Спрос на киберучения за первые девять месяцев 2024 года вырос на 25% (от года к году). Такие выводы содержатся в исследовании компании «Инфосистемы Джет». Тенденцию подтверждают и в других компаниях, занимающихся кибербезом. Способствует динамике увеличение количества крупных инцидентов. Одним из наиболее популярных методов начала атаки остается социальная инженерия.
Научить мыслить и работать сообща
Спрос на киберучения за первые девять месяцев 2024 года вырос на 25% (от года к году). Такие выводы содержатся в исследовании компании «Инфосистемы Джет», которая провела опрос более 200 организаций enterprise-сегмента.
Способствует динамике увеличение количества крупных инцидентов у ведущих отечественных предприятий, отмечают в «Инфосистемах Джет».
Если в 2023 году российские компании присматривались к сервисам киберучений и выбирали в основном разовые тренировки, то в 2024-м организации подходят к обучению ИБ-специалистов комплексно, понимая, что киберучения сокращают SLA (время реагирования на инциденты) и улучшают киберустойчивость. Особенно заинтересованы в киберучениях компании производственного сектора, говорят аналитики.
Один из наиболее эффективных подходов к обучению — использование реальных инцидентов безопасности и их интеграция в обучающие сценарии, указывают эксперты. «Инфосистемы Джет». Это не только увеличивает практическую ценность киберучений, но и способствует развитию навыков критического мышления и принятия решений в условиях, максимально приближенных к реальному авралу, который царит во время атаки на компанию.
Руководитель группы департамента консалтинга центра информационной безопасности «Инфосистем Джет» Александр Морковчин отмечает тренд на переход к более быстрым техникам первоначального взлома: атаки на идентификационные данные (фишинг, социальная инженерия, использование брокеров доступа), эксплуатация критичных уязвимостей. «После взлома требуется всего пара минут, чтобы внедрить вредоносное ПО в ИТ-среду жертвы. Здесь нужно эффективное противодействие, складывающееся из многих составляющих: это и понимание атак и методов их обнаружения, и слаженность работы команды, и практические навыки, которые надо системно тренировать», — говорит эксперт.
Недостаточно эмулировать нападение и научить службу ИБ защищаться от конкретных сценариев — в следующий раз тот же самый ущерб хакеры могут нанести иным образом, подчеркивают в компании. Важно научить специалистов мыслить и работать сообща.
Выполнение заданий в условиях, имитирующих реальные ситуации, делает процесс обучения более динамичным и эффективным. Геймификация и интерактивная обучающая среда могут мотивировать участников к более глубокому погружению в процесс, повысить уровень вовлеченности и способствовать лучшему усвоению материала.
«Нехватку практического опыта компенсируют киберучения с имитацией реальных атак — они позволяют сократить сроки ликвидации последствий будущих инцидентов и снизить размер ущерба в денежном эквиваленте», — подчеркивает руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT «Инфосистемы Джет» Руслан Амиров.
В компании Bi.Zone также видят заметный рост интереса организаций к киберучениям и необходимость регулярного проведения таких тренингов, сообщил TelecomDaily руководитель направления киберучений Bi.Zone Дмитрий Малинкин.
Компания проводит международный тренинг по повышению киберустойчивости Cyber Polygon. Участие в Cyber Polygon 2024 дает командам возможность укрепить практические навыки расследования сложного киберинцидента, что важно в условиях глобального дефицита профильных специалистов. В Cyber Polygon 2024 приняли участие более 300 организаций из 65 стран. Для сравнения: к прошлому тренингу присоединились 200 организаций из 48 стран. «Таким образом, мы видим заметный рост интереса организаций к киберучениям и необходимость регулярного проведения таких тренингов», — отметил Дмитрий Малинкин.
В этом году в тренинге участвовали организации из стран СНГ, США, Швейцарии, Испании, Франции, Бельгии, Великобритании, Колумбии, Саудовской Аравии, Вьетнама, Мексики, Индонезии, Индии и других. Среди команд были представители различных отраслей, включая финансовый сектор, промышленность, e-commerce, образование, аудит и консалтинг, медицину, госсектор.
