Твой сисадмин плачет. Хакеры научились ломать IT-компании, чтобы добраться до клиентов

кибератака уязвимость инфраструктура сегментация инцидент Positive Technologies
Твой сисадмин плачет. Хакеры научились ломать IT-компании, чтобы добраться до клиентов
кибератака уязвимость инфраструктура сегментация инцидент Positive Technologies

Positive Technologies рассказали, какие банальные ошибки помогают хакерам останавливать бизнес.

image

Специалисты Positive Technologies подвели итоги расследований атак и ретроспективного анализа за последний год. Компания отмечает устойчивый спрос на такие проекты, при этом организации вдвое чаще запрашивали ретроспективный разбор инцидентов. Основными точками входа злоумышленников стали уязвимости веб-приложений и использование доверительных отношений. Доля атак, при которых нарушалась непрерывность бизнеса, выросла до 55%.

По данным PT ESC IR, за год заметно изменился профиль атакованных компаний. Если раньше чаще обращались промышленные предприятия, то теперь на первом месте ИТ-организации, на которые пришлось 24% запросов. Такой рост специалисты связывают с тем, что компрометация поставщика может открыть злоумышленникам доступ сразу к нескольким клиентским инфраструктурам. Столько же обращений, 24%, поступило от госучреждений.

Существенно увеличилась доля атак через подрядчиков почти вдвое, с 15% до 28%. В отчете указывается, что двухфакторная аутентификация могла бы усложнить злоумышленникам движение к конечной цели и повысить шансы на раннее обнаружение атаки. Самым распространенным способом проникновения остается эксплуатация уязвимостей веб-приложений на периметре, на нее пришлось 36% случаев.

Отмечен рост инцидентов, связанных с компрометацией сетевых устройств. В одном из кейсов хакеры воспользовались ошибками в настройке маршрутизаторов и продолжительное время перехватывали сетевой трафик.

В 26% расследованных инцидентов атакующие проникли во внутренний контур из-за его слабой сегментации. Устаревшие версии операционных систем и программ, особенно на пограничных узлах, стали фактором в 25% случаев. Отсутствие двухфакторной аутентификации сыграло роль в 23% проектов, еще в 21% успеху атак способствовало отсутствие антивирусной защиты или ошибки в ее настройке.

В инфраструктуре 43% компаний специалисты обнаружили следы известных APT-группировок, годом ранее этот показатель составлял 39%. Доля атак, которые привели к нарушению бизнес-процессов, выросла с 32% до 55%. Старший специалист департамента комплексного реагирования на киберугрозы Positive Technologies Илья Денисов отметил, что обращение к экспертам на раннем этапе помогло ряду компаний избежать серьезного ущерба. По его словам, необходим фундаментальный пересмотр подходов к киберзащите с акцентом на измеримость результатов.

Компании стали быстрее выявлять инциденты. В среднем между началом вредоносной активности и ее обнаружением проходит 9 дней, что на 8 дней меньше, чем год назад. Однако в отдельных случаях злоумышленники могут достигать критических целей за сутки. В других ситуациях атаки остаются незамеченными длительное время, и в одном из расследований специалисты установили, что хакеры присутствовали в инфраструктуре почти 3,5 года.