«Лаборатория Касперского» обнародовала результаты исследования, в ходе которого изучалась ситуация с безопасностью в киберпространстве в мировом масштабе. Анализ показал, что только за последние два года более ¾ (77 %) всех компаний столкнулись как минимум с одним инцидентом, причём для многих предприятий количество вторжений за указанный период достигает шести.

Выводы «Лаборатории Касперского» базируются на результатах опроса, проведённого компанией Arlington Research среди 1260 специалистов в области IT. Исследование охватило 19 стран, включая Бразилию, Чили, Китай, Колумбию, Францию, Германию, Индию, Индонезию, Японию, Казахстан, Мексику, Россию, Саудовскую Аравию, ЮАР, Испанию, Турцию, ОАЭ, Великобританию и США. Все респонденты работали в компаниях малого и среднего бизнеса с численностью сотрудников более 100 человек или в крупных организациях с количеством работников более 1000 человек.

Источник изображения: pixabay.com

Выяснилось, что 75 % киберинцидентов, с которыми столкнулась компании за двухлетний период, носили серьёзный характер. Примерно четверть (26 %) всех случаев были связаны с умышленными нарушениями сотрудниками политики информационной безопасности.

Около 11 % инцидентов, то есть примерно каждый десятый случай, произошли из-за теневых IT: это приложения, устройства, публичные облачные сервисы и другие цифровые инструменты, которые официально не разрешены для работы в конкретной компании. Больше всего от использования теневых средств страдает IT-отрасль — на неё пришлось 16 % связанных с этим киберинцидентов в 2022-м и 2023 годах. С проблемой также сталкиваются объекты критической инфраструктуры, транспортные и логистические компании (по 13 %). Ситуация с теневыми IT осложняется тем, что во многих организациях не прописана ответственность для сотрудников за соответствующие нарушения.

«Теневыми IT могут быть несанкционированные приложения, установленные на рабочие компьютеры сотрудников, флешки, мобильные телефоны, ноутбуки и другие устройства. Но бывают и менее очевидные варианты. Например, кто-то из сотрудников может использовать старое оборудование, оставшееся после модернизации или реорганизации IT-инфраструктуры. Со временем в нём накапливаются уязвимости, с помощью которых злоумышленники смогут проникнуть во внутреннюю систему компании», — отмечает «Лаборатория Касперского».

Исследование показало, что 14 % киберинцидентов происходят из-за ошибок старшего IT-специалиста, около 15 % — по причине некорректных действий прочих IT-сотрудников. Примерно 18 % респондентов рассказали, что причиной инцидентов в их компаниях является нехватка навыков в области кибербезопасности. Ещё 41 % компаний считают, что у них есть пробелы в инфраструктуре ИБ, тогда как 21 % опрошенных заявили, что их компаниям не хватает средств для принятия адекватных защитных мер.

По оценкам EdgeЦентра, провайдера облачных и edge-решений, в 2023 году количество кибератак на российские компании и организации увеличилось на 300 % по сравнению с 2022-м. Согласно прогнозу экспертов, который приводит газета «Коммерсантъ», в 2024-м ситуация продолжит ухудшаться, что связано со сформировавшейся геополитической обстановкой.

Специалисты EdgeЦентра подсчитали, что в уходящем году кибернападениям подверглись более 50 крупных предприятий РФ из различных отраслей — транспортной сферы, государственного и финансового секторов. В общей сложности проведены свыше 130 тыс. DDoS-атак на российские компании средней продолжительностью 15 минут. Самая продолжительная вредоносная кампания длилась примерно восемь суток. Более 500 DDoS-атак имели мощность, превышающую 100 Гбит/с.

Источник изображения: pixabay.com

Эксперты EdgeЦентра полагают, что в 2024 году число DDoS-атак на российский бизнес подскочит как минимум на 400 % в годовом исчислении. Наблюдающаяся тенденция объясняется прежде всего сложной геополитической ситуацией. «Лаборатории Касперского» добавляет, что в 2024-м на фоне потрясений может вырасти количество атак, спонсируемых государствами. Их целью обычно является кража или шифрование данных, разрушение IT-инфраструктуры, кибершпионаж и киберсаботаж.

В целом, по данным «Лаборатории Касперского», за последние два года подавляющее большинство организаций в России (69 %) пострадали как минимум от одного инцидента кибербезопасности. Причём больше половины из них (58 %) оцениваются как критические. «Лаборатория Касперского» полагает, что в условиях стремительного развития ИИ и больших языковых моделей в 2024 году будут возникать новые сложные уязвимости.

