С каждым годом инструменты, техники и тактики киберпреступников становятся все более изощренными, число преступных групп растет, возникают новые киберугрозы. Именно поэтому лидирующие игроки ИБ-рынка стремятся делиться с сообществом своей экспертизой. Генеральный директор и совладелец F.A.C.C.T. (до апреля этого года — Group-IB) Валерий Баулин рассказал об основных тенденциях 2023 года и о технологиях, защищающих российские компании в киберпространстве, а также поделился своими прогнозами.
Валерий БаулинF.A.C.C.T.
CNews: Как вы бы охарактеризовали направления и масштабы киберугроз в 2023 году?
Валерий Баулин: Как мы и предсказывали, в этом году произошел взрывной рост как киберугроз, так и высокотехнологичных атак на российские компании. По оценке Лаборатории цифровой криминалистики F.A.С.С.T., количество атак финансово мотивированных преступников, за 9 месяцев этого года увеличилось на 75% по сравнению с аналогичным периодом прошлого года. А количество политически мотивированных кибератак с целью хищения конфиденциальных данных или полного разрушения ИТ-инфраструктуры выросло на 140%.
Уже четвертый год подряд кибератаки программ-вымогателей остаются киберугрозой # 1 в России, защиту от которой вынуждены искать абсолютно все российские организации. Количество атак шифровальщиков в нашей стране в этом году выросло на 50-60%, а средняя сумма первоначального выкупа за расшифровку данных превысила 37 млн рублей. Среди жертв шифровальщиков чаще всего оказывались российские ритейлеры, производственные, строительные, туристические и страховые компании. Среднее время простоя работы организации после успешной атаки составило 14-18 дней, а для кого-то последствия и вовсе оказались губительными с точки зрения полной остановки бизнеса.
При этом с прошлого года у киберпреступников явно изменился мотив. На первый план выходит не только материальная выгода, но и нанесение наибольшего ущерба компаниям и их клиентам. Утекшие данные киберпреступники сразу не публикуют, а используют их для проведения каскадных атак на крупных игроков коммерческого и государственного секторов.
Самой популярной техникой для получения первоначального доступа в корпоративные сети стала компрометация служб удаленного доступа. В особенности, RDP и VPN. Наряду с этим мы видели и рост атак с доступом в инфраструктуру в результате компрометации ИТ-партнеров, услугами которых пользовались организации-жертвы. Также участились случаи компрометации легитимного программного обеспечения, используемого в тех или иных организациях.
CNews: Почему вымогатели стали столь распространенными и опасными?
Валерий Баулин: Во-первых, потому что этот вид преступного бизнеса приносит злоумышленникам огромную прибыль. Вторая причина популяризации и масштабирования атак — наличие исходных кодов шифровальщиков Babuk, Conti и LockBit в публичном доступе. Также этому способствовало продолжающееся распространение в даркнете готовых наборов для использования вредоносов. То есть сегодня любому желающему пользователю ПК, без особых навыков и способностей, легко получить готовый набор инструментов с техподдержкой и документацией-инструкцией по использованию этого ПО для киберпреступления. Порог компетенций для входа в мир киберпреступности существенно снизился.
В период геополитической напряженности шифровальщики стали разрушительным оружием в руках как хактивистов, так и киберпреступников. Рекорд, который мы видели в 2023 году по сумме выкупа, — около 200 млн рублей — поставлен вымогателями из киберпреступной группы Shadow (с недавнего времени она была переименована в C0met).
При этом партнеры некоторых вымогателей не демонстрируют в своих атаках каких-то изощренных и инновационных методов. Успех атак зачастую связан с легкомысленным отношением жертв к защите своих внешних сервисов удаленного доступа и корпоративной почты — это, я напомню, сейчас по-прежнему основные векторы атак. Очевидно, что вымогатели будут процветать, пока существуют благоприятные условия для выполнения подобных атак и жертвы, готовые платить выкуп.
CNews: С какой еще целью совершаются такие кибератаки?
Валерий Баулин: Более активно, чем киберкриминал, российские компании атаковали прогосударственные хакеры и хактивисты с целью шпионажа, нанесения репутационного ущерба и дестабилизации деятельности. Из заметных тенденций также можно назвать появление киберпреступных групп “двойного назначения”, которые преследуют как финансовые, так и политические цели.
