Тренды и ключевые особенности угроз безопасности информационных ресурсов РФ в 2022 году

Тренды и ключевые особенности угроз безопасности информационных ресурсов РФ в 2022 году

Мы вступили в непростое время, когда результаты работы по обеспечению безопасности информации проходят настоящее испытание. В этой статье обсуждаются вызовы, с которыми пришлось столкнуться в 2022 году, и уроки, которые были извлечены.

Ситуация, с которой пришлось столкнуться, конечно, развивалась не на пустом месте. Чтобы понять, как изменился ландшафт угроз в 2022 году, вначале необходимо упомянуть те тенденции, в рамках которых развивались в 2021 году угрозы и механизмы их реализации.

ТЕНДЕНЦИИ-2021

Скорость реализации угроз

Первая тенденция – скорость реализации угроз. От момента появления сведений об угрозах, например, публикации сведений об уязвимостях программного обеспечения до их практической реализации проходит не более нескольких часов. И очевидным подтверждением тому служат возникавшие и продолжающие возникать случаи появления критических уязвимостей массово используемого программного обеспечения. Сведения о них появлялись в публичном доступе либо практически одновременно с их массовой эксплуатацией, либо вообще после целого ряда инцидентов, произошедших в результате эксплуатации этих уязвимостей.

Совершенствование методов

Следующая тенденция – совершенствование применяемых злоумышленниками средств и методов. Вносит свой вклад в дело вооружения и оснащения злоумышленников повышающаяся доступность инструментария. Регулярными стали публикации исходников средств проведения атак даже уровня APT. Кроме того, фактически сформировалось направление предоставления инструментария в рамках сервисной модели. Таким образом, сформированы условия, когда злоумышленники могут быстро (иногда очень быстро) получать действенные средства проникновения в информационные системы.

Повышение уровня квалификации

Ещё одна тенденция – это повышение уровня квалификации злоумышленников. Можно констатировать, что злоумышленники учатся, повышают свою квалификацию, проводят анализ инцидентов, сведения о которых появляются в различных источниках. Если посмотреть на атаки, совершённые с использованием шифровальщиков с целью получения выкупа, то их эволюция наиболее заметна. Год-два назад схема таких атак была проста: злоумышленники пробили периметр, загрузили шифровальщик туда, куда смогли, и ждут выкупа. Сегодня их действия в большинстве случаев намного сложнее. Чтобы увеличить вероятность получения выкупа, они проводят исследование инфраструктуры, определяют наиболее чувствительные для организации ресурсы, анализируют саму информацию, ищут резервные копии. Таким образом, приходится иметь дело со злоумышленником, постоянно совершенствующим свои навыки и средства. И в этой ситуации главная задача – не отстать.

Получение выкупа

Нельзя не упомянуть о том, кто же интересовал злоумышленников. Одним из трендов 2021 года явились атаки, направленные на получение данных, в том числе с последующим использованием шифровальщиков, для получения выкупа. В качестве целей злоумышленники выбирали платёжеспособные организации, в которых шифрование данных может нарушить функционирование основных бизнес-процессов и которые в состоянии заплатить за непубликацию похищенной информации.

Атаки на госсистемы

Ещё одним трендом 2021 года явилось увеличение количества атак на государственные информационные системы. Здесь интерес злоумышленников был направлен на добывание информации. По данным Национального координационного центра по компьютерным инцидентам (НКЦКИ), например, при регистрации в зоне gov.ru нового почтового домена третьего уровня первые целевые специально подготовленные фишинговые атаки начинаются уже в течение нескольких дней.

Интерес к промышленным системам

Всё больший интерес АРТ-группировок фиксировался к промышленным системам. И это понятно. В современном мире многие страны уже открыто заявляют о разработке наступательных операций в киберпространстве, создании соответствующих подразделений и оснащении их необходимыми средствами. В этих условиях, конечно, объекты критической информационной инфраструктуры (далее – КИИ), которыми являются объекты промышленности, будут их объектами интереса. Поэтому попыток проникновения с целью организации плацдармов на будущее, отработки способов выведения из строя и сбора интересующих сведений о функционировании объектов КИИ нужно ждать постоянно.

