗИ с прикладным ПО.
Государство продолжает активно стимулировать переход российских организаций на отечественные решения. В процессе импортозамещения ИТ-инфраструктуры выделилась группа лидеров с наиболее зрелыми предложениями. Среди операционных систем – это РусБИТех и Базальт СПО, среди телекоммуникационного оборудования – Eltex. Уровень готовности переходить на российские продукты постепенно растет.
С 2018 года число российских организаций, планирующих использовать отечественные решения, увеличилось на 12%. Планируют заменить следующие ИТ-элементы: персональные компьютеры (21%); серверы (17%); сетевое оборудование (16%); системы хранения данных (7%); планшеты (4%). 2/3 участников опроса отметили, что не планируют ничего менять.
Сегментация или группирование компьютеров в отдельные группы по каким-либо признакам проводится для повышения доступности необходимых данных авторизованным сотрудникам и ограничения доступности данных неавторизованным сотрудникам. Большая часть российских компаний (68%) осознает важность организации сегментированной внутренней сети для предотвращения атак на критические ресурсы системы.
Большинство респондентов (79%) отдают предпочтение аппаратным типам решений. Программные средства, позволяющие обеспечить сегментирование при меньших бюджетах в виртуальных инфраструктурах, а также в сетях сложной топологии, используют 17% опрошенных. Основная причина, по которой компании не используют решения для сегментации сети, – это отсутствие финансирования; на втором месте – нехватка специалистов для эксплуатации средств сегментации.
По мере развития ландшафта угроз и повышения требований к корпоративной системе информационной безопасности на рынке появляется все больше средств защиты.
По результатам опроса исследователи выделили две большие группы используемых СЗИ: приоритетные и дополнительные. В число приоритетных входят межсетевой экран (86%), антивирус (82%), система обнаружения вторжений (67%) и средства защиты от несанкционированного доступа (65%). Вторая группа – дополнительные средства защиты, которые используются для защиты от специфических рисков ИБ. В их число входят системы защиты от утечек (DLP, 35%), системы управления событиями ИБ (SIEM, 30%), песочницы (Sandbox, 20%), межсетевые экраны уровня веб-приложений (WAF, 14%), системы глубокого анализа трафика (DPI, 10%) и системы обнаружения и реагирования на сложные угрозы (EDR, 6%).
В компании «Код безопасности» считают, что эффективная стратегия защиты конечных точек должна включать в себя ряд мер, которые условно можно разделить на организационные и технические.
В число технических мер входят:
- Внедрение комбинации системы защиты от вредоносного ПО и системы защиты от несанкционированного доступа к данным. Причем на этапе выбора стоит отдавать предпочтение совместимым и простым в настройке средствам защиты. В случае с рабочими станциями приоритет нужно отдавать средствам защиты от вредоносного кода. Для серверов, в свою очередь, более подходящим является подход замкнутой программной среды, когда с помощью средства защиты запрещается запуск любого неавторизованного кода и осуществляется глубокий контроль целостности файлов, процессов и драйверов ОС.
- Сегментация внутренней сети. Она позволит ограничить распространение злоумышленника, если он все же получил несанкционированный доступ к конечным точкам внутри сети. Сегментация может быть реализована как аппаратными средствами (межсетевым экраном), так и программным модулем, встроенным в СЗИ от НСД.
В число организационных мер входят:
- Риск-ориентированное управление уязвимостями. Организация должна не просто вести список обнаруженных уязвимостей, она должна внедрить практику оценки опасности уязвимости для своей инфраструктуры.
- Обучение пользователей. Необходима комбинация мер из очного и удаленного обучения, регулярной проверки знаний пользователей и тестирования их бдительности с помощью специальных инструментов, эмулирующих фишинг.
Основные угрозы информационной безопасности бизнеса
20 сентября 2019 года компания Accenture представила результаты исследования, в котором выявила основные угрозы информационной безопасности бизнеса в 2019 году.
