Positive Technologies

В ходе работ по анализу защищенности от внешнего злоумышленника экспертам Positive Technologies удалось преодолеть сетевой периметр в 93% проектов. По данным экспертов компании, этот показатель уже многие годы остается на высоком уровне и подтверждает, что практически для любой корпоративной инфраструктуры преступники смогут подобрать ключ и проникнуть внутрь.

В проектах компании в среднем обозначали шесть недопустимых событий, которые необходимо было реализовать. Наибольшую опасность представляют события, связанные с нарушением технологических процессов, процессов оказания услуг, кражей денежных средств и важной информации. Всего удалось подтвердить возможность реализации 71% обозначенных событий. Примечательно, что на атаку, которая приведет к реализации недопустимого события, злоумышленнику потребуется не больше месяца. Развитие атак на некоторые системы и вовсе может произойти за считаные дни.

Несмотря на то, что финансовые организации считаются одними из наиболее защищенных, в рамках верификации недопустимых событий в каждом банке специалистам удалось выполнить действия, нарушающие бизнес-процессы банка и влияющие на качество оказываемых услуг. Например, был получен доступ к системе управления банкоматами с возможностью кражи денежных средств.

Путь злоумышленника из внешних сетей до целевых систем начинается с преодоления сетевого периметра. По данным исследования, в среднем на проникновение во внутреннюю сеть компании уходит два дня. Основным способом проникновения в корпоративную сеть эксперты назвали подбор учетных данных, в первую очередь связывая это с тем, что сотрудники любят устанавливать простые пароли, в том числе для учетных записей, используемых для администрирования систем.

Злоумышленник, обладающий учетными данными с привилегиями администратора домена, может получить множество других учетных данных для горизонтального перемещения по корпоративной сети и доступа к ключевым компьютерам и серверам. Получить доступ в изолированные сегменты сети нарушителю зачастую помогают средства администрирования, виртуализации, защиты или мониторинга. По данным исследования, в большинстве компаний отсутствует сегментация сети по бизнес-процессам, что позволяет развивать несколько векторов атак до тех пор, пока не будут реализованы несколько недопустимых событий одновременно.

Эксперты Positive Technologies выяснили, какое место занимает безопасная разработка кода в российских компаниях различных отраслей, что думают ИТ-специалисты об этом подходе и готовы ли они активно участвовать во внедрении DevSecOps-практик. Опрос также помог определить, что мотивирует разработчиков участвовать в DevSecOps и каких знаний из этой области им сегодня не хватает.

Почти половина респондентов (45%) признают, что DevSecOps — это полезная практика, которая, однако, подходит не всем компаниям в силу специфики их бизнеса. Ключевым элементом защиты любой организации DevSecOps называют 18% опрошенных.

Место DevSecOps в безопасности компаний сильно зависит от профиля бизнеса и особенностей ее приложений. В любой организации существуют приложения, эксплуатация уязвимостей в которых является недопустимым с точки зрения бизнеса событием. Если они становятся доступны хакеру, то в конечном итоге их взлом приведет к опасным последствиям для жертвы. В данном случае безопасность кода — очевидный приоритет для бизнеса.

Более трети опрошенных сообщили, что организации, в которых они работают, уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. Каждый седьмой участник уверен, что за DevSecOps будущее, но не в их компаниях.

Половина респондентов готова участвовать в DevSecOps-процессах компаний, где они сейчас работают, если у них появится понимание, что этот подход сможет защитить разрабатываемые продукты от хакеров. Десятая часть опрошенных указала, что отправной точкой для развития безопасной разработки должна быть постановка задачи от руководства, которое будет контролировать ее исполнение. За такие средства мотивации, как прозрачные KPI, повышение зарплаты и выделение отдельной роли по DevSecOps в команде, проголосовало по 9% респондентов.

Аналитики также попросили ИТ-специалистов указать, в чем им не хватает экспертизы и про какие элементы безопасной разработки они хотели бы получить больше знаний. В число самых популярных ответов вошли практические кейсы внедрений (35%), а также информация о процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%).

В ходе исследования выяснилось, что возможность изучать DevSecOps в рабочее время есть более чем у четверти респондентов (28%). Такое же число специалистов осваивает это направление в свободное от работы время. При этом каждый шестой респондент хочет подробнее узнать о безопасной разработке, ее методах, процессах и инструментах, но не может выделить для этого ни рабочее, ни личное время; четверть опрошенных специалистов пока не готова погружаться в ее изучение.

