Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Экспертный анализ Global Incident Response Threat Report 2022 от VMWare
Мы проанализировали Global Incident Response Threat Report 2022 от VMWare и выделили то, что может быть важно для организаций в российских реалиях. Оригинал отчета вы найдете по ссылке.
Разберем основные выводы, представленные в отчете
1. Атака «горизонтального продвижения» (последовательное закрепление злоумышленником в инфраструктуре компании с последующим продвижением к другим объектам) становится все более распространенной. Данный вектор кибератаки наблюдался в 25% случаев проникновений. В подобных атаках используются системные инструменты и легитимное программное обеспечение. Особенно опасными при этом выглядят атаки с использованием функции синхронизации между локальными и облачными файлами (применялся в 46% случаев).
Разберем основные выводы, представленные в отчете
1. Атака «горизонтального продвижения» (последовательное закрепление злоумышленником в инфраструктуре компании с последующим продвижением к другим объектам) становится все более распространенной. Данный вектор кибератаки наблюдался в 25% случаев проникновений. В подобных атаках используются системные инструменты и легитимное программное обеспечение. Особенно опасными при этом выглядят атаки с использованием функции синхронизации между локальными и облачными файлами (применялся в 46% случаев).
Комментарий эксперта
«Сложные APT атаки всегда многоэтапны и одной из первых задач, стоящих перед злоумышленником, явялется закрепление в инфраструктуре жертвы. Это необходимо как для проведения основных атак на организацию, так и для того, чтобы остаться в инфраструктуре даже после того, как атака была проведена. Некий бэкдор всегда оставляют для того, чтобы была возможность вернуться спустя некоторое время. Облачное хранение за последние 3 года в России выросло в несколько раз (начиная с пандемии короновируса), а аналитики говорят о постоянном росте этого сегмента: на 2022 год было спрогнозировано увеличение рынка облачных технологий на 30-35%. Компании не обладают достаточным пониманием процессов, действующих в облачных хранилищах, а также возможностей их эксплуатации. Учитывая это необходимо повышать компетенции как рядовых сотрудников, так и сотрудников ИБ и ИТ подразделений компании относительно особенностей данного метода хранения данных.»
«Сложные APT атаки всегда многоэтапны и одной из первых задач, стоящих перед злоумышленником, явялется закрепление в инфраструктуре жертвы. Это необходимо как для проведения основных атак на организацию, так и для того, чтобы остаться в инфраструктуре даже после того, как атака была проведена. Некий бэкдор всегда оставляют для того, чтобы была возможность вернуться спустя некоторое время. Облачное хранение за последние 3 года в России выросло в несколько раз (начиная с пандемии короновируса), а аналитики говорят о постоянном росте этого сегмента: на 2022 год было спрогнозировано увеличение рынка облачных технологий на 30-35%. Компании не обладают достаточным пониманием процессов, действующих в облачных хранилищах, а также возможностей их эксплуатации. Учитывая это необходимо повышать компетенции как рядовых сотрудников, так и сотрудников ИБ и ИТ подразделений компании относительно особенностей данного метода хранения данных.»
2. Количество дипфейковых атак выросло на 13%, при этом 66% респондентов заявили, что были их свидетелями за последние 12 месяцев. Электронная почта была основным методом доставки (78%) для таких атак. По данным ФБР, с 2016 по 2021 год финансовый ущерб, нанесенный организациям этим методом кибератаки, достигает 43,3 млрд $.
Комментарий эксперта
«Дипфейк-атаки не так далеки от России, как может показаться. На данный момент они применяются с целью формирования компромата на жертву с целью получения выкупа. В плане атак на организации фишинговые рассылки обходятся злоумышленникам дешевле и при этом пока еще показывают достаточно высокие результаты. Дипфейк же требует существенно больших усилий, но при этом он, в среде более зрелых с точки зрения кибербезопасности иностранных компаний, в которой фишинг постепенно теряет эффективность, создает новые, незнакомые для жертвы условия, при которых повышается доверие к вредоносному содержимому. При определенных условиях распознать дипфейк можно, но пока мы не обладаем достаточным объемом инцидентов с использованием данной технологии для более-менее точной идентификации признаков подделки, что вызывает серьезные опасения. Именно поэтому необходимо максимально внимательно следить за развитием этого направления в других странах.»
