Каждая третья успешная кибератака на промышленные предприятия связана со шпионажем, свидетельствует аналитический отчет группы компаний «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности).
Основные инциденты в отрасли связаны с пользовательскими учетными записями и контролем над ними. При этом в даркнете заметен повышенный интерес к промышленности (особенно к тяжелой индустрии и ТЭК): хакеры часто ищут доступы и другие данные, которые помогут проникнуть в сеть предприятия и максимально долго оставаться незамеченными.
Отчет составлен на основе анализа попыток кибератак на клиентов центра Solar JSOC; аналитики внешних киберугроз, проведенной центром Solar AURA; данных с расследований центра Solar 4RAYS и работ, проведенных отделом анализа защищенности.
Среди инцидентов, зафиксированных центром противодействия кибератакам Solar JSOC, встречаются попытки подбора пароля (брутфорса) в том числе от критичных систем, административный доступ за пределы сети (указывает на использование средств ОС для удаленного доступа), многочисленные блокировки учетных записей (говорят о множественных попытках брутфорса). Всего же за последние три года на сектор промышленности было совершено около 600 тыс. попыток кибератак.
По данным отчета, только 1% утекших данных относится к промышленности, еще 3% - к телекому. Речь идет о краже технической информации, данных клиентов и сделок.
Инциденты в промышленности редко становятся известны публично. После проникновения злоумышленники стараются не привлекать внимания, не выкладывают базы в открытый доступ и не стремятся сделать себе пиар на таких атаках, отмечают в компании. Это еще раз указывает, что основная цель кибератак в отношении отрасли промышленности- шпионаж. «В ряде случаев хакеры могут месяцами оставаться в инфраструктуре предприятия незамеченными, добывая ценную информацию, развивая атаку, стараясь увеличить масштаб вредоносного воздействия или реализовать атаку на цепочку поставок», - добавили в «Солар».
В промышленности распространены и атаки с использованием вредоносного ПО. По данным Solar JSOC, около 10% подтвержденных инцидентов (то есть тех, на которые заказчик ответил и подтвердил критичность для бизнеса) приходятся на тип «вирус обнаружен на хосте и не удален». Особенно актуальна проблема вирусов-майнеров (почти 4%), что объясняется масштабами распределенных инфраструктур и сложностью контроля за соблюдением политик ИБ. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурса для добычи криптовалюты. Хотя чаще всего ВПО все-таки «пытается» провести подбор пароля или проэксплуатировать уязвимость EternalBlue (из-за которой возникли в свое время эпидемии WannaCry и NotPetya).
Из всех организаций, в инфраструктуре которых уже обнаружены вирусы, на промышленность и телеком приходится 35%. По оценке Solar 4RAYS, средний период заражения в 2024 году составляет 11,9 месяца, для промышленных сетей - 12,5 месяца, для телекома - 11,3 месяца. В 2023 году значения были ниже – 6,73 месяца для всех отраслей, и 8,5 и 11,3 месяца – для промышленности и телекома, соответственно.
Что касается уязвимостей предприятий, то, согласно анализу защищенности, на сектор промышленности и телекома приходится 22% всех обнаруженных уязвимостей с высоким уровнем критичности. Внутри этих отраслей 41% уязвимостей выявлено в энергетике, 25% - в телекоме, 18% - в нефтегазовой сфере, 16% - в производстве. На телеком и энергетику также приходится большая часть наиболее опасных (критичных для бизнеса) уязвимостей.
Большинство обнаруженных уязвимостей связаны со слабой парольной политикой (30%) и недостатками в контроле доступа (20%). Актуальны также риски, связанные с использованием компонентов с известными уязвимостями (10%), недостатками конфигураций (10%) и инъекциями (10%).
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.