18 марта 2021 г.
Компания Cisco проанализировала основные тренды в сфере информационной безопасности в 2020 г. По мнению экспертов, минувший год запомнится резким всплеском различных угроз. Количество кибератак выросло, повысилась их сложность, а противостоять им было трудней. Характерной чертой 2020 г. стали ускорение цифровой трансформации во всех индустриях, и повсеместный переход на удаленную работу.
Как рассказал Алексей Лукацкий, бизнес-консультант по безопасности Cisco, на первое место по распространенности и причиняемому ущербу вышли вредоносные программы, известные как шифровальщики или вымогатели.
«Это одна из немногих областей деятельности хакеров, о которой известно всем, — подчеркнул он. — Деньги здесь тоже крутятся немалые. Например, в криптокошельках только одной хакерской группировки, попавшей в сферу внимания Cisco, по результатам всего нескольких атак накопилось примерно 190 биткоинов, что при нынешнем курсе составляет более 11 млн долл.».
В течение года атаки злоумышленников становились более изощренными. Чтобы больше заработать, они придумывали новые тактики. Один из приемов — встраивать в зловредное ПО таймеры обратного отсчета, угрожая жертве в назначенный час полностью обрушить информационную систему предприятия. Участились рассылки с объявлениями о продаже данных жертв. Другими словами, появилась своего рода преступная биржа: одни злоумышленникам продают другим доступ к различным сетям. Кроме того, взят на вооружение «двойной шантаж»: до запуска программ-вымогателей похищаются большие объемы корпоративной информации, и жертвам приходится не только восстанавливать скомпрометированные сети, но и ликвидировать угрозу обнародования интеллектуальной собственности, коммерческих тайн и других конфиденциальных сведений.
Как установили аналитики Cisco, в 2020 г. атаки программ-шифровальщиков на рядовых пользователей сократились, а на предприятия, напротив, возросли. Это объясняется тем, что простые пользователи массово перешли на мобильные устройства и общаются не столько в электронной почте, которая всегда была уязвимым каналом, сколько в различных мессенджерах, они изначально защищены лучше, в том числе и благодаря встроенным алгоритмам шифрования сообщений. Предприятия же остаются желанной мишенью, поскольку там хакеры могут получить намного больше денег. Суммы, которые запрашивают злоумышленники, меньше того ущерба, который компания понесет в случае потери своих данных. Кроме того, предприятия все чаще страхуют киберриски, и могут рассчитывать на компенсацию потерь со стороны страховых компаний.
Надо отметить, что даже если жертва отказывается платить выкуп, хакеры все равно получают свою выгоду. Они выкладывают похищенные данные в сеть или продают на черном рынке, демонстрируя серьезность своих намерений. Такая публичность им только на руку, поскольку способствует росту доходов киберпреступников. Дело дошло до того, что хакерские группировки стали заботиться о своем имидже. Через СМИ они комментируют атаки, опровергают ложные слухи, при этом дистанцируются от «желтой» прессы. Своих жертв называют клиентами, предлагают им техподдержку по восстановлению работоспособности информационной инфраструктуры, согласовывают условия оплаты, предлагают «пробные» версии ПО для разблокировки части данных.
Эксперты Cisco установили, что в прошлом году 26% компаний выплачивали выкуп, при этом средняя сумма составила 178 тыс. долл., а для предприятий малого бизнеса — 5900 долл. Примерно 51% компаний столкнулись с вымогателями. Бывали случаи, что организации случайно становились жертвами шифровальщиков. Выкуп никто не требовал, но на восстановление работоспособности информационных систем приходилось тратить до 300 млн долл.
В 2021 г. активность вымогателей, по оценкам аналитиков Cisco, не снизится. Ситуация осложняется пандемией, в результате которой многие потеряли работу. Среди них немало ИТ-специалистов. А стоимость подобных вредоносных программ в даркнете составляет примерно 50 долл. Соблазн заработать таким путем для людей, оставшихся без работы, велик.
