Журнал "Information Security/ Информационная безопасность" #4, 2022

По данным Check Point Software Tech- nologies, за последние полгода органи- зации в России атаковали в среднем 1461 раз в неделю, что на 33% больше по сравнению с аналогичным периодом прошлого года. Кибератаки постоянно совершен- ствуются, становятся все более изощ- ренными и продуманными. Сегодня для надежной защиты конечных устройств недостаточно традиционного антивиру- са: он заблокирует лишь атаки, для которых существуют сигнатуры. Давай- те посмотрим, какие киберугрозы сей- час наиболее актуальны для бизнеса и какие современные технологии позво- ляют от них защититься. Самые распространенные киберугрозы в России Для обеспечения надежной защиты корпоративной ИТ-инфраструктуры необходимо знать угрозы, которые представляют наибольшую опасность. Данные Check Point Software Tech- nologies свидетельствуют о том, что в последние полгода чаще всего россий- ские организации подвергались атакам ботнетов – 16,3% из всех атакованных компаний. При этом среднемировой показатель угрозы ботнетов составляет лишь 5,3%. Чаще всего ботнеты исполь- зуют для DDoS-атак, призванных выво- дить из строя корпоративные ресурсы. В последнее время было много гром- ких случаев, связанных с DDoS-атаками, например в мае СберБанк успешно отра- зил 1 крупнейшую DDoS-атаку в своей истории. В тройку самых актуальных киберугроз для российских компаний также входят криптомайнеры, атакам которых подверглась 7,1% отечествен- ных организаций, и инфостилеры, затро- нувшие 6% компаний. Самые распространенные вредоносные программы Рассматривая конкретные вредонос- ные программы, которые представляют наибольшую опасность для бизнеса в России, можно выделить три основные угрозы. SnakeKeylogger SnakeKeylogger – программа-шпион для ПК, которая считывает нажатие клавиш на клавиатуре и передает собранные данные злоумышленникам. Заражение SnakeKeylogger представ- ляет большую опасность для конфи- денциальности пользователей, посколь- ку может собирать практически все виды личных данных. Этот кейлогер очень тяжело обнаружить и еще труд- нее удалить с устройств. В мае 2022 г. SnakeKeylogger затронула 6% россий- ских компаний. Pony Pony – это вредоносное ПО, предна- значенное в первую очередь для кражи учетных данных пользователей ОС Win- dows и отправки их на сервер зло- умышленников. Pony позволяет отсле- живать активность системы, загружать и устанавливать дополнительные вре- доносные программы и даже распро- страняться по сети, заражая другие устройства. Иными словами, Pony функ- ционирует как ботнет, а из-за своей децентрализованной структуры эта про- грамма может распространяться сразу по нескольким векторам. В мае она была обнаружена и обезврежена в 5% корпоративных сетей российских орга- низаций. AgentTesla Столько же отечественных компаний столкнулись еще с одной угрозой – AgentTesla. Это продвинутый троян уда- ленного доступа (RAT) для кражи учет- ных данных. Он может собирать данные с клавиатуры жертвы и из буфера обме- на, делать снимки экрана и извлекать учетные данные, которые пользователь вводит в различные программы, уста- новленные на компьютере, включая Google Chrome, Mozilla Firefox и Microsoft Outlook. AgentTesla без каких-либо ограничений продается в даркнете, и любой человек, например уволенный сотрудник, может купить пользователь- скую лицензию для проведения атак. Решение для защиты конечных устройств – EDR EDR (Endpoint Detection & Response) – это класс решений для обнаружения и изучения вредоносной активности на конечных устройствах. Они разработа- ны специально для того, чтобы вывести безопасность организации за рамки реактивной модели киберзащиты, осно- ванной на обнаружении угроз. EDR- решения предоставляют аналитикам безопасности инструменты, необходи- мые им для упреждающего выявления угроз и защиты от них. Давайте рас- смотрим главные преимущества EDR. 1. Улучшение видимости. EDR-реше- ния выполняют непрерывный сбор и аналитику данных и отправляют отчеты в единую централизованную систему. Таким образом, ИБ-специалисты полу- чают полную информацию о состоянии конечных точек сети на единой консоли. В отличие от администрирования раз- розненных ИБ-решений централизован- ное управление информационной без- опасностью через облачный сервис позволяет следить за состоянием всех 50 • УПРАВЛЕНИЕ Наиболее опасные вредоносы первой половины 2022 года, и как им противостоять пустя два года после начала пандемии существенная часть компаний продолжает работу в удаленном или гибридном формате. Ставшая популярной концепция BYOD (Bring Your Own Device), согласно которой персонал использует собственные устройства для доступа к корпоративной сети, по-прежнему создает серьезные риски для информационной безопасности предприятий. Это расширяет возможный ландшафт киберугроз и увеличивает вероятность успеха атак, число которых неуклонно растет. С Дмитрий Крайненко, руководитель направления информационной безопасности Fortis 1 https://www.sberbank.com/ru/news-and-media/press-releases/article?newsID=ac98f15b-d389-4eb0-8efe-d8fcab60e288&blockID=7&region- ID=77&lang=ru&type=NEWS