Больше учений
Киберучения остаются ключевым инструментом для повышения навыков специалистов отделов мониторинга и реагирования, отмечают в «Инфосистемах Джет». Исследование компании показало, что наиболее заинтересованы в киберучениях специалисты SOC (Security Operations Center), а именно аналитики первой и второй линии реагирования на инциденты ИБ — 90% и 80% соответственно.
Важность владения базовыми аналитическими навыками отмечают 85% компаний.
В итоге, по данным «Инфосистем Джет», после участия в киберучениях 70% компаний отмечают повышение эффективности и готовности к реальным вызовам.
Сегодня существует необходимость увеличения обучающих мероприятий и курсов для специалистов, которые выстраивают защиту инфраструктуры, подчеркивает в свою очередь Дмитрий Малинкин. «Мы живем в мире, где угрозы постоянно усиливаются, киберландшафт меняется, а кибербезопасность, несмотря на стремительное развитие технологий, по-прежнему опирается на решения людей. В связи с этим вопрос повышения профессиональных компетенций является одним из главных. Это особенно актуально на фоне активного цифрового развития», — отметил он.
Директор департамента «Киберполигон» компании «Солар» Евгений Акимов рассказал, что растет интерес со стороны организаций госсектора, а также из таких отраслей как телеком, промышленность, финансы, IT и логистика на регулярное обучение собственных команд киберзащиты, специалистов корпоративных SOC-центров и повышение навыков в области реагирования и расследования киберинцидентов.
Поэтому для обучения на платформе Solar CyberMir разработаны инфраструктуры для моделирования и отражения атак на основные отрасли экономики с учетом актуального ландшафта киберугроз.
Не переходи по ссылке
По данным Bi.Zone Threat Intelligence, наибольшее количество атак в первом полугодии 2024 года пришлось на финансы и страхование (15%), ритейл (14%) и транспорт (13%). В прошлом году по числу атак лидировал ритейл (15%), промышленность и энергетика делили второе место с финансами и страхованием (по 12%), а транспорт, как и сейчас, был на третьем месте (10% от всех атак).
При этом одним из наиболее популярных методов начала атаки является социальная инженерия — случаи, когда сотрудники сами открывают фишинговые письма и переходят по вредоносным ссылкам, говорят специалисты по кибербезопасности.
Так, по результатам совместного анализа тренировочных фишинговых рассылок, проведенного «МегаФоном» и «Лабораторией Касперского», в среднем половина сотрудников российского бизнеса открывает письма из сымитированных рассылок, 35% переходят по ссылке, каждый третий из них (10%) вводит свои персональные данные на сторонних ресурсах. Если сообщение содержит файл-вложение, то 8,3% адресатов открывают его.
Однако среди компаний, которые провели обучение персонала, эти показатели существенно ниже: только 9% сотрудников открывает вредоносные письма, 2% переходит по ссылке и 0,2% компрометируют свои сведения.
По данным исследования, количество компаний, которые проводят обучение и тестовые фишинговые рассылки, за последний год увеличилось в 2,5 раза. Большая часть из них — представители малого бизнеса.
Среди отдельных тренировочных фишинговых рассылок, вызвавших наибольшее доверие среди сотрудников российских компаний, оказались поддельные обращения от HR- и ИТ-отделов.
А эксперты сервиса управления навыками кибербезопасности Security Awareness (SA) компании «Солар» пришли к выводу, что более трети (34%) входящих электронных писем в российских организациях содержат спам, фишинговые ссылки и вредоносное ПО. При этом хакеры чаще маскируют вредоносы под офисные документы.
По данным экспертов SA, больше всего вредоносов прячется в файлах с расширением doc/docx (53%), xls (26%) и pdf (15%). Реже вирусы можно встретить в файлах exe (3%) и jar (3%). Маскировка под офисные файлы показывает широкий ландшафт угрозы, так как офисные приложения присутствуют почти на всех компьютерах пользователей, что ставит под угрозу безопасность практически каждого сотрудника, указывают эксперты «Солара».
В связи с этим специалисты по информационной безопасности подчеркивают, что важно формировать комплексный подход к ИБ, который включает в себя не только технические средства защиты информации, но и повышение киберграмотности сотрудников
Фото: Adobe Stock