Индустрия 4.0

Участники технологического пресс-клуба Positive Technologies обсудили угрозы вредоносного ПО

13 апреля состоялась очередная встреча Positive Tech Press Club в комбинированном онлайн- и оффлайн-формате, организованная Positive Technologies. В арт-пространстве Fotofaktura и на своём YouTube-канале специалисты компании обсудили уровень защищенности бизнеса от вредоносного ПО (ВПО) и от киберугроз в целом. Кроме того, на мероприятии были рассмотрены тренды российского рынка средств защиты от ВПО, в частности такого класса решений, как песочницы (Sandbox).
16 апреля 2021

В ходе встречи пресс-клуба Positive Technologies гости выслушали доклады специалистов Positive Technologies: руководителя отдела обнаружения вредоносного ПО экспертного центра безопасности Алексея Вишнякова, руководителя направления по развитию бизнеса Алексея Данилина, директора по продуктам Дениса Кораблёва и менеджера по продуктовому маркетингу Ксении Кирилловой. Эксперты рассказали о топе киберугроз, представили свои прогнозы эволюции вредоносного ПО и дали практические рекомендации по выявлению вредоносов и нивелированию рисков ВПО.

positive technoligies sandbox 2.2

После доклада каждого из спикеров гости пресс-клуба, участники и зрители YouTube-канала могли задать интересующие вопросы. Отдельной темой беседы стало обсуждение решений, относящихся к классу «песочницы» (т.е. систем, способных анализировать загружаемые файлы внутри изолированной виртуальной среды). «Вишенкой на торте» стала презентация новой версии песочницы PT Sandbox.

Доклады спикеров привлекли к обсуждению многих гостей мероприятия в связи с большой глубиной проработки каждой темы. В частности, специалисты Positive Technologies познакомили слушателей с актуальным ландшафтом киберугроз и вредоносных программ 2021 года («пальму первенства» среди которых сегодня удерживают шифровальщики – в атаках на организации, и шпионское ПО – в атаках на частных лиц). Особое внимание гостей пресс-клуба Positive Technologies призвали обратить на существование множества так называемых программ-вымогателей, атаки которых весьма негативно отражаются на деятельности многих современных компаний. Доля кибератак на организации c использованием этого типа ВПО, кстати, сегодня составляет 56%.

Способы распространения вредоносного ПО, positive technologies, кибербезопасность

Компании, ставшие жертвами программ-шифровальщиков получают имиджевые и финансовые убытки, а также издержки от вынужденных простоев деятельности. В таких случаях эксперты Positive Technologies призывают не поддаваться на шантаж хакеров и оперативно обращаться за консультациями к специалистам в области кибербезопасности.

В атаках на организации злоумышленники чаще всего используют шифровальщики (56%), банковские трояны (21%) и ВПО для удаленного управления (17%), а в атаках на пользователей шпионское ПО (45%), и в равной степени – банковские трояны (24%), вредоносное ПО для удалённого управления (24%) и загрузчики (24%).

На пресс-конференции также были озвучены доли атак программ-вымогателей в зависимости от отраслей: 20% от общего количества инцидентов приходится на медицинские учреждения, 19% – на государственные структуры, 11% – на промышленные предприятия, 8% – на научные и образовательные учреждения, 7% – на ИТ-компании, 6% – на предприятия сферы торговли. Спикеры дополнительно уведомили слушателей, что сегодня наблюдается тренд на повышение сумм, которые злоумышленники требуют за непубликацию скомпрометированной информации.

Типы вредоносного ПО (доля атак с использованием вредоносного ПО)

Среди основных способов «заражения» инфраструктур предприятий специалисты Positive Technologies назвали электронную почту (этот метод доставки ВПО зафиксирован в 65% кибератак), компрометацию компьютеров, серверов и сетевого оборудования (30%), поддельные обновления (4%), сайты (1%). В атаках на пользователей основными методами доставки ВПО стали электронная почта (34%), сайты (26%), официальные магазины приложений (13%), поддельные обновления (11%). 

Ранжировать киберриски по уровню опасности сегодня абсолютно не стоит.

Среди прогнозов экспертов пресс-клуба Positive Technologies были выделены следующие тезисы.

