Общее количество реагирований Лаборатории компьютерной криминалистики Group-IB за 2019 год выросло более чем на 40%. К работам по корректной локализации инцидента, сбору, анализу цифровых доказательств и расследованию атаки банки все чаще привлекают сторонних специалистов с профильной экспертизой, уходя от распространенного метода «самолечения».
Как отмечают аналитики, уровень готовности к инцидентам кибербезопасности в банках повысился, а исход хакерских групп из «зоны РУ» привел к значительному сокращению целевых атак на российский финансовый сектор. Вместе с тем в Group-IB фиксируют рост запросов на реагирования, связанных с инцидентами по утечками данных – на 48%, социальной инженерией – на 154% и фактами «долгосрочной» компрометации корпоративной инфраструктуры из-за вовремя не обнаруженных и не удаленных угроз — на 23%.
Возьмите новый «пробник»
Укрепление защиты цифровых рубежей банков вынудило киберкриминал искать новые каналы вывода информации. В 2019-м году заметно возросла активность по утечкам данных вследствие действий инсайдеров. Согласно сравнительному анализу, проведенному командой Group-IB Threat Hunting Intelligence, количество даркнет-сервисов по продаже выгрузок клиентских данных в 2019 году увеличилось на 55% по сравнению с 2018 годом. Появление на андеграундных форумах объявлений о продаже выгрузок данных о клиентах различных банков становилось фокусом новостной повестки. Отметим, что такой «товар» в даркнете был всегда, но благодаря вниманию СМИ, именно в прошлом году эти объявления вызывали наибольший общественный резонанс. Покупка таких выгрузок, как правило, нужна для использования в мошенничествах с социальной инженерией: чем больше данных есть у мошенников о клиенте банка, тем проще вызвать доверие. Обычно для этих целей используется инсайдер с невысоким уровнем доступа, не имеющий возможности выгрузки CVV/CVC, полного номера карты и др.
Еще одним важным трендом прошлого года стали инциденты с вирусами-шифровальщиками — зафиксирован рост количества пострадавших организаций на 42%. При этом, кроме вымогательства, целью большинства операторов вирусов-шифровальщиков стала выгрузка данных из скомпрометированных сетей для последующего использования в различных целях.
Банки «взрослеют»
Главный вывод экспертов-криминалистов Group-IB – прошлый год показал позитивные сдвиги в защите банков от киберугроз. Часть пересмотрели подход к управлению кибербезопасностью: инвестирование в обучение сотрудников привело к сокращению времени реагирования на инциденты и повышению качества их отработки. Количество банков, демонстрирующих высокую готовность к атакам, выросло на 21 процентный пункт по сравнению с прошлым годом. Доля банков, не имеющих плана реагирования, снизилась до 53% в 2019 году, против 74% годом ранее.
Более 30% банков провели повторную проверку по итогам работ по выявлению следов компрометации и признаков подготовки хакерской атаки (Compromise Assessment) и проработали выявленные недостатки. Наиболее продвинутые игроки финансового сектора стали регулярно проводить проверку готовности к инцидентам ИБ и внедрили у себя разработанные по итогам этой проверки регламенты.
Изменения коснулись и внутренних процессов: для полноценного централизованного управления своей сетью в 2018 году не хватало компетенций у 62% банков, в 2019-м – 54%. Большинство банков (80%) не имели достаточной глубины журналирования событий, в 2019 их количество сократилось до 68%. В рамках ретроспективного анализа за 2018 год, в 52% финансовых организаций были обнаружены следы взломов и атак, о которых сотрудники информационной безопасности не подозревали. Этот показатель сократился почти на половину — 24% по итогам 2019 года.
«Небумажный» специалист
Повышение квалификации сотрудников по кибербезопасности внутри банков постепенно становится трендом рынка. На 9 процентных пунктов сократилось количество банков, у специалистов которых недостаточно профильных навыков по самостоятельному поиску следов заражения и несанкционированной активности (70% в 2018 году против 61% — в 2019). Если в 2018 году 70% банковских «безопасников» не имели четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения, то в 2019 показатель сократился до 59%. Оперативность смены паролей в банке после инцидента является критичным фактором для недопущения повторной атаки: в 2018 году более 60% пострадавших банков были не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка. В 2019 году и этот показатель снизился до 52%.
Еще один тренд зарождается в сфере рекрутинга: все чаще на позицию специалистов по кибербезопасности требуются кандидаты с навыками Threat Hunter («охотник за угрозами») для проактивного мониторинга и предотвращения инцидентов на ранней стадии. Этому способствуют как мировые тренды развития узких областей кибербезопасности, так и финансовая составляющая по итогам оценки потенциальных рисков наступления инцидента.
Как отмечают аналитики, банки сознательно уходят от общего мониторинга сети и не ограничиваются локальной проверкой конкретного узла, на котором возникло событие. Более зрелый подход заключается в расследовании с целью установления причинно-следственной связи возникновения инцидента. По итогам прошедшего года, среди организаций финансового сектора наблюдается осознание важности доведения хронологической цепочки расследования до конца: от выявления причины до создания практик и регламентов по предотвращению инцидентов в будущем. Это свидетельствует о взрослении российского банковского сектора в части реагирования на киберинциденты.