Актуальные киберугрозы для корпоративных сетей в России и варианты противодействия в 2023 году

Направления активности

Киберпространство отражает экономические трудности, внутри- и внешнеполитические проблемы, вооруженные конфликты между странами. Исходя из ситуации, и продвинутые группировки, и самостоятельно действующие хакеры меняют вектор активности, техники и тактики. Теперь скоординированным прицельным атакам предшествует разведка. Хакеры прощупывают компанию: собирают сведения об IT-инфраструктуре, ПО, защите и разрабатывают эксплойты под уязвимости. Задачей становится удар в момент, связанный с событием на экономической и политической арене.

Изменение географии атак

Эксперты по киберугрозам утверждают: в прошлом году 40% компаний из сегментов Large Enterprise и Enterprise испытали на себе хотя бы одну атаку. Из-за геополитических конфликтов преимущественная часть прицельных ударов пришлась на Восточную Европу, Азию, Ближний Восток. Россия оказалась в лидерах по кибератакам, которые ведут из США, стран НАТО, КНДР. 

Цели нападений — шпионаж и вымогательство. Например, специализирующаяся на фишинговых рассылках OldGremlin потребовала 1 млрд рублей за расшифровку данных. Подсчитать количество жертв вымогателей и обозначить среднюю сумму выкупа невозможно. Компании не хотят афишировать инциденты, связанные с финансовым и репутационным ущербом.

В 2023 году под ударами останутся Россия, Иран, Турция, Китай, Северная Корея. За сложными атаками будут стоять подготовленные хакеры и проправительственные группы. При этом поддерживать их могут и страны-союзники на политической арене. Так, в шпионаже за российскими предприятиями замечены Lazarus и Kimsuky из КНДР и Mustang Panda из Китая.

Сдвиг отраслевого центра

Госсектор перестает быть целью №1. Массовые кибератаки для «раскачивания лодки» постепенно сменяют финансово-мотивированные удары. В фокусе интереса — конфиденциальные базы данных, экспертные наработки, информация о новых технологиях. Кроме получения и продажи доступа к корпоративным сетям, задачей станет и уничтожение инфраструктуры.

Риску подвержены:

• Промышленность и энергетика. Цель атак на корпоративный и технологический сегменты сети — повлиять на рабочие процессы и создать общественный резонанс.

• Медицина. Кража личных данных и медицинской информации помогает получить персональные сведения и использовать психологическое давление для финансовой выгоды.

• Образование и наука. Хакеров интересуют научные и исследовательские наработки, поскольку это важно для развития импортозамещения, технологической и экономической независимости.

• Логистика и перевозки грузов всеми видами транспорта. Под ударом цепочки поставок, от которых зависят снабжение предприятий, внутренняя и мировая экономика.

• IT. Кибератаки на поставщиков ПО, услуг и облачных сервисов направлены на шпионаж, вымогательство и угрозу безопасности.

Важно! Ситуацию осложняет то, что видимые признаки проникновения в IT-инфраструктуру иногда отсутствуют длительное время. На помощь хакерам приходят алгоритмы шифрования, кодирования, обфускации.

Продолжение атак на традиционные мишени

Традиционные цели киберпреступников не остаются без внимания. Это госсектор и социальные учреждения, подрядчики в оборонной и аэрокосмической промышленности, операторы критической инфраструктуры. Кибератаки будут проводить в рамках геополитических и вооруженных конфликтов. Целью станут провокации аварий, остановки технологических процессов и процессов жизнеобеспечения, повреждение данных и сетей.

Прочие перемены рельефа угроз

К проблемам, повышающим риск киберугроз, стоит отнести ещё ряд факторов. Самоорганизованные хактивисты будут примыкать к группировкам и действовать под руководством квалифицированных киберпреступников. Это тоже ведет к тому, что место масштабных атак на легкодоступные сайты занимают целевые удары и попытки доступа к корпоративным сетям.