Наглядный пример — преступный синдикат вымогателей Shadow (C0met) и Twelve: первая требует крупный выкуп — обычно в размере 5-10% от годового дохода компании за расшифровку и не публикацию похищенной конфиденциальной информации. Twelve же, напротив, работают не за деньги: сначала они похищают конфиденциальные данные, а на финальном этапе атаки уничтожают ИТ-инфраструктуру, стирая следы.
Мишенью политически-мотивированных атакующих чаще других становились предприятия, связанные с критической инфраструктурой, госсектором или оборонной промышленностью. Наряду с гигантами в группе риска оказались ИТ-компании из сегмента малого и среднего бизнеса — интернет-ритейлеры, интеграторы, разработчики ПО, атаки на которых позволяют получить доступ не только к клиентским базам, но и аутентификационным данным к инфраструктуре заказчиков, более крупных игроков рынка.
CNews: Проблема с утечками данных была по-прежнему актуальной?
Валерий Баулин: Да, верно. За первую половину 2023 г. команда F.A.C.C.T. зафиксировала более ста утечек из российских коммерческих компаний и госорганизаций. Число утекших строк пользовательских данных только за один из летних месяцев, по сравнению с предыдущим периодом 2022 года, увеличилось более чем в 11 раз — до 62,1 млн. Большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно, однако часть утечек злоумышленники не публиковали в открытом доступе — продавали или использовали в последующих атаках.
Векторы атак остаются неизменными: это электронная почта, открытые доступы в сеть: RDP, VPN. Риски усиливаются с учетом распространенности дистанционных подключений работников к корпоративной инфраструктуре. Данные аутентификации продаются после того, как были скомпрометированы на какой-то площадке.
Мы видели множество кейсов, когда сотрудники используют корпоративные учетные данные для регистрации на внешних площадках. В результате происходит утечка информации, т.к. такие площадки слабо подготовлены к киберинцидентам. Данные могут продать через месяц, полгода или год. Очень часто парольная политика в компании не соблюдается корректно, один и тот же пароль от критического узла инфраструктуры может использоваться на протяжении трех и более лет.
CNews: Какие технологии в сфере кибератак способствуют развитию подобных инцидентов, и как их возможно отражать?
Валерий Баулин: Основной подход преступных групп к разработке инструментов не изменился — это все те же модульные, гибкие и легковесные программы, которые вместе составляют длинную и сложную цепочку заражения. Такая активность, безусловно, представляет опасность для российских компаний. Купировать подобные риски, каким-то одним решением, будь то антивирус, “песочница”, EDR, IDPS практически невозможно.
CNews: Как вы оцениваете результаты деятельности F.A.C.C.T. в 2023 году?
Валерий Баулин: Год был сложный с учетом всех процессов создания новой, полностью автономной структуры, и в то же время успешный. Мы выполнили план первого полугодия более чем на 120%, и по итогам года ожидаем рост примерно 40-50%. Нам удалось сформировать новую компанию, и мы продолжаем прикладывать много усилий по формированию нового бренда в России и СНГ, развитию партнерского канала.
Увеличился масштаб нашего регионального бизнеса: много партнеров работает в регионах, где произошел рост интереса организаций к киберзащите. Параллельно мы продолжаем успешно продвигать два наших новых продукта: Business Email Protection (BEP) и Attack Surface Management (ASM).
Количество сотрудников постоянно растет. Сейчас штат достиг уже около 350 человек и мы активно привлекаем новых высококлассных специалистов. Нам нужны сильные кадры как для разработки решений в целях качественного импортозамещения зарубежных продуктов, так и развития сервисов.
CNews: Какие решения в 2023 году были наиболее востребованы и благодаря чему?
Валерий Баулин: Лидерами продаж остаются наши флагманские продукты: комплекс Managed XDR, обеспечивающий широкую защиту от сложных и неизвестных кибератак как внутри, так и за пределами периметра, а также систему Threat Intelligence (Киберразведка), рост продаж которого составил 30% в сравнении с прошлым годом. Кроме того, как я говорил ранее, востребованы новые “легкие” облачные продукты для защиты ИТ-инфраструктуры и электронной почты от актуальных киберугроз — Attack Surface Management (ASM) и Business Email Protection (BEP).
Защита корпоративной почты, как одного из основных инструментов внешних коммуникаций, в большинстве компаний, очень важна: необходимо на ранних этапах детектировать и блокировать вредоносные письма. Не всегда даже подготовленный специалист может сразу отличить фишинговое письмо от легального или понять, что в письмо вложен вредонос — например, в макросах Excel-файла. BEP — это более качественный отечественный аналог уже ушедших с нашего рынка иностранных решений и у нас есть множество примеров успешного импортозамещения.