По оценке Accenture, рынок сервисов кибербезопасности растет темпами, аналогичными рынкам Digital и ИТ. Accenture прогнозирует, что к 2021 году объем мирового рынка ИБ увеличится на 66% и составит $202 млрд. При этом совокупный мировой ущерб от кибератак может вырасти к 2021 году на 39% до $2,1 млрд.
В глобальном отчете Accenture приводит основные тренды в области кибербезопасности бизнеса в 2019 году.
Первый тренд связан с дезинформацией. Авторы отчета отмечают, что вслед за политической дезинформацией, цель которой - повлиять на общественное мнение, все активнее набирает обороты экономическая дезинформация. Финансовая сфера, и, в частности, высокочастотные торговые алгоритмы, основанные на быстрых текстовых источниках информации, в будущем будут подвергаться широкомасштабным атакам.
По мнению Андрея Тимошенко, менеджера по информационной безопасности Accenture в России, развитие методов машинного обучения, искусственного интеллекта (ИИ) и внедрение сетей связи на базе технологии 5G даст широкие возможности для производства и распространения дезинформации.
«Одним из примеров применения ИИ является создание высококачественных поддельных изображений или видео, которые можно использовать для дискредитации и шантажа политического оппонента, конкурирующей компании или создания массовой паники. Технология 5G также создает серьезные риски – контроль над оборудованием и программным обеспечением инфраструктуры 5G может позволить небольшой группе компаний или злоумышленников проводить информационные операции, подделывая или распространяя дезинформацию для больших групп пользователей 5G», отметил Андрей Тимошенко |
Второй тренд – объединение киберпреступников в синдикаты и совместное использование продвинутых инструментов, автоматизирующих процесс массового производства и распространения вредоносного программного обеспечения, спама и приложений для рассылки вредоносных программ с использованием современных технологий, таких как облака, big data, ИИ. С синдикатами, работающими вместе, границы между группами- источниками угроз становятся еще более размытыми, что делает идентификацию киберпреступного агента еще более сложной.
Помимо заражения вирусами-шифровальщиками (программы вымогатели) с помощью организации крупномасштабных спам-кампаний, злоумышленники все чаще внедряют их непосредственно в сети организаций, приобретая удаленный доступ к скомпрометированным серверам в подпольных хакерских сообществах и маркетплейсах вредоносного ПО. Это значит, что «киберпреступники будут продолжать менять свою тактику, чтобы уменьшить риски обнаружения и неудач», – говорится в отчете.
«Применение методов машинного обучения и искусственного интеллекта в фишинговых атаках позволит киберпреступникам увеличивать их эффективность и приведет к еще более массовому распространению вирусов-шифровальщиков, которые могут стать главным орудием в кибервойнах», отметил Андрей Тимошенко |
Еще один тренд связан с уязвимостью экосистем. Этот бизнес зависит от взаимосвязанности элементов системы, а связи увеличивают подверженность компаний риску. Появляющиеся в цепочках угрозы превращают друзей, партнеров и клиентов компании в источник опасности. «Организации могут попытаться улучшить защиту за счет обмена информацией о киберугрозах, с помощью включения ИБ-проверки и тестирования поставщиков и партнеров, а также внедрения отраслевых правил по безопасности и стандартов управления рисками», – говорится в отчете.
По словам Андрея Тимошенко, в России работают группы компаний, которые были сформированы в результате слияний и поглощений организаций с разным уровнем развития ИТ и разным уровнем обеспечения безопасности.
«Важной задачей групп компаний и экосистем является приведение системы защиты к общему знаменателю. Одним из вариантов ее решения может быть централизация системы защиты с использованием облачных технологий», отметил Андрей Тимошенко |
По мнению авторов исследования, компании должны смотреть на вопрос кибербезопасности комплексно и учитывать слабые стороны и уязвимости партнеров и третьих лиц в своих киберстратегиях. Они должны научиться создавать центры безопасности, адаптируя применяющиеся подходы к последним требованиям.
