Информационная безопасность обновилась

В 2023 г. активность злоумышленников значительно выросла. Чаще всего хакеры атаковали государственные учреждения и компании, относящиеся к объектам критической инфраструктуры. Физические лица также не остались без внимания злоумышленников, в атаках социальная инженерия шла рука об руку с использованием технологий. Как изменились цели хакеров и их методы, разобрались «Ведомости. Инновации и технологии».

Кибертренды-2023

Число атак на российские компании неуклонно увеличивается ежегодно, но в 2023 г. темпы роста были рекордными. По данным экспертного центра безопасности Positive Technologies, количество проектов по расследованию инцидентов в 2022 г. увеличилось на 50% в сравнении с 2021 г., тогда как за первые девять месяцев 2023 г. по сравнению с показателями за весь прошлый год их число выросло еще на 76%. В компании полагают, что такой скачок может быть спровоцирован увеличением количества инцидентов ИБ вследствие последних геополитических и экономических событий в мире.

По данным ГК «Солар», рост количества атак, организованных кибермошенниками, в текущем году в сравнении с 2022 г. составил 30%. «Наиболее часто используемым инструментом хакеров в 2023 г. стало вредоносное ПО: доля высокой степени критичных инцидентов с применением такого софта в третьем квартале выросла до 83%. При этом злоумышленники стали чаще применять вредоносы, которые не фиксируются стандартными средствами мониторинга, их можно обнаружить только специальными сенсорами SOC (Security Operation Center ‒ центр мониторинга информационной безопасности. – «Ведомости. Инновации и технологии»)», – рассказывает директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков.

Еще треть (30%) атак были связаны с так называемыми киберхулиганами, которые пытаются привлечь к себе внимание через минимальное воздействие на IT-инфраструктуру. К таким атакам относятся DDoS-атаки и дефейс сайтов (хакерская атака, при которой главная страница веб-сайта заменяется на другую. – «Ведомости. Инновации и технологии»). В «Соларе» фиксируют, что число DDoS-атак в третьем квартале 2023 г. в сравнении со вторым кварталом выросло вдвое, средняя мощность одной атаки, наоборот, снизилась почти в 4,5 раза – с 2,6 Гбит/c до 0,6 Гбит/c. Эксперты объясняют это тем, что злоумышленники перешли от целевых атак к «ковровым бомбардировкам». В то же время, по словам коммерческого директора Servicepipe Данилы Чежина, наблюдался рост «интеллектуальности» ботнетов, мимикрирующих под реальных пользователей. Такие ботнеты использовались чаще всего с целью эксплуатации какой-то бизнес-логики. Например, для СМС-бомбинга (атака, целью которой является инициировать отправку максимального количества СМС, нанося тем самым жертве атаки материальный ущерб в виде роста расходов на связь. – «Ведомости. Инновации и технологии»). Servicepipe в 2023 г. фиксировала трехкратный рост числа таких атак. Чаще всего подобные атаки устраивают политически мотивированные хакеры, отметили эксперты.

Доля атак профессиональных APT-группировок (Advanced Persistent Threat, постоянная угроза повышенной сложности. – «Ведомости. Инновации и технологии») составляла 20%. Такие группировки наиболее опасны, в них входят опытные хакеры, которые могут годами незаметно присутствовать в инфраструктуре, похищая данные или занимаясь шпионажем, поясняют эксперты из ГК «Солар». АРТ-группировки знают, кого они атакуют, они преследуют конкретные цели, вплоть до полного уничтожения инфраструктуры, поясняют эксперты Positive Technologies. По словам Дрюкова, наиболее активными оказались азиатские APT-группировки.

Вместе с тем эксперты указывают на актуальность атак через подрядчиков. «Один инцидент у подрядчика ведет к появлению угроз нескольким заказчикам, а максимальное количество учеток заказчиков, обнаруженных в рамках инцидента, составило 57», ‒ отметил на конференции по информационной безопасности SOC Tech представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) Алексей Новиков. С инцидентами эксплуатации доверия в 2023 г. столкнулись многие компании, публичными стали десятки крупных инцидентов, подтверждает руководитель отдела развития департамента консалтинга центра информационной безопасности «Инфосистемы Джет» Александр Морковчин.

«Если в 2022 г. был некий хаос, поскольку нас атаковал весь мир, то в 2023 г. стратегии уже были более разумными и последовательными, сложными и поэтапными», ‒ подытоживают в Positive Technologies. Как отметил в своем выступлении на SOC-форуме заместитель председателя правления «Сбербанка» Станислав Кузнецов, сегодня видно постоянное регулярное давление по ряду направлений, одно из которых связано с тем, чтобы остановить работу каких-то организаций, структур, компаний.

Хакеры разошлись по секторам

В 2023 г. основными целями атак стали государственные структуры и субъекты критической инфраструктуры (компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс; в области атомной энергии, оборонной, ракетно-космической и т. д. ‒ «Ведомости. Инновации и технологии»), активно работает конвейер по сбору информации, утверждает Новиков. В ГК «Солар» подтверждают: в 2023 г. наиболее часто атаковали государственные организации (44%), телеком (14%), сельхозпроизводителей (9%), промышленные объекты, финсектор (7%). По данным Positive Technologies, в 2023 г. на госсектор пришлось 25% инцидентов, 24% – на промышленность, 12% ‒ на финансовый сектор.

«Государственные организации атакуют с целью шпионажа либо чтобы вывести инфраструктуру из строя, – мы понимаем, в какое время мы живем», ‒ утверждает руководитель BI.ZONE Threat Intelligence Олег Скулкин. Более того, отметил эксперт, от атак стали страдать небольшие региональные организации. «Главное в таких случаях для злоумышленников – показать, что атака была и она успешна», ‒ указал эксперт.

