– 23% IT-компании;
– 15% военно-промышленный комплекс;
– 8% топливно-энергетический комплекс.
Что касается статистики PT, то в своих проектах с первой половины 2020 по вторую половину 2021 года им удалось реализовать 87% недопустимых событий.
Финансы
Финансовый сектор – один из тех, кто чувствует себя относительно хорошо. Доля атак на эти организации от общего числа снижается из года в год. И что интереснее всего, новых группировок, стремящихся выводить деньги со счетов в банках, не появляется. Причина этому – зрелость отрасли и усилия Центробанка: регламенты, вложения в ИТ-инфраструктуру и ПО, налаженный информационный обмен. И это понятно, если воруют деньги, то это видно здесь и сейчас.
Атакуются организации вновь через социальную инженерию (47%) и использование вредоносного ПО (загрузчики, шпионское ПО, трояны, шифровальщики.
Типичными целями атак на банки стали хищение конфиденциальной информации и остановка ключевых бизнес-процессов (53% и 41% случаев соответственно). Хищение денег было в 6% успешных атак.
Сейчас финансовые организации атакуются с целью:
– получения более выгодного курса обмена валют;
– кражи денег со счетов пользователей или обмана комиссии;
– получения конфиденциальной информации о пользователе и её использования в других атаках при помощи социальной инженерии;
– увеличения нагрузки на систему и сбоев в работе личных кабинетов пользователей.
Кроме того, все еще встречаются небезопасные реализации систем быстрых платежей.
В результате банки внедряют все новые технологии защиты:
– ужесточают проверки KYC (обязательная проверка персональных данных клиента), в том числе развиваются сервисы проверки документов (видеозвонки с распознаванием документов, загрузка фотографий документов, проверки по базам данных, оценка социальной активности) для понимания, реальный ли человек скрывается за тем или иным аккаунтом;
– вводят системы машинного обучения для ускорения, упрощения и улучшения поиска информации о клиенте, распознавания и блокирования подозрительных операций.
В итоге количество стандартных веб-уязвимостей уменьшается, но количество логических уязвимостей, наоборот, увеличивается. И во многом это происходит из-за развития экосистем: создание все новых и более сложных интеграций, микросервисов, введение голосовых помощников и чат-ботов.
Однако, есть два негативных фактора, позволяющие специалистам PT находить в каждой организации уязвимости, которые дают возможность проникнуть во внутреннюю ИТ-инфраструктуру. Во-первых, защитные патчи, которые выпускают разработчики ПО, зачастую игнорируются ИТ-службами организаций и не устанавливаются. Во-вторых, всегда есть вероятность наличия уязвимости, о которой пока неизвестно разработчикам, но ее обнаружили исследователи злоумышленников. Такие уязвимости называют «уязвимостями нулевого дна». И эти факторы – залог того, что хакер проникнет внутрь инфраструктуры, поэтому нужно учиться их вовремя выявлять.
Всего в ходе исследований специалисты PT смогли проникнуть во внутреннюю сеть организаций в 86% случаев. Также исследователи PT получали полный контроль над инфраструктурой и реализовывали недопустимые события: доступ к критически важным для банков системам, к АРМ казначеев, серверам обмена платежными поручениями. Всего экспертам PT удалось реализовать более 70% недопустимых событий в каждой финансовой организации.
В итоге вымогатели продолжат свои атаки на банки. Пока эти атаки проще в исполнении и в совокупности приносят больше прибыли, чем попытки вывести крупную сумму денег со счетов. Но теперь одной из основных целей хакеров будут клиенты банков, которые пользуются онлайн-банкингом. По данным Центробанка России уже в 2020 году 75% взрослого населения пользовались онлайн-банкингом. Поэтому хакеры продолжат развивать направление компрометации банковских приложений. Также в ходу останутся приемы социальной инженерии.
Основным же методом также является фишинг – на него приходится 60% атак. Хакеры с удовольствием получали кредиты на чужие имена, чужие фирмы, которым эти кредиты теперь нужно выплачивать.
В результате, если раньше рентабельно было атаковать компании с целью кражи денег со счетов, то работа, которую провел регулятор, и развитие систем защиты снижают привлекательность финансовых компаний, нужна слишком высокая компетентность и техническое оснащение. Но вот с промышленностью всю наоборот. Там хакерам как раз интересны данные о клиентах, внутренних пользователях и любая информация, которая относится к коммерческой тайне.
Опять же, это приводит и к росту атак на конфиденциальные данные (с 12% до 20%). Также популярны персональные данные (32%), учетные данные (20%) и медицинская информация (9%).
На обычных людей в целом было направлено 14% атак, и в 88% случаев через социальную инженерию. И конечная цель в 66% случаях – учетные и персональные данные.
Закрывая главу, приведу еще несколько примеров наиболее резонансных атак 2022 года на организации из коммерческого сектора:
– Группировка Lapsus$ взломала ряд крупных IT-компаний. Сначала была атакована Okta, которая разрабатывает решения для управления учетными записями и доступом, в том числе обеспечивает поддержку многофакторной аутентификации. Затем атаковали разработчика графических процессоров Nvidia, в результате чего был украден 1 ТБ данных, среди которых – исходный код драйверов видеокарт и сертификаты для подписи ПО. Украденные сертификаты Nvidia использовались для распространения вредоносных программ. В марте преступники смогли взломать Microsoft и Samsung, украв исходный код некоторых продуктов.
