Российские компании чаще сталкиваются с кибератаками: растёт роль уязвимостей и доверия

По данным экспертного центра безопасности Positive Technologies, ландшафт кибератак на российские компании за последние 12 месяцев изменился. В отчете, подготовленном департаментом комплексного реагирования на киберугрозы (PT ESC IR), говорится, что число обращений за ретроспективным анализом инцидентов выросло вдвое. Это указывает на рост интереса бизнеса к пониманию механизмов атак и поиску слабых мест в системах защиты.

Уязвимости и доверие остаются основными векторами атак

Основными причинами успешных атак стали эксплуатация уязвимостей в веб-приложениях (36%) и доверительные отношения, включая подрядные организации (28%). Также выросла доля инцидентов, связанных с компрометацией сетевых устройств и недостаточной сегментацией внутренней сети (26%). В 25% случаев злоумышленникам удалось воспользоваться устаревшими версиями операционных систем и программного обеспечения.

Эксперты отмечают, что в 23% случаев отсутствие двухфакторной аутентификации на ключевых узлах упрощало проникновение атакующих. В 21% инцидентов киберпреступники избежали блокировки благодаря неправильной настройке антивирусных решений.

Изменение портрета атакованных организаций

Среди компаний, обращавшихся за анализом, заметно выросло число ИТ-компаний — 24%, что на первом месте. Это связано с тем, что компрометация одного провайдера может повлиять на сеть сразу нескольких клиентов. На втором месте по количеству обращений — государственные учреждения (24%).

В сравнении с предыдущим годом, доля атак через подрядные организации выросла почти вдвое — с 15% до 28%. В таких случаях двухфакторная аутентификация могла бы снизить вероятность успешного проникновения и повысить шансы на раннее выявление угрозы.

Рост активности APT-группировок

Более чем в четверти случаев (26%) злоумышленники оказались связаны с известными APT-группами. По сравнению с прошлым периодом, доля атак, в результате которых нарушались бизнес-процессы, увеличилась с 32% до 55%. Это подтверждает рост масштаба и сложности современных угроз.

Скорость выявления атак сократилась

В среднем, с момента начала атаки до её обнаружения проходит 9 дней — на 8 дней быстрее, чем годом ранее. Однако в отдельных случаях злоумышленники остаются незамеченными в течение нескольких лет. В одном из расследованных случаев хакеры действовали почти 3,5 года.

Для предотвращения атак специалисты рекомендуют применять комплексные решения, включая:

• Системы мониторинга событий ИБ и выявления инцидентов (MaxPatrol SIEM)
• Платформы управления уязвимостями (MaxPatrol VM)
• Системы поведенческого анализа трафика (PT NAD)
• Межсетевые экраны (PT NGFW)
• Средства защиты веб-приложений (PT Application Firewall)
• Песочницы для анализа неизвестного ВПО (PT Sandbox)
• Решение для защиты конечных устройств (MaxPatrol Endpoint Security)
• Облачное решение РТ Х для выявления следов компрометации
• Портал PT Fusion для мониторинга и реагирования на современные угрозы

Интересно: Каковы будут последствия для бизнеса, если компании продолжат игнорировать системные уязвимости и нестандартные сценарии атак, связанные с доверительными отношениями и подрядными организациями?

Кибератаки как зеркало слабых мест: как бизнес сталкивается с новыми реалиями

Уязвимости не только в коде, но и в доверии

Бизнес сталкивается с новой реальностью: атаки на информационную безопасность уже не ограничиваются техническими дырами. По данным Positive Technologies, 28% успешных инцидентов происходят через доверительные отношения, включая подрядные организации. Это указывает на то, что современные злоумышленники всё чаще используют человеческий фактор и слабые точки в цепочке поставок.

Особенность вектора атаки в данном случае заключается в том, что уязвимость не в программном обеспечении — а в том, как оно используется. Подрядчик может не обновлять системы, не применять двухфакторную аутентификацию или настроить антивирус с ошибками. Такие недочёты становятся дверью в систему заказчика. При этом, если атака начинается через подрядную организацию, её последствия могут затронуть сразу несколько клиентов.

Важный нюанс: Даже самые надёжные системы безопасности могут оказаться бесполезными, если их использование в цепочке поставок не контролируется. Это делает управление доверием не менее важным, чем выбор технологий.

