За январь и неполный февраль 2024 года доля атак высокой критичности на отечественные организации увеличилась более чем в три раза — с 2 % до 6,3 % — по сравнению с IV кварталом 2023 года. Также с 73 % до 80 % выросла доля таких инцидентов с применением вредоносного софта и почти в четыре раза увеличилась доля веб-атак — до 15 %. Об этом свидетельствует исследование, проведённое компанией «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности).

В целом за прошедший год число событий ИБ в сравнении с 2022 годом выросло на 64 % до 1,5 млн. При этом доля подтверждённых инцидентов оставалась стабильной. Среди всех типов инцидентов выделяется эксплуатация уязвимостей, показавшая рост в два раза год к году до 11,5 %. Это значит, что в организациях по-прежнему вовремя не обновляют ПО и не проводят постоянный анализ публичных сервисов и ресурсов на уязвимости, чем и пользуются злоумышленники.

Источник изображения: rawpixel.com / freepik.com

По мнению экспертов, рост инцидентов высокой критичности означает, что тренд на усложнение инцидентов и максимальный деструктив в отношении организаций, который наметился в 2023 году, получил своё развитие. Массовые атаки сменились более продвинутыми ударами — злоумышленники теперь чаще применяют нелегитимный софт (программы для удалённого администрирования, хакерские утилиты, исследовательское ПО пентестеров и т. д.) и средства проникновения в IT-инфраструктуру, которые сложно выявить базовыми системами обнаружения.

Для обеспечения комплексной защиты специалисты «Солар» рекомендуют ИБ-персоналу российских компаний повышать уровень патч-менеджмента, выстраивать грамотную систему приоритезации инцидентов с учётом их критичности и учиться находить корреляции между событиями ИБ для выявления фактов проникновения киберпреступников в сеть организации. Также следует постоянно заниматься повышением уровня киберграмотности сотрудников, вести постоянный мониторинг внешних угроз, а в рамках SOC внедрить специальные сенсоры (EDR, NTA и AntiAPT) для обнаружения более продвинутых атак.

ГК «Солар» представила при участии отраслевых экспертов первую в России комплексную программу поддержки предпринимателей в области информационной безопасности и смежных направлений CYBER STAGE, призванную оказать поддержку ИБ-стартапам, а также содействие российским разработкам, сформировать конкурентную среду на рынке кибербезопасности России и насытить рынок решениями и возможностями для выстраивания комплексных решений кибербезопасности для защиты российских организаций.

Создатели СYBER STAGE планируют привлечь до конца 2025 года не менее 1,5 млрд руб. финансирования для ИБ-проектов и вывести на рынок до 10 новых продуктов. Программой предусмотрено создание Advisory Board — сообщества ИТ-лидеров, нацеленного на развитие бизнеса, технологий и помощь в привлечении финансирования ИБ-стартапов, в которое вошли Дмитрий Гадарь (CISO «Тинькофф»), Антон Карпов (CISO VK), Вячеслав Касимов (CISO МКБ), Сергей Демидов (CISO Московской Биржи), Давид Мартиросов (CEO Basis).

Изображение: ГК «Солар»

Предполагается, что присутствие в Advisory Board экспертов по ИТ и ИБ из числа крупнейших компаний страны даст молодым проектам возможность начать работу с B2E/B2B/B2G-сегментами. ГК «Солар» отметила, что крупные компании неохотно работают со стартапами. Согласно данным опроса 84 компаний сегментов B2E/B2B/B2G, сейчас со стартапами работает только 13 % из числа респондентов. Отмечается, что бизнес готов работать со стартапами на продвинутой или финальной стадии разработки, однако добраться до них без внешней помощи стартапы не могут.

CYBER STAGE нацелена на решение широкого круга задач: от создания удобной платформы взаимодействия участников рынка ИБ и смежных направлений до стимулирования запуска принципиально новых проектов в пустующих или недостаточно обеспеченных продуктами и сервисами нишах ИБ и повышения уровня привлекательности ИБ для ИТ-предпринимателей. В этому году в рамках программы будут проходить ежемесячные питч-сессии, также запланирована подготовка не менее пяти проектов к привлечению финансирования. Уже в ближайшие два года проект намерен показать видимые результаты.

