Специально на вас. Как финансовые компании защищаются от целевых атак

Специально на вас. Как финансовые компании защищаются от целевых атак

Число целевых атак в мире растёт из квартала в квартал. По данным Positive Technologies, во II квартале 2021 года 77% атак были целевыми. Мишенью хакеров становятся и российские компании.

Мы провели анонимный опрос среди специалистов по ИБ компаний различных отраслей и размеров. Результаты нашего исследования показали, что треть компаний подвергалась таргетированным атакам. Давайте обсудим, как такие атаки сказываются на финансовых организациях, насколько они защищены от них и какие тенденции в использовании средств защиты можно выделить.

Целевой считается кибератака, направленная на конкретную компанию, отрасль экономики или ограниченный круг частных лиц. Прежде чем атаковать, злоумышленники, как правило, проводят предварительную разведку и собирают информацию о выбранной жертве.

В ходе опроса мы выяснили, что финансовые организации чаще других страдают от целевых атак ― об этом сообщили 44% респондентов сферы, на втором месте ― ТЭК (33%), тройку замыкают государственные компании (29%).

ЧЕМ ОПАСНЫ

В качестве основной цели, ради которой злоумышленники могут атаковать финансовую компанию, большинство опрошенных рассматривают кражу ценной информации (78%). Второй по популярности ответ — кража финансовых средств (63%). Эти две причины остаются главными мотивами атак хакеров на организации (рис. 1).

Рисунок 1. Цели, ради которых атакуют финансовые компании

Почти половина представителей финансовых компаний (44%) уже сталкивались с целевыми атаками. Чаще всего это приводило к утечке информации, простою инфраструктуры и нарушению бизнес-процессов.

Лидирующую позицию среди вредоносного ПО, применяемого в атаках на организации, занимают программы-вымогатели. В 17% случаев финансовые компании заплатили выкуп злоумышленникам. Мы рекомендуем не идти на поводу у атакующих и обращаться к специалистам для устранения последствий атаки — нет гарантий, что злоумышленники восстановят работоспособность инфраструктуры, прекратят шантаж и не потребуют дополнительных денег.

ЗАЩИТА В ФИНАНСОВОМ СЕКТОРЕ

Специалисты по ИБ используют широкий набор инструментов защиты от атак: более половины респондентов выявляют угрозы с помощью антивирусов, систем выявления вторжений, межсетевых экранов, SIEM-систем, песочниц и веб-файрволов. SIEM-системы по уровню использования (75%) почти догнали антивирусы. Треть специалистов применяют системы анализа трафика (network traffic analysis, NTA). Компании больше не полагаются только на базовые средства защиты периметра, они осознают необходимость мониторинга безопасности внутренней сети — это хорошая новость (рис. 2).

Рисунок 2. Инструменты защиты от атак, используемые специалистами по информационной безопасности

Ещё один позитивный тренд: в ближайшие 1–3 года 40% специалистов планируют начать использовать комплексные решения для защиты целевых атак — это значит, что у них будет больше шансов обезопасить себя от таких угроз.

Решение Anti-APT от Positive Technologies (PT Anti-APT) включает в себя возможность глубокого анализа сетевого трафика (PT Network Attack Discovery) и систему для выявления атак с применением современного вредоносного ПО (PT Sandbox). Эти два компонента позволяют выявить действия атакующего как на периметре, так и уже в инфраструктуре.

АНАЛИЗ ФАЙЛОВ И ТРАФИКА

В инфраструктуре злоумышленники могут скрыть следы своего присутствия, но стереть их в трафике невозможно. Эту особенность использует система глубокого анализа трафика (NTA) PT Network Attack Discovery. Она замечает любую сетевую активность и сигнализирует обо всех подозрительных. PT NAD анализирует не только внешний, но и внутренний трафик, поэтому она детектирует перемещения злоумышленников внутри сети, попытки эксплуатации уязвимостей, атаки на конечных пользователей в домене и на внутренние сервисы.

Атаки с использованием вредоносного ПО по-прежнему занимают первое место в арсенале киберпреступников, их доля во II квартале 2021 года составила 73%. Одна из причин успеха таких атак — злоумышленники совершенствуют вредоносное ПО так, чтобы его не смогли обнаружить базовые средства защиты (антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы). Поэтому есть отдельный класс решений для выявления вредоносов — песочница. Она запускает файл в изолированной виртуальной среде, анализирует его действия в системе и выносит вердикт ― безопасен он или нет.

Благодаря гибкой настройке виртуальных сред в соответствии с реальными рабочими станциями компании PT Sandbox поможет эффективно выявлять ВПО, которое используется в целевых атаках.

РЕЗЮМЕ

Результаты опроса специалистов по ИБ подтвердили: вне зависимости от отрасли компания может стать жертвой целевой атаки. Опыт специалистов показывает, что такие атаки наносят ощутимый урон и могут напрямую повлиять на работу компании, в том числе на её финансовые результаты.

Есть и позитивные тенденции: компании понимают необходимость повышения уровня безопасности, так как планируют расширять арсенал средств защиты, включать в него специализированные комплексные решения для выявления целевых атак.