По данным Positive Technologies, количество атак во II квартале 2021 года увеличилось лишь на 0,3% в сравнении с I кварталом. Эксперты считают, что подобного замедления следовало ожидать, так как компании успели адаптироваться к работе в условиях пандемии, в том числе приняли меры по защите сетевого периметра и систем удаленного доступа.

Однако во II квартале были побиты все рекорды по количеству атак с использованием шифровальщиков: их доля составила 69% среди всех атак с использованием ВПО. Наибольшее количество инцидентов было выявлено специалистами в апреле. Тем не менее, нашумевшие атаки на крупнейшую трубопроводную систему США Colonial Pipeline и полицию округа Колумбия, которые привлекли внимание правоохранительных органов, сказались на активности операторов и распространителей шифровальщиков, и уже в июне число атак с использованием вымогательского ПО снизилось вдвое.

В исследовании Positive Technologies отмечается, что на форумах в дарквебе относительно недавно появился запрет на публикацию постов на тему партнерских программ операторов шифровальщиков. Эксперты считают, что в скором времени можно ожидать исчезновения так называемых партнеров как отдельной роли, а их задачи возьмут на себя сами операторы программ-вымогателей, которые будут собирать команды распространителей и курировать их напрямую.

Среди других тенденций, которые отмечают эксперты компании, — укрепившийся тренд на создание вредоносов, нацеленных на Unix-системы. Многие привыкли к мысли, что вредоносное ПО, — проблема систем на базе Windows. Однако сейчас наблюдается укрепление тренда на создание инструментов для атак на Unix-системы, средства виртуализации и оркестраторы. Все больше компаний, в том числе крупных, используют ПО на базе Unix, и логично, что злоумышленники стали обращать внимание также на эти системы.

Одной из самых заметных тенденций стало изменение ландшафта киберугроз в сфере торговли. Эксперты обратили внимание на значительное снижение числа атак с использованием так называемых веб-скиммеров. При этом интерес к этой отрасли у злоумышленников, распространяющих шифровальщики, только растет. Доля атак с использованием программ-вымогателей составила в торговле 95%. Эксперты связывают эти изменения с тем, что раньше основной целью злоумышленников, атакующих торговые компании, была кража данных — платежных реквизитов, персональных и учетных данных клиентов. Сейчас же преступники все чаще преследуют прямую финансовую выгоду, рассчитывая получить крупный выкуп.

По данным анализа, количество атак увеличилось на 17% в сравнении с I кварталом 2020 года, а относительно IV квартала 2020 года прирост составил 1,2%. При этом 77% атак были целенаправленными, а инциденты с частными лицами составили лишь 12% от числа всех инцидентов. Чаще всего злоумышленники атаковали госучреждения, промышленность и организации в сфере науки и образования. Как отмечают в Positive Technologies, главными целями злоумышленников являются персональные и учетные данные, а при атаках на организации к ним добавляется еще и коммерческая тайна.

В исследовании говорится, что программы-вымогатели остаются самым распространенным вредоносным ПО. Их доля среди прочих инструментов, применяемых в атаках на организации, увеличилась на семь процентных пунктов в сравнении с IV кварталом 2020 года и составляет 63%. Эксперты также отметили появление новых шифровальщиков, например Cring, Humble и Vovalex. При этом сообщается об активности шифровальщика WannaCry, громко заявившего о себе в 2017 году.

Разработчики вредоносного ПО продолжают искать новые способы обхода средств защиты. Для этого они используют, к примеру, редкие языки программирования. Некоторые злоумышленники дополняют свои инструменты функциями, стирающими следы вредоносной активности.

По данным исследования, суммы выкупа, требуемые операторами программ-вымогателей, продолжают расти, а из-за того, что некоторые компании отказываются от уплаты выкупа, злоумышленники изобретают новые тактики вымогательства: например, если компания не собирается платить, преступники угрожают сообщить о факте атаки и об украденных данных ее клиентам: по замыслу преступников, клиенты смогут повлиять на компанию и заставить ее заплатить — чтобы не допустить разглашения своих данных.

