Анализ ландшафта угроз кибербезопасности 2024: Исследование от компании “Инфосистемы Джет”

Введение

Компания “Инфосистемы Джет” представила “Анализ ландшафта угроз кибербезопасности 2024” – исследование, основанное на данных собственного центра мониторинга и реагирования на инциденты ИБ (Jet CSIRT), а также на опыте экспертных подразделений компании. В отчете рассматриваются наиболее актуальные киберугрозы, с которыми столкнулись российские компании в 2024 году, анализируются тренды атак, а также даются прогнозы на 2025 год.

1. Основные выводы 2024 года: Атаки усложняются, цели меняются

• Сложность атак растет: На смену простым, но массовым атакам приходят сложные, многоступенчатые кампании, нацеленные на проникновение в инфраструктуру и кражу данных.
• Цепочки поставок под ударом: Атаки на доверенных поставщиков услуг стали одним из основных векторов проникновения. 17% расследованных инцидентов связаны с компрометацией поставщиков.
• Фишинг не сдает позиций: Несмотря на рост осведомленности, фишинг остается эффективным методом атаки, особенно целевой фишинг (spear phishing), направленный на конкретных сотрудников.
• Уязвимости на периметре: Публично доступные сервисы с устаревшим ПО или слабыми настройками безопасности остаются легкой мишенью для злоумышленников.
• “Киберусталость” пользователей: Постоянный поток информации об угрозах и необходимости соблюдать правила безопасности приводит к снижению бдительности пользователей.
• ИИ как инструмент: Злоумышленники все чаще используют ИИ для автоматизации атак, создания дипфейков и обхода защитных систем.

2. Топ-3 наиболее атакуемых отраслей (по данным Jet CSIRT):

1. Финансовые организации: Банки, страховые компании, микрофинансовые организации остаются главной целью киберпреступников из-за прямого доступа к денежным средствам.
2. Недвижимость: Рост числа атак на застройщиков и компании, работающие в сфере недвижимости, связан с цифровизацией отрасли и увеличением объема обрабатываемых данных.
3. ИТ-компании: Атаки на ИТ-компании используются как “трамплин” для доступа к инфраструктурам их клиентов.

3. Статистика и ключевые наблюдения от Jet CSIRT:

• Более 10 тысяч инцидентов ИБ зафиксировано с января по ноябрь 2024 года.
• Пик атак пришелся на середину весны – начало лета.
• 59% компаний из списка клиентов упомянуты на DarkNet-форумах и в Telegram-каналах хакерской тематики.
• 27% “слитых” учетных записей содержали корпоративный логин-пароль.
• 35% случаев – учетная запись упоминалась в связке с хэшем пароля.
• В 83% случаев у подрядчиков, имеющих доступ к инфраструктуре клиентов, обнаружены критические уязвимости на внешнем периметре.
• 30% подрядчиков уже скомпрометированы, их данные фигурируют на хакерских ресурсах.

4. Самые распространенные техники атак (по методологии MITRE ATT&CK):

1. T1204 User Execution (Выполнение команд от имени пользователя): 44,19% – запуск вредоносного ПО, в том числе через фишинговые письма.
2. T1190 Exploit Public-Facing Application (Эксплуатация публично доступных приложений): 18,26% – использование уязвимостей в веб-приложениях и сервисах.
3. T1219 Remote Access Software (Удаленный доступ): 9,85% – установка несанкционированного ПО для удаленного управления (AnyDesk, TeamViewer и т.д.).
4. T1021 Remote Services (Удаленные сервисы): 7,93% – использование легитимных протоколов RDP, SSH, VNC для доступа к системам.
5. T1562.001 Impair Defenses: Disable or Modify Tools (Отключение или модификация защитных средств): 6,50% – отключение антивирусов, EDR-агентов и т.д.
6. T1071 Application Layer Protocol (Протокол прикладного уровня): 4,56% – использование протоколов прикладного уровня для взаимодействия с управляющими серверами и туннелирования.
7. T1110.001 Brute Force: Password Guessing (Подбор пароля): 4,18% – попытки подбора паролей к учетным записям.
8. T1133 External Remote Services (Внешние удаленные службы): 1,81% – атаки на службы VPN, VNC и другие.
9. T1046 Network Service Discovery (Поиск сетевых служб): 1,71% – сканирование портов и сетевых ресурсов.
10. T1090.003 Proxy: Multi-hop Proxy (Прокси: многоступенчатый прокси): 1,01% – использование цепочки прокси-серверов для сокрытия следов.

5. Новые тренды и методы атак:

• Целевые пентесты: Компании все чаще заказывают целевые тестирования на проникновение, имитирующие действия реальных злоумышленников.
• Атаки на цепочки поставок: Использование уязвимостей в инфраструктуре подрядчиков для получения доступа к целевой организации.
• Глубокие фейки (Deepfakes): Использование ИИ для создания поддельных видео и аудио, используемых в фишинговых атаках и мошенничестве.
• Киберусталость: Пользователи становятся менее восприимчивыми к предупреждениям об угрозах из-за их обилия.
• Автоматизация атак: Злоумышленники активно используют ботов и автоматизированные инструменты для проведения атак.
• Схемы “двойного” и “тройного” вымогательства: Шифрование данных, публикация украденных данных и DDoS-атака как методы давления на жертву.

6. Прогнозы на 2025 год:

• Интеграция кибербезопасности и непрерывности бизнеса: Компании будут все чаще рассматривать эти два направления как единое целое, фокусируясь на киберустойчивости.
• Переход к адаптивной кибербезопасности: Внедрение инструментов, позволяющих динамически реагировать на угрозы и адаптироваться к меняющемуся ландшафту атак.
• Рост использования ИИ в атаках и защите: ИИ будет применяться как злоумышленниками, так и защитниками.
• Увеличение числа атак на цепочки поставок: Поставщики услуг и подрядчики останутся одной из главных целей атак.
• Повышение спроса на услуги по тестированию планов аварийного восстановления и непрерывности бизнеса.

7. Рекомендации

• Регулярное проведение аудитов защищенности и тестов на проникновение.
• Внедрение систем мониторинга и реагирования на инциденты (SIEM, SOAR, EDR).
• Повышение осведомленности сотрудников в области кибербезопасности.
• Внедрение политик и процедур безопасного взаимодействия с подрядчиками.
• Разработка и тестирование планов обеспечения непрерывности бизнеса и аварийного восстановления.
• Использование средств анализа внешних цифровых угроз (Threat Intelligence).

Заключение

Ландшафт киберугроз в 2024 году продолжает усложняться, требуя от компаний проактивного подхода к защите. Инвестиции в современные технологии, повышение квалификации сотрудников и внедрение лучших практик обеспечения непрерывности бизнеса становятся критически важными для минимизации рисков и обеспечения устойчивости в условиях постоянно меняющихся угроз.

Источник: Анализ ландшафта угроз кибербезопасности 2024, «Инфосистемы Джет».

Author: admin