7 (800) 600-76-91
Остались вопросы?
С удовольствием ответим на них в ближайшее время!
19 ноября 2021
Как российские компании защищаются
от целевых атак
Целевой считается кибератака, направленная на конкретную компанию, отрасль экономики или ограниченный круг частных лиц. Прежде чем атаковать, злоумышленники, как правило, проводят предварительную разведку и собирают информацию о выбранной жертве.
По данным исследования Positive Technologies, треть компаний когда-либо подвергалась целевой атаке, в большинстве случаев — с серьезными последствиями. Насколько надежно организации укрыты от таких угроз и какие тенденции в использовании средств защиты можно отметить, расскажем далее.
Positive Technologies провели анонимный опрос представителей разных отраслей: финансы, промышленность, государственный сектор, ТЭК, образование, телекоммуникации, здравоохранение, СМИ и IT. Чаще всего страдают финансовые организации: 44% респондентов сферы сообщили о целевых атаках, на втором месте ТЭК ― 33%, а замыкают тройку государственные компании ― 29%.
По данным исследования Positive Technologies, треть компаний когда-либо подвергалась целевой атаке, в большинстве случаев — с серьезными последствиями. Насколько надежно организации укрыты от таких угроз и какие тенденции в использовании средств защиты можно отметить, расскажем далее.
Positive Technologies провели анонимный опрос представителей разных отраслей: финансы, промышленность, государственный сектор, ТЭК, образование, телекоммуникации, здравоохранение, СМИ и IT. Чаще всего страдают финансовые организации: 44% респондентов сферы сообщили о целевых атаках, на втором месте ТЭК ― 33%, а замыкают тройку государственные компании ― 29%.
Чем опасны целевые атаки
В качестве основной цели, которую преследуют злоумышленники, большинство опрошенных отмечает кражу ценной информации (рис. 1). Однако в сфере образования больше половины представителей (63%) считает, что таким образом атакующие стремятся нанести удар по репутации компании.
Рис.1. С какой целью, на ваш взгляд, вашу компанию может атаковать хакерская группировка?
Целевые атаки наносят ощутимый урон и могут напрямую повлиять на работу организации, в том числе на ее финансовые результаты. Респонденты отмечают, что чаще всего последствиями подобных атак были: простой инфраструктуры, нарушение бизнес-процессов и уничтожение или изменение данных (рис. 2).
В 16% случаев компании платили выкуп злоумышленникам. Вендор рекомендует не идти на поводу у атакующих и обращаться к специалистам для устранения последствий атаки. Нет гарантий, что злоумышленники восстановят работоспособность инфраструктуры, прекратят шантаж и не потребуют дополнительных денег.
В 16% случаев компании платили выкуп злоумышленникам. Вендор рекомендует не идти на поводу у атакующих и обращаться к специалистам для устранения последствий атаки. Нет гарантий, что злоумышленники восстановят работоспособность инфраструктуры, прекратят шантаж и не потребуют дополнительных денег.
Рис.2. С какими последствиями кибератак алкивалась компания?
Защита от кибератак
В ответах на вопросы об используемых средствах защиты от целевых атак есть печальная тенденция: в основном в арсенале компаний есть только базовые инструменты безопасности, которые не заточены под выявление сложных угроз. До сих пор не во всех компаниях установлены антивирусные средства защиты.
Специализированные решения, которые действительно способны обнаружить злоумышленника в сети, использует только каждая пятая компания; Sandbox ― 20% опрошенных, решения класса NTA ― 19% (рис. 3).
Специализированные решения, которые действительно способны обнаружить злоумышленника в сети, использует только каждая пятая компания; Sandbox ― 20% опрошенных, решения класса NTA ― 19% (рис. 3).
Рис.3. Какие системы информационной безопасности используются в компании для выявления кибератак?
“
Наш практический опыт позволяет сделать вывод, что если с технологиями класса «песочница» многие компании уже знакомы и активно используют, то решения класса NTA все еще остаются «terra incognita», хотя именно используя совместно решения данных классов, можно повысить уровень и скорость детектирования APT-атак. Для того, чтобы продемонстрировать комплексность данного подхода, за 2021 год мы провели более 10 пилотных проектов данных решений, а также офлайн и онлайн мероприятий, на которых заказчики могли сами поработать с данными продуктами в ходе лабораторных работ.
В инфраструктуре злоумышленники способны скрыть следы присутствия, но стереть их в трафике невозможно. Эту особенность использует система глубокого анализа трафика (NTA) PT Network Attack Discovery. Она позволяет выявлять атаки на периметре и внутри сети, а также замечает любую сетевую активность.
