Group IB

Positive Technologies: что принес ушедший год и каких вызовов кибербезопасности ждать в 2023-м

13.01.2023
Positive Technologies: что принес ушедший год и каких вызовов кибербезопасности ждать в 2023-м

В рамках пресс-конференции, посвященной подведению итогов 2022 года, эксперты Positive Technologies выделили главные события в сфере кибербезопасности за прошедший год и дали прогноз, каких угроз стоит ожидать в 2023 году. Оценки специалистов основаны на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.

В 2022 году внимание киберпреступников привлекали все ключевые отрасли экономики. Так, эксперты Positive Technologies отмечают следующее:

  • Государственный сектор — был целью № 1. В I квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза[1] по сравнению с последним кварталом 2021 года, а затем продолжало расти в течение всего года. Государственные учреждения столкнулись с наибольшим количеством кибератак среди организаций: их доля от общего числа атак составила 17% — это на 2 п. п. больше, чем в 2021 году. Всего за 2022 год мы зафиксировали 403 атаки, что на 25% больше, чем за 2021 год. Государственный сектор был целью множества преступных группировок (как вымогателей, так и APT-группировок), в числе которых — Cloud Atlas, Tonto, Gamaredon, MuddyWater, Mustang Panda. Злоумышленники использовали вредоносное ПО почти в каждой второй атаке на госучреждения. Наиболее популярными типами вредоносов оказались шифровальщики (56% среди атак с применением ВПО) и вредоносные программы для удаленного управления (29%).
  • Промышленность — хакеры стремятся остановить технологические процессы. В 2022 году почти каждая десятая[2] атака на организации приходилась на промышленные предприятия. Всего за год зафиксировано 223 атаки на промышленные компании, что на 7% больше по сравнению с 2021 годом. Основной удар по промышленности пришелся на II квартал, когда общее количество атак на организации промышленного сектора увеличилось на 53% вследствие возросшей активности шифровальщиков. «Почти в половине атак использовалась социальная инженерия, в 41% случаев злоумышленники эксплуатировали уязвимости в ПО. В большинстве атак (71%) применялось вредоносное ПО, которое распространялось преимущественно через компрометацию ресурсов на периметре организаций (49%) и электронную почту (43%). Уже третий год подряд мы отмечаем снижение доли использования социальной инженерии и увеличение доли эксплуатации недостатков защиты на ресурсах периметра», — комментирует Дмитрий Даренский, руководитель практики промышленной кибербезопасности, Positive Technologies.
  • Медицина — лидирует по утечкам данных. Медучреждения уже пятый год подряд остаются в тройке[3] самых атакуемых отраслей: в 2022 году доля атак на них составила 9% среди всех организаций, а количество атак держится примерно на уровне 2021 года. Медучреждения чаще всего становились источником утечек данных среди организаций. Более чем в 80% случаев атаки приводили к утечкам данных о клиентах (в основном персональных данных и медицинской информации). В системах медучреждений содержатся большие объемы данных, и обычно преступники могут получить Ф. И. О., дату рождения, физический адрес, телефонный номер, реквизиты счетов и номера карт, информацию о страховке, номер водительского удостоверения, адрес электронной почты, историю болезни, данные о состоянии здоровья и другую медицинскую информацию.
  • Финансовый сектор — наилучшая подготовленность к атакам, но в целом уровень защиты недостаточный. По итогам 2022 года общее число атак на финансовые организации снизилось[4] на 7% по сравнению с аналогичным периодом 2021 года. Доля атак на финансовую отрасль в последние годы в целом сокращалась и сейчас составляет около 4% от числа всех атак на организации. Хотя финансовый сектор лучше всего подготовлен к атакам по сравнению с остальными компаниями, в целом уровень его защищенности от внутреннего и внешнего злоумышленника остается недостаточно высоким. Среди исследованных с 2021 по 2022 год финансовых организаций[5] в рамках внешнего пентеста экспертам Positive Technologies в 86% случаев удалось получить доступ в локальную сеть, причем в половине из этих компаний в случае реальной атаки проникнуть во внутреннюю сеть мог бы даже злоумышленник, не имеющий высокой степени подготовки. При проведении внутреннего пентеста во всех случаях экспертам удалось получить полный контроль над инфраструктурой, а также продемонстрировать возможность получения доступа к критически важным системам: например, в одном из банков была выявлена уязвимость, позволяющая скомпрометировать более 1000 банкоматов. Как правило, при проведении верификации за ограниченный рамками работ период удается реализовать более 70% обозначенных событий.
  • IT-компании — осторожность в использовании открытого ПО и контроль цепочек поставок. Число атак на IT-компании в 2022-м несколько уменьшилось[6] по сравнению с 2021 годом, однако на них все еще приходится 6% атак на организации. В течение года мы наблюдали крупные атаки, направленные на IT-компании. Например, в феврале Lapsus$ атаковали американского разработчика графических процессоров Nvidia, а в начале марта под ударом оказалась Samsung, был украден исходный код Samsung Galaxy. Кроме того, были взломаны такие известные компании, как Okta, Microsoft, Cisco, AMD, Cloudflare, Twilio, LastPass. Практически с одинаковой частотой в атаках на IT-компании использовались приемы социальной инженерии, компрометации учетных данных и эксплуатации уязвимостей на периметре. В каждом третьем случае были замечены программы-шифровальщики.
  • Наука и образование — под атаками шифровальщиков. Учреждения из сферы науки и образования входят в топ-5 самых часто атакуемых организаций. Количество атак на них сопоставимо[7] с результатами 2021 года. Более чем в половине случаев злоумышленники смогли украсть конфиденциальную информацию, преимущественно персональные данные пользователей. В каждой второй атаке использовались шифровальщики, а основной целью преступников было получение выкупа от образовательного учреждения. В 59% случаев злоумышленники прибегали к методам социальной инженерии в адрес сотрудников, а в 25% атак для доступа к ресурсам организации подбирали учетные данные или использовали скомпрометированные пароли. В каждой пятой атаке злоумышленники эксплуатировали уязвимости в ПО. За 2022 год увеличилась доля атак на веб-ресурсы: с 11% до 20%.
  • Пользователи — масштабные утечки данных. Количество атак на частных лиц увеличилось[8] на 44%. На обычных пользователей пришлось 17% от числа всех атак. Традиционно основной вектор атаки — это различные приемы социальной инженерии, которые использовались в 93% случаев. Для проведения таких атак злоумышленники создавали фишинговые сайты (56%), отправляли вредоносные письма по электронной почте (39%), искали жертв в социальных сетях (21%) и мессенджерах (18%).

