По мониторингу экспертов в странах СНГ наиболее атакуемыми кибермошенниками оказались отрасли промышленности (24% от общего количества), финансовые организации (20%), ИТ-компании (17%), транспортные (14%). Также в числе атак оказались и средства массовой информации, а это 12%. Причем в секторе СМИ в целом наблюдалась наибольшая интенсивность и выявлены инциденты высокого уровня критичности. На издания были направлены так называемые обширные целевые атаки. ВСМИ в целом наблюдалась наибольшая интенсивность и выявлены инциденты высокого уровня критичности [газетная статья].
При таком раскладе речь идёт о случаях, для которых требуется вмешательство аналитика, когда программы атак в меньшей степени поддаются автоматизации. Для защиты от угроз кибермошенников специалисты в области IT рекомендуют проводить экспертные ежегодные аналитические отчёты, представляющие собой сервис круглосуточного мониторинга и реагирования на выявленные инциденты, основанные на технологических решениях и экспертизах профессионалов.
Помимо скрытых атак без участия человека существуют также легальные инструменты, которые по-прежнему популярны среди кибермошенников. Они маскируются под IТ-сотрудников, используя такие программы, как powershell.exe и rundll32. exe, comsvcs.dll, а reg.exe. Все эти программы являются высоко критичными.Для экспертов по защите от угроз среднее время обнаружения инцидента высокого уровня критичности по всем отраслям составляет всего более 44 минуты, но по сравнению с прошлыми годами этот показатель увеличился примерно на 6%. Такая разница во времени связана с ростом числа инцидентов, расследование которых требует большего вовлечения аналитиков.
«Чаще всего фиксировались инциденты среднего уровня критичности и большая часть из них, порядка 70%, была успешно устранена после получения только одного события безопасности, – говорит эксперт Сергей Солдатов. – В последнее время мы наблюдаем тенденцию, что атаки вредоносного программного обеспечения с большим ущербом начинаются как целевые с участием человека: первоначальное проникновение и запуск выполняются вручную, а дальнейшее распространение – без участия человека. Поскольку число таких сложных инцидентов растёт, мы рекомендуем компаниям наряду с классическим мониторингом событий безопасности использовать инструменты для активного поиска угроз».
Для предотвращения целевых атак эксперты рекомендуют: использовать специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании; предоставлять команде SOC (центра мониторинга кибербезопасности) доступ к актуальной информации о киберугрозах; проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции, а также повышать знания о кибербезопасности среди сотрудников неспециализированных подразделений, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.
Ольга ЗОРИНА
