Почти половина данных в информационных системах российских компаний не приносят пользы организациям, являясь, по сути, цифровым мусором. Об этом говорится в отчете компании Makves (ГК «Гарда»), посвященном проблемам хранения, обработки и защиты неструктурированных данных в российских компаниях в 2024 году.

В процессе подготовки исследования было обработано более 125 Tбайт данных и 500 тыс. учетных записей корпоративных пользователей. Специалисты Makves проанализировали, есть ли в системах организаций неактивные пользователи, пользователи с необязательными или бессрочными паролями и уволенные сотрудники с активным доступом к данным. Также были проверены файлы и папки с нарушениями прав доступа, находящиеся в общем доступе конфиденциальные данные и объем дубликатов файлов.

Среди основных уязвимостей наиболее популярными стали слабые пароли, хранение устаревших данных и личных данных сотрудников, проблемы с управлением доступом. Почти во всех организациях (95 %) в системах «живут» бывшие сотрудники с оставшимся активным доступом к корпоративным ресурсам.

Источник изображения: unsplash.com

Более половины компаний (60 %) используют уязвимые пароли. В среднем 40 % файлов остаются невостребованными более пяти лет, при этом занимая ресурсы и усложняя управление информацией. Кроме того, до 35 % файлового пространства в организациях занимают личные данные сотрудников, не имеющие отношения к бизнес-процессам. Как отмечают в компании, хранение устаревших данных приводит к росту операционных затрат и увеличивает нагрузку на ИТ-инфраструктуру.

Как показало исследование, проведённое группой компаний «Гарда», 39 % предприятий нефтегазового сектора в России опасаются, что киберпреступники могут получить несанкционированный доступ к их промышленным системам и IT-инфраструктуре. Одним из наиболее уязвимых компонентов, по мнению респондентов, являются дата-центры.

В опросе приняли участие около 300 представителей нефтегазового сектора. В числе главных угроз, помимо хакерского доступа к IT-инфраструктуре, названы: утечки или повреждение информации (на это указали 14 % опрошенных), изменение (фальсификация) данных (11 %), вредоносное ПО, такое как эксплойты, вирусы, черви и трояны (10 %), DDoS-атаки (7 %), нарушение правил хранения данных (7 %) и фишинговые атаки (7 %). Кроме того, упомянуты атаки типа Man in the Middle (3 %), а также уязвимости в протоколах (2 %).

Источник изображения: «Гарда»

Почти треть респондентов — 30 % — полагают, что больше всего в нефтегазовом секторе киберугрозам подвержены ЦОД. Каждый пятый (20 %) опрошенный считает, что атаки могут совершаться на системы управления производственными процессами (ICS/SCADA). На системы безопасности и аварийного отключения (ESD), а также системы связи и передачи данных указали по 15 % участников исследования. Промышленные контроллеры (PLC/DCS), информационные системы снабжения и логистики, IoT-решения и системы контроля над состоянием оборудования вызывают обеспокоенность у 5 % опрошенных.

Наиболее приоритетными сегментами для укрепления защиты респонденты назвали информацию из ERP-систем и данные о сотрудниках — по 18 % голосов. Далее идут промысловые данные и информация о клиентах, партнёрах и дистрибьюторах, о необходимости защиты которых сообщили по 15 % респондентов. Сведения о хранении и транспортировке, а также геолого-геофизическая информация получили по 12 %. Далее следует защита правил и регламентов в области безопасности и охраны труда (6 %) и данных о проверках оборудования (3 %).

Наиболее важными и эффективными средствами защиты информации опрошенные называют межсетевые экраны (NGFW, WAF, DBF, FW), DLP (средства предотвращения утечек информации), IPS/IDS (системы обнаружения и предотвращения вторжений), антивирусные решения и криптошлюзы.

Группа компаний «Гарда» представила результаты исследования рынка сетевой безопасности в России в 2023 году. Был сделан вывод, что рынок остаётся импортозависимым, хотя отечественные решения считаются сопоставимыми по степени зрелости с зарубежными аналогами.

В опросе исследователей приняло участие более 500 специалистов и экспертов по информационным технологиям и кибербезопасности из крупных городов России. Почти половина (42 %) постоянно сталкивается с угрозами сетевой безопасности, 31 % сообщил, что сталкивается периодически, а 12 % ответили, что испытывают подобные проблемы 2–3 раза в год. Исследователи отметили, что чем крупнее компания, тем более она подвержена этим угрозам.

