Ключевые тенденции кибератак 2015 года от экспертов Positive Technologies

15 октября специалисты компании Positive Technologies выступили на конференции «Тенденции развития преступлений в области высоких технологий — 2015», которую в очередной раз провела компания Group-IB на площадке Центрального телеграфа. В рамках обсуждения высокотехнологичных преступлений и киберугроз руководитель отдела мониторинга Positive Technologies Владимир Кропотов и ведущий аналитик Евгений Гнедин выступили с докладом «Статистика и тренды кибератак за год: смотрим снаружи, изнутри и сбоку». Эксперты отметили основные тенденции киберпреступлений текущего года.

Последние исследования Positive Technologies показали, что самое современное техническое оснащение не может дать стопроцентной гарантии от взлома. Массовый характер приняли атаки, при которых злоумышленники действуют в обход — например, взламывают партнеров атакуемой организации. Выросло количество случаев, когда социальная инженерия используется совместно с технологическими методами. Киберпреступники получают доступ к почте партнера (или выясняют его электронный адрес и специально для атаки создают похожий домен) и вступают в переписку с жертвой, которая не догадывается о подмене.

Еще одна тенденция — рост таргетированных атак, направленных на взлом определенного лица, группы лиц или конкретных компаний. Однако если раньше преступники, как правило, действовали через взлом рабочих станций, то в этом году 30% анализируемых атак совершалось на корпоративные ресурсы (почтовые серверы, серверы баз данных, внутренние веб-сервисы). Также эксперты отмечают использование при реализации целенаправленных атак продвинутых технологий, таких как Watering Hole, осложняющих выявление атак профильными организациями и позволяющих маскировать целевые атаки под массовые.

Подвергается атакам и разного рода техника, подключенная к интернету («интернет вещей»). Преступники пользуются тем, что пользователи редко устанавливают на такие устройства обновления, вследствие чего они становятся уязвимыми для угроз из интернета. Подобных устройств в сети достаточно много: это роутеры, «умные» телевизоры, тепловые датчики и даже автомобили. Злоумышленники могут быстро получить доступ к сотне девайсов с помощью своего компьютера и использовать их для DDoS-атак или создания ботнетов, при этом оставаясь незамеченными. Особенность этих устройств в том, что если их перезагрузить или отключить питание, то все следы атак будут стерты.

Кроме того, на конференции были обнародованы данные, полученные специалистами Positive Technologies в результате проведения работ по инцидентам аудита безопасности и исходных кодов приложений и мониторинга ИБ. Для исследования были выбраны 16 систем крупных компаний и государственных организаций (российских и зарубежных), в отношении которых были проведены работы по внешнему тестированию на проникновение в 2014—2015 годах.

Статистика свидетельствует о том, что сегодня получить извне полный контроль над всеми системами корпоративной структуры можно в 44% случаев, а привилегии администратора в критически важных системах (базы данных, электронная почты, рабочие станции руководителей) — в 33% случаев. При этом в 58% систем для получения полного контроля над критически важными ресурсами было достаточно низкой квалификации злоумышленников, в 26% — сложность доступа к ним была средней и только в 16% – им не удалось проникнуть внутрь корпоративной сети. В большинстве случаев (56%) киберпреступники пользовались существующими уязвимостями веб-приложений, в 26% действовали путем подбора словарного пароля.

«Наше исследование показало, что всего лишь 20% анализируемых атак использовали уязвимости нулевого дня, то есть ранее неизвестные. Это говорит о том, что в 80% случаев у жертв была возможность эффективно защищаться, но ею не воспользовались», — отметил Владимир Кропотов.