Ряд недавних уязвимостей подтверждает актуальность этой проблемы. Например, в блоке 46502 говорится, что специалисты обнаружили три критических уязвимости в компоненте, отвечающем за работу с контейнерами Docker. Эти уязвимости позволяют злоумышленникам выйти из изолированной среды контейнера и получить доступ к хост-системе. Риск заключается в том, что такие уязвимости могут быть эксплуатированы даже в случае, если сама система контейнеризации настроена корректно. Это подчеркивает необходимость не только регулярного обновления ПО, но и строгого контроля за его использованием в экосистеме поставщиков.

Рост активности APT-группировок: когда атака — это не инцидент, а стратегия

В 26% случаев атаки оказались связаны с APT-группами — организованными хакерскими группами, действующими с долгосрочной целью. Эти атаки не направлены на быструю кражу данных, они проникают постепенно постепенное, собираю информацию и нарушая бизнес процессы.Что делает APT-атаки особенно опасными — это их способность оставаться незамеченными. В одном из расследованных случаев злоумышленники действовали почти 3,5 года. Это указывает на то, что современные атаки требуют не только мощных инструментов защиты, но и высокой степени осведомлённости внутри компании.

В блоке 37298 описано, как группировка Clop использует уязвимости в Oracle E-Business Suite для одновременного проникновения в десятки организаций. Атакующие воспользовались функцией сброса пароля по умолчанию, чтобы получить доступ к веб-порталам. Это демонстрирует, что даже в крупных корпоративных системах могут присутствовать слабые места, которые злоумышленники используют для масштабных атак. Такие инциденты требуют комплексного подхода: от постоянного аудита систем до внедрения автоматизированных инструментов мониторинга.

i

Создано специально для ASECTOR

Концептуальное изображение

Изменение портрета атакованных: ИТ-компании и госучреждения в фокусе

Среди организаций, обращавшихся за анализом инцидентов, ИТ-компании и государственные учреждения занимают первые позиции. Это не случайно: компрометация провайдера ИТ-услуг может повредить десятки клиентов. Для госсектора риски связаны с критически важными системами, где даже незначительный сбой может иметь масштабные последствия.

Необходимо понимать, что атака на одного игрока в экосистеме может стать катастрофой для всей инфраструктуры. Это создаёт необходимость в более жёстком контроле за поставщиками и внедрении стандартов безопасности на всех уровнях.

Важный нюанс: В условиях роста APT-атак и утечек через цепочку поставок, защита ИТ-инфраструктуры становится не только технической задачей, но и вопросом управления рисками на уровне стратегии компании.

Примером уязвимости, затрагивающей именно корпоративные системы, стала ситуация, описанная в блоке 31470. В платформе SAP NetWeaver была обнаружена уязвимость с оценкой 10 из 10, позволяющая атакующим выполнять произвольные команды без авторизации. Это может привести к краже данных или шифрованию, что особенно критично для организаций, использующих SAP S/4HANA. Подобные уязвимости требуют не только срочного устранения, но и пересмотра подхода к аудиту и мониторингу корпоративных систем.

Что дальше: сокращение времени обнаружения и усиление мониторинга

Одним из позитивных трендов стало сокращение времени обнаружения атак с 17 до 9 дней. Это говорит о росте осведомлённости и развитии систем мониторинга. Однако, как показывает практика, даже это время может быть недостаточным для предотвращения серьёзных последствий.

Системы, такие как MaxPatrol SIEM и PT NAD, позволяют не только отслеживать аномалии, но и анализировать поведение пользователей и трафика. Это особенно важно в случае с атаками, где злоумышленник действует как легитимный пользователь. Поведенческий анализ помогает выявить подозрительные действия задолго до того, как они приведут к утечке данных.

Например, в блоке 44220 описана уязвимость в популярном плагине WordPress, которая позволяет злоумышленникам получить доступ к файлу конфигурации сайта, включая данные для подключения к базе данных. Эксплуатация требует минимальных прав, что делает её особенно опасной для сайтов, не обновлённых вовремя. Такие уязвимости подчеркивают важность постоянного мониторинга и своевременного обновления ПО, даже в случае его кажущейся надёжности.

Выводы

Кибератаки уже давно перестали быть случайными инцидентами. Они стали частью более широкой стратегии, в которой уязвимости в системе безопасности рассматриваются как возможности. Для бизнеса ключевым становится не только обновление ПО и использование современных инструментов, но и глубокое понимание, как работает атакующая сторона.

Важный нюанс: Компаниям, которые не начнут рассматривать ИБ как часть своей стратегии, угрожает не только утечка данных, но и потеря доверия со стороны клиентов и партнёров.