Мы рекомендуем регулярно осуществлять установку критических обновлений операционной системы и используемых программных продуктов. Также в большой список наших рекомендаций входит запрет прямого доступа по протоколу RDP к рабочим станциям и серверам, кроме как в пределах внутренней сети.
Важно обеспечить надежную защиту средств удаленного доступа в ИТ-инфраструктуру, в том числе с помощью мультифакторной аутентификации и ограничить возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN.
CNews: Почему вы уделяете много внимания киберразведке?
Валерий Баулин: Ответ довольно простой: российский рынок решений киберразведки — один из самых быстрорастущих сегментов рынка информационной безопасности. Ежегодно он увеличивается на 20–40%, а его объем оценивается на уровне 15 млрд рублей — около 8% от всего сектора ИБ. Беспрецедентный рост количества кибератак, утечек баз данных у компаний, повышенная активность хактивистов и проправительственных групп, заинтересованных в дестабилизации работы предприятий, увеличили спрос среди российских компаний на решения класса Threat Intelligence.
Поэтому это абсолютно логично и обоснованно, что мы много усилий направляли на развитие системы киберразведки F.A.C.C.T. Threat Intelligence, которая агрегирует и обрабатывает более 60 типов источников данных, включающих интернет- и почтовый трафик, события внутри сети, уязвимости, утечки данных, активность вредоносов, мошеннические действия, активность в даркнете. Конкретные знания о киберугрозах оперативного уровня формируются в виде индикаторов компрометации — IoC. Бизнес хочет заранее знать о готовящихся на него кибератаках, оперативно получать фиды и индикаторы компрометации, чтобы превентивно защититься от киберугроз и минимизировать риски влияния на стабильность бизнес-процессов. Мы видим рост уровня зрелости бизнеса, когда для снижения рисков киберинцидентов российским компаниям необходимы данные киберразведки.
CNews: Каковы ваши прогнозы на предстоящий год по трендам в части киберугроз, развитию рынка?
Валерий Баулин: Очевидно, что российские компании и госучреждения в 2024 году снова столкнуться с атаками программ-вымогателей, утечками данных, а также DDoS, дефейсами сайтов в исполнении хактивистов. Фишинг, несмотря на релокацию из России на зарубежные хостинги, по-прежнему будет активен. Мошеннические схемы будут все более автоматизироваться и масштабироваться, при этом жулики постараются оперативно заменить неработающие “приманки” на новые. Это особенно заметно в телефонном мошенничестве — вместо “холодных звонков” из банка уже используются фейковыми сообщения якобы от руководителя организации, который просит поговорить по телефону с “куратором” по линии безопасности. В начале следующего года таких телефонных разводов будет много.
Что касается развития технологий, то, по моему мнению, продолжится рост количества решений и услуг, которые будут использовать данные киберразведки. Потому что это тот самый инструмент, который заранее дает необходимое время на подготовку к самых сложным киберинцидентам. Все больше данных из Threat Intelligence будут интегрироваться в смежные ИБ-системы. Мы очень много уделяем внимания технологическому партнерству с другими вендорами для того, чтобы сделать эффективным и комфортным для организаций использование мультивендорной инфраструктуры.
Благодаря, например, нашему технологическому сотрудничеству с нашими партнерами — аналитики, «охотники» за угрозами (Threat Hunters), сотрудники операционных центров ИБ и специалисты по реагированию на инциденты получили доступ к исчерпывающей технической информации о самых актуальных кибератаках.
Мы продолжим развивать как наши флагманские решения, так и новые технологические “хиты”, усиливать их локализацию для выявления и преодоления угроз российскими организациями. В частности, планируем более четко подходить к сегментированию клиентов, потому что в вопросах кибербезопасности необходима “тонкая настройка” под отрасль, вид и размер бизнеса. Это позволяет предоставить конкретному заказчику оптимальный функционал, а не просто коробочное универсальное решение.
И, конечно, в 2024 году у нас будет еще больше аналитики и исследований, поскольку мы считаем одной из своих главных задач — оперативно делиться с ИБ-сообществом нашей экспертизой и знаниями для эффективной защиты наших клиентов в киберпространстве.
■ erid:2SDnjcejzUYРекламодатель: ООО «ТРАСТ»ИНН/ОГРН: 7713775042 / ОГРН 1137746777630Сайт: www.facct.ru