«Инфосистемы Джет» представила анализ ландшафта угроз кибербезопасности

В рамках отчета было проанализировано более 10 тысяч инцидентов, пик активности злоумышленников пришелся на период с середины весны до начала лета. Основными способами проникновения в ИТ-инфраструктуру стали эксплуатируемые уязвимости публичных веб-сервисов, сервисов удаленного доступа и фишинг. Финансовые организации, компании в сфере недвижимости, а также ИТ-компании вошли в топ-3 наиболее атакуемых отраслей среди клиентов Центра мониторинга и реагирования на инциденты Jet CSIRT. 

Рейтинг распространенных техник атак претерпел изменения. На первом месте остаются инциденты с заражением вредоносным ПО, на второе место вышли атаки на публичные веб-приложения, а на третье — использование ПО для удаленного администрирования в рамках взломов: злоумышленники стали действовать более скрытно, используя легитимные инструменты администрирования для маскировки своих действий. Что касается фишинговых схем, то для 92% проанализированных компаний были обнаружены потенциально вредоносные веб-ресурсы, 29% из которых уже активно использовались в мошеннических схемах для атак на клиентов и работников.

По-прежнему интересны злоумышленникам и атаки через подрядчиков: в 17% расследованных инцидентов эксперты зафиксировали первичную компрометацию поставщиков услуг. Атакующие использовали взломанные учетные записи компаний малого и среднего бизнеса, оказывающих услуги своим клиентам, для атаки на целевую компанию. Примерно треть таких компаний-подрядчиков также упоминались на DarkNet-форумах и в Telegram-каналах хакерской или мошеннической тематики.

Системный анализ DarkNet для поиска «слитых» учетных записей, относящихся к инфраструктуре наших клиентов, которые могут быть использованы атакующими, показал, что по сравнению с 2023 годом количество утечек учетных данных у анализируемых компаний возросло на 60%. Чаще всего сотрудники используют корпоративные учетные данные (логин-пароль) при регистрации в онлайн-сервисах в сфере страхования, здравоохранения и электронной коммерции, которые после становятся жертвами атак, и данные их клиентов оказываются в DarkNet.

Растет спрос на киберучения для сотрудников, особенно в промышленном и финансовом секторах, с переходом от разовых мероприятий к систематическим программам. Наиболее востребованными остаются тренировки для специалистов SOC, в частности аналитиков первой (90% запросов) и второй (80% запросов) линий реагирования на инциденты ИБ. По итогам онлайн-кэмпа по кибербезопасности CyberCamp 2024, в киберучениях которого приняли участие 138 команд, «Инфосистемы Джет» отметила, что корпоративные команды показали лучшие результаты в практических задачах по обходу защиты, а студенческие команды продемонстрировали высокую скорость адаптации и обучения, добившись в отдельных заданиях, требующих неожиданных решений, максимальных баллов.

«Инфосистемы Джет» также зафиксировала рост спроса на услуги тестирования планов восстановления работы бизнеса (DRP и BCP) более чем на 30%, при этом наиболее популярным сценарием тестирования является успешная атака шифровальщика. Кроме того, эксперты «Инфосистемы Джет» наблюдают переход от классического «инфраструктурного» пентеста к целевым пентестам: компании стали более зрело подходить к постановке целей, выбирая проверку реализации катастрофических гипотез.

В топ-3 уязвимостей, позволивших быстрее всего достичь целей в рамках тестирований на проникновения, вошли некорректные (избыточные) права доступа в AD или ИС (44%), неустановленные критические обновления безопасности (36%) и SQL-инъекции (10%).

«В 2024 году стало очевидно, что традиционная стратегия «укрепления существующих рубежей» не обеспечивает достаточной киберустойчивости. В ответ организации начали внедрять элементы модели нулевого доверия, такие как динамическое управление правами доступа, микросегментация и системы обнаружения аномалий, распространяя эти практики и на внешние периметры (устройства подрядчиков и удаленных сотрудников). В 2025 году ведущим трендом станет интеграция кибербезопасности и обеспечения непрерывности бизнеса в единую стратегию киберустойчивости, которая исходит из предположения о неизбежности киберинцидентов и фокусируется на способности организации эффективно им противостоять и быстро восстанавливаться после них», — говорит Андрей Янкин, директор центра информационной безопасности, «Инфосистемы Джет».