Источник изображений: ГК «Гарда»

В борьбе с угрозами 38 % респондентов прибегают к организационно-технологическим мерам, а также настройке имеющейся ИТ-инфраструктуры. 3 % респондентов сообщили, что применяют специализированные технологии и решения, 18 % прибегают к услугам внешних сервисов и лишь 11 % всё ещё используют только организационные меры.

Почти половина (49 %) опрошенных продолжают использовать иностранные разработки. Причём 17% респондентов считают наши продукты лучше зарубежных, а 53 % — сравнимыми с иностранными. Речь идёт о системах анализа трафика (NTA), которые назвали 58 % опрошенных, на втором месте по отзывам (56 %) находятся сразу 3 системы: защита от DDoS-атак, сетевая криминалистика (Network Forensics), средства анализа сетевых атак и реагирования (NDR). Третье место у сетевых «песочниц» и систем управления ложными целями (Network Sandbox/Deception) — по отзывам 55 % респондентов.

Хуже иностранных решений респонденты назвали межсетевые экраны (FW, NGFW) — 44 %, многофункциональные решения (UTM) — 37 % и шлюзы информационной безопасности (SWG, SMG) — 33 %. По мнению респондентов превосходя иностранные решения такие продукты, как Web Application Firewall (WAF) — 21 %, сетевая криминалистика (Network Forensics), данные о киберугрозах (Threat Intelligence) и защита от DDoS-атак — по 19 %.

Исследователи отметили, что в части сетевой безопасности исторически доминировали иностранные продукты. Параллельный импорт и пиратство несут риски, поэтому у российских разработчиков есть возможности для совершенствования собственных продуктов. Кроме того, фактор скорости и продолжающееся значительное присутствие решений зарубежных производителей в сетях клиентов подтверждают, что в 2025 году процесс импортозамещения может полностью не завершиться.

Российский разработчик систем информационной безопасности «Гарда технологии» (входит в «ИКС Холдинг») сообщил об обновлении сервиса «Гарда TI» (Threat Intelligence), предоставляющего актуальные сведения о признаках и индикаторах вредоносной активности на основе данных из открытых и собственных источников аналитического центра группы компаний «Гарда».

В новой версии «Гарда TI» данные аналитики о хакерских группировках, методах и тактиках атак предоставляют заказчикам более полную информацию об индикаторах компрометации для повышения эффективности противодействия угрозам. Обновились связи между индикаторами, благодаря чему специалисты ИБ-служб могут сократить время реакции на вредоносную активность и самостоятельно проводить анализ угроз.

Источник изображения: freepik.com

Кроме прочего, в базе «Гарда TI» стали доступны новые типы индикаторов: JA3/JA3S-отпечатки. Использование таких отпечатков позволяет точнее анализировать паттерны поведения злоумышленников и идентифицировать необычные или вредоносные активности в сети. Это помогает в обнаружении кибератак, инсайдерских активностей, вредоносного программного обеспечения, детектировании угроз в шифрованном трафике и ранее неизвестных угроз нулевого дня. Также сообщается о повышении удобства пользовательского интерфейса сервиса.

Система «Гарда TI» зарегистрирована в реестре отечественного ПО, что подтверждает соответствие продукта требованиям российского законодательства, предоставляет возможность беспрепятственного использования в организациях, относящихся к органам государственной власти и критической информационной инфраструктуре.

Компания «Гарда» обнародовала результаты исследования, в ходе которого изучались ландшафт и особенности DDoS-атак в России в III квартале 2023 года. Аналитики зафиксировали рост интенсивности атак, реализующих TCP-флуд. В результате, увеличивается количество нападений на сервисы.

В отчёте говорится, что по сравнению со II четвертью текущего года значительно выросла доля TCP SYN-флуда, достигнув 60 %. На втором месте в рейтинге наиболее распространённых DDoS-атак с показателем 20 % находится TCP ACK-флуд. UDP-флуд занимает третью позицию: при этом его доля сократилась с 27 % до 13 %. На атаки типа DNS Amplification пришлось 3 %, тогда как доля NTP Amplification упала с 9 % до 1 %.