«Лаборатория Касперского» опубликовала отчёт «О значимых утечках данных в России» в 2023 году. Эксперты пришли к выводу, что в количественном выражении число инцидентов по сравнению с 2022-м несколько сократилось, однако общий объём опубликованных сведений существенно вырос.

В 2022 году зафиксирован 141 случай публикации значимых баз данных российских компаний. При этом были похищены в общей сложности более 230 млн наборов пользовательских данных. Утекло свыше 33 млн записей с паролями. В 2023-м число утечек снизилось до 133, то есть приблизительно на 6 %. Но количество наборов похищенных пользовательских данных выросло на треть (33 %) — до 310 млн. При этом украдено 47 млн записей с паролями.

Источник изображения: «Лаборатория Касперского»

По итогам уходящего года большинство утечек, как и в 2022-м, произошло в сегменте малого и среднего бизнеса. Однако более чем в полтора раза вырос объём информации, полученной в результате инцидентов в крупных компаниях. В отчёте говорится, что основная часть утечек зафиксирована в таких сферах, как ретейл, карьера и образование, интернет-сервисы, финансы и IT. Причём наиболее значительный рост в 2023 году отмечен в двух последних из перечисленных сфер. Наборы похищенных сведений чаще всего включают информацию о пользователях ресурсов и/или их историю заказов. Базы данных сотрудников в 2023 году публиковались реже, нежели в 2022-м.

Исследование показало, что основная масса скомпрометированных данных (71 %), которые оказались в открытом доступе, датируются уходящим годом. Иными словами, эта информация носит актуальный характер. Более половины (55 %) изученных баз становились публичными в течение месяца после предполагаемой даты выгрузки из систем компании. Основным каналом распространения утекшей информации стал мессенджер Telegram, а не специализированные теневые форумы, как было годом ранее.

«Лаборатория Касперского» объявила о выпуске защитных решений Kaspersky Smart I и Kaspersky Smart II для корпоративного сегмента.

Представленные продукты предназначены для компаний среднего бизнеса, в IT-инфраструктуре которых насчитывается от 250 до 1000 рабочих мест и серверов. Линейка Kaspersky Smart может быть развёрнута как локально, так и в виртуальной среде, включает в себя возможности не только для мониторинга и обнаружения цифровых угроз, но и для реагирования на инциденты, а также помогает соответствовать требованиям регуляторов.

Возможности Kaspersky Smart

Оба уровня линейки — Smart I и Smart II — включают в себя SIEM-систему Kaspersky Unified Monitoring and Analysis Platform, которая позволяет осуществлять комплексный мониторинг и потоковую корреляцию событий ИБ из различных источников данных в режиме реального времени в рамках всей инфраструктуры, а также благодаря централизованному хранению данных предоставлять информацию об инцидентах регулирующим органам. Во второй уровень, помимо SIEM, входит решение Kaspersky EDR Expert, позволяющее выстроить дополнительный эшелон защиты конечных устройств от сложных угроз.

«Организации среднего размера по большей части уже обладают фундаментальной защитой на уровне конечных устройств и задумываются о защите от сложных атак. Востребованность систем анализа и управления ИБ-событиями, а также EDR-решений растёт, поскольку с усложнением ландшафта киберугроз возникает необходимость реагировать на инциденты быстрее, качественнее, с меньшими усилиями. Средний бизнес остро нуждается в комплексных и эффективных решениях для защиты своих бизнес-активов, и мы делаем доступным ему свой комплексный продукт уровня Enterprise. Наша новая линейка предоставляет не только наиболее актуальную киберзащиту, но и помогает соответствовать требованиям законодательства», — отмечает «Лаборатория Касперского».

«Лаборатория Касперского» сообщила о выпуске обновлённой промышленной платформы Kaspersky Industrial CyberSecurity (KICS), включающей набор специализированных продуктов и сервисов, призванных обеспечить кибербезопасность промышленных предприятий. Решение помогает реализовать комплексный подход к кибербезопасности на всех уровнях, начиная с анализа защищённости и тренингов для сотрудников и заканчивая технологиями защиты АСУ ТП и реагированием на инциденты.

В обновлённой версии платформы решение для защиты конечных точек KICS for Nodes может использоваться в качестве узлового агента для сбора расширенного набора данных для глубокого анализа инцидентов, а также реагирования на них. Благодаря этому операторы будут получать оповещения о событиях в сети, содержащие данные о хосте и протекающих на нём процессах, активности зарегистрированных пользователей и сетевых коммуникациях с более высокой точностью.

