Поделиться
Злоумышленники чаще всего проникают в сети компаний через незакрытые уязвимости в ПО
Более половины (53,6%) инцидентов, которые в 2021 году расследовала «Лаборатория Касперского», начинались с эксплуатации уязвимостей (данные отчета «Лаборатории Касперского» о результатах анализа инцидентов безопасности в 2021 г.). Доля таких атак выросла с 2020 г. более чем на 20 процентных пунктов. Вероятно, это связано с тем, что в 2021 г. было обнаружено множество уязвимостей в Microsoft Exchange Server. Распространенность этого ПО и публичная доступность эксплойтов для этих брешей привела к большому числу инцидентов с их применением. Об этом CNews сообщили представители «Лаборатории Касперского».
При разработке вредоносной кампании злоумышленники в первую очередь ищут легко достижимые цели. Это, например, общедоступные серверы с хорошо известными уязвимостями, слабыми паролями или скомпрометированными аккаунтами. Именно из-за таких векторов атак год от года растет число инцидентов высокой степени критичности.
Наиболее распространенная проблема для компаний в последние три года — программы-вымогатели. Именно потеря доступа к данным в результате их зашифровки стала в 2021 г. основной причиной обращений в отдел расследования инцидентов «Лаборатории Касперского». Доля таких обращений выросла с 34% в 2019 г. до 51,9% в 2021 г. В более чем половине случаев (62,5%) атакующие больше месяца находились в сети после ее начальной компрометации, прежде чем зашифровать данные.
Злоумышленники пытаются оставаться не замеченными, используя инструменты операционной системы, программного обеспечения, уже установленного на компьютерах клиентов, а также программ для администрирования сети и коммерческих фреймворков. Такие средства были обнаружены в 40% всех инцидентов, расследованных «Лабораторией Касперского». Проникнув в систему, атакующие используют легитимные инструменты для разных целей: PowerShell для сбора данных, Mimikatz для повышения привилегий, PsExec для выполнения команд удаленно, фреймворки, такие как Cobalt Strike, на всех стадиях атаки.
«Несмотря на то, что соблюдение всех необходимых мер не гарантирует стопроцентную защиту от киберугроз, своевременная установка обновлений ПО может сократить вероятность успешной атаки на 50%,— сказал Константин Сапронов, руководитель отдела расследования инцидентов «Лаборатории Касперского». — Злоумышленники прибегают к различным методам, и лучший способ обезопасить инфраструктуру — использовать инструменты и подходы, которые позволяют обнаруживать их действия и останавливать атаки на разных стадиях».
Чтобы свести к минимуму вероятность успешной атаки и минимизировать ущерь в случае проникновения в корпоративную инфраструктуру, «Лаборатория Касперского» рекомендует:
Делать резервные копии данных, чтобы доступ к важным документам сохранялся в случае атаки программы-вымогателя. Использовать решения, которые умеют блокировать попытки шифрования данных. Выбрать надежного партнера по вопросам реагирования на инциденты. Если есть собственная команда по реагированию на инциденты, регулярно проводить тренинги для нее, чтобы она была в курсе наиболее актуальных киберугроз. Изучать профили злоумышленников, заинтересованных в атаках на вашу индустрию и регион, чтобы внедрить действительно эффективные защитные меры. Использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности.
Короткая ссылка
