Статистика кибератак.
Число киберпреступлений в России
2022: Число кибератак на автоматизированные системы управления в России взлетело на 80%
20 сентября 2022 года эксперты «Лаборатории Касперского» опубликовали исследование, в котором сообщили о росте количества целевых кибератак на промышленные предприятия в России. Чаще всего вредоносные объекты проникают на компьютеры автоматизированных систем управления (АСУ) из интернета.
В I квартале 2022 года количество атак увеличилось на 14,8% по сравнению с IV кварталом 2021 года. Мы связываем это с обострением противостояния в киберпространстве. Чаще всего атакам подвергались государственные и медицинские учреждения, промышленные предприятия. Заметны изменения в пятерке самых атакуемых отраслей: здесь оказались СМИ. Также выросло число атак без привязки к отрасли экономики — с 18% до 23%.
Во второй половине квартала проводились множественные атаки на веб-ресурсы, и их доля выросла до 22% по сравнению с 13%, наблюдаемыми в прошлом квартале. Увеличилась доля атак, которые стали возможны из-за компрометации или подбора учетных данных. В основном они проводились на веб-ресурсы и аккаунты компаний в социальных сетях.
нажмите чтобы рассмотреть картинку
Количество атак в 2021 и 2022 годах (по кварталам)
нажмите чтобы рассмотреть картинку
Методы атак (доля атак)
нажмите чтобы рассмотреть картинку
Объекты атак (доля атак)
2021
За год выявлено рекордное количество угроз нулевого дня
28 апреля 2022 года компания КРОК сообщила о том, что провела исследование по Zero day-угрозам. В 2021 году выявлено рекордное количество угроз нулевого дня. Их число составило 57 - то вдвое больше, чем в 2020 году, и больше, чем в любой другой год за всю историю наблюдений. По данным КРОК, общее число кибератак увеличилось на 23%. При этом отмечается рост целенаправленных кибератак, их доля составляет порядка 75%. Большая часть происходит с использованием вредоносного ПО (73%), среди которого особую опасность представляют угрозы нулевого дня.
По информации компании, эксплойт нулевого дня (или zero day) — это кибератака, направленная на уязвимость программного обеспечения, которая неизвестна его поставщикам или антивирусным программам. Злоумышленник замечает уязвимость ПО еще до того, как производить ее обнаружил, быстро создает эксплойт и использует его для проникновения. Такие атаки с большой вероятностью увенчаются успехом. Это делает уязвимости нулевого дня серьезной угрозой безопасности.
Численность угроз напрямую коррелирует с количеством разрабатываемого софта. Он постоянно изменяется, в результате чего появляются продукты, которые тем не менее могут содержать в себе старые ошибки. Яркий пример - уязвимость Log4j в библиотеке Java. Эта библиотека использовалась в большом количестве ИТ-продуктов, которые установлены практически во всех компаниях. Внезапно, множество серверов по всему миру стало уязвимы к исполнению вредоносного кода.
Если говорить о целях киберпреступников, то каждый третий охотится за персональными данными (33%). Замыкают тройку лидеров информация, содержащая коммерческую тайну (21%) и учетные данные пользователей (19%).
При атаках нулевого дня могут использоваться различные уязвимые объекты: Операционные системы, Веб-браузеры, Офисные приложения, Компоненты с открытым исходным кодом; Аппаратное обеспечение и Интернет вещей.
Операционные системы — возможно, на апрель 2022 года наиболее привлекательная цель для атак нулевого дня из-за их повсеместного распространения и возможностей, которые они предлагают злоумышленникам для получения контроля над пользовательскими системами.
Веб-браузеры — неисправленная уязвимость может позволить злоумышленникам выполнять попутную загрузку, выполнять сценарии или даже запускать исполняемые файлы на компьютерах пользователей.
Офисные приложения — вредоносное ПО, встроенное в документы или другие файлы, часто использует уязвимости нулевого дня в базовом приложении, используемом для их редактирования.
Компоненты с открытым исходным кодом — некоторые проекты с открытым исходным кодом не поддерживаются активно или не имеют надежных методов обеспечения безопасности. Поставщики программного обеспечения могут использовать эти компоненты, не зная об уязвимостях, которые они содержат.
Аппаратное обеспечение — уязвимость в маршрутизаторе, коммутаторе, сетевом устройстве или домашнем устройстве, таком как игровая консоль, может позволить злоумышленникам скомпрометировать эти устройства, нарушить их работу или использовать их для создания массивных бот-сетей.
Интернет вещей (IoT) — подключенные устройства, от бытовой техники и телевизоров до датчиков и подключенных автомобилей. Многие устройства IoT не имеют механизма исправления или обновления своего программного обеспечения.