– Швейцарская компания Swissport, являющаяся провайдером грузовых авиаперевозок и работающая в 310 аэропортах в 50 странах мира, подверглась атаке программы-вымогателя. Атака привела к задержкам множества рейсов и утечке 1,6 ТБ данных.
– Атака на телекоммуникационного оператора Vodafone в Португалии вызвала сбои в обслуживании по всей стране, в том числе в работе сетей 4G и 5G. Vodafone Portugal обслуживает более 4 млн абонентов сотовой связи.
– В октябре в результате кибератаки на Supeo, поставщика IT-услуг для крупнейшей датской железнодорожной компании, на несколько часов остановилось движение поездов. Supeo предоставляет решение, которое машинисты используют для доступа к критически важной информации – данным о работах на путях и об ограничениях скорости. Во время атаки поставщик отключил свои серверы, что вызвало сбои в работе приложения, и машинисты были вынуждены останавливать составы. После восстановления движения поезда еще сутки не ходили по расписанию.
– В марте Toyota на день приостановила работу 14 заводов в Японии из-за кибератаки на Kojima Industries, поставщика комплектующих. Кибератака также затронула других японских производителей автомобилей – компании Hino и Daihatsu Motors.
– Во II квартале произошла крупная атака на 3 иранских сталелитейных завода, в результате которой были нарушены технологические процессы, а на одном из заводов злоумышленникам удалось обрушить ковш с жидким чугуном и вызвать пожар.
Глава 5. Про технологии
Облачные технологии
Одной из самых востребованных технологий цифровизации и цифровой трансформации являются облачные вычисления, хранилища и сервисы. Соответственно, фокус в организации ИБ все больше смещается в область ответственности провайдеров. Тут необходимо смотреть с двух углов:
– крупные провайдеры облачных сервисов и инфраструктуры;
– локальные стартапы и небольшие провайдеры.
Что касается первых, то здесь все неплохо: крупные провайдеры осознают, что их будут атаковать, а значит, будут предпринимать меры. Предупреждён – значит вооружён. И в целом облачные сервисы крупных провайдеров разрабатываются по принципу «вокруг все враги», плюс они имеют компетентных специалистов по ИБ. Также подобная централизация позволяет меньшим количеством специалистов защитить большее количество данных.
А вот относительно стартапов и небольших провайдеров все печальнее. У них нет ресурсов, и скорее всего они потеряют большую часть самых денежных клиентов. То же самое относится к локальным ЦОДам и службам ИТ, которые развиваются внутри промышленных компаний. Они, как правило, не способны обеспечить необходимый уровень защиты. Либо, как говорили ранее, начинают просто уходить в глухую оборону, и для бизнеса теряется всякий смысл таких облачных сервисов, ими просто невозможно пользоваться. В то же время растет и количество вредоносного ПО для Linux.
Заставляет задуматься и тот факт, что почти 40% всех выявленных и закрытых в 2021 году уязвимостей с помощью исследователей от PT имели высокий уровень опасности. А самое важное, что 12,5% всех уязвимостей были выявлены в софте, призванном обеспечивать защиту от хакерских атак. И, несмотря на всю текущую ситуацию и санкции, ребята из PT соблюдают responsible disclosure – политику в отношении найденных уязвимостей, т.е. сообщают разработчикам о всех найденных уязвимостях до их публикации в открытом доступе.
Мобильные приложения
Второе направление, которое развивается вместе с цифровизацией, – мобильные приложения: для клиентов и программы лояльности, для сотрудников, мобильные обходчики, фиксация опасный событий, государственные услуги. Любая более-менее крупная организация имеет свое приложение.
При этом, по данным PT, самая популярная уязвимость мобильных приложений – хранение пользовательских данных в открытом (или легко обратимом) виде. Также встречалась ситуация, когда важные данные хранились в общедоступных каталогах. А общая доля недостатков, связанных с небезопасным хранением данных, составила более 33% от всех найденных уязвимостей. То есть то, что интересно хакерам, и является одной из самых частых проблем.
Эксперты РТ в 2022 году провели исследование 25 пар приложений (Android – IOS). Практически каждое имело проблемы с хранением данных. Одна из ключевых причин – чрезмерная вера разработчиков в системные механизмы защиты на уровне операционной системы, игнорирование многоуровневой защиты.
Наибольшая доля уязвимостей (14%) пришлась на хранение пользовательских данных в открытом виде. Второе место поделили между собой уязвимости, касающиеся проверки целостности приложений и хранения конфиденциальной информации в коде (по 9%).
Также, практически каждое приложение имеет хотя бы один из следующих недочетов:
– отсутствие обнаружения взлома операционной системы (root на Андроиде и jailbreak на IOS);
– отсутствие контроля целостности исполняемых файлов;
– отсутствие обфускации (запутывания кода).
Android и iOS: кто безопаснее?