По данным исследования Positive Technologies, треть компаний когда-либо подвергалась целевой атаке, в большинстве случаев — с серьезными последствиями.
Компания провела анонимный опрос представителей разных отраслей: финансы, промышленность, государственный сектор, ТЭК, образование, телекоммуникации, здравоохранение, СМИ и IT. Чаще всего страдают финансовые организации: 44% респондентов сферы сообщили о целевых атаках. На втором месте ТЭК (33%), на третьем ― государственные компании (29%).
В качестве основной цели, которую преследуют злоумышленники, большинство отмечает кражу ценной информации. Однако в сфере образования больше половины представителей (63%) считает, что таким образом атакующие стремятся нанести удар по репутации компании.
Целевые атаки наносят ощутимый урон и могут напрямую повлиять на работу организации, в том числе на ее финансовые результаты. Респонденты отмечают, что чаще всего последствиями подобных атак были: простой инфраструктуры, нарушение бизнес-процессов и уничтожение или изменение данных.
В 16% случаев компании платили выкуп злоумышленникам. Вендор рекомендует не идти на поводу у атакующих и обращаться к специалистам для устранения последствий атаки. Нет гарантий, что злоумышленники восстановят работоспособность инфраструктуры, прекратят шантаж и не потребуют дополнительных денег.
В ответах на вопросы об используемых средствах защиты от целевых атак есть печальная тенденция: в основном в арсенале компаний есть только базовые инструменты безопасности, которые не заточены под выявление сложных угроз. До сих пор не во всех компаниях установлены антивирусные средства защиты.
Специализированные решения, которые действительно способны обнаружить злоумышленника в сети, использует только каждая пятая компания, Sandbox ― 20% опрошенных, решения класса NTA ― 19%.
«Наш практический опыт позволяет сделать вывод, что если с технологиями класса «песочница» многие компании уже знакомы и активно используют, то решения класса NTA все еще остаются «terra incognita», хотя именно используя совместно решения данных классов, можно повысить уровень и скорость детектирования APT-атак. Для того, чтобы продемонстрировать комплексность данного подхода, за 2021 год мы провели более 10 пилотных проектов данных решений, а также офлайн и онлайн мероприятий, на которых заказчики могли сами поработать с данными продуктами в ходе лабораторных работ», — комментирует Иван Ожерельев, руководитель отдела технического сопровождения проектов, TS Solution.
В инфраструктуре злоумышленники способны скрыть следы присутствия, но стереть их в трафике невозможно. Эту особенность использует система глубокого анализа трафика (NTA) PT Network Attack Discovery. Она позволяет выявлять атаки на периметре и внутри сети, а также замечает любую сетевую активность.
Атаки с использованием ВПО по-прежнему занимают первое место в арсенале киберпреступников: их доля во II квартале 2021 года составила 73%. Одна из причин успеха таких атак заключается в том, что злоумышленники совершенствуют вредоносное ПО так, чтобы его не смогли обнаружить базовые средства защиты: антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы. Поэтому есть отдельный класс решений для выявления вредоносов — песочница. Она запускает файл в изолированной виртуальной среде, анализирует его действия в системе и выносит вердикт, безопасен он или нет.
Благодаря гибкой настройке виртуальных сред в соответствии с реальными рабочими станциями компании, PT Sandbox поможет эффективно выявлять ВПО, которое используется в целевых атаках.
Компания спросила у респондентов, как их компании планируют защищаться в ближайшие 1-3 года. Каждая пятая организация намерена начать использовать NTA-систему и комплексные решения для защиты от целевых атак.
Отраслевая специфика: в планах 39% специалистов из IT-компаний — приобрести песочницу для выявления сложных угроз. Представители промышленности планируют закупать SIEM (40%), NTA (36%), Sandbox (36%). В финансовой отрасли, помимо комплексных решений для защиты от целевых атак (40%), 27% организаций будут усиливать защиту с помощью EDR и NGFW.
Также компания узнала у респондентов, знают ли они о матрице MITRE и используют ли ее для создания стратегии защиты от целевых атак.
MITRE ATT&CK — база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Это структурированный в виде наглядной таблицы список тактик, для каждой из которых указаны возможные техники.
С помощью нее специалисты по ИБ могут отслеживать информацию об актуальных угрозах и с учетом этих данных строить эффективную систему безопасности. Знание того, как действуют реальные APT-группировки, помогает строить гипотезы для проактивного поиска угроз в рамках Threat Hunting.
67% опрошенных специалистов знают о матрице MITRE: они либо уже пользуются ее данными, либо планируют.
«Стоит отметить, что в настоящий момент есть некоторое отставание доступной информации и обучающих материалов на русском языке о том, как правильно выявлять различные APT-атаки или строить процесс Threat Hunting в компании. Для решения данной проблемы производитель предоставляет доступ к своей экспертизе через интуитивно-понятный интерфейс и разрабатывает учебные материалы, которые позволят обозначить основные направления и способы работы с продуктами для выявления угроз. Мы же со своей стороны планируем продолжить практику проведения мероприятий workshop, где с заказчиками разбираем реальные кейсы выявления цепочек атак», — комментирует Иван Ожерельев, руководитель отдела технического сопровождения проектов, TS Solution
В каждой отрасли были компании, которые подверглись целевым атакам. При этом большинство организаций практически не защищены от таких угроз: в основном используют базовые средства защиты, у некоторых нет даже антивирусов. Лишь 10% респондентов имеют специализированные решения.
