В последние месяцы в России был зафиксирован значительный рост числа киберинцидентов, связанных со сложными атаками на российский бизнес, сообщили «Газете.Ru» в «Лаборатории Касперского». Их количество за первые три месяца 2022 года выросло в четыре раза по отношению к показателю аналогичного периода 2021 года. Сложными атаками в компании называют инциденты, которые проводятся под контролем опытных киберпреступников и не ограничиваются распространением ВПО [вредоносного программного обеспечения — прим.ред.].
«Злоумышленники стремятся закрепиться внутри корпоративного периметра и, оставаясь длительное время незамеченными, получить полный контроль над системами инфраструктуры. Они адаптируют атаки на каждом этапе для обхода традиционных средств защиты, пытаются использовать уязвимости и все возможные точки проникновения в инфраструктуру. В результате таких киберинцидентов могут быть нарушены важные рабочие процессы, украдены деньги или данные», – объяснил главный технологический эксперт «Лаборатории Касперского» Александр Гостев.
Увеличение числа атак на российский бизнес также отметил и руководитель лаборатории цифровой криминалистики Group-IB Олег Скулкин. По его словам, рост числа наблюдаемых им и его коллегами инцидентов год к году вырос по меньшей мере в три раза. В компании Positive Technologies отметили, что пик активности хакеров в России пришелся именно на конец первого квартала, то есть на последние несколько недель.
«Мы видим всплеск атак злоумышленников, в том числе и повышенную активность группировок, которые проводят сложные целенаправленные атаки», – сказала руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева.
В свою очередь, руководитель аналитического центра компании Zecurion Владимир Ульянов отметил рост числа атак не только внешних, но и внутренних.
«В некоторых случаях внешние злоумышленники действуют совместно со своими сообщниками внутри компаний или же используют халатность, доверчивость сотрудников компаний для реализации своих атак», – сказал он.
Главной причиной роста числа инцидентов в «Лаборатории Касперского» считают постоянно растущую площадь атак, увеличивающуюся за счет включения в IT-инфраструктуру бизнеса новых компонентов. Вместе с расширением инфраструктуры растет и число потенциальных входов для злоумышленников. Последние охотно этой тенденцией пользуются. К тому же киберпреступники и сами постоянно развиваются, что усложняет так называемый ландшафт киберугроз.
В компании считают, что свою роль сыграла и приостановка деятельности в России ряда иностранных поставщиков корпоративных средств информационной безопасности. В марте соответствующие заявления сделали такие бренды, как Acronis, ESET, Avast, Symantec, Palo Alto и не только. Всего их – десятки.
«Некоторые иностранные ИБ-вендоры полностью прекратили работу своих продуктов. Многие отозвали лицензии и подписки на свои решения. В них перестали полностью или частично работать обновления баз детектирующих логик. Без обновления таких баз довольно быстро ухудшается качество обнаружения угроз», – объяснил Гостев.
Екатерина Килюшева из Positive Technologies также отметила, что из-за приостановки работы некоторых вендоров их российские клиенты потеряли возможность получать оперативную техническую поддержку, что тоже чревато потерями данных, финансов и репутации. По ее словам, обнаружение и предотвращение нетривиальной атаки требует полного контроля над тем, что происходит в инфраструктуре. Перечисленные выше проблемы не позволяют этого получить.
«Для корпоративных решений важен не только сам продукт, программный или аппаратный, который приобретается у вендора, но и сервис. Поддержка, помощь в настройке и использовании, наконец, регулярные обновления. Без поддержки со стороны разработчика сложный продукт теряет свою эффективность, а без обновлений может стать бесполезным или даже вредным, создавая ложное чувство защищенности», – поддержал коллег Владимир Ульянов из Zecurion.
Для обеспечения безопасности и устойчивости бизнеса в условиях повышенных киберрисков специалисты рекомендуют компаниям незамедлительно переходить на отечественные альтернативы западных решений. В «Лаборатории Касперского» отметили резонность использования в данной ситуации продукта класса Extended Detection and Response (XDR). Аналогичного мнения придерживается в компаниях Positive Technologies и Group-IB, в арсенале которых тоже имеются подобные решения.
XDR – это универсальные системы обнаружения и реагирования на сложные кибератаки, которые позволяют контролировать все потенциальные точки входа киберпреступников в инфраструктуру: рабочие места и серверы, сеть, почта, интернет, в том числе проникновение с использованием инструментов социальной инженерии.
В свою очередь Владимир Ульянов отметил, что XDR – лишь одно из решений, которое позволит российским компаниям укрепить свои компьютерные сети. Помимо XDR, по его словам, для компаний будет не лишним также вооружиться и продуктами типа Data Leak Prevention (DLP), которые помогают бороться с внутренними утечками информации и случаями компрометации.
Роман Кильдюшкин
Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис» Сергей Полунин прокомментировал ситуацию:
– В сложившейся сегодня ситуации отечественные решения по информационной безопасности действительно кажутся безальтернативными. В конце концов этот сегмент рынка был достаточно силен и в прежние времена, поэтому нам есть чем защищать свои информационные системы и сегодня. По отдельным направлениям российские решения традиционно были сильны и давно фигурировали в отчетах Gartner, по каким-то направлениям решения были слабее в силу региональной специфики. Основной вопрос – сохранится ли такая же динамика развития отечественных решений в условиях реального ослабления конкуренции. Никакая ситуация не бывает навсегда и когда-нибудь нам придётся столкнуться с западными вендорами вновь и крайне интересно, что мы сможем предложить миру в этот раз.