«Тенденции, указанные в исследовании, в глобальных угрозах безопасности применимы и к России, возможно в меньших масштабах из-за размеров экономики. Но Россия является частью глобального ИТ-мира, использует зарубежные ИТ-платформы с их преимуществами и уязвимостями и не может изолироваться», отметил Андрей Тимошенко |
По его словам, компьютерные инциденты последних двух-трех лет затронули и российские компании, что мотивирует владельцев и руководство инвестировать в устойчивое и безопасное развитие. При этом наблюдается нехватка квалифицированных специалистов по ИБ внутри компаний, а сфера безопасности является настолько обширной, что требует различных, не всегда легко совместимых компетенций. В связи с этим многие обращаются к внешним поставщикам услуг безопасности.
75% компаний не уверены в эффективности своей системы кибербезопасности
16 июля 2019 года стало известно, что только четверть (25%) ведущих компаний по региону EMEA (Европа, Ближний Восток, Африка) уверены в надежности своей системы информационной безопасности. Эти данные были получены VMware в рамках совместного исследования с Forbes Insights.
Почти три четверти (70%) лидеров российского рынка и специалистов по информационной безопасности считают, что решения, которые их организация применяет для защиты своих систем, устарели. При этом 42% опрошенных отмечают, что за 2018 год их компания приобрела более свежие инструменты, направленные на борьбу с потенциальными угрозами. 75% респондентов планируют увеличить расходы на обнаружение и идентификацию атак. При этом 20% участников исследования сообщили, что их организация уже применяет 26 и более решений для безопасности.
Всего 13% ИТ-специалистов утверждают, что разрешение проблем, связанных с кибербезопасностью, занимает менее одной недели. В современном мире, где обработка данных производится в режиме реального времени, число интернет-пользователей ежедневно увеличивается более чем на миллион человек, а большая часть операций проходит через приложения в считанные секунды, такой медленный отклик представляет серьезную опасность.
Особенно драматично то, что многие компании сталкиваются с парадоксом продуктивности, когда расходы на ИБ растут, а эффективность — нет. Так, в России 96% опрошенных планируют внедрить свежие ИБ решения в течение трех ближайших лет.
Исследование, в котором приняли участие 650 компаний Европы, Ближнего Востока и Африки, позволило выявить опасную тенденцию: для борьбы с последними киберугрозами предприятия используют медленные и неэффективные методы. При этом, по данным Европейского союза, масштабы экономических последствий киберпреступности увеличились в пять раз по сравнению с 2013 годом.
Сложившийся подход к безопасности привел к тому, что организации все чаще считают себя незащищенными перед лицом киберугроз. Только четверть (26,6%) респондентов заявили, что полностью уверены в надежности своих облачных развертываний. И лишь 23,3% опрошенных уверены в готовности своих сотрудников разрешать проблемы, связанные с безопасностью.
Руководители компаний и их команды по безопасности совершенно по-разному представляют себе прогресс и совместную работу в сфере борьбы с киберугрозами. Всего 36% ИТ-специалистов считают, что руководители высшего звена их предприятий достаточно отзывчивы и активно участвуют в разрешении проблем такого рода. В то же время 27% руководителей заявляют, что уделяют значительное внимание совместной работе в области обеспечения кибербезопасности. С этим утверждением согласно всего 16% опрошенных профессионалов в области информационной безопасности.
2018
Positive Technologies: Каждая вторая компания в регионах РФ подверглась успешной кибератаке
Специалисты Positive Technologies 26 декабря 2018 года опубликовали результаты опроса, проведенного среди 192 российских компаний из различных регионов. 87% участников опроса признали, что применяемых в их организациях мер защиты недостаточно, а 27% организаций отмечают, что руководство не выделяет необходимые средства на кибербезопасность.