Все больше злоумышленников разрабатывают свое ПО для проведения атак на среды виртуализации, а некоторые пытаются активно эксплуатировать уже найденные уязвимости в ПО для развертывания виртуальной инфраструктуры. Прежде всего, эксперты связывают это с глобальным процессом переноса ИТ-инфраструктуры компаний в виртуальную среду.

Как показало исследование, общее количество киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Больше всего злоумышленников интересовали государственные учреждения, промышленные компании и медицинские организации.

По сравнению с 2019 годом в 2020 году число атак на промышленные компании выросло почти вдвое: прирост составил 91%. В основном эту отрасль атаковали операторы программ-вымогателей. На промышленность нацелены и многие APT-группировки.

По данным Positive Technologies, использование вредоносного ПО по-прежнему в тренде. В 2020 году количество подобных атак увеличилось на 54% по сравнению с 2019 годом. Разработчики ВПО уделяли много внимания методам сокрытия деструктивного воздействия и совершенствовали способы доставки, переключились на использование уязвимостей на сетевом периметре. Организации становились в основном жертвами программ-вымогателей, а частных лиц чаще атаковали с помощью шпионского ПО и банковских троянов.

Доля атак шифровальщиков среди всех атак с использованием ВПО, нацеленных на организации, составляет 45%. При этом на первом месте по числу атак с использованием шифровальщиков оказались медицинские учреждения (17%). Второе и третье места достались госучреждениям и промышленным предприятиям.

Аналитики отмечают усиление тренда на кражу данных перед шифрованием с последующим требованием двойного выкупа — за дешифровщик и неразглашение украденной информации. В течение всего 2020 года появлялись новые сайты операторов программ-вымогателей для размещения похищенной информации, за которую ее владельцы отказывались платить. В случае отказа операторы шифровальщиков не только шантажировали жертв разглашением украденной информации, но и устраивали DDoS-атаки. Кроме того, злоумышленники объединялись в новые группировки и спекулировали на своей причастности к более «могущественным» операторам шифровальщиков.

В числе ближайших целей, стоящих перед вендорами песочниц, в Positive Technologies отмечают кастомизацию виртуальных сред — приближение их состава к реальным рабочим станциям. Раньше на виртуальных машинах использовали программы по умолчанию. Заменив их на приложения, процессы и файлы, свойственные конкретным компаниям, можно спровоцировать атакующих проявить себя в песочнице и не дать им добраться до реальной инфраструктуры. Такой подход позволит нивелировать угрозы, направленные на критически важные для бизнеса системы.

Эксперты подчеркивают, что большинство кибератак являются целевыми. Злоумышленники стремятся узнать о жертве как можно больше и на основе этих знаний выбирают готовые инструменты для атаки или разрабатывают их с нуля. Очевидно, что в подобных условиях не может быть универсальных песочниц, и бизнесу необходимо отталкиваться от собственной уникальной карты рисков.

Еще один тренд — добавление анализа заголовков писем для покрытия большей доли угроз. Текущий подход к анализу происходящего в электронной почте, как правило, подразумевает проверку файлов и ссылок, а также поиск в теле сообщений паролей для работы с архивами. Однако в этом случае может не учитываться часть информации, потенциально выдающей угрозу, — заголовки писем.

При этом одним из наиболее распространенных методов атак, наряду с применением вредоносных программ, остается социальная инженерия (около 50% атак на организации). В большинстве случаев злоумышленники сочетают эти методы и используют как ключевой вектор проникновения электронную почту — злоумышленники опираются на человеческий фактор, чтобы инициировать заражение.

Для полноты покрытия модели угроз песочницам необходимо включать в себя анализ заголовков – например, выявлять попытки фальсификации адресов отправителя и добавлять на основании уже обнаруженных угроз индикаторы программ-почтовиков, создавших письма, идентификаторы писем и адреса промежуточных узлов пересылки, соответствующие злонамеренной рассылке.

Третье направление развития систем класса Sandbox связано с поиском технологий, которые позволят без потери качества детектирования повысить производительность песочниц. Время проверки одного файла песочницами разных разработчиков сейчас в среднем составляет 1–2 минуты. При этом скорость проверки является одним из ключевых параметров, на которые обращают внимание пользователи.