Говоря об атаках на коммерческие организации, Скулкин отметил: даже классические киберпреступники, зарабатывающие на атаках деньги, порой стали действовать так же, как хактивисты. Кроме того, по словам экспертов, стало выявляться больше случаев шпионажа в промышленных организациях, банках.

Без согласия клиента

Впрочем, число атак, направленных на хищение денежных средств у компаний и физических лиц, также росло. По данным ЦБ, в апреле ‒ июне 2023 г. в российской банковской системе почти до рекордного уровня выросло число операций без согласия (ОБС) клиента. Оно составило 280 000, больше было только в четвертом квартале 2021 г. ‒ 304 000. Объем похищенных средств по сравнению с первым кварталом 2023 г. сократился почти на 1 млрд руб., до 3,6 млрд руб., против среднего показателя за предыдущие 4 квартала 4,0 млрд руб. В июле ‒ сентябре число ОБС составило почти 289 000. При этом объем похищенных средств у корпоративных клиентов вырос более чем в два раза, почти до 192 млн руб.

Однако доля социальной инженерии, которая всегда была бичом атак на физических лиц, заметно снизилась в третьем квартале этого года ‒ на 15 процентных пунктов (п. п.) относительно II квартала 2023 г. ‒ и составила 32%, что стало рекордно низким показателем с 2019 г. По словам экспертов, такое сокращение доли социальной инженерии – результат подключения ряда крупных телеком-операторов и региональных операторов к Единой платформе верификации телефонных вызовов «Антифрод». Также снижение числа доли социальной инженерии может быть связано с ростом популярности гибридных атак (где применяются методы социнженерии и технологии. – «Ведомости. Инновации и технологии»), поясняет генеральный директор SafeTech Денис Калемберг. Главный эксперт «Лаборатории Касперского» Сергей Голованов подтвердил: часто мошенники звонят якобы из службы безопасности банка и просят поставить на телефон приложение, которое дает удаленный доступ к телефону жертвы.

Грядущие вызовы

В 2024 г. эксперты советуют не ждать снижения напряженной обстановки, ведь атаки продолжат рост и будут усложняться.

Так, по словам Калемберга, увеличится количество атак на мобильные приложения российских игроков, попавших под санкции. «Сейчас приложения банков, оказавшихся в SDN, удаляются из Store, из-за чего возможны несколько вариантов атак», ‒ пояснил эксперт. Уже сейчас появляются поддельные приложения, в которые клиенты «сливают» свои данные. Вторая проблема – отсутствие обновлений старых (изъятых из Store) приложений, что увеличивает риски выявления злоумышленниками уязвимостей. Кроме того, все чаще банки устанавливают мобильные приложения в отделениях банков путем подключения к компьютеру операциониста, а это многократно увеличивает риск внутреннего фрода (то есть мошеннических действий со стороны сотрудников кредитных организаций. ‒ «Ведомости. Инновации и технологии»). Эти риски стали реализовываться в 2023 г., и в 2024 г., с большой долей вероятности, будет наблюдаться рост числа таких атак, отметил эксперт.

По словам Дрюкова, в 2024 г. ожидается увеличение числа кибератак, спонсируемых государствами. Кроме того, сами атаки станут еще сложнее благодаря использованию искусственного интеллекта, уверен эксперт. «Это могут быть как попытки дипфейковой социальной инженерии, так и автоматизированные вредоносные программы с функцией адаптации, чтобы избежать обнаружения», ‒ отметил он. Впрочем, ИИ может также использоваться и в борьбе с новой угрозой. «Если сравнить киберландшафт в 2024 г. с шахматной доской, то ИИ ‒ это королева, способная дать мощные стратегические преимущества той стороне, которая думает и играет лучше соперника», – отмечает Дрюков.

Кроме того, по прогнозам эксперта, участятся случаи кибератак на устройства интернета вещей. Умные кофеварки, телевизоры и прочая техника с подключением к интернету традиционно используются во время интернет-атак, которые, по словам Чежина, продолжат эволюционировать в 2024 г. «Если в 2023 г. в среднем продолжительность одной атаки увеличилась на 15%, то в 2024 году мы ожидаем, что они будут еще продолжительнее, а векторы будут более трудными для блокировки, ‒ указал эксперт. ‒ Кроме того, в 2024 г. будет расти число ботовых атак, целью которых является инициация отправки СМС».

А где защитники?

Одним из главных вызовов в целом для организаций эксперты называют кадровый голод. Если говорить об общих трендах в ИБ на 2024 г., то мы продолжим наблюдать нехватку специалистов, обладающих необходимыми навыками для защиты от кибератак, отмечает Дрюков. Вполне вероятно, что для исправления ситуации придется повышать зарплаты тем, кто обладает нужными навыками, а также увеличивать инвестиции в программы обучения, считает он. Эксперт Positive Technologies Алексей Лукацкий указал, что в условиях дефицита кадров компании будут искать варианты операционной модели SOC, когда часть вопросов по кибербезопасности компания будет решать сама, а часть поручать контрагентам.

Еще одним стратегическим приоритетом будущего года, по словам Дрюкова, станет развитие киберустойчивости – возможности гибкого восстановления при минимизации потерь данных и времени простоя. Сейчас основное внимание в сфере кибербезопасности уделяется предотвращению атак, в то время как именно меры устойчивости призваны обеспечить непрерывность операций даже после успешного взлома, отмечает он.