Positive Technologies представила на мероприятии SOC‑forum 2023 итоги расследований киберинцидентов, найденных в 2021–2023 годах. За озвученный период число расследований увеличилось более чем в 2 раза, 40% всех расследованных инцидентов были совершены известными APT‑группировками. По этому исследованию, 33% атак были совершены на государственные учреждения, 28% — на промышленность, 7% —финансовые организации, 7% — СМИ и 7% —IT‑компании. Информационная служба Хабра сейчас присутствует на SOC‑forum 2023.
По данным отчёта, за 2021–2023 года количество расследований киберинцидентов, выполненных командой реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC) увеличилось в 2022 году на 50%, а за три квартала 2023 года (по сравнению с всем 2022 годом) выросло на 76%. По предположениям экспертов, скачок спровоцирован увеличением количества инцидентов из-за последних геополитических и экономических событий. Денис Гойденко
Руководитель отдела реагирования на угрозы ИБ PT ESC
«Атрибуция злоумышленников, ответственных за кибератаку, — это сложный процесс, который не всегда завершается успешно. За последние три года наши эксперты выявили инциденты с участием 15 APT-группировок, известных и идентифицируемых на основании используемого инструментария, сетевой инфраструктуры и TTP. Как правило, APT-группировки используют уникальное ВПО, которое отвечает за обеспечение доступа злоумышленников в инфраструктуру компании после осуществления первичной компрометации. Тем не менее как APT-группами, так и более низкоквалифицированными злоумышленниками используется вспомогательное ПО, в подавляющем большинстве случаев публично доступное в интернете».
По данными исследования, в 25% расследований были выявлены следы деятельности APT‑группировок, находившихся в инфраструктурах компаний‑жертв (от полугода до года) на момент анализа и не выдававших своего присутствия. Среднее время с момента компрометации инфраструктуры злоумышленниками и до их остановки (или локализации) составило 45 дней, самое долгое их активное пребывание в сети составило 5 лет.
В результате всех выявленных инцидентов в 32% случаев кибератак пострадавшие компании сталкивались с нарушениями внутренних бизнес‑процессов, в 32% случаев атак — с кибершпионажем (конечная цель таких атак — непрерывная выгрузка конфиденциальной информации).
В 63% атак злоумышленники эксплуатировали уязвимости в используемых жертвой и публично доступных веб‑приложениях. В 50% случаев атак на веб‑приложения использовалась уязвимость почтового сервера Microsoft Exchange, в 13% — на веб‑сервер Bitrix и в 7% на продукты компании Atlassian, (например Confluence и Jira).
В ходе проведённого исследования аналитики зафиксировали тенденцию в атаках с использованием фишинговых писем — злоумышленники не изобретают новые способы атак, а число инцидентов с применением известных уязвимостей растёт. Такая тенденция показывает, что компании могут не обновлять используемое ПО до последних версий и не производят аудит периметра инфраструктуры.
ИБ‑эксперты рекомендуют компаниям использовать последние версии ПО и ОС, выстраивать процессы (связанные с управлением уязвимостями), создавать резервные копии для всех узлов домена и хранить их на изолированном от основной сети узле, регулярно проводить аудит периметра инфраструктуры на наличие уязвимостей и на наличие общедоступных сервисов.
Источник новости: habr.com