Атаки через цепочку поставщиков

Ещё одной тенденцией явилось заметное увеличение количества атак через цепочку поставщиков. Это и интеграторы, и производители средств защиты, и поставщики услуг, и иные деловые партнёры. Этот фактор в том числе связан с предыдущей тенденцией разработки наступательных операций в киберпространстве.

ТЕНДЕНЦИИ-2022

Тенденции 2022 года начали проявляться уже после 24 февраля. При этом ландшафт угроз и цели (см. рисунки 1–3) в целом практически не претерпели изменений. Эти изменения коснулись в основном повышения интенсивности атак и «широты охвата».

Рисунок 1. Цели атак

Рисунок 2. Цели атак – инфраструктуры

Рисунок 3. Наибольшая зона риска

НОВОЕ

В целом все отмеченные тенденции сохранились. Добавились некоторые новые. Проявления вредоносной активности, с которыми столкнулся НКЦКИ в этом году:

• массированные атаки на корневые DNS-сервера;
• отключения провайдеров от крупных магистральных каналов;
• встраивание вредоносного программного обеспечения (далее – ВПО) в широко используемые элементы веб-страниц;
• массовые отзывы сертификатов;
• прекращение функционирования целого ряда средств защиты зарубежных производителей;
• появление вредоносного кода в обновлениях программного обеспечения (как свободно распространяемого, так и коммерческого);
• а также другие условно «традиционные» атаки.

DDОS-АТАКИ-2022

Например, DDoS-атаки. Их особенностью в 2022 году стало по-настоящему большое количество участников. Участвовали в атаках обычные пользователи со всего мира. Хорошо отлаженные механизмы привлечения обычных людей к проведению атак на российские информационные ресурсы работали эффективно. В кратчайшие сроки были сформированы телеграм-каналы, в которых проводилась агитация, инструктажи участников, координация и целеуказание. В этих же каналах активно распространялись инструменты проведения атак. То, что ещё недавно продавалось за деньги или распространялось в закрытых сообществах, стало доступно массово для использования в атаках.

Была развёрнута серьёзная инфраструктура для проведения таких атак, например сайты-редиректы, позволявшие проводить атаки высокой интенсивности легитимным трафиком. Для противодействия им требовались разработка и реализация дополнительных способов фильтрации.

АТАКИ КАК ПРИКРЫТИЕ

Кроме того, злоумышленники очень активно обмениваются результатами своей работы. Данные о результатах сканирования, найденных уязвимостях, похищенные сведения публикуются для дальнейшего анализа и последующего использования в атаках.

При этом DDoS-атаки стали хорошим прикрытием для более серьёзных воздействий.

Учитывая напряжённую геополитическую ситуацию, большое внимание злоумышленниками уделяется атакам, которые могут иметь общественный резонанс, то есть из которых можно сделать «взрывной» информационный повод.

Это всевозможные дефейсы информационных ресурсов, в результате которых размещаются антироссийские и антигосударственные материалы, а также фейки. Объектами таких атак становились информационные ресурсы средств массовой информации (далее – СМИ), государственных органов, крупных промышленных организаций. В ряде случаев злоумышленники на сайтах предприятий размещали обращения от имени руководителей организации с антироссийскими и антиправительственными лозунгами, что несло дополнительные риски и для репутации руководства этих организаций. Примеры публикаций приведены на рисунке 4.

Рисунок 4. Дефейсы информационных ресурсов

ПРОГРАММНЫЕ ЗАВИСИМОСТИ И СТОРОННИЙ КОД

Здесь же проявилась новая специфическая тенденция – использование программных зависимостей и стороннего кода. Например, публикации на целом ряде ресурсов СМИ антироссийских лозунгов были реализованы с помощью подмены кода рекламного баннера его автором. Похожий механизм также был реализован в ходе атаки на счётчик системы Госмонитор. Немало компьютерных атак было направлено на проникновение в системы организаций с целью хищения информации и выведения из строя технологических процессов с последующим преданием гласности этих так называемых успехов.