Противостояние России и Запада остается центральной темой в информационном поле. Политическая мотивация ведет к нарастанию внешней агрессии и атакам для поиска нужных сведений. Группировки и хакеры одной стороны могут считать, что наносят удары для поддержки Родины. Мотив — экономический и репутационный ущерб «врагу».

Кроме того, увеличивается объем вымогательств. Это связано с санкциями, инфляцией, ростом цен и уровнем киберпреступности, способной приносить деньги. Вымогатели наращивают обороты и из-за роста спроса на доступы к корпоративным сетям, где легко получить важные данные по финансам, деловым договорам.

Факторы риска, предопределенные геополитическими преобразованиями

Геополитическая ситуация помогает росту киберугроз. По сути, информационная безопасность превращается в серьезную проблему бизнеса. Сложные способы атак сменяют базовые тактики хакеров, а организовать надежную цепочку поставок продуктов и сервисов становится тяжелее. Почему так происходит? Ответ на поверхности:

• Курс на импортозамещение приводит к увеличению эксплойтов нулевого дня. Хакеры находят уязвимости в приложениях и системах, на которые переходят российские компании.

• Вендоры ПО, в том числе в составе программно-аппаратных комплексов, ушли с российского рынка. Уровень защищенности сетей снижается из-за сложностей с обновлением продуктов. 

• Между компаниями-разработчиками больше нет привычного обмена информацией. Отсутствие взаимодействия и прозрачности в отношениях осложняет обеспечение кибербезопасности.

• Прямое давление политических сил на индустрию ИБ увеличивает количество проблем. Так, например, с 31 марта госзаказчикам нельзя закупать без согласования иностранное ПО для объектов КИИ, а российское пока уступает по защищенности.

• Тесная связь киберразведки и политики мешает поставщикам ПО и снижает качество CTI. Компаниям-разработчикам сложно соблюдать нейтралитет, а анализ киберугроз становится менее объективным.

• Фрагментация интернета по политическим причинам ограничивает доступ к информации. Это повышает риск появления инсайдеров, утечки данных и снижает уровень безопасности.

Дополнительно надо отметить утечку квалифицированных кадров. Массовая эмиграция IT-специалистов мешает компаниям формировать команды безопасности.

Дополнительные технические и технологические факторы риска

Глобальной проблемой остается дефицит полупроводников. И это тоже влияет на кибербезопасность. Если компании нужно усложнить архитектуру сети и нарастить мощность, она закупает дополнительное оборудование. Из-за дефицита растут цены на серверы, сетевые устройства, рабочие компьютеры. Выделенная на ИБ доля в бюджете уменьшается вместе с защищенностью.

Несмотря на завершение пандемии, сотрудники продолжают работать из дома. Ежедневно они выходят в корпоративную сеть, используют личные телефоны и ноутбуки. Контроль безопасности в таком случае ограничен. И хакеры применяют техники социальной инженерии и фишинга, компрометируют корпоративную почту и рабочие аккаунты. Входит в жизнь и индустриальный интернет вещей. 

Важно! Уязвимости IIoT-технологий добавляют проблем с безопасностью, так как выступают воротами и для входа хакеров.

Наиболее эффективные техники и тактики будущих атак

Несмотря на то, что кибератаки стали сложнее, а их количество увеличилось, методы известны и понятны. Они общие и для государственных компаний, и для частного бизнеса. Группировки и самостоятельно действующие хакеры используют одинаковые техники и тактики. Специалисты считают, что принципиально новых киберугроз пока нет.

