SMB серьезнее относится к целенаправленным APT-атакам

Целью исследования «Кибербезопасность в российских компаниях» было определение уровня осведомленности российского малого и среднего бизнеса  об угрозах и статистике инцидентов, а также оценка динамики киберпреступлений за последний год, включая наиболее популярные цели и каналы атак.

По данным проведенного опроса, 76% предприятий SMB из разных отраслей экономики сталкивались за последний год с инцидентами информационной безопасности. Артем Синицын, руководитель программ информационной безопасности Microsoft в странах Центральной и Восточной Европы, отметил, что за 2018 год среднемесячный показатель подобных атак вырос в 4,5 раза.  Многие респонденты отмечают усиление масштаба киберпреступлений за последнее время. Около трети участников опроса, не сталкивавшихся с инцидентами ИБ за последнее время, допускают, что могли их просто не обнаружить. В целом рост киберпреступности опрошенные компании связывают с ежегодно повышающимся уровнем цифровизации бизнеса и общества.

45% оценили эту угрозу в максимальные 5 баллов.  Программы-вымогатели 42% респондентов оценили в 5 баллов. 31% респондентов присвоил 5 баллов атакам DDoS. Именно с такого рода инцидентами большинство опрашиваемых сталкивалось в 2018 году.

Среди других зафиксированных инцидентов респонденты наиболее часто указывают утечки информации по вине инсайдеров (14%) —  ввиду как умышленных мошенничеств, так и по причине низкого уровня киберграмотности сотрудников.

Большинство респондентов, столкнувшихся с киберпреступлениями, отмечают, что их целью были денежные средства либо номера банковских карт, счетов (37%). Около 15% компаний, подтвердивших факт инцидента ИБ, прокомментировали, что не понесли ущерба, адекватно отразив атаку. Нужно отметить, что часто отсутствием ущерба считается возможность решить проблему собственными силами — за счет персонала компании. 

Рост DDoS-атак объясняется их относительной дешевизной организации при высокой эффективности, при этом возрастает мощность атак, отмечают в первую очередь представители сегмента e-commerce (интернет-магазины и интернет-сервисы). Наибольшую закрытость в вопросах данной тематики проявляли традиционно организации финансового сектора.

К одному из трендов можно отнести преобладание целенаправленных атак над массовыми. APT (advanced persistent threats) — многоэтапные, тщательно спланированные и организованные кибератаки, направленные на отдельную отрасль или конкретные, как правило крупные, компании. Их также называют таргетированными, целевыми, целенаправленными. Для проведения таких атак киберпреступники объединяются в преступные группы, которые принято называть APT-группировками.

По данным Positive Technologies, наибольший интерес для злоумышленников представляют государственные учреждения, промышленные компании, финансовый сектор и сфера науки и образования. Хакеры, входящие в состав APT-группировок, имеют большой опыт, высокую квалификацию и хорошие технические навыки. Кроме того, они обладают таким ценным ресурсом, как время, и могут тщательно подходить  к вопросу организации атак.

Атаки на IT-компании становятся все более популярны у киберпреступников. Так, по результатам исследования, в ходе которого было проанализировано поведение двадцати двух APT-группировок, атаковавших российские организации на протяжении последних двух лет, 32% атакуют организации, занимающиеся разработкой ПО и системной интеграцией. Эти атаки, преимущественно supply chain attack и trusted relationship,  лишь части сложных атак на более серьезные, промышленные или государственные организации или банки.

По словам Алексея Новикова, директора экспертного центра безопасности Positive Technologies (PT Expert Security Center), истории, в которых крупная целевая организация атакуется через своего менее защищенного партнера, из разовых кейсов превратились в тренд.

Что касается решений защиты, то респонденты привыкли работать с типовыми решениями, внедряемыми в организациях на протяжении многих лет: антивирусами, межсетевыми экранами, IPS/IDS. В Positive Technologies отмечают, что вслед за ростом угроз ИБ компании начинают использовать такие технологии для защиты как: песочницы, системы глубокого анализа трафика (network traffic analysis), решения для обнаружения, расследования и реагирования на сложные киберугрозы (endpoint detection and response), а также специализированные решения для защиты от APT.

Если рассматривать только компании СМБ (то есть численностью до 500 сотрудников), то распределение используемых технических средств несколько меняется. На первом месте с 85% остаются антивирусные средства, 43% приходится на долю IPS/IDS, 37% — web application firewall (WAF), 33% — песочницы, на долю решений класса new generation firewall приходится 26%, еще 20% получают решения класса network traffic analysis, только 19% опрошенных из таких компаний указали использование SIEM-систем, еще 12% — используют endpoint detection and response (EDR) и замыкают рейтинг специализированные решения для защиты от APT (9%).