Исследование показало, что каждая вторая из опрошенных компаний-респондентов подвергалась успешным кибератакам. Среди них — 43% предприятий сферы энергетики. Эксперты отмечают, что истинное положение дел может быть еще хуже, поскольку 30% респондентов из сферы энергетики признались, что практика выявления инцидентов в их компаниях отсутствует.
Несмотря на то, что подразделение ИБ есть в большинстве компаний, принявших участие в опросе, регулярные тесты на проникновение в корпоративную инфраструктуру проводят только 30% компаний, три четверти которых составляют финансовые организации.
По данным опроса, к помощи сторонних специалистов для расследования инцидентов обращались 16% организаций, бюджет на ИБ в большинстве из них превышает 10 млн рублей. Лишь 6% компаний-респондентов имеют собственный SOC (центр управления безопасностью).
Отсутствие комплексных систем защиты компании пытаются компенсировать внедрением антивирусного ПО и межсетевых экранов — они используются практически во всех опрошенных организациях. По данным опроса, более трети респондентов не смогли отразить атаки с использованием ВПО и предотвратить заражение своих ресурсов, несмотря на использование антивирусного программного обеспечения. 57% компаний считают причиной успеха кибератак отсутствие или неэффективность средств защиты.
По данным исследования, чаще всего организации сталкивались с попытками заражения рабочих станций сотрудников и серверов различным вредоносным программным обеспечением (шифровальщиками, майнерами и т.п.): доля таких компаний составила 60%. С фишингом столкнулись 57% опрошенных компаний.
Более половины респондентов возможной причиной успеха кибератак назвали неосведомленность персонала в вопросах информационной безопасности, немного меньше респондентов отметили непреднамеренные действия сотрудников. При этом большая часть компаний не видит угрозы в инсайдерах — нелояльных сотрудниках, за деньги раскрывающих конфиденциальную информацию о своей компании или помогающих в проведении на нее атак.
Кроме того, опрос показал, что большинство организаций, раскрывающих информацию о произошедших инцидентах, ограничиваются сообщениями регулятору и не сообщают об атаках своим клиентам и партнерам.
По данным анализа, прямые финансовые потери от кибератак понесли 32% участников опроса. Каждая четвертая компания пострадала от простоя инфраструктуры, в том числе 30% промышленных компаний.
При этом большинство компаний-респондентов уверены, что смогут устранить последствия кибератаки в течение суток — оценка, которую специалисты склонны считать чересчур оптимистичной: в зависимости от вида атаки простой может продолжаться до 10 суток и более, говорится в сообщении Positive Technologies.
Результаты исследования показывают, что защищенность региональных организаций в нашей стране находится на низком уровне, — отметил директор региональных продаж Positive Technologies Дмитрий Сивоконь. — Большинство компаний-респондентов (82%) стали мишенью для хакеров в 2018 году. Треть респондентов отмечает прямые финансовые потери от кибератак. Убытки особенно остро ощущаются на фоне скромного бюджетирования в большинстве опрошенных организаций: инвестиции в информационную безопасность каждой второй компании не превышают 5 млн рублей. В связи с этим многие используют только базовые средства защиты. В условиях ограниченного бюджета мы советуем выделить наиболее ценные активы и обеспечить их комплексную защиту. |
Также Дмитрий Сивоконь отметил, что слабым звеном в защите информации по-прежнему остается человек. По его мнению, руководителям бизнеса необходимо прививать своим сотрудникам культуру информационной безопасности. И конечно, необходимы квалифицированные кадры, дефицит которых в регионах ощущается в разы сильнее, чем в Центральном федеральном округе. Нехватку специалистов по защите информации отметил каждый четвертый участник опроса. В случае если в компании нет выделенного подразделения ИБ, стоит рассмотреть возможность делегирования части задач сторонним специалистам, имеющим соответствующие лицензии.