Компоненты Kaspersky Industrial CyberSecurity

Среди других важных изменений — встроенные средства централизованного аудита безопасности сетевых узлов и устройств на базе Windows и Linux. Благодаря этой функции ИБ-службы могут автоматически проверять хост или группу хостов на наличие уязвимостей в программном обеспечении, неправильных настроек, а также на соответствие локальному или международному законодательству и корпоративным политикам, в частности требованиям ФСТЭК России.

Доработкам подвергся компонент KICS for Networks, дополнившийся продвинутой системой анализа сетевого трафика (NTA), предоставляющей возможность анализировать трафик как на периметре, так и по всей инфраструктуре. Решение для защиты промышленных узлов KICS for Nodes получило поддержку новых моделей ПЛК. Наконец, благодаря расширенным возможностям XDR клиенты теперь могут управлять установочной базой KICS из единой консоли, а также масштабировать работу по обеспечению безопасности АСУ ТП на множество крупных географически распределённых площадок.

«Лаборатория Касперского» запустила регуляторный хаб — ресурс, представляющий собой базу знаний в сфере информационной безопасности, позволяющую самостоятельно разобраться в законодательстве, а также понять, какие требования в области ИБ применимы именно к конкретной организации.

База знаний площадки включает федеральные законы, приказы, правительственные постановления, нормативно-правовые акты и отраслевые стандарты в области ИБ, действующие в России. Применив систему фильтров, любой посетитель сайта регуляторного хаба может получить список тех требований, которым необходимо следовать его компании. Там же можно получить практические рекомендации, как эти требования выполнить, а также информацию о том, какая ответственность грозит за нарушения.

Требования можно смотреть по конкретным отраслям — для государственного сектора, промышленности, энергетики, финансов, ретейла, транспорта и других. Помимо этого, у пользователя есть возможность указать цель — например, это может быть создание системы информационной безопасности или подготовка к аттестации, а также тип объекта защиты — государственная информационная система, критическая информационная инфраструктура и другие.

«Мы обратили внимание, что организации сталкиваются с трудностями, связанными с требованиями регуляторов: тексты законов сложны для восприятия, в них трудно ориентироваться, при этом нужно успевать следить за всеми изменениями. Кроме того, у каждого предприятия своя отраслевая специфика и цели, которые важно учитывать. Мы все прекрасно понимаем, что информационная безопасность становится ключевым элементом успешного бизнеса, как и необходимость соответствовать законодательству в сфере ИБ. Поэтому, учитывая наш опыт в области кибербезопасности, мы решили создать платформу, на которой систематизированы все нормативно-правовые акты и рекомендации по их выполнению. Мы надеемся, что это позволит снизить нагрузку на организации, которым станет проще соблюдать все необходимые требования», — прокомментировали запуск ресурса в «Лаборатории Касперского».

«Лаборатория Касперского» сообщила о получении экспертного заключения Национального координационного центра по компьютерным инцидентам, подтверждающего соответствие программного комплекса Kaspersky Unified Monitoring and Analysis Platform (KUMA) требованиям к средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), утверждённым приказом ФСБ России N196 от 6 мая 2019 года.

KUMA относится к классу решений SIEM (Security information and event management) и позволяет IT-службам в режиме реального времени осуществлять централизованный мониторинг событий ИБ, выявлять инциденты информационной безопасности, оперативно реагировать на возникающие угрозы, а также выполнять требования, предъявляемые регуляторами к защите персональных данных, в том числе к обеспечению безопасности государственных информационных систем.

Архитектура решения Kaspersky Unified Monitoring and Analysis Platform

По словам «Лаборатории Касперского», SIEM-решение KUMA стало первым среди отечественных технологий этого класса, подтвердившим соответствие требованиям к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

«Соответствие системы 196 приказу означает не только наличие интеграции с ГосСОПКА, но и выполнение других требований регулятора к функциям SIEM. Полученное экспертное заключение — независимое подтверждение всех заявленных возможностей продукта, на которое смогут опираться компании, которым ещё предстоит выбрать SIEM», — говорится в заявлении компании.

Промышленные системы автоматизации по-прежнему являются объектами повышенного интереса со стороны киберпреступников по всему миру. Об этом свидетельствует исследование, проведённое специалистами центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT).

