«Мы думали, что начало 2022 года — это пик хакерских атак. Кто бы мог предположить, что в 2023-м их станет больше в разы. Если раньше у нас в работе было в среднем семь кейсов, то два месяца назад их было 20. А в прошлом месяце — 26. Такого никто не ожидал!» — восклицает руководитель отдела реагирования на угрозы информационной безопасности экспертного центра Positive Technologies (PT) Денис Гойденко.
На неделе компания РТ представила отчет о ситуации с кибербезопасностью за первые три квартала 2023 года и прогноз на 2024-й. Главный вывод: число атак увеличивается и будет увеличиваться. По данным исследования, чаще всего атакам подвергались государственные учреждения, на втором месте с минимальным отрывом шли промышленные предприятия, на третьем — финансовые организации (см. график).
Эксперты связывают увеличение активности злоумышленников с геополитической ситуацией и прогнозируют, что боевые действия в киберпространстве будут продолжаться и дальше.
Активизация атакующих
Обратная сторона всеобъемлющей цифровизации — уязвимость перед злоумышленниками, способными нарушить функционирование сложных информационных систем, критической инфраструктуры, остановить работу госучреждения или промышленного предприятия.
При этом желающих попробовать на прочность информационную безопасность (ИБ) становится все больше. Как отмечают в Positive Technologies, на фоне напряженной геополитической ситуации угроза атак со стороны хактивистов (это частные лица и организации, осуществляющие кибератаки с целью обратить внимание на социальные, политические или экономические проблемы) выросла как никогда раньше. По словам руководителя исследовательской группы отдела аналитики ИБ Positive Technologies Ирины Зиновкиной, до последнего времени хактивисты в основном использовали для нанесения ущерба DDoS-атаки и дефейс (замену страниц) сайтов. За три квартала 2023 года число атак на веб-ресурсы организаций увеличилось на 44% относительно всего 2022 года.
«В следующем году атаки на госсектор будут иметь более разрушительные последствия, которые могут помешать предоставлению критически важных государственных услуг. Государственные организации России столкнутся с увеличением количества высококвалифицированных целевых атак со стороны APT-группировок», — отмечает Ирина Зиновкина.
В последнее время хактивисты часто наносят удары в уязвимые места систем, что приводит к существенному ущербу. Возможности для такого взлома имеются: инструкции зачастую размещаются на специализированных ресурсах и становятся доступными для широкого круга злоумышленников.
Согласно информации Национальной базы данных уязвимостей (NVD, США), в октябре 2023 года было зарегистрировано 25 356 уязвимостей в программном обеспечении — это больше, чем за весь 2022 год (25 051).
В свою очередь, исследователи Positive Technologies за десять месяцев этого года выявили 104 уязвимости нулевого дня, то есть те, против которых еще не разработана защита. В 2022 году исследователи РТ обнаружили 142 новые уязвимости, в 2021-м — 81.
Важно отметить, что почти четверть уязвимостей нулевого дня, 24%, были найдены экспертами Positive Technologies в АСУ ТП. Понятно, что ошибки в системах управления технологическими процессами не только чреваты остановкой производства, но и могут привести к человеческим жертвам.
К сожалению, исправление подобных ошибок требует все больше времени. В прошлом году количество выявленных специалистами Positive Technologies уязвимостей, которые вендорам удавалось исправить в течение 90 дней, стало меньше. Если раньше в этот срок закрывалось 30% брешей в ПО, то теперь всего 24%.
Как подчеркивают эксперты в области ИБ, важно своевременно обновлять программное обеспечение. Порой специалисты обнаруживают в информационных системах компаний уязвимости, известные уже более десяти лет, но до сих пор не закрытые, хотя все возможности для этого есть. В РТ также обращают внимание на важность обновления «1С-Битрикс», где обнаружена критическая уязвимость в системе управления сайтом. Аналогичная уязвимость выявлена и в «Битрикс24» — популярной в России CRM-системе.
