Такие вирусы, как WannaCry и Petya, о масштабных заражениях которыми сообщалось летом, не самые страшные. Об этом говорится в отчете разработчика продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью компании Solar Security за первое полугодие 2017 года. Эксперты считают наиболее опасной атаку Kill Chain («убийственная цепочка»).
«Несмотря на WannaCry и Petya, цифры по внешним инцидентам демонстрируют высокий, но не драматический рост. Дело в том, что массовые атаки на российские компании происходят регулярно, но, как правило, остаются вне поля зрения СМИ. В то же время о таком явлении, как Kill Chain пока говорят только специалисты по информационной безопасности. Таких атак еще относительно мало, но мы видим, что они перестали быть «страшилками» из презентаций западных вендоров и являются реальной угрозой. При этом большинство российских компаний не готово к их отражению», — комментирует исследование менеджер по развитию бизнеса Solar JSOC компании Solar Security Константин Черезов.
Kill Chain формируют атаки, состоящие из нескольких последовательных шагов злоумышленников. «Kill Chain — это цепь последовательных действий киберпреступника, направленных на взлом инфраструктуры и компрометацию ключевых ресурсов компании», — поясняют эксперты.
В 13% случаев первым шагом Kill Chain была атака на веб-приложение (например, онлайн-банк), в 25% — на управляющие протоколы систем (в том числе использование уязвимости Shellshock, известной с сентября 2014 года), в 62% — внедрение в организацию вредоносного программного обеспечения через e-mail-вложения или фишинговые ссылки.
В целом, согласно отчету, в первой половине текущего года средний поток событий информационной безопасности составлял 6,156 млрд в сутки, из них около 950 в сутки — события с подозрением на инцидент (172 477 за полгода). Это примерно на 28% больше, чем в первом полугодии 2016 года. Доля критичных инцидентов составила 17,2%. Таким образом, если в 2016 году критичным был каждый девятый инцидент, то теперь уже каждый шестой, отмечается в исследовании. Эксперты связывают такую динамику с общим повышением интенсивности массовых и нацеленных атак на организации.
Основными инструментами киберпреступников в первом полугодии были, как и раньше, атаки на веб-приложения (34,2%), компрометация учетных данных внешних сервисов клиента (23,6%) и вредоносное ПО (19,2%).
Основными виновниками внутренних инцидентов (в 63% случаев) оставались рядовые сотрудники компаний, хотя их доля стабильно снижается, указывают эксперты. Инциденты, связанные с действиями внутренних злоумышленников, не претерпели существенных изменений. В 43,4% случаев это утечки информации, еще в 23,5% — компрометация внутренних учетных записей, менее 10% приходится на использование хакерских утилит, средств удаленного администрирования и т. п.