Источник изображений: «Гарда»

В III квартале 2023 года с наибольшим количеством DDoS-атак столкнулись российские телекоммуникационные компании: на них пришлось приблизительно 25 % всех подобных нападений. Далее следуют сегмент транспорта/перевозок и государственный сектор с 20 % каждый. Таким образом, на эти три сферы приходится в общей сложности примерно две трети всех DDoS-атак — 65 %.

Сравнительно высокие показатели отмечаются по топливно-энергетическому комплексу (11 %) и промышленности (10 %), что может говорить о попытке воздействия на сектор реальной экономики. Шестое и седьмое места занимают IT-сфера (6 %) и финансовый сектор (6 %), которые также являются традиционными целями злоумышленников. Далее идёт образование с 1 %.

В рейтинге стран, из которых атакуют российские ловушки (речь о попытках захватить управление ловушкой и расширении ботнет-сетей), по-прежнему лидирует Китай с показателем 46,45 %. Индия увеличила значение до 30,41 % (против 24,78 % во II квартале 2023 года), тогда как Южная Корея показала значительное снижение, сократив долю до 3,5 %. Далее следуют США и Тайвань — 2,7 % и 1,7 % соответственно.

Россия по итогам II квартала 2023 года оказалась на девятом месте в мире по общему количеству зарегистрированных DDoS-атак. Как сообщает компания «Гарда», ситуация в данной сфере значительно ухудшилась. В период с апреля по июнь включительно на российскую IT-инфраструктуру пришлось 2,3 % от общего числа DDoS-атак в мире. Это в два раза больше по сравнению с I четвертью текущего года.

По оценкам, в I квартале 2023 года количество DDoS-атак в России составило приблизительно 385 тыс. Абсолютные значения за II четверть года не приводятся, но говорится, что по сравнению с тем же периодом 2022-го показатель увеличился на 28 %. При этом число атак на правительственные организации подскочило за год на 118 %, на энергетический сектор — на 74 %, на нефтяную отрасль — на 53 %.

Наиболее атакуемые страны (Источник: «Гарда»)

В исследовании «Гарда» говорится, что по сравнению с I кварталом 2023 года, во II четверти года несколько изменилось распределение активности по дням недели. Число атак в пятницу и воскресенье снизилось по отношению к предыдущему периоду, а заметный рост наблюдается по вторникам и средам.

Зафиксирован рост TCP-флуда: доля таких атак достигла — 18 %. Суммарная доля TCP ACK и TCP SYN составила 42 %, UDP-флуд по-прежнему занимает второе место. При этом число таких атак сократилось с 47 % до 24 %, стабилен уровень атак типа DNS Amplification  —в районе 9-10 %. Доля NTP Amplification значительно выросла  —с 1 % до 10 %.

Источник: «Гарда»

Отмечается, что основная часть DDoS-атак реализуется с использованием ботнетов, в состав которых входят компьютеры не только компаний, но и обычных пользователей по всему миру. В техническом плане сложность таких киберпреступных кампаний постоянно растёт. DDoS-атаки организуются на канальный уровень, сетевую инфраструктуру, TCP/IP-стек и уровень приложения.

Наибольшее количество атак во II квартале 2023 года пришлось на США — около 33,5 % от общего числа. На втором месте находится Китай с результатом в 10 %. Количество атак с территории России снизилось: их доля сократилась с 3,09 % до 2,11 %. Лидерами по данному показателю являются Китай (38 %), Индия (24 %) и Южная Корея (10 %).

Разработчики систем сетевой и информационной безопасности «Гарда технологии», «Техаргос», «Веблок» (Weblock), «Маквес групп» (Makves) и «Бастион» вошли в управление холдинга «Гарда» (входит в «ИКС холдинг»). Новая головная структура в лице ГК «Гарда» была зарегистрирована в апреле 2023 года для контроля, синхронизации и оптимизации деятельности и бизнес-процессов внутри группы, координации финансовых потоков и принятия управленческих решений.

«Техаргос» и «Бастион» на 100 % принадлежат ГК «Гарда». «Маквес групп» (учреждена в 2019 году, в апреле 2023 года «Гарда технологии» приобрела 51 % акций) и «Веблок» (начала работу весной этого года) являются «дочками» «Гарда технологии». Ей принадлежит по 51 % в этих компаниях. Компании «Гарды» работают в следующих направлениях: защита данных, сетевая безопасность, управление трафиком, сетевая инфраструктура, аналитика и сервис.