В тренде:

• использование украденной информации — деловой переписки, данных клиентов для рассылки убедительных фишинговых писем с вредоносным вложением;

• 0-day уязвимости, в том числе старые, необнаруженные ранее ошибки, которые переходят в новые внедряемые продукты от российских разработчиков;

• скомпрометированная корпоративная почта и фишинговые сайты, которые вводят в заблуждение;

• применение стилеров для кражи данных и доступа к корпоративную сеть, что обусловлено работой на удаленке и использованием SSO;

• загрузка троянов под видом безопасного и легитимного пакета, троянизированных установщиков популярных приложений и специализированного ПО;

• целевая фишинговая рассылка по корпоративной почте с «приманками», затрагивающими политические события;

• использование вредоносных пакетов и уязвимостей в ПО с открытым кодом, которое задействуют в многокомпонентных проектах;

• уязвимости операционных систем, например Linux на волне импортозамещения, веб-браузеров, офисных приложений и аппаратного обеспечения.

Важно понимать, что техники применяются комплексно. Найти уязвимость только полдела, надо ещё получить доступ в сеть. Здесь начинается второй этап работы хакера, который фишинг и социальную инженерию, чтобы вредоносное ПО попало на компьютер.

Специалисты назвали топ-5 угроз кибербезопасности для бизнеса в 2023 году

Эксперты по защите от кибератак спрогнозировали, с какими угрозами столкнется бизнес в 2023 году с учетом глобальных геополитических волнений и роста киберпреступности.

Фишинг

Целевые фишинговые атаки будут угрозой №1. Социальная инженерия на высоте. Хакеры играют на невнимательности, доверии, злободневных тематиках, связанных с политическими и экономическими событиями. Удары по сотрудникам компаний становятся продуманнее, поэтому жертвы предоставляют конфиденциальные данные организации и доступ в корпоративную сеть. Это приводит к прямым финансовым и репутационным потерям.

Вредоносное программное обеспечение

Увеличится количество кибератак шифровальщиков. Преступные группировки активно используют программы-вымогатели. По отчетам аналитиков количество ударов по бизнесу с целью получить выкуп за зашифрованные данные в прошлом году выросло в три раза и будет расти дальше. На втором месте вайперы. Это связано с политической мотивацией. Целью хакеров становится не выкуп, а полное уничтожение данных с тысяч рабочих станций и разрушение инфраструктуры.

Важно! Вредоносное ПО распространяется через фишинговые сайты и рассылку по корпоративной почте.

DDoS-атаки

Их объемы снижаются, но пока массовые атаки с помощью ботнетов нового типа остаются в топе. Главные цели — финансовый и госсектор: информационные порталы, ресурсы услуг, платежные системы и банки, ОФД, инфраструктура ритейлеров. Удары политически мотивированными или играют роль прикрытия. В этом случае злоумышленники отвлекают внимание от истинной цели, например атаки шифровальщиков. 

Нарушение данных

Количество утечек конфиденциальных данных о компаниях и гражданах будет расти. Злоумышленники используют информацию в своих целях. Финансово мотивированные хакеры задействуют данные в сложных прицельных атаках с помощью фишинга и социальной инженерии, а также для шантажа жертв. Политически мотивированные злоумышленники выкладывают базы в свободный доступ, чтобы ударить по репутации бизнеса.

Недостаточная защита сотрудников

Несвоевременное обновление ПО, уязвимости, слабая защита компьютеров сотрудников приводят к тому, что шифровальщики прорываются в корпоративную сеть. Усугубляет ситуацию удаленная работа: подключение к ресурсам компании и использование персональных ноутбуков и смартфонов, на которых не установлены корпоративные средства безопасности.

Заключение

В 2023 году в поле зрения хакеров попадут и те компании, которые раньше не интересовали. Это связано со сменой направлений активности. Вырастет количество атак на малый и средний бизнес, у которых меньше ресурсов для защиты безопасности и которым важно быстро восстанавливать данные. На первый план выйдут целенаправленные удары, требующие киберразведки и поиска уязвимостей на периметре. 

Зная угрозы, проанализировав уязвимости инфраструктуры и доступные инструменты, бизнес защитит себя от атак. Крайне важно выделить достаточный бюджет, следить за надежностью партнеров по поставке ПО, позаботиться о средствах ограничения доступа и контроля сотрудников и подрядчиков.