Почему недостаточно базовых средств защиты?
Атаки с использованием ВПО по-прежнему занимают первое место в арсенале киберпреступников: их доля во II квартале 2021 года составила 73%. Одна из причин успеха таких атак — злоумышленники совершенствуют вредоносное ПО так, чтобы его не смогли обнаружить базовые средства защиты: антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы. Поэтому есть отдельный класс решений для выявления вредоносов — песочница. Она запускает файл в изолированной виртуальной среде, анализирует его действия в системе и выносит вердикт, безопасен он или нет.
Благодаря гибкой настройке виртуальных сред в соответствии с реальными рабочими станциями компании, PT Sandbox поможет эффективно выявлять ВПО, которое используется в целевых атаках.
Мы спросили у респондентов, как их компании планируют защищаться в ближайшие 1—3 года. Хорошие новости: каждая пятая организация намерена начать использовать NTA-систему и комплексные решения для защиты от целевых атак (рис. 4). Это значит, что их способность обезопасить себя от таких угроз вырастет.
Отраслевая специфика: в планах 39% специалистов из IT-компаний — приобрести песочницу для выявления сложных угроз. Представители промышленности планируют закупать SIEM (40%), NTA (36%), Sandbox (36%). В финансовой отрасли, помимо комплексных решений для защиты от целевых атак (40%), 27% организаций будут усиливать защиту с помощью EDR и NGFW.
Отраслевая специфика: в планах 39% специалистов из IT-компаний — приобрести песочницу для выявления сложных угроз. Представители промышленности планируют закупать SIEM (40%), NTA (36%), Sandbox (36%). В финансовой отрасли, помимо комплексных решений для защиты от целевых атак (40%), 27% организаций будут усиливать защиту с помощью EDR и NGFW.
Рис.4. Какие системы информационной безопасности вы планируете начать использовать для выявления кибератак в ближайшие 1-3 года?
В завершение опроса мы узнали у респондентов, знают ли они о матрице MITRE и используют ли ее для создания стратегии защиты от целевых атак.
MITRE ATT&CK — это база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Это структурированный в виде наглядной таблицы список тактик, для каждой из которых указаны возможные техники.
С помощью нее специалисты по ИБ могут отслеживать информацию об актуальных угрозах и с учетом этих данных строить эффективную систему безопасности. Знание того, как действуют реальные APT-группировки, помогает строить гипотезы для проактивного поиска угроз в рамках Threat Hunting.
Радует, что в общей сложности 67% опрошенных специалистов знают о матрице MITRE: они либо уже пользуются ее данными, либо планируют (рис. 5).
Радует, что в общей сложности 67% опрошенных специалистов знают о матрице MITRE: они либо уже пользуются ее данными, либо планируют (рис. 5).
Рис.5. Используете ли вы в процессе мониторинга, реагирования и расследования матрицу MITRE ATT&CK?
“
Стоит отметить, что в настоящий момент есть некоторое отставание доступной информации и обучающих материалов на русском языке о том, как правильно выявлять различные APT-атаки или строить процесс Threat Hunting в компании. Для решения данной проблемы производитель предоставляет доступ к своей экспертизе через интуитивно-понятный интерфейс и разрабатывает учебные материалы, которые позволят обозначить основные направления и способы работы с продуктами для выявления угроз. Мы же со своей стороны планируем продолжить практику проведения мероприятий workshop, где с заказчиками разбираем реальные кейсы выявления цепочек атак.
Вывод
В каждой отрасли были компании, которые подверглись целевым атакам. При этом большинство организаций практически не защищены от таких угроз: в основном используют базовые средства защиты, у некоторых нет даже антивирусов. Лишь 10% респондентов имеют специализированные решения.
Есть и позитивные тенденции. Компании понимают необходимость повышения уровня безопасности, планируют расширять арсенал средств защиты, включать в него специализированные комплексные решения для выявления целевых атак. Мы, в свою очередь, продолжим развивать это направление: повышать компетенции команды и делиться знаниями на воркшопах, семинарах и вебинарах.
Есть и позитивные тенденции. Компании понимают необходимость повышения уровня безопасности, планируют расширять арсенал средств защиты, включать в него специализированные комплексные решения для выявления целевых атак. Мы, в свою очередь, продолжим развивать это направление: повышать компетенции команды и делиться знаниями на воркшопах, семинарах и вебинарах.
Остались вопросы?
Задайте их нам!