Источник изображения: YADRO

Как отмечают в пресс-службе «Гарды», 50 % выручки холдинга приносят проекты по построению сетевой инфраструктуры, 25 % — защите данных, 17 % — сетевой безопасности и 10 % — аудиту и сервисным услугам. По информации пресс-службы «Гарды», ее решения защищают 50 % российского интернета от DDoS-атак, а продуктовый портфель построен на основе технологий собственной разработки, которые не требуют сторонних лицензий.

«ИКС Холдинг» в 2022 году получил выручку в размере 91 млрд руб., что на 115 % больше, чем в 2021 году. Показатель EBITDA в 2022 году вырос еще больше — на 180 %, с 10 млрд руб. в 2021 году до 29 млрд руб. Значительный рост показателей объясняется возросшим спросом на продукцию холдинга, включая СХД и серверы производства входящей в головное юрлицо ГК Yadro. Реорганизацию отчасти можно объяснить попаданием в феврале 2023 года «ИКС холдинга» и Yadro под санкции США.

По данным компании «Гарда технологии», I квартал 2023 года отметился рекордным скачком интенсивности DDoS-атак. По сравнению с IV кварталом 2022 года в отчетный период значительно выросла доля разновидностей сетевых атак типа «отказ в обслуживании»: на первом месте UDP-флуд (рост с 40 % до 47 %), на втором — SYN-флуд с небольшим снижением (с 38 % до 36 %).

«Гарда технологии» собирала данные с помощью территориально распределенных ловушек, расположенных в 10 странах мира (США, страны Европы и др.). В отличие от IV квартала 2022 года в отчетный период наибольшая активность наблюдалась не в выходные, а в будние дни — заметный рост наблюдался в пятницу и среду. Распределение количества уникальных атакующих узлов по государствам значительных не изменилось. По-прежнему наибольшее количество атак фиксируется в США (35 %), второе место занимает Китай (почти 10 %). Россия занимает 13 место (1 %).

Источник: «Гарда технологии»

Несмотря на то, что общее географическое распределение уникальных атакующих DDoS-узлов существенно не поменялось, в России и Индии зафиксирован значительный рост количества таких узлов, атакующих ловушки. Это 3 % против 2 % ранее и 18 % против 12 % ранее соответственно. В лидерах по этому параметру по-прежнему Китай, хотя и со снижением (38 % против 40 % ранее). Южная Корея уступила Индии, сократив показатели на 4 % (10 % против 15 % ранее).

Источник: «Гарда технологии»

Как отмечают в компании, в относительных значениях по сегменту этот рост составил 50 %, что может говорить о попытках злоумышленников обойти блокировки по географическому признаку для расширения активности в российском сегменте интернета.

Российский разработчик систем информационной безопасности «Гарда технологии» (входит в «ИКС холдинг») приобрел 51 % акций разработчика ПО Makves, специализирующегося на IT-аудите и защите корпоративных данных. Об этом сообщают РБК со ссылкой на источники. Сумма сделки не раскрывается.

Основной продукт приобретенной компании — система аудита и управления неструктурированными данными Makves DCAP (Data-Centric Audit and Protection), которая позволяет повысить защищённость хранимой информации и предотвратить утечки. Makves DCAP собирает сведения обо всех файлах на серверах и рабочих станциях сотрудников, в почтовых системах и облачных сервисах. ООО «Маквес групп» создано в 2019 году. Выручка в 2022 году составляла 48,8 млн руб., чистая прибыль — 9,5 млн руб. До сделки 40 % компании принадлежало её главе Роману Подкопаеву, по 30 % — Максиму Никулину и Дмитрию Петушкову. После сделки доли снизились до 17 % и 16 % соответственно.

Источник: Makves

«ИКС холдинг» активно собирает в портфеле компании из сектора информационной безопасности и кибербезопасности, создавая технологический конгломерат. Сейчас в «ИКС холдинг» входит около 30 компаний. Дочерняя «Гарда технологии» оценила быстрорастущий рынок DCAP в России в 2023 году в 2 млрд руб. — теперь компания намерена занять на нем лидирующие позиции.