Эксперты группы компаний Angara изучили итоговый сводный отчет компании Positive Technologies по актуальным киберугрозам 2019 года в мире. Общие выводы аналитиков говорят о росте числа кибератак на 19% по сравнению с 2018 годом, причем:
- Основной удар пришелся на государственные учреждения (20% атак) и промышленные компании (10%).
- Атаки на промышленные компании чаще всего происходят с помощью вредоносного ПО.
- Выросла доля целенаправленных атак (АPT), а общее число заражений вредоносным ПО на 38% превысило показатели 2018 года, в частности, шифровальщиков (31% заражений) из-за качественного изменения злоумышленниками и улучшения методов доставки - фишинга и компрометации официальных мобильных приложений.
- Атаки JavaScript-снифферов набирали обороты в течение года и приобрели массовый характер.
Изменилось мотивационное назначение атак. В 2019 году на первый план выходят атаки с целью кражи данных (персональных, учетных, платежных, личные переписки, медицинская информация и другие, базы данных клиентов и коммерческая тайна), и они почти в два раза обгоняют атаки с целью прямой финансовой выгоды. Это демонстрирует рост стоимости информации в мире и распространение способов ее монетизации. Исследователи Positive Technologies подтвердили тренд на количественное и качественное развитие методов социальной инженерии.
Из трендов атак видно, что основными целями остаются пользовательские системы и серверы, и для атак чаще используется неизвестное ранее или качественно обфусцированное вредоносное ПО. Действия такой атаки практически невозможно пресечь с помощью сигнатурного анализа. В данном случае эффективно работает поведенческая аналитика, детектирование и блокирование самих вредоносных действий. Решениями, которыми можно реализовать эту методику, являются на разных уровнях сети и инфраструктуры:
- Enhanced Data Rate (EDR) – на уровне персональных компьютеров и серверов. Решения отслеживают действия процессов и приложений, попытки подключения к вредоносным сайтам, нелегитимные изменения системных приложений или реестра, попытки вредоносной эксплуатации RAM или runtime окружения и т.д.
- AntiAPT-системы (от Advanced Persistent Threat) - на уровне анализа почтового трафика и вложений. Системы производят эмуляцию пользовательского ПК и отыгрывают действия подозрительных вложений, детектируя действия, нарушающие целостность системы.
- Network Behavioral Analytic – системы анализа отпечатка сетевого трафика, с помощью которых можно вычислить отклонения от нормы и RFC для сетевых протоколов и, таким образом, обнаружить нелегитимную передачу данных.
- Security Operation Center (SOC) и Security Automation and Orchestration (SOAR) - системы незаменимы для своевременного обнаружения подозрительной активности, расследования инцидента и реагирования на него.
