К критичным относятся инциденты, которые происходят в результате обнаружения атаки с непосредственным участием атакующего либо без видимого участия человека, но сопряжённые с потенциальным большим ущербом для инфраструктуры заказчика (например, атака программ-вымогателей). В числе наиболее атакуемых сфер — строительство, ИТ, здравоохранение и СМИ, а также государственные организации.
Во втором квартале 2024 года сферу производства, а также подрядчиков организаций в России атаковали чаще, чем в среднем по миру. Таковы данные Kaspersky ICS CERT, центра исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности, созданного «Лабораторией Касперского».
Ландшафт киберугроз в России сильно изменился за последние годы, но ключевыми угрозами для компаний (неважно, к малому, среднему или крупному бизнесу они относятся) остаются DDoS-атаки, таргетированные атаки, программы-шифровальщики, атаки хактивистов. Злоумышленники пытаются проникать в сети крупных компаний через доверенных партнёров и подрядчиков — атаки через цепочку поставки актуальны в России как никогда ранее.
Чтобы получить доступ к целевым системам и затем к конфиденциальной информации, злоумышленники часто прибегают к приёмам социальной инженерии. Также они используют фишинг, ищут слабые пароли и уязвимости в необновлённом ПО.
Машинное обучение: в атаках и защите
С появлением генеративного ИИ многие злоумышленники, как финансово мотивированные, так и спонсируемые государствами, начали использовать эту технологию для повышения эффективности своих атак. Особенно это заметно в фишинговых атаках, где большие языковые модели позволяют создавать грамотно оформленные и визуально привлекательные фишинговые письма.
Хакеры манипулируют интересом людей к технологиям машинного обучения для распространения вредоносных программ. Так, в 2024 году эксперты компании обнаружили атаку на цепочку поставок ПО, которая длилась почти год. Через репозиторий программного обеспечения Python Package Index (PyPI) злоумышленники распространяли стилер Jarka под видом инструментов для создания чат-ботов на основе нейросетей. Этот зловред позволяет красть данные из различных браузеров, делать скриншоты, собирать системную информацию, а также перехватывать токены сеансов из таких приложений, как Telegram, Discord, Steam, и чит-клиента Minecraft. В коде зловреда также содержится функциональность для завершения процессов в браузерах, таких как Chrome and Edge, что позволяет атакующим получать доступ к сохранённым данным и красть их.
Также в этом году эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию, в рамках которой злоумышленники распространяли зловред для ОС Windows под видом приложения на основе нейросетей для изменения голоса. Если пользователь скачивал и запускал вредоносное приложение, оно начинало загружать из защищённых паролем ZIP-архивов с GitHub различные программы — как легитимные, так и зловреды.
Скорее всего, в последующие годы злоумышленники будут применять большие языковые модели на этапе разведки для автоматизации поиска уязвимостей и сбора информации о нужных им технологиях, чтобы быстрее находить слабые места в своих целях.
Использование ИИ и машинного обучения станет обычной практикой для злоумышленников аналогично тому, как специалисты по безопасности всё чаще внедряют такие решения в свои стратегии кибербезопасности. В «Лаборатории Касперского» технологии машинного обучения внедрены в продукты компании уже почти 20 лет. Каждый день продукты компании обнаруживают около 467 тысяч новых уникальных вредоносных файлов, 99% из них обрабатывается автоматизированными системами. На сегодняшний день у компании более 100 патентов в области ИИ, и она продолжает активно развивать это направление.
Как бороться в условиях усложняющегося ландшафта киберугроз?
Решением проблемы становится многоуровневая стратегия безопасности. Она должна включать в себя мониторинг сетевой активности, регулярное обновление всех систем и ПО (чтобы исключить возможность воспользоваться уязвимостями для проникновения в корпоративную сеть), а также обязательное обучение сотрудников навыкам распознавания признаков попыток кибератак.
Компаниям следует повышать уровень кибергигиены в компании и прививать сотрудникам необходимые навыки цифровой безопасности, в том числе с помощью симулированных фишинговых рассылок. Кроме того, конечно, стоит повышать квалификацию своих ИБ-команд. Но современным предприятиям часто не хватает ресурсов и квалифицированных специалистов для оперативного отслеживания угроз и реагирования на них. Это обусловлено в том числе продолжающейся цифровизацией в компаниях, растущими потребностями расширяющегося бизнеса, увеличением количества кибератак. Сотрудники собственной службы информационной безопасности могут быть перегружены в связи с необходимостью управлять многочисленными системами, что оставляет им мало времени для тщательного анализа и расследования киберинцидентов. В помощь предприятиям, у которых не хватает квалифицированных ИБ-специалистов, разработаны сервисы MDR. Это круглосуточная управляемая защита от растущего числа известных и неизвестных кибератак, обходящих автоматические средства безопасности.
Легче всего реализовать многоуровневый подход с помощью экосистемных продуктов, ведь в таком случае у компании есть возможность защититься от всех возможных векторов атак. При этом все продукты существуют в единой среде, максимально синхронизированы друг с другом и просты в управлении. Экосистема позволяет решать любые вопросы в режиме одного окна, для крупных корпоративных и промышленных инфраструктур она позволяет сделать процесс защиты более управляемым и, как следствие, более эффективным — сокращать среднее время обнаружения инцидентов, реагирования на них и расследования, что в свою очередь позволяет экономить ресурсы организации, упрощает работу ИТ-команды, высвобождает ресурсы для решения стратегических задач.
Ещё одно преимущество экосистемного подхода заключается в том, что он позволяет компаниям разного масштаба и степени зрелости выбрать необходимый уровень безопасности и при необходимости переходить на другую ступень, причём максимально безболезненно. Так, малый и средний бизнес закроет базовые потребности решениями для автоматического обнаружения и нейтрализации как массовых, так и сложных угроз. Для тех организаций, которым сложно реализовать защиту рабочих мест от всех типов угроз и реагирование на инциденты своими силами, подойдёт управляемая защита, подразумевающая передачу части функций ИБ сторонним специалистам.
Представителям среднего и крупного сегмента, в распоряжении которых от 1000 до 3000 рабочих устройств, нужно внедрять решения класса Endpoint Detection and Response, предназначенные для детектирования и реагирования на инциденты.
Для критически важных объектов реального сектора экономики, которым требуется отражать сложные кибератаки и необходима экспертная поддержка в выборе персонализированной стратегии управления кибербезопасностью, оптимальным выбором станет защита класса XDR (Extended Detection and Response).
Цифровизация будет продолжаться, и это значит, что число кибератак будет продолжать расти. Но при этом российские предприятия находятся в выигрышном положении, ведь сегодня на отечественном рынке представлен большой выбор высококачественных защитных технологий международного уровня — от базовых средств кибербезопасности до специализированных продуктов, которые позволяют надёжно защищать все сегменты инфраструктуры от специфических угроз.
Автор: Азат Шайхутдинов, представитель «Лаборатории Касперского» в Республике Татарстан