  • Во-первых, фишинг останется одним из самых популярных у злоумышленников методов распространения вредоносного ПО. Также весьма эффективно проявляет себя метод компрометации сетей посредством подбора слабых паролей или эксплуатации уязвимостей на RDP- и веб-серверах. Защититься от вредоносного ПО можно с использованием продуктов класса «песочницы» (новая версия такой системы как раз-таки представлялись специалистами Positive Technologies), межсетевых экранов уровня веб-приложений и многофакторной аутентификации.
  • Во-вторых, компаниям стоит опасаться вымогательского ПО. Нынешние злоумышленники любят шифровать файлы и шантажировать публикацией украденного контента. Данные киберугрозы ещё совсем недавно были успешно реализованы в таких компаниях, как CD Project Red, KIA Motors, SEPA, Universal Health Service и пр. Ущерб от воздействия шифровальщиков может составлять десятки миллионов долларов; и избежать подобных инцидентов можно преимущественно регулярным резервным копированием важных файлов, контролем критичных узлов внутренней ИТ-инфраструктуры предприятия. А если атака все-таки совершена – самое главное! – игнорировать требования вымогателей.
    Жертвы вымогателей среди юридических лиц
  • В-третьих, продолжится рост числа атак через цепочки поставок, подобные кибератаки порой планируются годами. От них уже пострадали такие компании, как SolarWinds, Centreon, ANSSI, NightScout, SignSight, StealthyTrident, Able Desktop, Mongolia, WIZVERA VeraPort, South Korea и СНБО. Для нивелирования данных типов хакерских угроз необходимо максимально вдумчиво отслеживать аномалии поведения установленного ПО, проводить регулярный централизованный анализ событий в корпоративной инфраструктуре и совершенствовать процессы реагирования на потенциальные инциденты.
  • В-четвёртых, согласно данным Positive Technologies, дарквеб уже давно изобилует предложениями по взлому сайтов, услуг по предоставлению доступа к инфраструктурам взломанных компаний и выгрузке баз данных пользователей. В этой связи компаниям нужно действовать на опережение – своевременное обновление ПО на периметре организации и переходить к проактивному поиску угроз (Threat Hunting).
  • В-пятых, повышенное внимание хакеров направлено на промышленные объекты и АСУ ТП. Это чревато не только финансовыми и репутационными рисками предприятий, но и техногенными катастрофами, угрозой жизни и здоровью людей.  Например, одним из недавних случаев стал инцидент в городе Олдсмар, штат Флорида. Неизвестные киберпреступники смогли проникнуть в компьютерные системы, управляющие водоочистными сооружениями. В результате злоумышленники смогли удалённо контролировать химический состав воды. Необходимо должное внимание к защите не только корпоративного, но и технологического сегмента сети.
  • В-шестых, злоумышленники продолжат совершенствовать способы закрепления вредоносного ПО и распространения внутри корпоративных сетей. Это может увеличить количество «заражённых» вредоносами компаний и усложнит удаление ВПО. В этом случае основной рекомендацией будет контроль полномочий учетных записей пользователей и своевременное обновление операционных систем.

PT Sandbox 2.2

К слову, системы класса песочницы с возможностью кастомизации виртуальной среды  минимизируют подобного рода угрозы. С помощью подобных решений можно проверять скачанные файлы или электронные письма. Эффективность песочницы зависит, с одной стороны, от способности оставаться незамеченной для вредоносного ПО, а с другой — от среды, которая должна быть максимально похожа на привычное окружение пользователя. Зловреды чаще всего ищут интересные им файлы, работающие процессы, изменения в буфере обмена. Злоумышленникам это нужно для кражи конфиденциальной информации, а в песочницах используется как своеобразный триггер. Если в системе мало процессов, нет нужных файлов и прочих признаков работы пользователя, то ВПО просто не будет ничего делать, посчитав систему неинтересной.

У «песочниц» есть колоссальный потенциал для технологического развития. Наиболее перспективными направлениями, которые помогут этому классу продуктов лучше выявлять вредоносное ПО, специалисты Positive Technologies назвали персонализацию защиты, добавление анализа заголовков писем для охвата большего спектра угроз, а также поиск компромисса между производительностью и качеством обнаружения.