Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Вторая волна кибератак, организованный хактивизм, усложнение кибератак: на Standoff 10 обозначили главные тренды и прогнозы в области информационной безопасности на 2022–2023 годы

28/11/22

PT-Nov-28-2022-12-28-15-4752-PM

На Standoff 10 ведущие эксперты в области ИБ рассказали, как злоумышленники атаковали российские компании в 2022 году, выделили ключевые тенденции отрасли и дали прогнозы на следующий год. Своим видением поделились представители компаний Positive Technologies, «Тинькофф Банк», «ЕВРАЗ» и Group-IB. В числе главных трендов 2022 года были названы атаки через цепочки поставок (supply chain attack) и внешние зависимости, в том числе в опенсорсных инструментах.

В 2023 году эксперты прогнозируют вторую волну кибератак на российский сегмент интернета, которые будут уже не массовыми, а целенаправленными, сложными и хорошо подготовленными. Также ожидается эксплуатация уязвимостей нулевого дня в OC Astra Linux и появление вредоносного ПО, заточенного под Linux-системы, развитие концепции security by design и процессов безопасной разработки (DevSecOps).

 

Начальник отдела обеспечения безопасности информационных систем блока вице-президента по ИТ компании «ЕВРАЗ» Андрей Нуйкин считает, что отечественный бизнес и государственные предприятия постепенно переходят в новую реальность, где объем кибератак будет стабильно высоким, но резкие всплески, подобные тем, что случились весной 2022 года, повторяться не будут. 

«В этом году кратно выросло число атак с применением вредоносного ПО и методов социальной инженерии, например фишинга. Кроме того, изменились и сами атаки: мы стали фиксировать инциденты, которых раньше не было совсем, или они встречались в малом количестве, в частности DDoS-атаки», — рассказал Андрей.

 

Многократное увеличение числа DDoS-атак подтверждает и Дмитрий Гадарь, директор департамента ИБ «Тинькофф Банка». Среди тенденций 2022 года в банковской сфере он также отметил беспрецедентный рост количества атак через цепочки поставок и через внешние зависимости (создание в исходном коде продуктов хакерских «закладок», которые через обновления или пакеты могут дойти до клиентов и сделать их уязвимыми: например, встраивание вредоносного кода в библиотеки, модули MPM и npm-пакеты для JavaScript).

«Банковская отрасль в России была и продолжает оставаться наиболее подготовленной к кибератакам, так как Центробанк обязывает финансовые организации внедрять различные средства контроля безопасности и пристально следит за исполнением этого требования. Поэтому от шторма кибератак в основном пострадали третьи стороны — наши поставщики услуг, которые были менее защищены. Причем в случае атаки на банки через цепочку поставок ущерб может быть нанесен не только безопасности предоставляемых сервисов, но и их доступности», — говорит Дмитрий.

 

Помимо этого, он упомянул, что задача по установке обновлений безопасности теперь решается иначе: сначала организациям следует приостановить обновление, тщательно его проверить и затем аккуратно загрузить.

По словам Дениса Гойденко, руководителя отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies, в 2022 году изменились контекст атак и поведение злоумышленников, в то время как топ популярных техник остался прежним: это атаки через поставщиков, эксплуатация известных уязвимостей, использование различных методов социальной инженерии, а также проникновение в корпоративную сеть через неизвестные или забытые компанией активы, например серверы или средства удаленного доступа (RDP).

Денис добавляет: «Сейчас злоумышленники начали бить не по выгодным с финансовой точки зрения мишеням, а по крупным и медийным компаниям. Таким способом они хотят добиться хайпа, чтобы реализованные ими атаки получили наибольшее освещение в информационном поле и о них узнали все. Как правило, этим занимаются низкоквалифицированные хакеры (иногда даже скрипт-кидди), а их атаки очень простые по исполнению. К примеру, они могут скопировать большой блок информации из открытого доступа и выложить одним архивом в паблик якобы как результат взлома. В погоне за славой такие злоумышленники стараются придать значение даже самой незначительной атаке, превратив ее в громкое событие».

 

Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода компании Group-IB Олег Скулкин тоже обозначил этот тренд, а также выделил еще один: «Последние три-четыре месяца операторы программ-вымогателей стремятся максимально навредить жертве, разрушив ее инфраструктуру. То есть для атак они, как и прежде, используют разные виды шифровальщиков, а также локеры, которые до этого специалисты по ИБ не фиксировали в России, но никакого выкупа не требуют. Их цель — нанести репутационный ущерб бизнесу, выложив украденные данные в открытый доступ, и нарушить внутренние процессы работы компании. Чаще всего восстановить информацию не удается, так как злоумышленники уничтожают резервные копии, а отдавать ключ для расшифровки наотрез отказываются».