Как отмечают в Positive Technologies, возник некий негласный потолок возможной производительности песочниц — и с точки зрения времени, и с точки зрения стоимости. Вероятно, этот параметр все еще можно развивать в сторону ускорения и удешевления без потери качества детектирования. Один из возможных путей заключается в массовой единовременной проверке больших наборов файлов по косвенным признакам: попыткам закрепиться в системе, подключиться к интернету и т. д. Если такие признаки обнаружатся, песочница может проводить дополнительную проверку, и, напротив, пропускать файлы, не совершающие подозрительных действий. Как выделить оптимальные косвенные признаки, которые позволят не пропустить угрозу, — вопрос, который только предстоит решить.

В течение всего 2020 года эксперты наблюдали ежеквартальное увеличение числа киберинцидентов и IV квартал не стал исключением. Количество атак по сравнению с III кварталом выросло на 3,1%, а в сравнении с аналогичным периодом 2019 года рост составил 42,2%. Ранее отмеченный тренд на переход от социальной инженерии к методам хакинга в атаках на организации укрепился и в IV квартале. В инцидентах с частными лицами, напротив, эксперты зафиксировали всплеск применения техник социальной инженерии, доля этого метода выросла с 67% в III квартале до 86%.

Исследование показывает, что количество атак на отрасль торговли увеличилось на 56% в сравнении с III кварталом и достигло абсолютного максимума за последние два года. Около трети атак в этой сфере были проведены операторами программ-вымогателей, как, например, в случае с атакой на южнокорейского ретейлера E-Land. В каждой пятой атаке на торговые предприятия использовались веб-скиммеры, которые злоумышленники размещали на взломанных сайтах магазинов.

Чаще всего в ходе атак на торговлю злоумышленники похищают данные платежных карт, к примеру в IV квартале их доля среди всей украденной информации составила 33%. На втором месте по популярности персональные данные клиентов (27%) и на третьем — учетные данные (20%).

Под шквал атак также попали фармацевтические компании, участвующие в цепочке производства и поставки вакцины от COVID-19, например Fareva, Dr. Reddy's и Johnson & Johnson. Злоумышленники не только пытаются украсть наработки и сорвать производство, но и продолжают эксплуатировать интерес обычных людей к теме вакцины. По данным исследования, в IV квартале около 40% всех фишинговых рассылок на тему пандемии были посвящены вакцине.

В последнем квартале 2020 года аналитики Positive Technologies вновь отметили рост числа атак с использованием шифровальщиков, их доля составила 56% среди всех атак с использованием вредоносного ПО. Больше всего атак замечено в отношении медицинских (20%) и государственных учреждений (19%), а также промышленных компаний (11%). Среди наиболее активных программ-шифровальщиков — Ryuk, REvil, Clop, Egregor и DoppelPaymer.

По результатам пилотных проектов в 90% компаний была выявлена подозрительная сетевая активность – например, сокрытие трафика, запуск инструментов сканирования сети, попытки удаленного запуска процессов. Переход компаний на удаленную работу повлиял и на сетевую активность: выросла доля подключений во внешнюю сеть по протоколу RDP. Такие подключения должны тщательно контролироваться, ведь количество атак через протоколы удаленного доступа в 2020 году увеличилось в три раза.

Нарушения регламентов ИБ встретились в каждой организации. Одним из часто выявляемых нарушений стало использование незащищенных протоколов передачи данных (64%). По мнению экспертов, это говорит о том, что в инфраструктуре важные данные передаются в открытом виде, а значит кто угодно в корпоративной сети, в том числе потенциальный злоумышленник, может перехватывать трафик и искать в нем конфиденциальную информацию, в том числе логины и пароли.

В ходе пилотных проектов по мониторингу сетевой активности и выявлению сложных угроз в 2020 году эксперты столкнулись с активностью 36 семейств вредоносного ПО. Эксперты называют среди них шифровальщик WannaCry, банковские трояны RTM, Ursnif и Dridex. В 68% анализируемых компаний была выявлена активность вредоносного ПО. При этом вредоносы были обнаружены во всех исследуемых государственных и промышленных организациях. В каждой третьей компании были отмечены попытки эксплуатации уязвимостей в ПО.