«Дипфейк-атаки не так далеки от России, как может показаться. На данный момент они применяются с целью формирования компромата на жертву с целью получения выкупа. В плане атак на организации фишинговые рассылки обходятся злоумышленникам дешевле и при этом пока еще показывают достаточно высокие результаты. Дипфейк же требует существенно больших усилий, но при этом он, в среде более зрелых с точки зрения кибербезопасности иностранных компаний, в которой фишинг постепенно теряет эффективность, создает новые, незнакомые для жертвы условия, при которых повышается доверие к вредоносному содержимому. При определенных условиях распознать дипфейк можно, но пока мы не обладаем достаточным объемом инцидентов с использованием данной технологии для более-менее точной идентификации признаков подделки, что вызывает серьезные опасения. Именно поэтому необходимо максимально внимательно следить за развитием этого направления в других странах.»
3. За последние 12 месяцев с эксплойтами нулевого дня столкнулись 62% респондентов, что на 11% больше, чем в прошлом году. Эти дорогостоящие, часто заказные эксплойты продолжают стремительно расти.
Комментарий эксперта:
«Эксплуатация zero-day готовится продолжительное время и предполагает использование технологически сложных решений. Можно говорить, что именно эти атаки представляют наибольшую угрозу для крупного бизнеса и что они составляют небольшую долю от всего объема кибератак. Для защиты от подобного необходим постоянный контроль за периметрами, анализ защищенности организации и применяемых ею сервисов и ПО. Необходимо также иметь доступ к постоянно обновляемой библиотеке с возможности проводить сканирование для выявления известных сигнатур.»
«Эксплуатация zero-day готовится продолжительное время и предполагает использование технологически сложных решений. Можно говорить, что именно эти атаки представляют наибольшую угрозу для крупного бизнеса и что они составляют небольшую долю от всего объема кибератак. Для защиты от подобного необходим постоянный контроль за периметрами, анализ защищенности организации и применяемых ею сервисов и ПО. Необходимо также иметь доступ к постоянно обновляемой библиотеке с возможности проводить сканирование для выявления известных сигнатур.»
4. Почти четверть атак (23%) в настоящее время ставят под угрозу безопасность API, поскольку эти платформы становятся новой многообещающей конечной точкой для злоумышленников. Основные типы атак на API включают раскрытие данных (с которыми столкнулись 42% респондентов в прошлом году), атаки с внедрением SQL и API (37% и 34% соответственно) и распределенные атаки типа «отказ в обслуживании» (33%). Эти результаты показывают, что злоумышленники не только стремятся скомпрометировать безопасность API как самоцель, но и используют ее для распространения дополнительных, часто разрушительных атак, также известных как прогрессивные атаки API.
«Если говорить о мерах защиты, то разработчикам API функционала требуется отслеживать уязвимые (общедоступные) библиотеки и не использовать их, а также вовремя обновляться. С точки зрения отдела ИБ оптимальным будет использование средств защиты веб-приложений — WAF (Web Application Firewall) с функциональностью API Protect.»
5. Почти 60% респондентов за последние 12 месяцев подверглись атаке программ-вымогателей, поскольку известные киберкартели продолжают вымогать деньги у организаций с помощью методов двойного вымогательства, аукционов данных и шантажа.
Комментарий эксперта
«Атаки с помощью программ-шифровальщиков остаются эффективными в первую очередь из-за того, что компании все еще не отдают себе отчет: насколько та или иная информация для них ценна и как выразить эту ценность в деньгах. При чем это характерно как для России, так и для США. Частные случае определения стоимости утраченных или зашифрованных данных не показывают всю картину. Оценка стоимости данных выглядит очень перспективным направлением: зная ценность хранимой информации и сегментируя ее по этому принципу можно гораздо конкретнее подходить к задачам по обеспечению безопасности их хранения, не допуская возникновения случаев проникновения в наиболее значимые объекты инфраструктуры, сохраняя при этом наиболее ценную часть данных от хищения.»
