Компания Solar Security опубликовала сводный отчет Solar JSOC Security flash report за первое полугодие 2017 года. Он содержит обезличенную информацию об инцидентах информационной безопасности, выявленных центром мониторинга и реагирования на кибератаки Solar JSOC.
В первой половине 2017 года средний поток событий ИБ составлял 6,2 млрд в сутки, из них около 950 в сутки – события с подозрением на инцидент. Это примерно на 28% больше, чем в год назад. При этом доля критичных инцидентов, способных вызвать длительное прерывание критически важных систем и сервисов либо прямые финансовые потери на сумму более 1 млн руб., составила 17%. В 2016 году критичным был лишь каждый девятый инцидент. Предполагается, что такая динамика связана с общим повышением интенсивности массовых и нацеленных атак на организации.
Если рассматривать общее количество инцидентов, то лишь в 12% случаев они происходили в ночное время. Однако если из общей массы инцидентов выделить критичные, этот показатель возрастает почти до трети всех случаев. А если критичные инциденты были вызваны действиями внешнего злоумышленника, то уже в почти половине случаев (45%) они приходились на ночное время. Основными инструментами киберпреступников оставались атаки на веб-приложения (34%), компрометация учетных данных внешних сервисов клиента (24%) и вредоносное ПО (19%).
Отдельно отмечается возрастающее число инцидентов, являющихся частью Kill Chain – цепи последовательных действий киберпреступника, направленных на взлом инфраструктуры и компрометацию ключевых ресурсов компании. В 13% случаев первым шагом такой цепочки служила атака на веб-приложение (например, онлайн-банк), в 25% – на управляющие протоколы систем (в том числе использование уязвимости Shellshock, известной с сентября 2014 года), в 62% – внедрение в организацию вредоносного программного обеспечения через почтовые вложения или фишинговые ссылки. Таким образом, злоумышленники по-прежнему очень рассчитывают на человеческий фактор.
Как подчеркивают аналитики, несмотря на Wannacry и Petya, цифры по внешним инцидентам демонстрируют высокий, но не драматический рост. Дело в том, что массовые атаки на российские компании происходят регулярно, но, как правило, остаются вне поля зрения СМИ. В то же время о таком явлении, как Kill Chain, пока говорят только специалисты по информационной безопасности. Таких атак еще относительно мало, но они перестали быть «страшилками» и являются реальной угрозой. При этом большинство российских компаний не готово к их отражению.
Основными виновниками внутренних инцидентов (в 63% случаев) оставались рядовые сотрудники компаний, хотя их доля стабильно снижается. Инциденты, связанные с действиями внутренних злоумышленников, не претерпели существенных изменений. Это утечки информации, компрометация внутренних учетных записей, и менее 10% приходится на использование хакерских утилит и средств удаленного администрирования.
