«Инфосистемы Джет»: растет число целенаправленных атак и анонимайзеров

Системный интегратор «Инфосистемы Джет» обнародовал статистику инцидентов, произошедших в III квартале 2014 г. Данные были собраны аутсорсинговым центром реагирования на инциденты JSOC, который обеспечивает клиентов этой компании услугами защиты информационных систем. Собственно, статистику инцидентов JSOC собирает с начала 2014 г., и в отчёте приведены данные за I–III кварталы 2014 г., что и позволило проанализировать динамику изменения угроз в 2014 г.

За первые три квартала 2014 г. было зафиксировано 54 276 событий «с подозрением на инцидент», из них 18 858 – в III квартале. По мнению Артёма Баранова, ведущего вирусного аналитика ESET Russia, «два основных тезиса, фигурирующих в результатах исследования «Инфосистем Джет», совпадают с тенденциями, зафиксированными в отчетах ESET за 2014 г.: внешние атаки все чаще становятся целенаправленными, а основной целью злоумышленников является получение прямой финансовой выгоды».

Владимир Дрюков, руководитель направления ИБ-аутсорсинга Центра информационной безопасности «Инфосистем Джет», сообщил: «Растёт доля кибератак, влекущих за собой финансовые потери компаний. При этом все больше предприятий внедряют «умные» средства защиты, способные фиксировать атаки и информировать о них службы ИБ. В результате злоумышленники переносят атаки на часы наибольшей уязвимости служб информационной безопасности, когда в активном доступе к консолям и почте нет сотрудников, готовых оперативно вмешаться в ситуацию». Другими словами, злоумышленники целенаправленно атакуют системы ночью. Статистика «Инфосистем Джет» показывает, что на ночные атаки приходится почти половина (46,4%) всех внешних критических инцидентов.

По словам Артёма Баранова, «в отчетах «Инфосистем Джет» и ESET совпадают и выводы о повышенном интересе злоумышленников к анонимной сети TOR. Вирусная статистика ESET за 2014 г. свидетельствует, что в этот период увеличилось (по сравнению с 2012–2013 гг.) число вредоносных программ, использующих механизм TOR для связи с удаленными C&C-серверами для получения инструкций от злоумышленников». В отчёте «Инфосистем Джет» указывается, что 11 из 15 инцидентов были инициированы с TOR-адресов, т.е. злоумышленники скрывают свои данные с помощью шифрованный соединений.

Впрочем, TOR начинают задействовать и вполне легальные пользователи, которые стараются обойти с помощью этих технологий механизмы фильтрации сетевого трафика, применяемые в соответствии с российскими законами. Популярность пользовательского шифрования выросла после истории с Эдвардом Сноуденом, который подтвердил, что правительства развитых стран следят за трафиком Интернета. «По нашему мнению, эти факторы влияют, скорее, на психологическом и информационном уровнях, – пояснил Владимир Дрюков. – Благодаря им даже люди, достаточно далёкие от ИТ, узнали о способах сокрытия своей деятельности и, естественно, решили ими воспользоваться. В результате прозрачность деятельности сотрудников компаний для служб ИБ существенно уменьшилась.»

Исследователи «Инфосистем Джет» отмечают и ещё одну тенденцию: уменьшилась доля внутренних инцидентов, инициированных собственными администраторами компаний – в III квартале 2014 г. она составила 19,8%, хотя ещё в I квартале достигала 24,9%. А вот доля внутренних инцидентов, связанных с аутсорсерами и подрядчиками, растет: в I квартале она составила 11%, а в III квартале – уже 12,5%. Возможно, компании просто стали чаще пользоваться услугами внешних администраторов, моральные принципы которых оказались не более высокими, чем у собственных администраторов.

Эту догадку подтверждает Владимир Дрюков: «Да, мы наблюдаем именно такой тренд. Доля аутсорсинга инфраструктуры и приложений растёт, и все чаще аутсорсерам доверяют даже критически важные бизнес-приложения и системы. К сожалению, далеко не всегда зрелость персонала и процессов, применяемых аутсорсерами, позволяет им вести такую деятельность безболезненно для заказчиков, что и приводит к инцидентам». Компаниям, которые собираются передавать вовне управление своими системами, стоит предусматривать хотя бы на уровне договора ответственность оператора за инциденты с его персоналом и обеспечивать контроль над действиями аутсорсера собственных ИБ-служб.