Спецпроекты

Безопасность Стратегия безопасности

Исследование «Информзащиты»: более 90% сайтов компаний не защищены от атак ботами

91% сайтов крупных компаний по всему миру испытывают проблемы с защищенностью от атак ботами, из них 26% частично не защищены, а 65% – полностью. Эксперты «Информзащиты» считают это следствием недостаточного внимания к этому вектору атак со стороны бизнеса, расширения использования API и использования генеративного ИИ хакерами.

Атаки ботами – это кибератаки, в которых используются автоматизированные скрипты для нарушения работы сайта, кражи данных, совершения мошеннических покупок или других вредоносных действий. Боты же представляют собой программное обеспечение, которое запрограммировано на выполнение повторяющихся действий для реализации какой-либо цели.

Лишь около 9% веб-ресурсов компаний полностью защищены от атак ботами. Наблюдается двоякое изменение в ситуации по сравнению с 2023 г. С одной стороны, количество полностью незащищенных компаний снизилось с 68% до 65%, а число организаций, сайты которых защищены частично, увеличилось с 21% до 26%. С другой стороны, количество полностью защищенных ресурсов снизилось с 11% до 9%. Хоть изменения и выглядят незначительными, отмечают специалисты «Информзащиты», они означают как минимум стагнацию в области противодействия атак ботами, что свидетельствует о негативном тренде.

Среди самых незащищенных от атак ботами на сайты оказались сфера здравоохранения, услуги, электронная торговля, а также корпоративные порталы. Средний процент полностью незащищенных веб-ресурсов здесь стремится к 70. Наиболее продвинутая защита от ботов есть у сайтов компаний, занимающихся компьютерными играми, страховых компаний, авиаперевозчиков и банков. Тут количество полностью незащищенных порталов находится на уровне 50-55%. Так или иначе, атаки ботами остаются большой проблемой в любой из отраслей.

«Бизнес на слишком активно реагирует на рост числа таких атак, хотя он значителен. В 2022 г. количество инцидентов ИБ, связанных с ботами, выросло на 88%, в 2023 г. темпы роста замедлились и их число выросло на 28%. В 2024 г. темпы роста скорее всего сохранятся либо незначительно увеличатся. В любом случае многие компании считают, что их системы ИБ способны защититься от атак ботами, не вкладывают в защиту о них средства, что ведет к негативным последствиям», – сказал эксперт центра противодействия киберугрозам «Информзащиты» Анатолий Песковский.

Другой причиной эксперты считают широкое использование API – Application Programming Interface. Это наборы правил, которые позволяют программам взаимодействовать друг с другом. Количество таких взаимодействий растет, некоторые технологии интегрируются без учета возможных уязвимостей, что создает для хакеров лазейки для атак. В 2023 г. компании по всему миру суммарно потеряли около $190 млрд из-за бот-атак через уязвимости в API.

«Программы становятся взаимосвязанней, и API сейчас используется практически везде. Когда вы покупаете что-то в интернет-магазине и вас перекидывает на сайт банка для оплаты – это происходит с помощью API. Эти решения считаются достаточно простыми, поэтому, с одной стороны, распространяются массово, а с другой, ими часто занимаются неопытные разработчики, которые допускают уязвимости при программировании. Это все сказывается на росте атак, в том числе с использованием ботов», – отметил Песковский.

Генеративный искусственный интеллект также стал инструментом для хакеров, особенно когда речь идет об атаках ботами, добавляют в «Информзащите». ИИ позволяет злоумышленниками гораздо быстрее создавать такие программы и проводить с их помощью атаки. Более того, умение искусственного интеллекта самостоятельно создать бота сделало порог входа в кибератаки ниже, то есть их могут производить малоопытные злоумышленники. Таким образом число атакующих увеличилось просто физически.

«Использование ИИ в бот-атаках – это огромная проблема. По сути, это дает хакерам неограниченный ресурс по повторению этих действий. Кроме того, злоумышленник научились обходить этические ограничения в ИИ или же создавать свои языковые модели, где такие ограничения просто отсутствуют. Позитивным моментом, если его так можно назвать, остается то, что ИИ пока не способен писать сложные программы и сложных ботов, а значит противодействовать приходится примитивным программам», – сказала руководитель проектов в области ИИ и информационной безопасности «Информзащиты» Наталья Абрамова.

Короткая ссылка