Новые реалии, новые вызовы
Переход на удаленную работу подразумевал, что сотрудники должны иметь возможность безопасно работать из дома и при этом иметь доступ ко всем необходимым корпоративным ресурсам. В прошлом году в России в 24% компаний доля удаленных сотрудников составляла от 76 до 100%. В 31% предприятий из дома работали от 51 до 75% специалистов. В 27% организаций удаленный формат взаимодействия используют
Вполне закономерно, что на многих предприятиях обратились к технологии рабочих столов Remote Desktop, обеспечивающей удаленное подключение. Рабочий компьютер оказывается как бы у сотрудника дома, однако протоколы подключения RDP (remote desktop protocols) создают проблемы для кибербезопасности. Наиболее распространенные инциденты — кража идентификационных данных, атака man-in-the middle («атака посредника», когда злоумышленник внедряется в канал связи между двумя сторонами) и дистанционное выполнение кода (злоумышленник выполняет свой собственный код на чужой машине или сервере). Любая технология подключения удаленных рабочих столов в случае ее взлома предоставляет злоумышленнику доступ к ресурсам организации.
На втором месте по степени угроз в 2020 г., как установили эксперты Cisco, были программы-троянцы, — зловредное ПО, цель которого — обеспечить скрытый удаленный доступ к информационным системам жертв, чтобы похищать ценную информацию. Известны случаи, когда объем украденных данных исчислялся гигабайтами. Чаще всего похищают пароли и учетные записи. И это очень опасно, ведь используя легальные пароли, злоумышленники могут получать доступ ко всей сети предприятия, оставаясь незамеченными.
Особую актуальность в 2020 г. на фоне пандемии приобрела защита информационных систем медицинских учреждений. Ожидаемо был зафиксирован рост числа атак на организации, занимающиеся как исследованиями в области COVID-19 (кража секретов), так и обычные больницы и поликлиники (похищение результатов анализов, клиентских баз). В последнем случае риски особенно высоки, поскольку, в случае нарушения работы информационных систем, под угрозой окажутся здоровье и жизни пациентов.
Аналитики Cisco обратили внимание и на большое число проблем в области защиты промышленных предприятий. На многих из них системы автоматизированного управления производственными процессами используют устаревшие и уязвимые протоколы, которые легко могут быть взломаны хакерами. Риск существует даже для таких критически важных объектов инфраструктуры, как атомные электростанции.
Одна из главных трудностей в обеспечении ИБ — отсутствие целостного и системного подхода к построению систем безопасности, недостаточно полный мониторинг событий, запоздалое реагирование на инциденты. Это справедливо в отношении России как, так и практически всех стран мира. Вместе с тем, специалисты Cisco отмечают, что в нашей стране ситуация в целом более благополучна. По девяти критериям ИБ из одиннадцати показатели России выше, чем среднемировые.
Согласно результатам исследования Cisco 2021 Security Outcomes Study, существуют две передовые практики, которые способствуют успеху программ безопасности. Во-первых, это проактивное обновление ИБ-технологий — до того, как они устареют, во-вторых — обеспечение хорошей интеграции ИБ-технологий, в том числе с широким спектром сторонних решений. Эти практики увеличивают шансы организаций на достижение конкретных результатов, например, на создание сильной внутрикорпоративной культуры обеспечения информационной безопасности, на подбор талантливых сотрудников службы безопасности или поддержание рентабельности ИБ-программы.
В число прочих методов, которые положительно влияют на достижение желаемых результатов в области обеспечения ИБ, входят точное обнаружение угроз, своевременное реагирование на инциденты и эффективное использование автоматизации. Важными факторами успешного обеспечения кибербезопасности также являются соблюдение принципа нулевого доверия и тщательная инвентаризация активов, так как невозможно по-настоящему обезопасить то, о чем не подозреваешь.
Средние годовые расходы на защиту данных в российских организациях, участвовавших в опросе, составили порядка 1,4 млн долл. Преимущества, которые их компании получили вследствие усиления мер защиты данных, российские респонденты оценили в 2,1 млн долл. в год. Таким образом, выгода от внедрения технологий защиты данных почти вдвое превышает инвестиции.
Источник: Константин Геращенко, CRN/RE