97% компаний не готовы к кибератакам «Пятого поколения»
Согласно отчету 2018 Security Report, подготовленному компанией Check Point Software Technologies, более 300 мобильных приложений, распространяющихся через официальные магазины, содержат вредоносный код. Также специалисты Check Point отмечают, что количество облачных угроз, атак криптомайнеров, уязвимостей MacOS и IoT-устройств продолжает расти.
мы наблюдаем следующее поколение кибератак — это многовекторные, крупномасштабные и стремительно распространяющиеся атаки «Пятого поколения» (Gen V), — отметил Питер Александер, директор по маркетингу Check Point Software Technologies. — 77% ИБ-директоров выразили обеспокоенность тем, что организации не готовы к таким современным кибератакам, и что подавляющее большинство инфраструктур безопасности компаний безнадежно устарело. |
Чтобы получить больше информации о современном ландшафте киберугроз, Check Point опросил 443 ИТ- и ИБ-специалистов по всему миру о вызовах, с которыми они сталкиваются, отражая атаки «Пятого поколения». Результаты исследования показали, что защита большинства компаний отстаёт на 10 лет и как минимум на два поколения от современных кибератак Gen V. Это говорит о глобальной повсеместной уязвимости перед атаками «Пятого поколения».
Согласно данным 2018 Security Report, кибератаки Gen V становятся все более частыми, — отметил Дуг Кахил, руководитель группы и старший аналитик по кибербезопасности Enterprise Strategy Group. — Риску подвержены все: медицинские учреждения, государственные сервисы, крупные корпорации и т.д. 97% компаний не обладают решениями, способными противостоять кибератакам Gen V, и это нужно менять. |
По информации Check Point, 2018 Security Report опирается на данные многочисленных исследований среди ИТ-директоров и руководителей бизнеса, а также отчетов Check Point’s Threat Cloud и Threat Intelligence Report. Исследование охватывает все современные угрозы, направленные на различные отрасли, такие как здравоохранение, промышленность и государственные структуры.
2017
PwC: Большинство российских компаний не могут противостоять кибератакам
Большинство российских компаний не могут успешно противостоять кибератакам, говорится в исследовании международной консалтинговой компании PwC, выпущенном в ноябре 2017 года.[10].
Половина российских респондентов отмечает, что в их компаниях нет общей стратегии информационной безопасности, а в 48% компаний нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности.
Кроме того, 56% компаний признались, что у них не отработан процесс реагирования на кибератаки. В способности найти хакеров полностью уверены лишь 19% участников исследования PwC в России и 39% респондентов во всем мире.
Среди основных мер для обнаружения киберрисков российские участники опроса назвали оценку киберугроз (50%), постоянный мониторинг системы информационной безопасности (48%), оценку уровня уязвимости (44%) и тест на проникновение для проверки системы защиты (40%).
Почти четверть российских компаний утверждают, что к проблемам с информационной безопасностью привело использование мобильных устройств. Этот фактор занял второе место после фишинговых атак, которые лидируют среди называемых угроз.
Киберинциденты происходят каждый день, при этом бренду и репутации компании, ставшей объектом хакерской атаки, наносится серьезный ущерб. Компаниям необходимо защищать доверие со стороны клиентов путем инвестирования времени и средств в работу по внедрению надлежащих систем и технологий, направленных на обеспечение кибербезопасности, — отметил руководитель практики по оказанию услуг в области информационной безопасности PwC в России Роман Чаплыгин. |
По его словам, еще одним эффективным инструментом в борьбе с киберпреступностью может стать регулярный обмен информацией между компаниями.
Реальные примеры незащищенности ИТ-систем крупных компаний
При проведении аудита информационной безопасности эксперты сталкиваются со множеством самых разных уязвимостей. Некоторые из них вызывают как минимум удивление, даже притом, что испытывать какие-либо иллюзии специалистам по ИБ уже давно не свойственно.
В октябре 2017 года TAdviser получил от экспертов обзор, в котором приводится несколько особо выдающихся примеров того, насколько небезопасны могут быть системы крупных и состоятельных коммерческих компаний.