«Атаки с помощью программ-шифровальщиков остаются эффективными в первую очередь из-за того, что компании все еще не отдают себе отчет: насколько та или иная информация для них ценна и как выразить эту ценность в деньгах. При чем это характерно как для России, так и для США. Частные случае определения стоимости утраченных или зашифрованных данных не показывают всю картину. Оценка стоимости данных выглядит очень перспективным направлением: зная ценность хранимой информации и сегментируя ее по этому принципу можно гораздо конкретнее подходить к задачам по обеспечению безопасности их хранения, не допуская возникновения случаев проникновения в наиболее значимые объекты инфраструктуры, сохраняя при этом наиболее ценную часть данных от хищения.»
6. 87% специалистов по ИБ говорят, что иногда (50% респондентов) или часто (37% респондентов) они могут помешать киберпреступникам. Для этого они используют новые методы: три четверти респондентов (75%) используют для этого virtual patching (виртуальный патчинг).
Комментарий эксперта:
«Технология, о которой здесь идет речь позволяет предотвращать эксплуатацию уязвимости посредством внедрения специфических политик безопасности, нацеленных на выявление и блокировку вредоносных запросов. Технология позволяет избежать излишних затрат, связанных с приостановкой процессов в связи с обновлениями. Однако, здесь как никогда важно качество, ведь некорректо разработанная политика может привести к многочисленным ложным срабатываниям.»
«Технология, о которой здесь идет речь позволяет предотвращать эксплуатацию уязвимости посредством внедрения специфических политик безопасности, нацеленных на выявление и блокировку вредоносных запросов. Технология позволяет избежать излишних затрат, связанных с приостановкой процессов в связи с обновлениями. Однако, здесь как никогда важно качество, ведь некорректо разработанная политика может привести к многочисленным ложным срабатываниям.»
7. Хотя уровень выгорания немного снизился по сравнению с прошлым годом, он остается серьезной проблемой. 47% респондентов сказали, что они испытывали выгорание или сильный стресс за последние 12 месяцев, по сравнению с 51% в прошлом году, и более 75% респондентов сказали, что их рабочие места внедрили программы оздоровления для борьбы с этим. Тем не менее, к сожалению, 69% (по сравнению с 65% в 2021 году) респондентов, испытывающих подобные симптомы, рассматривают возможность ухода с работы в результате.
Комментарий эксперта
«В нынешних реалиях данный вопрос является одним из наиболее приоритетных. Эмоциональное выгорание сотрудников, их эмоциональная стабильность на фоне обстоятельств последних 6 месяцев вызывает опасения. Для информационной безопасности это важная область: необходимо гораздо внимательнее отнестись к вопросам обеспечения защиты от угроз внутреннего нарушителя. Нас должна беспокоить способность того или иного сотрудника нанести ущерб организации своими действиями или бездействием. Удаленная работа из-за границы, политические настроения, эмоциональный фон в коллективе: не все факторы имеют прямое отношение к информационной безопасности, но тем не менее они оказывают влияние на сотрудника, который может стать причиной инцидента информационной безопасности.»
«В нынешних реалиях данный вопрос является одним из наиболее приоритетных. Эмоциональное выгорание сотрудников, их эмоциональная стабильность на фоне обстоятельств последних 6 месяцев вызывает опасения. Для информационной безопасности это важная область: необходимо гораздо внимательнее отнестись к вопросам обеспечения защиты от угроз внутреннего нарушителя. Нас должна беспокоить способность того или иного сотрудника нанести ущерб организации своими действиями или бездействием. Удаленная работа из-за границы, политические настроения, эмоциональный фон в коллективе: не все факторы имеют прямое отношение к информационной безопасности, но тем не менее они оказывают влияние на сотрудника, который может стать причиной инцидента информационной безопасности.»
Другие материалы
Подпишитесь чтобы получать уведомления о выходе новых материалов и новостей