Изображение: Sajad Nori / Unsplash

В CYBER STAGE предусмотрены и традиционные форматы акселерации: менторство, работа с технологиями и ресурсное сопровождение (обучение, помощь в упаковке продукта, содействие в привлечении венчурных инвестиций). По словам авторов программы, к участникам будут предъявляться минимальные требования. Стартап должен иметь основную команду, продукт, направленный на решение задач или на улучшение комплексных сервисов и продуктов в сфере ИБ, и находиться на стадии прототипа и выше. По итогам оценки он получает рекомендации и предложения по направлениям сотрудничества.

По данным ГК «Солар», в России на начало 2024 года было зарегистрировано 230 ИБ-бизнесов, что составляет менее 2,3 % от всего количества ИБ-проектов в мире, равного 9874. Доля российского рынка ИБ в мировом составляет 1 %, хотя он растёт с опережением мировых темпов. В 2023 году российский рынок ИБ увеличился на 15 % год к году, достигнув около 145 млрд руб. По данным ГК «Солар», в России ежегодно появляется 20–30 новых проектов в сфере информационной безопасности как в форме стартапов, так и продуктовых команд внутри крупных корпораций, вендоров, ИТ-групп.

В 2023 году российский кредитно-финансовый сектор, согласно исследованию ГК «Солар», столкнулся с резким ростом интенсивности кибератак. В общей сложности зафиксированы приблизительно 6,8 тыс. инцидентов, что более чем на четверть превосходит результат предыдущего года. Это составляет пятую часть (20 %) от суммарного количества выявленных событий в области информационной безопасности (ИБ).

Больше трети атак в банковской сфере (36 %) сопряжено с эксплуатацией уязвимостей. В 28 % случаев зафиксирован несанкционированный доступ к системам и сервисам (включая компоненты автоматизированной банковской системы и дистанционного банковского обслуживания, внутренний документооборот и ключевые базы данных). На третьем месте по распространённости с показателем 14 % находятся сетевые атаки. Около 8 % инцидентов связано с внедрением вредоносного ПО.

В 2023 году в полтора раза подскочило количество фишинговых атак в банковской сфере. Чаще всего злоумышленники имитировали в таких рассылках акции или опросы от имени банка. Причём главной целью являлись не данные банковских карт, а доступ в личный кабинет клиента. Аналитики отмечают, что фишинговые атаки по-прежнему остаются достаточно эффективными, несмотря на высокую степень защищенности организаций.

Источник изображения: ГК «Солар»

С банковской сферой связано около 40 % объявлений в даркнете. Основная масса запросов касается открытия счетов, продажи и покупки доступов в личный кабинет, банковских карт, обналичивания средств, получения данных и вербовки сотрудников. Количество киберударов по банковским веб-ресурсам (DDoS- и веб-атаки) постепенно сокращается, что объясняется улучшением систем защиты. Сама финансовая отрасль занимает первое место по размеру бюджетов на ИБ: в 2023 году на эти цели организации потратили приблизительно 18 млрд руб.

В отчёте сказано, что в России сохраняется внешняя цифровая угроза для банков в части эквайринга. В 2023 году эксперты обнаружили 5,4 тыс. вредоносных интернет-ресурсов, которые принимают электронную оплату от пользователей. Причём 96 % таких сайтов приходится на незаконный игорный бизнес. Выявлены также инциденты, свойственные именно банковской сфере. К ним относятся попытки взлома баз данных основных банковских приложений, а также попытки использования учётных записей сотрудников третьими лицами.

Злоумышленники повышают свою квалификацию и проводят более тщательную подготовку к атаке, включая киберразведку и первичное проникновение в инфраструктуру целевой организации. В 2023 году зафиксированы 38 инцидентов, связанных с публикацией в общем доступе данных клиентов кредитных организаций. Общий объём раскрытых сведений превысил 161 млн строк, включая 130 млн телефонных номеров и 28 млн адресов электронной почты.

По данным исследования ГК «Солар» (ранее «РТК-Солар»), 75 % российских компаний планируют проводить киберучения для повышения квалификации своих специалистов. Средний бюджет на одного сотрудника составит около 500 тыс. руб. Правда, более трети компаний готовы отправить на такие тренировки не более десяти человек.

В опросе участвовали 100 представителей российских организаций, отвечающих за выбор и внедрение продуктов и сервисов по кибербезопасности. География участников исследования охватила Москву (43%) и Санкт-Петербург (14%), а также другие регионы страны (43 %).