УТЕЧКИ ДАННЫХ

Много публикуется информации об утечках данных. Вынуждены констатировать, что их следствием в основном является небрежное отношение к сервисам, доступным на периметре. В то же время необходимо отметить, что в погоне за информационным поводом и общественным резонансом злоумышленники очень часто публикуют фейковую информацию об утечках. Используются самые разные способы: например, собирается информация из ранее произошедших утечек и выдаётся как новая; делаются компиляции из данных, полученных из открытых источников или из публично доступной информации. Нередки и случаи, когда кража данных одной из небольших организаций в результате взлома её ресурсов выдаётся за утечку из одной из ключевых государственных систем или объектов КИИ, тем самым поднимая значимость освещаемого события.

НЕСАНКЦИОНИРОВАННАЯ ДЕЯТЕЛЬНОСТЬ

Ситуация с несанкционированным и неконтролируемым изменением программного кода и вообще деятельностью разработчиков вылилась в целую серию инцидентов и угроз. Во-первых, множество вендоров средств защиты, программного обеспечения, телекоммуникационного оборудования заявили о прекращении поддержки своих продуктов, отзывах лицензий и т. п. И если в большинстве случаев это не вызывало немедленных серьёзных проблем, средства прекращали обновляться, но время принять компенсирующие меры ещё было, то в ряде случаев устройства просто превращались в «тыкву» и периметр организации рассыпался прямо среди ночи. Очень показательно повёл себя ряд опенсорсных разработчиков, включавших вредоносный функционал в свои обновления.

Совместно со ФСТЭК России и ведущими организациями отрасли был разработан и опубликован порядок принятия решения о целесообразности обновления, учитывающий ряд важных факторов. НКЦКИ предложено пользоваться такой логикой.

УГРОЗА ОТЗЫВА СЕРТИФИКАТОВ

Дальше была серьёзная угроза отзыва всех сертификатов и нарушения работы сервисов. Какое-то время сертификаты продавала только одна организация. НКЦКИ рекомендует перейти на использование сертификатов, выпущенных отечественным удостоверяющим центром, хотя бы на основных доменных зонах. Отечественные браузеры будут их поддерживать, это позволит сохранить работоспособность основных сервисов при самом неблагоприятном раскладе.

НЕДРУЖЕЛЮБНЫЕ ДЕЙСТВИЯ

Отдельно стоит остановиться на недружелюбных политизированных действиях международного ИБ-сообщества. Так, Форум групп реагирования на компьютерные инциденты FIRST приостановил работу с российскими центрами реагирования на компьютерные инциденты. Это решение, а также происходящее в целом в информационном пространстве Российской Федерации только подтверждает неоднократно высказанную НКЦКИ ранее озабоченность о декларативном характере подходов некоторых стран к решению задачи по созданию мирной, стабильной и защищённой мировой ИКТ-среды.

В целом успех многих компьютерных атак, как показал опыт этих дней, обусловлен не каким-то изощрённым способом проникновения, а, к сожалению, недоработками служб информационной безопасности организаций. Недоработками иногда в очевидных местах. Набор рекомендаций по противодействию угрозам НКЦКИ излагает в своих бюллетенях, которые публикуются на сайте safe-surf.ruи рассылаются тем, с кем организовано взаимодействие.

УСТАНОВКА НА РАЗВИТИЕ

Итак, целесообразно отметить, что злоумышленники постоянно совершенствуются, обзаводятся новыми инструментами, адаптируют свою тактику под современные условия. И в этой гонке, на наш взгляд, очень важно успевать вовремя адаптировать и свою тактику защиты. Именно тактику, а не только средства.

НЕОБХОДИМО, НО НЕДОСТАТОЧНО

Дальше остановимся на некоторых из тех основных уроков, которые НКЦКИ вынес из инцидентов этого года. