На Standoff 10 обозначили главные тренды и прогнозы в области информационной безопасности на 2022–2023 годы
Вторая волна кибератак, организованный хактивизм, усложнение кибератак: на Standoff 10 обозначили главные тренды и прогнозы в области информационной безопасности на 2022–2023 годы. Фото: СС0
Своим видением поделились представители компаний Positive Technologies, «Тинькофф Банк», «ЕВРАЗ» и Group-IB.
В числе главных трендов 2022 года были названы атаки через цепочки поставок (supply chain attack) и внешние зависимости, в том числе в опенсорсных инструментах. В 2023 году эксперты прогнозируют вторую волну кибератак на российский сегмент интернета, которые будут уже не массовыми, а целенаправленными, сложными и хорошо подготовленными. Также ожидается эксплуатация уязвимостей нулевого дня в OC Astra Linux и появление вредоносного ПО, заточенного под Linux-системы, развитие концепции security by design и процессов безопасной разработки (DevSecOps).
Начальник отдела обеспечения безопасности информационных систем блока вице-президента по ИТ компании «ЕВРАЗ» Андрей Нуйкин считает, что отечественный бизнес и государственные предприятия постепенно переходят в новую реальность, где объем кибератак будет стабильно высоким, но резкие всплески, подобные тем, что случились весной 2022 года, повторяться не будут.
Из сообщения начальника отдела обеспечения безопасности информационных систем блока вице-президента по ИТ компании «ЕВРАЗ» Андрея Нуйкина:
«В этом году кратно выросло число атак с применением вредоносного ПО и методов социальной инженерии, например фишинга. Кроме того, изменились и сами атаки: мы стали фиксировать инциденты, которых раньше не было совсем, или они встречались в малом количестве, в частности DDoS-атаки».
Многократное увеличение числа DDoS-атак подтверждает и Дмитрий Гадарь, директор департамента ИБ «Тинькофф Банка». Среди тенденций 2022 года в банковской сфере он также отметил беспрецедентный рост количества атак через цепочки поставок и через внешние зависимости (создание в исходном коде продуктов хакерских «закладок», которые через обновления или пакеты могут дойти до клиентов и сделать их уязвимыми: например, встраивание вредоносного кода в библиотеки, модули MPM и npm-пакеты для ЯваСкрипт).
Из сообщения директора департамента ИБ «Тинькофф Банка» Дмитрия Гадаря:
«Банковская отрасль в России была и продолжает оставаться наиболее подготовленной к кибератакам, так как Центробанк обязывает финансовые организации внедрять различные средства контроля безопасности и пристально следит за исполнением этого требования. Поэтому от шторма кибератак в основном пострадали третьи стороны — наши поставщики услуг, которые были менее защищены. Причем в случае атаки на банки через цепочку поставок ущерб может быть нанесен не только безопасности предоставляемых сервисов, но и их доступности».
Помимо этого, он упомянул, что задача по установке обновлений безопасности теперь решается иначе: сначала организациям следует приостановить обновление, тщательно его проверить и затем аккуратно загрузить.
По словам Дениса Гойденко, руководителя отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies, в 2022 году изменились контекст атак и поведение злоумышленников, в то время как топ популярных техник остался прежним: это атаки через поставщиков, эксплуатация известных уязвимостей, использование различных методов социальной инженерии, а также проникновение в корпоративную сеть через неизвестные или забытые компанией активы, например серверы или средства удаленного доступа (RDP).
Из сообщения руководителя отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies Дениса Гойденко,
«Сейчас злоумышленники начали бить не по выгодным с финансовой точки зрения мишеням, а по крупным и медийным компаниям. Таким способом они хотят добиться хайпа, чтобы реализованные ими атаки получили наибольшее освещение в информационном поле и о них узнали все. Как правило, этим занимаются низкоквалифицированные хакеры (иногда даже скрипт-кидди), а их атаки очень простые по исполнению. К примеру, они могут скопировать большой блок информации из открытого доступа и выложить одним архивом в паблик якобы как результат взлома. В погоне за славой такие злоумышленники стараются придать значение даже самой незначительной атаке, превратив ее в громкое событие».
Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода компании Group-IB Олег Скулкин тоже обозначил этот тренд, а также выделил еще один:
Из сообщения руководителя лаборатории цифровой криминалистики и исследования вредоносного кода компании Group-IB Олега Скулкина:
«Последние три-четыре месяца операторы программ-вымогателей стремятся максимально навредить жертве, разрушив ее инфраструктуру. То есть для атак они, как и прежде, используют разные виды шифровальщиков, а также локеры, которые до этого специалисты по ИБ не фиксировали в России, но никакого выкупа не требуют. Их цель — нанести репутационный ущерб бизнесу, выложив украденные данные в открытый доступ, и нарушить внутренние процессы работы компании. Чаще всего восстановить информацию не удается, так как злоумышленники уничтожают резервные копии, а отдавать ключ для расшифровки наотрез отказываются».
Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies, в свою очередь, добавил, что хактивисты, которые в начале 2022 года взламывали только самые легкодоступные цели и проводили хоть и массовые, но простейшие с точки зрения техник атаки типа «дефейс» и DDoS, за прошедшие месяцы значительно улучшили свои навыки. Совершаемые ими атаки становятся не только более сложными и комплексными, но и целевыми. Раньше такие методы были характерны для высококвалифицированных киберпреступников и APT-группировок.
Из сообщения руководителя отдела исследования киберугроз экспертного центра безопасности Positive Technologies Дениса Кувшинова:
«Набирает обороты тренд на усложнение кибератак. Он порожден, во-первых, тем, что многие компании, которые были взломаны ранее, радикально усилили свою защиту и стали менее уязвимы для атак. Во-вторых, если злоумышленники из раза в раз применяют один и тот же инструментарий, техники и тактики, специалистам по ИБ становится все легче их обнаруживать. Поэтому хактивистам приходится постоянно подучиваться».
Помимо этого, эксперт отметил, что стихийный хактивизм уже выработал продвинутую организационную структуру, или киберармию, как ее называют в индустрии ИБ.
Денис Кувшинов подчеркнул еще один не менее важный тренд, появившийся в 2022 году: чтобы скрыть сетевую активность при заражении жертвы, хактивисты размещают свои контрольные серверы на популярных внешних сервисах (Telegram, Discord, Yandex Cloud или Dropbox), находящихся в российской инфраструктуре. Этим приемом ранее пользовались хакеры с высокой квалификацией и исключительно в таргетированных атаках.
Чего ждать в 2023 году: прогнозы экспертов
Из сообщения руководителя отдела исследования киберугроз экспертного центра безопасности Positive Technologies Дениса Кувшинова:
«Повышение уровня компетенций хактивистов, возможно, вызовет вторую волну кибератак на отечественные компании, государственный сектор и российский сегмент интернета в целом. В отличие от атак первой волны новые атаки будут продвинутыми, таргетированными и хорошо подготовленными».
В продолжение Денис Кувшинов добавил, что в 2022 году опенсорс перестал быть неприкосновенным, хотя раньше считалось, что атаковать через зависимости в продуктах с открытым исходным кодом неэтично. В 2023 году ожидается укрепление этого тренда и появление еще большего количества вредоносных пакетов на публичных сервисах для разработчиков, таких как GitLab. По его словам, эта тенденция подстегнет развитие процессов безопасной разработки.
По прогнозу эксперта, в связи с курсом на импортозамещение можно прогнозировать тренд на обнаружение и эксплуатацию злоумышленниками уязвимостей нулевого дня в системах и приложениях, на которые сейчас переходят отечественные компании, в частности в OC Astra Linux. Также компаниям следует быть готовыми к появлению вредоносного ПО и хакерских инструментов, разработанных под эту операционную систему, и к созданию атакующими вредоносных кампаний, направленных на взлом компьютеров Linux.
Из сообщения директора департамента ИБ «Тинькофф Банк» Дмитрия Гадаря:
«Количество атак, связанных с компрометацией цепочек поставок, продолжит возрастать. Больше станет DDoS-атак седьмого уровня (в 2022 году преобладали атаки третьего уровня), которые будут стараться мимикрировать под пользовательские. Такие атаки сложнее детектировать, а значит защита должна переходить с сети на уровень приложений. Приложения, в свою очередь, должны иметь возможность детектировать бот активность. В следующем году будут активно развиваться концепции security by design и zero trust. В отношении первой концепции ранее можно было достаточно вольно проектировать внутренние бизнес-процессы и компенсировать недочеты в безопасности, закрывая компанию несколькими эшелонами защиты из надежных средств ИБ. Сейчас такой вариант невозможен, поэтому необходимо изначально, с первых шагов строить безопасные процессы. Концепция zero trust, приобретающая все большую актуальность, заключается в том, что организации теперь не могут доверять никому: ни внешним зависимостям, ни GitLab, ни третьим сторонам (подрядчикам, поставщикам услуг и т. д.)».
Из сообщения руководителя лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB Олега Скулкина:
«Злоумышленники постепенно отказываются от своего самого любимого инструмента — Cobalt Strike — и начинают экспериментировать с новыми фреймворками, например Sliver. Ждать появления в 2023 году абсолютно новых техник не стоит. Если говорить о начальных векторах атак, то в следующем году злоумышленники будут проникать в инфраструктуру потенциальных жертв путем эксплуатации уязвимостей в публично доступных приложениях. Этот тренд, наметившийся уже сейчас, заметно усилится».
Startpack подготовил список популярных сервисов для массового рекрутинга. Позволяют автоматизировать весь процесс подбора персонала, от размещения объявлений, до обработки резюме, оценки соискателей, планирования собеседований и их анализа. Инструменты имеют интеграцию с почтовыми сервисами и социальными сетями, и русскоязычными сайтами подбора персонала. Сервисы представлены в виде веб-приложений и компьютерных программ. Могут быть установлены в облаке, на сервере или персональном компьютере с доступом к сети.
Статьи по теме
12130
Комментариев пока не было