Pull to refresh
86.56
Солар
Безопасность за нами

Майнеры пришли на смену шифровальщикам

Reading time 4 min
Views 5.8K
Мы в Solar JSOC на постоянной основе собираем данные о событиях и инцидентах информационной безопасности в инфраструктурах заказчиков. На базе этой информации мы раз в полгода делаем аналитику, которая демонстрирует, как меняются атаки на российские организации. Сегодня мы собрали для вас самые интересные тренды второго полугодия 2017 г.



Итак, для начала немного общей статистики, а потом рассмотрим угрозы и вектора атак более детально.

Всего за вторую половину 2017 года поток событий ИБ составил около 8,243 миллиардов (в первом полугодии – 6,156 миллиардов). Из них около 1 270 в сутки (всего 231 623 за полгода) – события с подозрением на инцидент, которые нуждались в рассмотрении инженера-аналитика.

Примерно каждый шестой инцидент был классифицирован как критичный. В нашей терминологии к критичным относятся инциденты, потенциально ведущие к финансовым потерям на сумму свыше 1 млн руб., компрометации конфиденциальной информации или остановке критичных бизнес-систем.

В этом раз мы сравнили показатели всех ключевых метрик за 4 года, и кое-где это дало любопытные результаты. Например, оказалось, что с каждым годом доля критичных инцидентов неуклонно растет. Если в первом полугодии 2015 года этот показатель составлял 8,1%, то во втором полугодии 2017 – уже 15,5% (при увеличении числа заказчиков).
Число атак на компании с 2014 года увеличилось в среднем на 26%.


Большая часть всех инцидентов (86,7%) происходила днем, однако, если говорить о критичных внешних инцидентах, то в 58,7% случаев они происходили ночью. Это самый высокий показатель за последние четыре года.



Это явление вполне объяснимо: с большой вероятностью ночной инцидент детектируют не сразу, и у киберпреступников будет больше времени для закрепления в инфраструктуре или даже для проникновения в целевые сегменты, позволяющие монетизировать атаку.

Kill Chain


Отдельно мы рассматриваем инциденты, составляющие Kill Chain – цепь последовательных действий киберпреступника, направленных на взлом инфраструктуры и компрометацию ключевых ресурсов компании. Классическая и самая часто встречающаяся схема Kill Chain выглядит так:


Казалось бы, рядовым пользователям постоянно твердят об угрозах, исходящих из Сети. Тем не менее, социальная инженерия до сих пор остается поразительно эффективной. Во втором полугодии 2017 года в 65% случаев именно она использовалась для проникновения в инфраструктуру компании. При этом еще в первой половине года этот показатель равнялся 54%. Пользователи открывали вредоносные вложения и проходили по фишинговым ссылкам, тем самым скачивая вредоносное ПО, которое служило целям киберпреступников.

Говоря о вредоносном ПО, можем отметить, что число заражений вирусами-шифровальщиками по сравнению с первым полугодием 2017 снизилось примерно на треть. Но их место быстро заняли вирусы-майнеры.

Любопытно, что в отношении майнингового ПО прослеживается определенная отраслевая специфика. Так, в банках они чаще всего обнаруживаются на рабочих станциях, которые были заражены через почту или зараженные сайты и, как правило, в рамках пакетов вредоносного ПО.

За пределами финансового сектора ситуация обстоит иначе: в среднем в каждой третьей организации мы фиксируем инциденты, когда майнеры на серверном оборудовании компании устанавливают непосредственно сотрудники ИТ-департамента.

В целом внешние злоумышленники чаще всего атакуют веб-приложения организаций (32,3%), в 22,8% они прибегают к brute-force и компрометации учетных данных внешних сервисов клиента, еще в 22,1% случаев – пытаются внедрить в организацию вредоносное ПО.


Инциденты, связанные с действиями внутренних злоумышленников, распределились следующим образом: утечки конфиденциальных данных – 48,2%, компрометация внутренних учетных записей – 22,6%, нарушение политик доступа в интернет – 8,2%. Заметим, что утечки – это почти половина от всех внутренних инцидентов. Видимо, желание повысить свою ценность в глазах других потенциальных работодателей часто оказывается непреодолимым.


Во второй половине 2017 года существенно (с 25,6% до 31,3%) возросло количество инцидентов, виновниками которых были ИТ-администраторы компаний. Сюда относятся и утечки конфиденциальной информации, и несоблюдение политик информационной безопасности ИТ-подразделением. Можно предположить, что такие цифры связаны со слабым контролем над этими сотрудниками (или умением ИТ-специалистов обходить технические средства защиты).


Кроме того, какое-то время назад мы рассказывали, как правильно выстроить процесс использования внешних источников данных об угрозах. Вот какие типы Threat Intelligence используем мы сами:

  • Opensource – открытые базы индикаторов вредоносного ПО, серверов управления и фишинговых ссылок. Как правило, в разрезе детектирования с помощью SIEM-платформ актуальность имеют только сетевые индикаторы.
  • Reputation feeds – платные подписки на репутационные списки вредоносного ПО, серверов управления и фишинговых ссылок. Как правило, в разрезе детектирования с помощью SIEM-платформ актуальность имеют только сетевые индикаторы.
  • APT/IOC reporting – платные подписки на подробные описания 0day вредоносных тел, включающие, в том числе, и описание используемых уязвимостей, и хостовые индикаторы вредоносного ПО.
  • Information Exchange – информация, полученная в рамках информационных обменов с госсударственными, ведомственными и иностранными центрами реагирования на инциденты (CERT).
  • Internal Solar JSOC database – индикаторы, полученные в результате собственных исследований Solar JSOC или расследований инцидентов.
  • User experience – информация, полученная напрямую от пользователей клиентов (успешное противодействие социальной инженерии, детектирование фишинговых рассылок и т.п.).

И вот какие из них были наиболее полезны во втором полугодии 2017:

Tags:
Hubs:
+23
Comments 8
Comments Comments 8

Articles

Information

Website
rt-solar.ru
Registered
Founded
2015
Employees
1,001–5,000 employees
Location
Россия