Согласно опросу, 52 % российских организаций применяли киберучения как инструмент повышения практических навыков. В дальнейшем в расчете на одного сотрудника 42 % руководителей планирует тратить до полумиллиона рублей на киберучения. Около четверти (26 %) компаний готовы выделить до 100 тыс. рублей, 13 % назвали сумму от 500 тыс. до 1 млн, а остальные 19 % — более 1 млн.

Фото: Jan Vašek / Pixabay

«Солар» отмечает, что в среднем по России уровень подготовки ИБ-специалистов недостаточный. По мнению 32 % участников исследования, для руководства целесообразность подобных тренировок пока не очевидна, 29 % отметили сложности в согласовании и неготовность руководства выделять финансирование на подобные мероприятия. Также 25 % участников опроса пожаловались на нехватку времени в силу высокой загруженности ИТ-специалистов, а 21 % назвали стоимость такой услуги слишком высокой.

Группа компаний «Солар» (ранее «РТК-Солар») провела ребрендинг, выделив два бренда — «Солар» и «Ростелеком информационная безопасность» или сокращённо «Ростелеком ИБ». Также «Солар» запустил центр исследования киберугроз Solar 4RAYS. Об этом представители компании сообщили на презентации, посвящённой ребрендингу.

«Солар» сосредоточится на коммерческих и небольших государственных заказчиках, «Ростелеком ИБ» оставляет за собой крупных федеральных государственных заказчиков, крупнейшие объекты КИИ страны, а также системы госуправления, таких как «Госуслуги», «Гособлако», более 20 ФОИВ. При этом остальные, входящие в ГК «Солар» компании, продолжат предоставлять услуги и коммерческим, и государственным заказчикам под разными брендами.

Источник изображений: ServerNews

Как сообщил генеральный директор ГК «Солар» Игорь Ляпунов, по итогам 2022 года доля госсектора составляла около 40 % от совокупной выручки ГК. В коммерческом сегменте по итогам первой половины года выручка от продаж увеличилась на 75 % по сравнению с аналогичным показателем 2022 года. Сам показатель выручки на конец 2022 года составил 14,4 млрд руб. (10,6 млрд руб. в 2021 году, 8,3 млрд руб. в 2020 году).

Общий объем инвестиционной программы «Солара» до 2025 года по России составляет 22 млрд руб. Из них около 50 % планируется направить на приобретение компаний или долей в них, оставшиеся 50 % — на разработку собственных продуктов. При этом компания намерена развиваться и на международном рынке. «Солар» уже работает с ближним зарубежьем (страны Средней Азии, Белоруссия).

Как сказал Игорь Ляпунов, введенные по отношению к ООО «Солар секьюрити» в день презентации ребрендинга санкции не повлияют на операционную деятельность ГК. «С точки зрения используемых технологий мы абсолютно импортозамещены: частично собственными технологиями, частично — партнерскими», — прокомментировал Игорь Ляпунов.

«Ростелеком-Солар», предоставляющая решения и сервисы в сфере информационной безопасности, готовится к трансформации своей структуры для оптимизации бизнес-процессов. Как сообщает Forbes, на такой шаг в подразделении «Ростелекома» намерены пойти для того, чтобы продвижению на рынке не мешал статус владельца, являющегося государственной компанией.

Как сообщает издание со ссылкой на несколько источников, речь идёт о формировании из бизнеса двух подразделений. Если одно будет обслуживать госструктуры и сам «Ростелеком», то второе станет работать с независимыми бизнес-структурами. Источники сообщают, что это должно помочь «Ростелеком-Солар» уйти от образа государственной компании, а фактическое разделение уже произошло.

ООО «Солар Секьюрити» создано в 2015 году компанией «Инфосистемы Джет», в 2018 году 100 % её акций выкуплено «Ростелекомом» за 1,5 млрд рублей, а сейчас компания действует под брендом «Ростелеком-Солар». По имеющимся данным, выручка «Солар Секьюрити» в 2022 году составила 2,9 млрд руб., а чистый убыток — 1,25 млрд.

