Контакты
Подписка 2025
Статьи по информационной безопасности

Наиболее опасные вредоносы первой половины 2022 года, и как им противостоять

Дмитрий Крайненко, 19/08/22

Спустя два года после начала пандемии существенная часть компаний продолжает работу в удаленном или гибридном формате. Ставшая популярной концепция BYOD (Bring Your Own Device), согласно которой персонал использует собственные устройства для доступа к корпоративной сети, по-прежнему создает серьезные риски для информационной безопасности предприятий. Это расширяет возможный ландшафт киберугроз и увеличивает вероятность успеха атак, число которых неуклонно растет.

Автор: Дмитрий Крайненко, руководитель направления информационной безопасности Fortis

По данным Check Point Software Technologies, за последние полгода организации в России атаковали в среднем 1461 раз в неделю, что на 33% больше по сравнению с аналогичным периодом прошлого года.

Кибератаки постоянно совершенствуются, становятся все более изощренными и продуманными. Сегодня для надежной защиты конечных устройств недостаточно традиционного антивируса: он заблокирует лишь атаки, для которых существуют сигнатуры. Давайте посмотрим, какие киберугрозы сейчас наиболее актуальны для бизнеса и какие современные технологии позволяют от них защититься.

Самые распространенные киберугрозы в России

Для обеспечения надежной защиты корпоративной ИТ-инфраструктуры необходимо знать угрозы, которые представляют наибольшую опасность.

Данные Check Point Software Technologies свидетельствуют о том, что в последние полгода чаще всего российские организации подвергались атакам ботнетов – 16,3% из всех атакованных компаний. При этом среднемировой показатель угрозы ботнетов составляет лишь 5,3%. Чаще всего ботнеты используют для DDoS-атак, призванных выводить из строя корпоративные ресурсы.

В последнее время было много громких случаев, связанных с DDoS-атаками, например в мае СберБанк успешно отразил [1] крупнейшую DDoS-атаку в своей истории. В тройку самых актуальных киберугроз для российских компаний также входят криптомайнеры, атакам которых подверглась 7,1% отечественных организаций, и инфостилеры, затронувшие 6% компаний.

Самые распространенные вредоносные программы

Рассматривая конкретные вредоносные программы, которые представляют наибольшую опасность для бизнеса в России, можно выделить три основные угрозы.

SnakeKeylogger

SnakeKeylogger – программа-шпион для ПК, которая считывает нажатие клавиш на клавиатуре и передает собранные данные злоумышленникам. Заражение SnakeKeylogger представляет большую опасность для конфиденциальности пользователей, поскольку может собирать практически все виды личных данных. Этот кейлогер очень тяжело обнаружить и еще труднее удалить с устройств. В мае 2022 г. SnakeKeylogger затронула 6% российских компаний.

Pony

Pony – это вредоносное ПО, предназначенное в первую очередь для кражи учетных данных пользователей ОС Windows и отправки их на сервер злоумышленников. Pony позволяет отслеживать активность системы, загружать и устанавливать дополнительные вредоносные программы и даже распространяться по сети, заражая другие устройства. Иными словами, Pony функционирует как ботнет, а из-за своей децентрализованной структуры эта программа может распространяться сразу по нескольким векторам. В мае она была обнаружена и обезврежена в 5% корпоративных сетей российских организаций.

AgentTesla

Столько же отечественных компаний столкнулись еще с одной угрозой – AgentTesla. Это продвинутый троян удаленного доступа (RAT) для кражи учетных данных. Он может собирать данные с клавиатуры жертвы и из буфера обмена, делать снимки экрана и извлекать учетные данные, которые пользователь вводит в различные программы, установленные на компьютере, включая Google Chrome, Mozilla Firefox и Microsoft Outlook. AgentTesla без каких-либо ограничений продается в даркнете, и любой человек, например уволенный сотрудник, может купить пользовательскую лицензию для проведения атак.

Решение для защиты конечных устройств – EDR

EDR (Endpoint Detection & Response) – это класс решений для обнаружения и изучения вредоносной активности на конечных устройствах. Они разработаны специально для того, чтобы вывести безопасность организации за рамки реактивной модели киберзащиты, основанной на обнаружении угроз. EDR-решения предоставляют аналитикам безопасности инструменты, необходимые им для упреждающего выявления угроз и защиты от них. Давайте рассмотрим главные преимущества EDR.

  1. Улучшение видимости. EDR-решения выполняют непрерывный сбор и аналитику данных и отправляют отчеты в единую централизованную систему. Таким образом, ИБ-специалисты получают полную информацию о состоянии конечных точек сети на единой консоли. В отличие от администрирования разрозненных ИБ-решений централизованное управление информационной безопасностью через облачный сервис позволяет следить за состоянием всех защищаемых конечных устройств вне зависимости от их местоположения. Это устраняет бреши в безопасности, снижает количество ошибок, а также экономит временные и финансовые ресурсы компании.
  2. Ускорение расследования. Решения EDR позволяют автоматизировать сбор и обработку данных, а также выполнение определенных действий по реагированию. С их помощью ИБ-специалисты быстрее получают контекст потенциального инцидента безопасности и могут оперативнее принять меры для его устранения.
  3. Автоматизация исправления. EDR-решения могут автоматически выполнять ряд действий по реагированию на инциденты, руководствуясь предустановленными правилами. Они могут блокировать или быстро устранять определенные угрозы, тем самым снижая нагрузку на ИБ-аналитиков.
  4. Возможность контекстуального поиска угроз. EDR-решения способны проводить непрерывный сбор и анализ данных, отображая информацию о состоянии конечной точки. Эти данные позволяют ИБ-аналитикам выявлять и исследовать действия вредоносных программ.

Для эффективной защиты конечных устройств необходимо также выстроить многоуровневую систему безопасности. Она создается на базе ИБ-решений, которые задействуют несколько продвинутых технологий на разных этапах атаки. Например, локальный межсетевой экран, технологии шифрования данных, использование искусственного интеллекта для анализа трафика из различных приложений и управления политиками безопасности позволяют обнаружить и предотвратить кибератаку до ее запуска. Если атака состоялась, запускаются технологии защиты от фишинга и блокировки потенциально вредоносных сайтов (URL Filtering), которые ограничивают доступ к вредоносным сайтам и реагируют на известные угрозы. Для борьбы с уязвимостями нулевого дня существуют технологии, позволяющие мгновенно конвертировать потенциально вредоносные файлы в безопасную форму или изолировать их в безопасной песочнице в виртуальной среде, чтобы они не попали в сеть. За автоматической реакцией на киберугрозу должна последовать аналитическая работа: ИБ-отделу нужно изучить ее схему, выявить слабое звено в ИТ-инфраструктуре и восстановить поврежденные файлы. В этом помогут технологии анализа поведения системы, фиксирующие подозрительную активность и сохраняющие данные на жестком диске.

Выводы

Конечные устройства нередко оказываются наиболее уязвимым звеном корпоративной безопасности. Отсутствие надежной защиты может обернуться кражей конфиденциальных данных, нарушением функционирования ИТ-инфраструктуры и остановкой бизнес-процессов. Для защиты корпоративных сетей и конфиденциальной информации компаниям необходимо пересмотреть свой подход к обеспечению кибербезопасности конечных устройств и использовать новейшие технологии защиты.

  1. https://www.sberbank.com/ru/news-and-media/press-releases/article?newsID=ac98f15b-d389-4eb0-8efe-d8fcab60e288&blockID=7&regionID=77&lang=ru&type=NEWS 
Темы:ТехнологииEDRAgentTeslaЖурнал "Информационная безопасность" №4, 2022PonyВебмониторэкс

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • EDR как инструмент эффективного реагирования глазами экспертов
    Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Обзор новинок UserGate конца 2024 года
    Компания UserGate обычно радует рынок своими новинками в апреле, но в этом году решила, что ждать весны слишком долго, и выстрелила новыми продуктами уже в ноябре. Темп инноваций лишний раз напоминает, что улучшение безопасности – это вопрос не календаря, а готовности разработчиков удивлять своих клиентов.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"