Тут нужно оговориться, что все эти компании имеют более чем адекватное понимание необходимости защищать свои внутренние ресурсы. В этом отношении компании следуют установленным best practices и регламентированным стандартам в сфере информбезопасности.
Однако в ходе скрупулёзного тестирования внутренних систем «в ручном режиме» выявлялись различные архитектурные промахи, обеспечивавшие потенциальным хакерам широчайшие возможности для компрометации. Все приведённые примеры — совершенно реальны. По само собой разумеющимся причинам названия конкретных фирм и организаций приводиться не будут.
Эпизод I: Крупная страховая компания обращается с просьбой провести аудит её внутренних систем. Таковых сразу несколько. Отдельная система отвечает за учёт данных, другая — за генерацию отчётности, третья — за введение операционной деятельности и так далее.
В процессе исследования эксперты натыкаются на ряд уязвимостей, позволяющих проводить целый ряд мошеннических действий в обход действующих инструментов разграничения доступа и нанести немалый ущерб всему бизнесу компании.
Например, одна из таких архитектурных уязвимостей позволяла красть авторизационные токены и использовать их для проведения атаки типа межсайтовой подделки запроса, притом что эти токены как раз и нужны для защиты от подобных атак. Проблема была в том, что в старом Java-приложении, написанном ещё в прошлом десятилетии, отсутствовала защита от CSRF-атак; разработчики не захотели полностью отказываться от этого приложения, вместо этого в него интегрировали готовое стороннее решение для защиты от CSRF, однако несмотря на эти изменения система осталась порядком уязвимой.
Как следствие, злоумышленник мог либо скрытно создавать в системе аккаунты с администраторскими полномочиями, либо захватывать большое количество учетных записей и совершать из-под них реальную операционную деятельность.
В частности, существовала возможность обходить верхний лимит страхового возмещения: сумма компенсации проверялась только на стороне клиента, серверная часть спокойно принимала значения, посланные с приложения-клиента. Под контролем злоумышленника могло оказаться множество учётных записей, и мошеннические действия он мог совершать из-под любой из них или даже сразу нескольких, что заметно затрудняло бы расследование инцидента.
Потенциально всё вместе это могло означать огромный ущерб, причём не только финансовый, но и репутационный.
Эпизод II: Крупная сервисная компания, предоставляющая услуги швейцарским телекомам, запрашивает проверку интернет-приложения, написанного для своих сотрудников.
Это приложение оказалось весьма проблемным само по себе. Уязвимости носили преимущественно типичный характер; некоторые недочёты были связаны с использованием «умолчательных» настроек, которые надо было менять при каждом развёртывании приложения.
Например, по умолчанию пользователям был доступен не только функционал SCP (Secure Copy), но и shell-доступ. Его необходимо было отключать, однако этого сделано не было.
Однако в процессе дальнейших исследований выявилось немало проблем с настройками серверов, обеспечивавших злоумышленникам самые широкие возможности.
Например, на сервере настройки фаерволла отсутствовали, что означало возможность инициировать любые соединения, входящие и исходящие, без ограничений; сохранялась активной функция проброса портов (port forwading), а это, по сути, аналог VPN-канала внутрь сети всей организации.
В целом при наличии доступа к аккаунту рядового сотрудника злоумышленник мог бы авторизоваться по SSH на одном из серверов компании (при этом у него появлялась ещё и возможность повысить свои привилегии до уровня суперпользователя) и развивать атаку на внутренние системы фирмы. Со всеми вытекающими.
Эпизод III: Сеть гипермаркетов запросила тестирование своего приложения для программы лояльности. Как и у многих других крупных торговых сетей, у нашего клиента существует собственная программа лояльности, с мобильным приложением в качестве одного из основных инструментов, и собственная платёжная система. Инфраструктура использовала ресурсы облачного сервиса Azure, используя предлагаемые им инструменты защиты.
Как выяснилось, в этой программе лояльности существуют весьма серьёзные уязвимости, позволяющие, в частности, компрометировать пользовательские аккаунты, подбирать секретные коды защиты, используемые при аутентификации платежей.
Была выявлена также проблема с проверочными транзакциями, которые осуществляются при привязке кредитной карты пользователя к программе лояльности. Как оказалось, такие транзакции (объёмом в один евроцент) можно проводить многократно, причём единственным ограничением на такой вывод средств могут послужить лишь фрод-мониторинг на стороне платёжного процессинга владельца карты. Если антифрод-средств нет, то нет и ограничений на количество таких транзакций.
Эксплуатация этой уязвимости могла бы означать огромный репутационный ущерб для торговой сети.
Эпизод IV: Крупный банк поручил провести аудит своего специализированного приложения, предназначенного для управления инвестициями.
Приложение представляет собой «толстый клиент», то есть обычное десктоп-приложение, доступное через VPN. Приложение оказалось полно уязвимостей разного рода, причём некоторые из них были абсолютно критическими, обеспечивающими огромную «поверхность атаки» для потенциальных злоумышленников.
Например, для развертывания приложения использовалась технология виртуального окружения, развертываемая при помощи Citrix XenApp. Разработки Citrix снабжены довольно эффективными средствами защиты, и в данном случае они были надлежащим образом активированы.
Однако во время аудита безопасности приложения удалось обнаружить в нём возможность совершать так называемый «побег» (breakout) из защищённой среды и получать доступ к серверу, находящемуся в соответствующем сегменте сети, что само по себе открывает огромные возможности по развитию атаки.
При дальнейшем аудите приложения удалось узнать аутентификационные данные базы данных Oracle: приложение общалось с базой напрямую, минуя какие-либо программные интерфейсы — подобный подход нельзя назвать безопасным.
Нетрудно представить себе, что это может означать для банка — организации, работающей с личными данными и деньгами множества людей и организаций. Успешная эксплуатация выявленных уязвимостей означала бы огромные финансовые, и, что не менее существенно, репутационные потери.
Заключение
Вопрос не в том, есть ли в инфраструктуре той или иной компании уязвимые места. Критичные или некритичные, но уязвимости есть и будут, и это объективная данность.
Вопрос в том, как к этому относятся сами владельцы бизнеса и технические специалисты. Готовы ли они рассматривать это как некую «абстрактную данность», то есть, игнорировать и, как следствие, рисковать и деньгами, и репутацией ради малозначимой экономии, или же делают то, что и следует делать — регулярно проводят аудит своей защищённости, собственными силами или привлекая внешних экспертов.
Внешний аудит — куда более продуктивный подход, уже в силу того, что сторонние эксперты могут посвящать проверке максимум ресурсов, — отметил Георгий Лагода, генеральный директор компании SEQ (ранее SEC Consult Services), проводившей описываемые исследования. — А значит, очень маловероятно, что они упустят что-либо.
См. также
Примечания
- ↑ Российский бизнес заинтересовался киберучениями
- ↑ [https://www.anti-malware.ru/analytics/Threats_Analysis/Supply-Chain-Attack Атаки на цепочки поставок: какие существуют риски и как от них защититься Источник: https://www.anti-malware.ru/analytics/Threats_Analysis/Supply-Chain-Attack]
- ↑ Кража учетных данных продолжает оставаться самым популярным методом атаки
- ↑ Управляющие киберрисками
- ↑ Путин подписал указ о дополнительных мерах по обеспечению информационной безопасности России
- ↑ Cyberattack response time averages 2 days, report finds
- ↑ Avast Global PC Risk Report 2021
- ↑ К 2025 г. появятся полноценные кибертехнологии для убийства людей
- ↑ Защита персональных данных вызывает беспокойство у бизнеса
- ↑ Большинство российских компаний не устойчивы к кибератакам, заявили в PwC