Изображение: Sajad Nori / Unsplash

Сообщается, что компанию «тяготит» обязанность согласовать свои действия с компанией-владельцем. О подготовке разделения бизнеса косвенно свидетельствуют и новости о том, что в конце прошлого месяца ООО «Солар Секьюрити» отправлено на регистрацию 13 товарных знаков, включающих слова Solar, «Солар» и визуальный бренд. В самой компании подтверждают, что намерены в скором времени представить на рынок новые бренды.

По мнению некоторых экспертов, «Ростелекому» не удалось перестроить бизнес-процессы «Солар Секьюрити», поскольку коммерческие и государственные компании преследуют разные цели. Кроме того, частный бизнес часто не готов доверить безопасность компании в составе «Ростелекома», с которой конкурирует на других рынках, а сам «Ростелеком» находится под санкциями.

Ущерб, нанесённый киберпреступниками крупным российским компаниям с июля 2022-го по июнь 2023 года, вырос на треть по сравнению с аналогичным предыдущим периодом и составил в среднем 20 млн руб. Такие данные, как сообщает «РИА Новости», приводятся в исследовании «РТК-Солар».

В опросе приняли участие 300 представителей крупного бизнеса и госсектора. В сложившейся геополитической обстановке интенсивность атак на компании России значительно выросла. Отмечается, что киберинциденты происходят в организациях почти каждый месяц.

Источник изображения: pixabay.com

Исследование показало, что самым популярным методом получения доступа к компьютерам, серверам и прочему оборудованию жертвы остаются сетевые атаки. В течение первого полугодия 2023-го активность майнеров в сетевом трафике выросла в два раза, а доля кибератак с использованием SSL-шифрования для сокрытия зловредной активности увеличилась на 53 %.

Злоумышленники используют новые фишинговые тактики. Например, в августе 2023 года была зафиксирована массовая рассылка сообщений от имени правоохранительных органов РФ. Используя домены, максимально похожие на официальные адреса сайтов следственных органов, мошенники рассылают письма с требованием ознакомиться с материалами уголовного дела. Для правдоподобия используются реальные данные граждан, полученные в результате масштабных утечек. Цель этой киберкампании — распространение вредоносного ПО, в том числе в корпоративном секторе.

Специалисты «РТК-Солар» отмечают, что рост числа кибервторжений спровоцирован в том числе тем, что в интернете активно распространяются инструменты для разведки поверхности атаки, с помощью которых хакеры обнаруживают точки входа в систему.

Компания «РТК-Солар» анонсировала новое многофункциональное решение для комплексной защиты корпоративной сети — отечественный межсетевой экран Solar NGFW. Продукт представляет собой альтернативу зарубежным средствам, доступ к которым оказался ограничен из-за сложившейся геополитической обстановки.

По оценкам аналитиков «РТК-Солар», в 2022 году объём рынка межсетевых экранов в России составил 15,7 млрд руб., что соответствует приблизительно 15 % от всего ИБ-сегмента. Согласно прогнозам, в 2023-м расходы в секторе сетевой безопасности превысят 16 млрд руб., а к 2025-му составят до 19,1 млрд руб. При этом доля отечественных продуктов поднимется с 20 % до 75 %.

Говорится, что отличительной особенностью Solar NGFW является уникальность сигнатур IPS (Intrusion Prevention System), современный веб-интерфейс и стабильность работы. Продукт ориентирован на высокую производительность в сложных условиях, в частности, при использовании множества встроенных механизмов защиты с большим количеством правил и политик. Решение обеспечивает пропускную способность на уровне 20 Гбит/с, а к 2024-му этот показатель планируется довести до 100 Гбит/с.

Изображение: Shubham Dhage / Unsplash

В целом, параметры производительности выглядят следующим образом:

• Производительность FW — до 20 Гбит/с (UDP 1518б) и до 16 Гбит/с (HTTP 64Кб);
• Производительность IPS — до 5 Гбит/с;
• Производительность DPI — до 15 Гбит/с (HTTP 64Кб);
• Производительность IPS (без включения сигнатур, TCP) — до 4,5 Гбит/с;
• Производительность IPS (c включенными сигнатурами, TCP) — до 4 Гбит/с;
• Производительность NGFW (IPS+DPI) — до 4 Гбит/с (HTTP 64Кб);
• Максимальное число одновременных сессий (MCC) — до 1 000 000;
• Максимальное число сессий в секунду (CPS) — до 1 000 000.