Проект по внедрению SIEM-системы в Трубной Металлургической Компании был продиктован необходимостью обеспечения автоматизированного сбора и централизованного хранения событий безопасности из разных подсистем. Для решения этих задач ТМК выбрала MaxPatrol SIEM – разработку Positive Technologies, так как его можно подключать к любым внешним системам посредством разработки интеграционных модулей (коннекторов). В пользу продукта в том числе сыграли ежемесячная поставка пакетов экспертизы с актуальными способами обнаружения угроз, прозрачный план развития, производительность системы (до 40 тыс. событий в секунду) и наличие сертификата ФСТЭК России.

Для подключения MaxPatrol SIEM к информационным системам ТМК, взаимодействие с которыми не поддерживалось «из коробки», инженеры «Инфосистемы Джет» разработали четыре интеграционных модуля. Один из них проектная команда создала для сбора и обработки событий из облачных сервисов Microsoft 365 и Azure. Другой модуль предназначен для сбора информации, необходимой при расследованиях ИБ-инцидентов, из базы данных управления конфигурациями. Еще два модуля специалисты разработали для расширенной интеграции SIEM-системы со службой каталогов Active Directory (AD) и взаимодействия с созданной в ТМК платформой киберразведки.

Как отметил Дмитрий Якоб, директор по информационным технологиям ТМК, проект позволил в сжатые сроки интегрировать SIEM-систему в инфраструктуру информационной безопасности компании с учетом ее особенностей и реализованных процессов. Разработанные интеграционные модули позволили полноценно считать систему центральным звеном ландшафта информационной безопасности компании. На предприятии уже ощутили пользу от SIEM во время роста количества атак в период карантинных мер. Благодаря проактивным действиям с этим вызовом удалось справиться.

По данным отчета, в 2019 году во всех протестированных компаниях удалось получить полный контроль над инфраструктурой от лица внутреннего нарушителя. Как правило, на это уходило около трех дней, а в одной сети потребовалось всего 10 минут. В 61% компаний был выявлен хотя бы один простой способ получить контроль над инфраструктурой, который под силу даже низкоквалифицированному хакеру.

Как отмечают эксперты, легитимные действия, которые позволяют развить вектор атаки, составили 47% от всех действий пентестеров. К ним относятся, например, создание новых привилегированных пользователей на узлах сети, создание дампа памяти процесса lsass.exe, выгрузка ветвей реестра или отправка запросов к контроллеру домена. Все эти действия позволяют получить учетные данные пользователей корпоративных сетей или информацию, необходимую для развития атаки. Опасность состоит в том, что такие действия сложно отличить от обычной деятельности пользователей или администраторов, а значит, атака остается незамеченной.

Как отмечают аналитики, в ходе атак во внутренних сетях для сбора учетных данных и перемещения между компьютерами, как правило, используются архитектурные особенности ОС и механизмов аутентификации Kerberos и NTLM. Например, учетные данные злоумышленник может извлечь из памяти ОС с помощью специальных утилит или встроенных средств ОС. Рекомендуется использовать актуальные версии Windows, а привилегированных пользователей домена включать в группу Protected Users. В современных версиях Windows 10 и Windows Server 2016 реализована технология Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа. Для дополнительной защиты привилегированных учетных записей, в частности администраторов домена, стоит использовать двухфакторную аутентификацию.

Для каждой компании перечень рисков существенно отличается, хотя есть и общие пункты, например компрометация критически важной информации в случае доступа к рабочим станциям руководства. В ходе проведения внутренних пентестов экспертам Positive Technologies удавалось, например, получить доступ к технологическим сетям промышленных компаний и системам управления банкоматами в банках, то есть показать на практике возможность осуществить атаку, которая представляет реальную опасность для компании. Тестирование на проникновение с проверкой возможности реализации бизнес-рисков позволяет максимально эффективно выстроить систему защиты.

Тестирование также показало, что злоумышленник может эксплуатировать известные уязвимости, которые содержатся в устаревших версиях ПО и позволяют удаленно выполнить произвольный код на рабочей станции, повысить привилегии или узнать важную информацию. Чаще всего в ходе тестирования эксперты сталкивались с отсутствием актуальных обновлений ОС. Так, по данным пентестеров, в 30% компаний до сих пор можно обнаружить уязвимости Windows, описанные в бюллетене безопасности 2017 года, а в некоторых – даже 2008 года.