В Санкт-Петербурге в конце октября прошло одно из мероприятий в рамках масштабного роуд-шоу «КиберДрайв», посвященного вопросам защиты от цифровых угроз и хакерских атак. «КиберДрайв» организует «Ростелеком», шоу проводится в 60 городах России. По данным оператора, всего 17% компаний сегодня способны эффективно сопротивляться кибератакам, за последний год число атак на IT-инфраструктуру выросло на 40%.
В «КиберДрайве» приняли участие представители крупнейших государственных и коммерческих организаций города. Открыло мероприятие выступление Игоря Ляпунова, вице-президента «Ростелекома» по информационной безопасности. Он рассказал о том, как действуют сегодняшние киберпреступники, какой ущерб наносит бизнесу и государству успешная атака и как правильно определить приоритеты в методах защиты.
В частности, за последний год на 40% выросло число атак с целью получения контроля над IT-инфраструктурой той или иной организации. 64% атак являются целенаправленными, а 55,4% всех событий, связанных с киберугрозами, удается выявить только при помощи сложных интеллектуальных средств защиты или анализа событий.
Уже 20% вредоносного ПО, загружаемого на компьютеры пользователей методом фишинга, имеет встроенные инструментарии для обхода такого распространенного средства защиты от киберугроз, как «песочница», то есть, изолированный контейнер для запуска: обнаружив, что его запускают именно в «песочнице», зловред не выполняет никаких деструктивных действий.
Всего 17% компаний сегодня способны эффективно сопротивляться кибератакам, а среднее время обнаружения факта взлома достигает сегодня 207 дней – то есть, когда злоумышленников уже и след простыл.
«Ростелеком» обращает внимание на массовое применение механизмов обфускации вредоносного кода для затруднения его обнаружения, а также отмечает новый тренд на сокрытие командных узлов через сеть TOR, что усложняет детектирование аномальной сетевой активности. При этом новые уязвимости в составе вредоносного ПО появляются в течение одного дня: как только они обнаруживаются, так сразу же начинают использоваться, в то время как закрытие «дыры» занимает от 1 месяца до нескольких лет.
До сих пор успешно применяются уязвимости, обнаруженные более 1 года назад: например, Shellshock, EternalBluе или Bluekeep. В целях сокрытия атаки злоумышленники активно используют легитимные утилиты для удаленного администрирования; весьма популярны атаки на точки входа для подрядчиков или прямой взлом подрядчика для последующего легитимного входа уже он его имени.
В фишинге, естественно, активно применяется актуальная новостная повестка, связанная с коронавирусом. Удаленная работа – просто праздник для жуликов, поскольку взлом и заражение слабо защищенных домашних компьютеров осуществить гораздо проще, также активно используется компрометация данных VPN. Сами злоумышленники тоже эволюционировали. Сегодня базовые атаки осуществляются уже при помощи автоматизированных систем, искусственный интеллект просто пытается взломать все, что может взломать – то есть, все, где обнаружен низкий уровень защиты.
Такие атаки происходят не для того, чтобы украсть какие-то данные (вы справедливо можете полагать, что на домашнем компьютере кроме музыки, фильмов и игр ничего нет), а для использования зараженных компьютеров в массовых атаках (построения ботнетов), причем такие ботнеты активно перепродаются на «черном рынке». В основном киберкриминалом занимаются организованные группировки, а самые могущественные из них – это прогосударственные, то есть, кибервойска.
Самостоятельному противодействию современным угрозам сегодня чаще всего (в 28%) мешает нехватка квалифицированного персонала, а в 20% случаев трудность организации круглосуточной работы таких сервисов. Еще 16% приходится на высокую стоимость закупки лицензий и столько же на невозможность быстрого запуска сервисов. Поэтому «Ростелеком» продвигает сервисы кибербезопасности «Ростелеком-Солар»: это либо управляемые сервисы SOLAR MSS, либо экспертные сервисы SOLAR JSOC – на это и нацелено роуд-шоу.