Анализ ландшафта угроз кибербезопасности 2024: основные тренды и прогнозы

В 2024 году ландшафт угроз кибербезопасности претерпел значительные изменения, что отразилось в исследовании Jet CSIRT. Доклад представляет собой глубокий анализ инцидентов информационной безопасности (ИБ), растущего числа атак, ключевых векторов компрометации и стратегий реагирования организаций. Отчет рассматривает угрозы, связанные с цепочками поставок, вредоносным ПО, фишингом, а также выделяет прогнозы на 2025 год, включая рост атак на критическую инфраструктуру и усиление практик «тройного» вымогательства.

1. Текущая ситуация и ключевые вызовы

1.1. Рост числа сложных атак и их последствия

За период с января по ноябрь 2024 года специалисты Jet CSIRT зафиксировали более 10 тысяч инцидентов, что сопоставимо с результатами 2023 года​. Однако отмечается переход от массовых, простых атак к сложным сценариям, включающим:

• Эксплуатацию уязвимостей веб-сервисов и сервисов удаленного доступа.
• Атаки через цепочки поставок и взломы подрядчиков.
• Фишинговые схемы с использованием автоматизированных ботов.

Наиболее атакуемые отрасли:

1. Финансовый сектор — 39% атак​.
2. Недвижимость — 23% атак.
3. ИТ-компании — 16% атак, часто используемые как «трамплин» для более масштабных компрометаций.

Пример из кейса:

• Взлом через незащищенный RDP-доступ в финансовой компании привел к компрометации инфраструктуры подрядчика и атакам на основную сеть​.

1.2. Основные техники атак по MITRE ATT&CK

Анализ инцидентов показал топ-10 наиболее распространенных техник в 2024 году​:

1. User Execution (T1204) — заражение вредоносным ПО через действия пользователя (44%).
2. Exploit Public-Facing Application (T1190) — атаки на публичные веб-приложения (18%).
3. Remote Access Software (T1219) — использование программ для удаленного доступа (9,8%).
4. Remote Services (T1021) — эксплуатация легитимных сервисов SSH и RDP.
5. Impair Defenses (T1562.001) — отключение антивирусов и средств защиты, часто наблюдаемое при атаках шифровальщиков.

Изменения по сравнению с 2023 годом: значительный рост использования удаленного ПО и техники Brute Force (T1110.001) для подбора паролей​.

2. Фишинг и утечки данных: старые проблемы с новыми технологиями

2.1. Фишинг как точка входа

• Более 92% компаний столкнулись с потенциально вредоносными веб-ресурсами, которые могут быть активированы в любой момент​.
• Для атак активно используются боты, автоматизирующие процесс создания фишинговых страниц и рассылок.

Тренд: фишинговые сайты становятся таргетированными, открываясь только для пользователей из определенных регионов.

Кейс:

• Злоумышленники подделывают страницы маркетплейсов в преддверии распродаж, включая Яндекс Маркет​.

2.2. Утечки аутентификационных данных

• В 27% случаев среди утечек обнаружены пары логин-пароль, упрощающие взлом корпоративных сервисов.
• Основные причины утечек: использование корпоративной почты на сторонних сервисах и слабые пароли​.

3. Угрозы цепочек поставок и риски доверительных отношений

Атаки через поставщиков остаются одним из наиболее популярных и опасных методов компрометации:

• В 17% инцидентов злоумышленники использовали взломанные учетные записи подрядчиков​.
• 83% подрядчиков имеют критические уязвимости с публичными эксплойтами.

Реакция бизнеса:

1. Компании начинают проводить аудиты безопасности подрядчиков перед заключением договоров.
2. Внедряются политики взаимодействия, минимизирующие риски передачи данных третьим лицам.

Кейс:

• Атака через подрядчика в финансовом секторе привела к компрометации домена и распространению вредоносного ПО​.

4. Непрерывность бизнеса и тренировки по киберустойчивости

4.1. Тестирование планов BCP/DRP

• Спрос на услуги тестирования планов непрерывности бизнеса вырос на 30%​.
• Вирусы-шифровальщики остаются основным сценарием угроз, приводя к значительным убыткам и простоям бизнеса.

4.2. Киберучения и тесты на проникновение

• Компании переходят от «инфраструктурного» пентеста к целевым тестам, фокусируясь на катастрофических гипотезах.
• Наиболее уязвимые направления: SQL-инъекции, некорректные права доступа и неустановленные обновления​.

Кейс:

• Использование Flipper Zero позволило обойти защитные меры и получить доступ к ПК заместителя директора по ИТ​.

5. Прогнозы на 2025 год

Основные тренды и угрозы следующего года:

1. Интеграция кибербезопасности и непрерывности бизнеса — создание единой стратегии киберустойчивости.
2. Рост глубоких фейков — более таргетированные атаки с использованием синтезированного аудио и видео.
3. Тройное вымогательство — вымогатели будут требовать деньги за расшифровку данных, удаление информации и предотвращение DDoS-атак.
4. «Киберусталость» — пользователи перестают реагировать на предупреждения, что облегчает атаки.
5. Эффективность SOC — фокус на результаты, а не на процессы мониторинга​.

Заключение

Отчет Jet CSIRT демонстрирует, что ландшафт угроз кибербезопасности в 2024 году продолжает усложняться. Компании сталкиваются с ростом атак на цепочки поставок, утечками данных и таргетированным фишингом. Важным трендом становится внедрение комплексных стратегий киберустойчивости, включающих непрерывность бизнеса и регулярные тренировки по реагированию на инциденты.

Рекомендации:

1. Управление рисками подрядчиков — регулярные аудиты и мониторинг ИБ.
2. Развитие киберучений и тестов на проникновение для сотрудников SOC и ИТ-отделов.
3. Инвестиции в технологии адаптивной безопасности и динамического реагирования.
4. Упор на пользовательскую осведомленность, включая борьбу с «киберусталостью».

Эти шаги позволят компаниям не только противостоять растущим угрозам, но и повышать уровень своей киберустойчивости.