Все это происходит на фоне одностороннего разрыва отношений отечественных пользователей со многими зарубежными вендорами как средств защиты информации, так и общесистемного и прикладного программного обеспечения, подчеркивает ведущий консультант по информационной безопасности Aktiv.Consulting, подразделения компании «Актив», Александр Моисеев.
Сегодня в стране активно ведется разработка собственного, импортозамещенного ПО. Однако новые продукты, создаваемые порой в спешке, также могут иметь множество «дыр», которые необходимо быстро выявлять и «латать».
Здесь на выручку приходят платформы Bug Bounty, где внештатные специалисты — белые хакеры — ищут уязвимости в программном обеспечении. В этом году количество компаний, подключившихся к таким платформам и отдающих свои продукты туда на тестирование, увеличилось вдвое. В Positive Technologies отмечают и существенный рост интереса со стороны предпринимателей: вероятно, причиной стала ускоренная цифровизация их бизнеса.
Не всякое железо демонстрирует прочность
Но опасность исходит не только от программного обеспечения. На аппаратном уровне есть свои проблемы. Например, недавно эксперты Positive Technologies обнаружили несколько уязвимостей в устройствах и чипах потребительской электроники. В частности, выяснилось, что через микроконтроллеры одного из крупнейших китайских производителей можно получить доступ к данным пользователей. Информация об этой уязвимости, которая способна затронуть до 1,5 млрд устройств по всему миру, передана изготовителю, и в новых версиях чипов проблема должна быть решена.
Была также выявлена уязвимость в умных колонках нескольких производителей, которая позволяет «захватить» устройство при условии физического доступа к нему. Уязвимость реализуется на уровне загрузчика микропроцессора, поэтому для ее исправления необходима международная кооперация: этот микропроцессор установлен в большом количестве других гаджетов.
Бреши в разного рода потребительских устройствах могут использоваться для проникновения в более крупные и ответственные системы. Так, компьютер автомобиля директора может быть подключен к общезаводской сети — проникнув в него, злоумышленник получит возможность добраться до действительно важных файлов и программ, способных повлиять на работу компании.
Развитие технологий искусственного интеллекта также увеличивает степень опасности. По оценкам специалистов, в ближайшие два-три года генеративные нейросети совершат революцию в области кибератак. Уже сейчас они способны создавать по запросу вредоносный код, а в процессе совершенствования их возможности станут еще больше.
Защищайтесь!
По мнению Александра Моисеева, одна из проблем — низкий уровень финансирования ИБ на уровне компаний. Как правило, подразделение информационной безопасности финансируется по остаточному принципу, хотя оно должно отслеживать множество аспектов безопасности, в то время как атакующему достаточно сосредоточить свои усилия на каком-то одном аспекте. Из экономии специалисты по ИБ вынуждены строить работу на open source компонентах программного обеспечения и средств защиты информации, что увеличивает риски.
Правда, крупные компании не забывают о рисках и уделяют информационной безопасности должное внимание. Но и они не защищены от угроз на 100%. Так, эксперты отмечают новый тренд — атаки на партнеров хорошо защищенных компаний. Небольшие предприятия, которые выступают в роли поставщиков услуг или продукции, не столь серьезно защищены, и атаковать их проще. Злоумышленники могут проникнуть сначала в компанию-поставщика, а через него — в информационную систему партнера, нанеся тому вред. Второй вариант — нанесение непосредственно поставщику такого ущерба, при котором компания не сможет выполнить свои обязательства и тем самым спровоцирует проблемы у крупного предприятия-партнера. Например, прекращение поставок важных комплектующих способно привести к остановке всего сборочного производства. А всего-то «не было гвоздя».
Словом, предпринимателям и чиновникам пора изменить отношение к подразделениям информационной безопасности. Как отмечает председатель Ассоциации пользователей стандартов по информационной безопасности (АБИСС) Анастасия Харыбина, трансформация информационной безопасности в бизнес-функцию — неизбежный шаг по пути к переходу на новый уровень зрелости.