 

Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies, в свою очередь, добавил, что хактивисты, которые в начале 2022 года взламывали только самые легкодоступные цели и проводили хоть и массовые, но простейшие с точки зрения техник атаки типа «дефейс» и DDoS, за прошедшие месяцы значительно улучшили свои навыки. Совершаемые ими атаки становятся не только более сложными и комплексными, но и целевыми[1]. Раньше такие методы были характерны для высококвалифицированных киберпреступников и APT-группировок.

«Набирает обороты тренд на усложнение кибератак. Он порожден, во-первых, тем, что многие компании, которые были взломаны ранее, радикально усилили свою защиту и стали менее уязвимы для атак. Во-вторых, если злоумышленники из раза в раз применяют один и тот же инструментарий, техники и тактики, специалистам по ИБ становится все легче их обнаруживать. Поэтому хактивистам приходится постоянно подучиваться», — рассказал Денис.

 

Помимо этого, эксперт отметил, что стихийный хактивизм уже выработал продвинутую организационную структуру, или киберармию, как ее называют в индустрии ИБ.

Денис Кувшинов подчеркнул еще один не менее важный тренд, появившийся в 2022 году: чтобы скрыть сетевую активность при заражении жертвы, хактивисты размещают свои контрольные серверы на популярных внешних сервисах (TelegramDiscordYandex Cloud или Dropbox), находящихся в российской инфраструктуре. Этим приемом ранее пользовались хакеры с высокой квалификацией и исключительно в таргетированных атаках.

Чего ждать в 2023 году: прогнозы экспертов

Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies: «Повышение уровня компетенций хактивистов, возможно, вызовет вторую волну кибератак на отечественные компании, государственный сектор и российский сегмент интернета в целом. В отличие от атак первой волны новые атаки будут продвинутыми, таргетированными и хорошо подготовленными.

 

В продолжение Денис Кувшинов добавил, что в 2022 году опенсорс перестал быть неприкосновенным, хотя раньше считалось, что атаковать через зависимости в продуктах с открытым исходным кодом неэтично. В 2023 году ожидается укрепление этого тренда и появление еще большего количества вредоносных пакетов на публичных сервисах для разработчиков, таких как GitLab. По его словам, эта тенденция подстегнет развитие процессов безопасной разработки.

По прогнозу эксперта, в связи с курсом на импортозамещение можно прогнозировать тренд на обнаружение и эксплуатацию злоумышленниками уязвимостей нулевого дня в системах и приложениях, на которые сейчас переходят отечественные компании, в частности в OC Astra Linux. Также компаниям следует быть готовыми к появлению вредоносного ПО и хакерских инструментов, разработанных под эту операционную систему, и к созданию атакующими вредоносных кампаний, направленных на взлом компьютеров Linux.

Дмитрий Гадарь, директор департамента ИБ, «Тинькофф Банк»: «Количество атак, связанных с компрометацией цепочек поставок, продолжит возрастать. Больше станет DDoS-атак седьмого уровня (в 2022 году преобладали атаки третьего уровня), которые будут стараться мимикрировать под пользовательские. Такие атаки сложнее детектировать, а значит защита должна переходить с сети на уровень приложений. Приложения, в свою очередь, должны иметь возможность детектировать бот‑активность.

В следующем году будут активно развиваться концепции security by design и zero trust. В отношении первой концепции ранее можно было достаточно вольно проектировать внутренние бизнес-процессы и компенсировать недочеты в безопасности, закрывая компанию несколькими эшелонами защиты из надежных средств ИБ. Сейчас такой вариант невозможен, поэтому необходимо изначально, с первых шагов строить безопасные процессы. Концепция zero trust, приобретающая все большую актуальность, заключается в том, что организации теперь не могут доверять никому: ни внешним зависимостям, ни GitLab, ни третьим сторонам (подрядчикам, поставщикам услуг и т. д.)».

Олег Скулкин, руководитель лаборатории цифровой криминалистики и исследования вредоносного кода, Group-IB: «Злоумышленники постепенно отказываются от своего самого любимого инструмента — Cobalt Strike — и начинают экспериментировать с новыми фреймворками, например Sliver. Ждать появления в 2023 году абсолютно новых техник не стоит. Если говорить о начальных векторах атак, то в следующем году злоумышленники будут проникать в инфраструктуру потенциальных жертв путем эксплуатации уязвимостей в публично доступных приложениях. Этот тренд, наметившийся уже сейчас, заметно усилится».

Темы:Пресс-релизPositive TechnologiesОтрасльМнения экспертовThe Standoff
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...