Результаты исследований ландшафта угроз для систем промышленной автоматизации в первом полугодии 2023 года показали, что наибольшее количество официально подтверждённых киберинцидентов пришлось на производственные организации и транспортную отрасль — в частности пострадали компании, связанные с кораблестроением и логистикой. Также мишенями становились энергетические предприятия и производители микроэлектроники.

Доля зафиксированных инцидентов в разных отраслях промышленной сферы (источник: Kaspersky Lab ICS CERT)

Подавляющее большинство инцидентов было вызвано атаками программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации. Как минимум три корпорации были скомпрометированы через незакрытую уязвимость в двух различных MFT-продуктах (Managed File Transfer). Используемые крупными организациями решения этого типа в очередной раз становятся источником проблем безопасности, и промышленные предприятия часто оказываются не в состоянии быстро закрыть опасную уязвимость не только в технологических сетях, но и внутри периметра своей сети.

«Криминально мотивированные атаки становятся настоящим бичом промышленных организаций по всему миру, затрагивают большинство реальных секторов экономики и оказывают негативное влияние на повседневную жизнь людей, — говорит Евгений Гончаров, руководитель Kaspersky ICS CERT. — В частности, в прошедшем полугодии в список наиболее атакованных секторов экономики попала электроэнергетика, в том числе производители комплексов специализированного оборудования, программного обеспечения и поставщики соответствующих сервисов. Мы напоминаем о том, что руководителям предприятий любого сектора и любого типа стоит держать риски кибербезопасности в фокусе внимания и принимать необходимые меры».

Подробнее с результатами аналитического исследования Kaspersky Lab ICS CERT можно ознакомиться на сайте ics-cert.kaspersky.ru.

«Лаборатория Касперского» выявила серию сложных целевых кибератак на промышленные предприятия в Восточной Европе. Злоумышленники крадут данные у компаний производственного сектора, а также у организаций, занимающихся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые, предположительно, связаны с группой APT31, также известной как Judgment Panda и Zirconium.

Источник изображения: pixabay.com

Для получения удалённого доступа к системам жертв, сбора и кражи данных применяются более 15 различных имплантов. Это модули для обеспечения бесперебойного удалённого доступа и первоначального сбора информации, инструменты для сбора файлов (в том числе с физически изолированных систем), а также средства выгрузки данных на командные серверы. Имплаты позволяют создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем.

Отмечается, что злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности. Они, в частности, активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена предполагает применение легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации информации и доставки вредоносного ПО использовались облачные сервисы и платформы обмена файлами. Хакеры развёртывали инфраструктуру управления и контроля скомпрометированных систем в облачной среде и на частных виртуальных серверах. В атаках использовались новые версии вредоносного ПО FourteenHi и новый имплант MeatBall, предоставляющий обширные возможности для удалённого доступа.

Отличительная особенность киберпреступной кампании — кража данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. При этом были задействованы как минимум четыре различных модуля: инструмент для работы со съёмными носителями и сбора информации о них; средства заражения съёмного носителя; компонент сбора и сохранения данных на заражённом носителе; модуль заражения и сбора информации с удалённого компьютера.

«Лаборатория Касперского» выпустила защитное решение Kaspersky Container Security, позволяющее снизить риски, характерные для контейнерных сред, высвободить ресурсы ИБ-специалистов и соответствовать требованиям регуляторов.

Kaspersky Container Security обеспечивает безопасность приложений в Kubernetes, OpenShift и на других контейнерных платформах на всех этапах жизненного цикла ПО — от разработки до эксплуатации. Продукт спроектирован с учётом особенностей контейнерных сред и закрывает свойственные им риски информационной безопасности — от уязвимостей в образе контейнера до анализа настроек узлов кластера.

Архитектура Kaspersky Container Security

Программный комплекс обеспечивает высокий уровень защиты и обладает важными для российского рынка особенностями, такими как анализ по банку данных угроз безопасности информации (БДУ ФСТЭК) и поддержка отечественных операционных систем Astra Linux и «Ред ОС».

Решение будет полезно компаниям, как разрабатывающим, так и эксплуатирующим приложения с использованием контейнеров. Среди них — операторы связи, государственные структуры, розничная торговля, банки и другие финансовые организации, сферы производства, энергетика, добывающий сектор. Продукт будет востребован при разработке и использовании приложений на микросервисной архитектуре, таких как сервисы для размещения заказа или мониторинга состояния оборудования. Кроме того, Kaspersky Container Security помогает реализовать принцип безопасной разработки ПО (DevSecOps).