Есть и позитивные тенденции. Компании понимают необходимость повышения уровня безопасности, планируют расширять арсенал средств защиты, включать в него специализированные комплексные решения для выявления целевых атак.
www.it-world.ru
Компания провела анонимный опрос представителей разных отраслей: финансы, промышленность, государственный сектор, ТЭК, образование, телекоммуникации, здравоохранение, СМИ и IT. Чаще всего страдают финансовые организации: 44% респондентов сферы сообщили о целевых атаках. На втором месте ТЭК (33%), на третьем ― государственные компании (29%).
В качестве основной цели, которую преследуют злоумышленники, большинство отмечает кражу ценной информации. Однако в сфере образования больше половины представителей (63%) считает, что таким образом атакующие стремятся нанести удар по репутации компании.
Целевые атаки наносят ощутимый урон и могут напрямую повлиять на работу организации, в том числе на ее финансовые результаты. Респонденты отмечают, что чаще всего последствиями подобных атак были: простой инфраструктуры, нарушение бизнес-процессов и уничтожение или изменение данных.
В 16% случаев компании платили выкуп злоумышленникам. Вендор рекомендует не идти на поводу у атакующих и обращаться к специалистам для устранения последствий атаки. Нет гарантий, что злоумышленники восстановят работоспособность инфраструктуры, прекратят шантаж и не потребуют дополнительных денег.
В ответах на вопросы об используемых средствах защиты от целевых атак есть печальная тенденция: в основном в арсенале компаний есть только базовые инструменты безопасности, которые не заточены под выявление сложных угроз. До сих пор не во всех компаниях установлены антивирусные средства защиты.
Специализированные решения, которые действительно способны обнаружить злоумышленника в сети, использует только каждая пятая компания, Sandbox ― 20% опрошенных, решения класса NTA ― 19%.
«Наш практический опыт позволяет сделать вывод, что если с технологиями класса «песочница» многие компании уже знакомы и активно используют, то решения класса NTA все еще остаются «terra incognita», хотя именно используя совместно решения данных классов, можно повысить уровень и скорость детектирования APT-атак. Для того, чтобы продемонстрировать комплексность данного подхода, за 2021 год мы провели более 10 пилотных проектов данных решений, а также офлайн и онлайн мероприятий, на которых заказчики могли сами поработать с данными продуктами в ходе лабораторных работ», — комментирует Иван Ожерельев, руководитель отдела технического сопровождения проектов, TS Solution.
В инфраструктуре злоумышленники способны скрыть следы присутствия, но стереть их в трафике невозможно. Эту особенность использует система глубокого анализа трафика (NTA) PT Network Attack Discovery. Она позволяет выявлять атаки на периметре и внутри сети, а также замечает любую сетевую активность.
Атаки с использованием ВПО по-прежнему занимают первое место в арсенале киберпреступников: их доля во II квартале 2021 года составила 73%. Одна из причин успеха таких атак заключается в том, что злоумышленники совершенствуют вредоносное ПО так, чтобы его не смогли обнаружить базовые средства защиты: антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы. Поэтому есть отдельный класс решений для выявления вредоносов — песочница. Она запускает файл в изолированной виртуальной среде, анализирует его действия в системе и выносит вердикт, безопасен он или нет.
Благодаря гибкой настройке виртуальных сред в соответствии с реальными рабочими станциями компании, PT Sandbox поможет эффективно выявлять ВПО, которое используется в целевых атаках.
Компания спросила у респондентов, как их компании планируют защищаться в ближайшие 1-3 года. Каждая пятая организация намерена начать использовать NTA-систему и комплексные решения для защиты от целевых атак.
Отраслевая специфика: в планах 39% специалистов из IT-компаний — приобрести песочницу для выявления сложных угроз. Представители промышленности планируют закупать SIEM (40%), NTA (36%), Sandbox (36%). В финансовой отрасли, помимо комплексных решений для защиты от целевых атак (40%), 27% организаций будут усиливать защиту с помощью EDR и NGFW.
Также компания узнала у респондентов, знают ли они о матрице MITRE и используют ли ее для создания стратегии защиты от целевых атак.
MITRE ATT&CK — база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Это структурированный в виде наглядной таблицы список тактик, для каждой из которых указаны возможные техники.
С помощью нее специалисты по ИБ могут отслеживать информацию об актуальных угрозах и с учетом этих данных строить эффективную систему безопасности. Знание того, как действуют реальные APT-группировки, помогает строить гипотезы для проактивного поиска угроз в рамках Threat Hunting.
67% опрошенных специалистов знают о матрице MITRE: они либо уже пользуются ее данными, либо планируют.
«Стоит отметить, что в настоящий момент есть некоторое отставание доступной информации и обучающих материалов на русском языке о том, как правильно выявлять различные APT-атаки или строить процесс Threat Hunting в компании. Для решения данной проблемы производитель предоставляет доступ к своей экспертизе через интуитивно-понятный интерфейс и разрабатывает учебные материалы, которые позволят обозначить основные направления и способы работы с продуктами для выявления угроз. Мы же со своей стороны планируем продолжить практику проведения мероприятий workshop, где с заказчиками разбираем реальные кейсы выявления цепочек атак», — комментирует Иван Ожерельев, руководитель отдела технического сопровождения проектов, TS Solution
В каждой отрасли были компании, которые подверглись целевым атакам. При этом большинство организаций практически не защищены от таких угроз: в основном используют базовые средства защиты, у некоторых нет даже антивирусов. Лишь 10% респондентов имеют специализированные решения.
Есть и позитивные тенденции. Компании понимают необходимость повышения уровня безопасности, планируют расширять арсенал средств защиты, включать в него специализированные комплексные решения для выявления целевых атак.
IT-World: Мир информационных технологий
Новости, аналитика, обзоры рынка IT и инструменты для эффективного бизнеса. Экспертные советы и обзоры новинок. Современное цифровое издание для профессионалов в области технологий.