Стоимость эксплойтов нулевого дня сильно варьируются и достигает до 2500000 долларов и это только награды добросовестным исследователям за выявление угроз, на основе которых выпускаются соответствующие обновления. Согласно общедоступным данным, стоимость некоторых уязвимостей c 2016 возросла на 1150%.
Суммы, выплачиваемые за приобретение оригинальных эксплойтов нулевого дня, зависят от популярности и уровня безопасности затронутого программного обеспечения/системы, а также от качества представленного эксплойта (полная или частичная цепочка, поддерживаемые версии/системы/архитектуры). Наибольшую ценность представляют уязвимости для взлома мобильных устройств, причем Android версии ценятся куда больше.
Среди серверов наибольший интерес для хакеров несут уязвимости систем Windows, Chrome, Apache и MS IIS, стоимость за обнаружение может достигать миллиона долларов. При этом уязвимости системы macOS оцениваются в несколько раз меньше (около 100 тысяч).
Однако многие преступники ищут уязвимости и продают их хакерским группировкам, которые в свою очередь используют их и зарабатывают в десятки раз больше. Потери от известной атаки Carbanak оценивались в 1 млрд. долларов. В России с помощью этого вируса было украдено более 58 миллионов рублей из ПИР Банка.
Громких случаев немало. В 2021 году Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Проблема возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере. Годом ранее у популярной платформы видеоконференцсвязи Zoom обнаружили уязвимость. В результате злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены старые версии ОС. В случаях когда атака была нацелена на администратора, злоумышленники могли полностью захватить его устройство и всем файлам.
|
|
Основная задача злоумышленника - это получение доступа в сеть и повышенные привилегий. Тут речь идет именно про уязвимости ПО, хотя, надо понимать, что одной найденной уязвимости мало. Необходимо получить доступ к софту, в котором она содержится. Здесь на "помощь" приходит социальная инженерия. Такими методами злоумышленники заставляют жертву открыть вредоносное письмо с приложением и пройти по зараженной ссылке. После этого хакерское ПО попадает на компьютер и пытается эксплуатировать уязвимость.
|
|
Надежное обнаружение отклонений от ожидаемого поведения системы может стать эффективным инструментом для предотвращения нарушений. Для этого необходимо придерживаться следующих рекомендаций:
- Своевременное обновление программ и операционных систем. Производители регулярно выпускают обновления и патчи по безопасности. В них содержатся исправления ранее выявленных недочетов кода.
- Работа только в необходимых системах. Чем больше программного обеспечения используется в компании, тем больше потенциальных уязвимостей имеется.
- Настройка сетевого экрана. Ограничение на совершение операций позволит предотвратить несанкционированное воздействие, помогая выявить угрозу на начальных этапах.
- Развитие киберосознанности. Для проникновения и внедрения эксплойтов используются методы социальной инженерии, обучение сотрудников работе с данными в веб-среде поможет обеспечить серьезный уровень безопасности.
- Использование антивируса. Комплексные решения помогают обеспечить надежный защиту корпоративных систем и баз данных.
Необходимость мониторинга событий в ИТ-инфарструктуре с использованием SIEM, EDR, NTA и выделенной командой аналитиков SOC.
|
|
Казалось бы, что данные методы применяются уже во всех компаниях, однако это не так. У нас был кейс, когда мы избавляли заказчика от угрозы нулевого дня, так как он вовремя не обновил свои программы. В результате на пользовательские станции попал шифровальщик. Мы быстро приняли меры, оперативно закрыли доступ подсети, в которой были зараженные машины от остальной сети, таким образом, прекратили распространение вредоноса. Затем были попытки восстановления данных и перезаливка станций с нуля. А также анализ произошедшего - внедрение процесса управления уязвимостями, анализа процессов на рабочих станциях (класс решений EDR), работа с кибергигиеной пользователей (security awareness).
|
|
К тому же компаниям необходимо постоянно мониторить выявленные угрозы во внешнем пространстве. Базой данных может стать как системный интегратор или вендор, так и открытые источники, например, NVD (Национальная база данных уязвимостей). Такая информация постоянно обновляется и может быть полезна в качестве ориентира, эксплойты нулевого дня по определению являются неизвестными. Таким образом, существует предел того, что существующая база данных может сообщить.
Для обнаружения данных о ранее зафиксированных эксплойтах все чаще применяется машинное обучение. На основе текущих и прошлых взаимодействий пользователей с системой устанавливается эталон безопасного поведения. Чем больше информации доступно, тем надежнее обнаружение.
Компаниям любого размера необходимо иметь стратегию реагирования на инциденты, которая обеспечивает организованный процесс выявления и устранения кибератаки. Наличие конкретного плана, ориентированного на угрозы нулевого дня, даст преимущество в случае их наступления, оптимизирует время на реагирование и увеличит шансы избежать или же уменьшить ущерб.
Читать далее...