Алексей Новиков, Positive Technologies: Госсектор, медицина и промышленность останутся в топ-3 целей для кибератак

После беспокойного 2022 года ИБ-сообщество с тревогой задумывается о перспективах 2023-го. Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков поделился с Cyber Media своими прогнозами на ближайшие месяцы.

Cyber Media: Как изменится портрет хакера в 2023 году?

Алексей Новиков: Если говорить о портрете, то хакеров можно классифицировать по мотивации: финансовая, хактивизм, шпионаж. При этом за большинством атак в 2022 году стояли политически мотивированные хактивисты. Прогнозы на 2023 год не слишком меняют ситуацию и хактивизм вряд ли пойдет на спад. Также не станет меньше и группировок, занимающихся шпионажем, как и злоумышленников, преследующих исключительно цели финансовой наживы. Усилится тренд атак, связанный с доставкой вредоносного кода в открытом ПО через сторонние зависимости, атак через доверенных партнеров и на цепочку поставки. С точки зрения техник и тактик мы не предвидим, что появится что-то супер-новое в хакерском инструментарии: скорее всего киберпреступники будут пользоваться хорошо известными и проверенными инстументами: инфостилерами, шифровальщиками и вайперами. Они позволяют злоумышленникам быстро получить доступ в инфраструктуру жертвы, не тратя время на поиск уязвимостей нулевого дня, и похитить данные.

Cyber Media: То есть инноваций ждать не стоит?

Алексей Новиков: Возможно, что-то новое мы и увидим. Но пока работают старые методы, их будут использовать. Например, до сих пор многие компании оставляют дефолтные (прим. — используемые по умолчанию) пароли в роутерах, которые могут быть легко скомпрометированы хакерами. То есть в таких случаях хакеру даже не нужно ничего взламывать: достаточно найти устройство и перебрать известные заводские пары логин–пароль и получение доступа к роутеру займет секунды.

Cyber Media: Тогда расскажите, что нужно сделать таким организациям, чтобы наладить эффективную работу в части ИБ?

Алексей Новиков: Для начала нужно определить недопустимые для компании события. То есть, провести анализ, посмотреть, по какому циклу работает бизнес, выделить недопустимые события, понять возможные сценарии атаки, и потом уже начать «прикручивать» защиту.

Примером простой IT-инфраструктуры может быть, скажем, игровой клуб. Для них недопустимым событием может быть длительная неработоспособность. Но учитывая простоту инфраструктуры, ее можно перестраивать с нуля хоть каждый день. Поэтому выделять большой бюджет на информационную безопасность нет особой необходимости.

Для интернет-магазина главной угрозой будет недоступность веб-ресурса, утечка платежной информации или информации о пользователях. В первом случае остановится работа магазина. Во втором — репутационные риски могут стать серьезным ударом по привлекательности сервиса для клиентов.

Самый главный совет — задуматься о возможных угрозах и понять, насколько компания зависима от цифровых технологий, и о возможных последствия кибератак на них. Важно не распыляться на защиту всего от всего, а сфокусироваться и максимально вложиться в невозможность реализации тех ситуаций, которые совершенно недопустимы, Такой подход на практике поможет закрыть огромное число лазеек для злоумышленников даже в тех направлениях, которые не вошли в топ по уровню критичности.

Cyber Media: Часто, даже в крупных компаниях, после инцидента начинают устанавливать все средства защиты, какие они могут себе позволить. Как вы считаете, это правильный подход?

Алексей Новиков: Еще раз повторюсь, что защищать все ото всех нецелесообразно. Нужен трезвый подход: определить недопустимые события, возможности для реализации негативных сценариев, средства защиты, которые эти сценарии закрывают. Даже имея бесконечный бюджет, мне кажется, огородить себя от всех угроз будет невозможно.

Например, какова ситуация с теми же самыми веб-сайтами? В 2022 году были компании, которые рассуждали так: «У нас сайт-визитка, мы можем его отключить сами и дальше спокойно работать». Для защиты им не нужны были никакие системы WAF (Web Application Firewall — система защиты веб-приложений) и т.д. А у другой организации сайт — это основа бизнес-процесса. Например, «Госуслуги» не могут отключиться, поэтому им совершенно точно нужен и межсетевой экран, и защита от DDoS, и прочее.

Cyber Media: Можно ли назвать госсектор самым уязвимым?

Алексей Новиков: Я бы не назвал его самым уязвимым. Но он точно самый атакуемый сейчас. За 2022 год количество атак, направленных на госучреждения, увеличилось на 25% по сравнению с предыдущим годом. Государственные учреждения столкнулись с наибольшим количеством кибератак среди организаций по итогам 2022 года. Злоумышленники использовали вредоносное ПО почти в каждой второй атаке. Основным вектором атак осталась социальная инженерия, с помощью которой злоумышленники заражали компьютеры сотрудников вредоносным ПО, похищали учетные данные использовали их как против самой жертвы, так и для дальнейшей рассылки фишинговых сообщений другим пользователям.

Cyber Media: По вашему мнению, так оно и будет оставаться?

Алексей Новиков: Скорее всего, да. Госучреждения останутся в топе, а на каком месте — первом, втором или третьем — сложно сказать. Цели злоумышленников постоянно меняются. Главной мотивацией хакеров последнего времени была максимизация общественного резонанса, к которому приводили инциденты. Вывести из строя инфраструктуру, а перед этим украсть данные для публикации в качестве доказательства взлома — это главный паттерн поведения хакеров прошлого года.

Cyber Media: Кто еще вместе с ними? Финансовые организации, как отмечают ваши эксперты, сейчас уже не особо интересны злоумышленникам.

Алексей Новиков: Мы действительно наблюдаем снижение числа успешных атак на финансовые организации по итогам 2022 года. Но их число по-прежнему велико. Хотя финансовый сектор лучше всего подготовлен к атакам по сравнению с остальными компаниями, в целом уровень защищенности финансовых организаций от внутреннего и внешнего злоумышленника остается недостаточно высоким. Например, среди исследованных экспертами Positive Technologies с 2021 по 2022 год финансовых организаций в рамках внешнего пентеста в 86% случаев удалось получить доступ в локальную сеть. Причем в половине из этих организаций проникнуть во внутреннюю сеть компании смог бы даже злоумышленник, не обладавший высокой степенью подготовки. Но, все относительно. Злоумышленник, у которого нет четкой цели будет атаковать самую легкую.

Cyber Media: Может, медицинские компании?

Алексей Новиков: Медучреждения уже пятый год подряд остаются в тройке самых атакуемых отраслей, а количество атак держится примерно на уровне 2021 года. Медучреждения чаще всего становились источником утечек данных среди организаций в прошлом году.

2023 год не станет легким для организаций промышленного сектора: к отрасли приковано значительное внимание атакующих. Множество новых злоумышленников, появившихся в предыдущем году, обратили свое внимание на этот сектор.

IT-компании вызывают интерес злоумышленников, поскольку их компрометация может позволить провести атаки на клиентов — пользователей продуктов и сервисов (атаки типа supply chain и trusted relationship (кибератака, в ходе которой злоумышленники взламывают инфраструктуру сторонней компании, у сотрудников которой есть легитимный доступ к ресурсам жертвы), которые приведут к серьезным последствиям.

Поэтому необходимо предусмотреть меры защиты против таких событий, как, кража сертификатов, утечка и модификация исходного кода программных продуктов, распространение вредоносных обновлений, несанкционированный доступ к данным или инфраструктуре клиентов. Поставщики облачных сервисов все чаще будут подвергаться атакам злоумышленников, по мере того как компании переносят свои данные в облачную инфраструктуру. В основном стоит ожидать атак, направленных на компрометацию учетных данных для доступа к ресурсам.