В 2023 году эксперты Positive Technologies прогнозируют:

  • Расцвет хактивизма, направленного на государственные учреждения. Он может привести к негативным последствиям — от дефейса сайтов до разрушения инфраструктуры.
  • Атаки на медицинские учреждения и их клиентов: кражи конфиденциальных данных, фишинговые атаки на пациентов, давление шифровальщиков, инциденты, направленные на взлом сервисов и приложений, используемых для оказания дистанционных медицинских услуг.
  • Изменение ландшафта угроз промышленности: целями преступников чаще будут не финансовая выгода или получение крупных сумм выкупа, а перебои в деятельности предприятий, аварии, остановка важнейших технологических процессов. Есть и положительные тренды: приходит понимание ИБ как инструмента обеспечения устойчивости, в проекты по модернизации и строительству производств уже по умолчанию включаются решения по кибербезопасности, защищенные АСУ ТП от поставщиков, «неинвазивность» уходит в прошлое, развиваются отраслевое регулирование и центры компетенций. Промышленность движется в сторону практической защиты своих активов, и закономерно растет интерес к комплексным средствам защиты, которые обеспечивают выполнение в первую очередь прикладных задач безопасности предприятий.
  • Появление клонов онлайн-банков и атаки на финансовые компании через интегрируемые системы. «Чтобы не столкнуться с клонами онлайн-банков, необходимо в ручном и автоматическом режиме мониторить и искать их и фишинговые сайты (мобильные приложения) финансовых компаний. От атак через интегрируемые системы эксперты Positive Technologies рекомендуют проводить анализ защищенности всех связанных систем, развивать команды внутренней безопасности, создавать условия для оперативного реагирования на инциденты, ограничивать доступы, которые не требуются для работы интегрируемой системы», — комментирует Максим Костиков, руководитель отдела анализа защищенности приложений, Positive Technologies.

  • Рост числа атак на поставщиков облачных сервисов, продолжение атак на цепочки поставок ПО и услуг, возникновение у IT-компаний необходимости следить за сохранением безопасности специализированных сред, предназначенных для разработки, а также используемых библиотек с открытым исходным кодом.

  • Развитие атак на сервисы онлайн-обучения, продолжение атак шифровальщиков на сферу науки и образования, причем злоумышленники будут преследовать разные цели: кражу исследовательских наработок, персональных и учетных данных пользователей.
  • Совершенствование схем атак на пользователей с применением социальной инженерии. В 2022 году пользователи стали жертвами масштабных утечек данных. Это позволит злоумышленникам совершенствовать схемы атак с использованием социальной инженерии: преступники смогут проводить атаки более точечно, располагая детальной информацией о действиях жертвы в скомпрометированных сервисах. Из-за распространения готовых комплектов для проведения массовых фишинговых атак значительно увеличится активность злоумышленников в отношении частных лиц, особенно в отношении клиентов онлайн-банков и других онлайн-сервисов. Эксперты также прогнозируют увеличение числа атак на пользователей в социальных сетях и мессенджерах, а также рост количества атак на второй фактор аутентификации, который применяется пользователями для входа во многие сервисы.

«Руководствуясь принципами результативной безопасности, мы рекомендуем сосредоточиться на защите от тех угроз, реализация которых приведет к недопустимым событиям. С учетом прогнозов в первую очередь это нарушение ключевых технологических и бизнес-процессов, утечка конфиденциальных данных пользователей, возможность развития атаки на клиентов компании. Недопущение таких событий во многом зависит от своевременного обнаружения и реагирования на угрозы, а для этого необходимы постоянное развитие собственных команд безопасности или привлечение внешних специалистов по ИБ, мониторинг событий ИБ, особенно для критически значимых систем, проактивный поиск угроз для исключения долгого пребывания злоумышленников в корпоративных системах. Крайне важно иметь надежные средства резервного копирования и отлаженный процесс восстановления, которые позволят в кратчайшее время возобновить основную деятельность организации в случае атаки. Обмен опытом в ИБ с другими компаниями в своей отрасли позволит повысить уровень ее защищенности в целом, но также следует задуматься о межотраслевых последствиях атак и их предотвращении, — комментирует Федор Чунижеков, аналитик исследовательской группы департамента аналитики информационной безопасности, Positive Technologies.


[1] Основано на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.

[2] Основано на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.

[3] Основано на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.

[4] Основано на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.

[5] В выборку вошли проекты внешнего и внутреннего тестирования, выполненные для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем.

[6] Основано на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.

[7] Основано на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.

[8] Основано на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.