Пакет решает такие задачи, как защита периметра от сетевых угроз, атак и вредоносного ПО, сегментация корпоративной сети и создание демилитаризованной зоны, управление доступом в интернет и к внутрикорпоративным ресурсам. Кроме того, может выполняться глубокий анализ трафика (DPI) для блокирования активности приложений. Говорится о быстром реагировании на кибератаки и возможности масштабирования. Проверка трафика в зависимости от механизма защиты проходит по типу, адресату, источнику, приложению и пр.

В состав решения входят такие компоненты, как межсетевой экран (собственная разработка на базе iptables), система предотвращения вторжений (собственная разработка на базе Suricata), система контроля приложений (собственная разработка на базе nDPI), потоковый антивирус (модуль Dr.Web), веб-прокси, обратный прокси (reverse-proxy), URL-фильтрация, AdBlock и категоризатор веб-ресурсов (собственная разработка WebCat).

«Solar NGFW — новый российский программный продукт, сфокусированный на потребностях крупного бизнеса, позиционируется как аналог решений ушедших иностранных разработчиков ПО», — отмечает Александр Баринов, директор направления сетевых решений «РТК-Солар».

Российские компании укрепили защиту ИТ-периметров, но недооценили угрозу внутреннего нарушителя. Такие данные приводит «РТК-Солар», основанные на результатах пентестов, проведенных с марта 2022 по март 2023 года.

Согласно исследованию, треть (35 %) компаний выдержали испытание внешним пентестом, годом ранее этот показатель составлял только 24%. Эксперты отмечают, что на фоне постоянных кибератак компании закрыли часть слабых мест. В частности, это касается корпоративных веб-приложений. В начале 2022 года низкий уровень их защищенности отмечался в 53 % проектов, сейчас этот показатель составляет 20 %.

Источник: «РТК-Солар»

В то же время цели внутри ИТ-периметров были достигнуты в 100 % случаев, хотя год назад — только в 63 %. Самыми распространенными уязвимостями внешних периметров стали слабые пароли от учетных записей, недостатки контроля доступа, использование уязвимостей в известном ПО (например, Bitrix) и возможностью внедрения SQL-кода.

Источник: «РТК-Солар»

Слабые и повторяющиеся пароли также являются ключевой проблемой внутренних сетей. Самая распространенная уязвимость клиентской части мобильных приложений — небезопасное хранение данных на устройстве. А серверной части — недостатки контроля доступа. Такие уязвимости встретились в 64% и 82% исследованных приложений соответственно.

За 2022 год количество кибератак на российские компании выросло в два раза, сообщили в «РТК-Солар». При этом в 2023 году волна массовых атак идет на спад, однако хакеры-любители повышают квалификацию и объединяются в группы под началом более опытных злоумышленников.

Такие данные эксперты «РТК-Солар» собрали, изучив выявленные в IV квартале 2022 года кибератаки (за исключением массовых DDoS-атак) на 280 организаций из разных отраслей, включая госсектор, финансы, энергетику, телеком, медиа, крупный ритейл.

Источник: РТК-Солар

С конца 2022 года доля атак с применением вирусов сокращается, зато в топ вернулись попытки «простукивания» периметра: сетевые атаки и эксплуатация уязвимостей. Самым популярным инструментом злоумышленников в IV квартале осталось вредоносное ПО (ВПО), при этом его доля в сравнении с предыдущим кварталом сократилась с 79 % до 55 %.

Источник: РТК-Солар

Доля попыток эксплуатации уязвимостей возросла с 4 % в III квартале до 8 % в IV квартале, но их критичность сократилась на 80 %. Эксперты «РТК-Солар» объясняют это тем, что компаниям удалось решить проблемы, связанные с уходом зарубежных вендоров ПО, установить обновления или найти альтернативные российские решения.

Источник: РТК-Солар

Также с 2 % до 10 % за квартал выросла доля случаев компрометации учетных записей. В большинстве случаев это был результат брутфорса (подбор пароля) публичных сервисов (почта, веб-порталы) с использованием массовых утечек учетных данных в первой половине 2022 года.

К концу года увеличилось и количество сетевых атак (с 1 % до 6 %). Зачастую сканирование периметра или веб-ресурсов и попытки компрометации учетных записей выполняются автоматизированными инструментами, которые хакеры используют для разведки в отношении клиента.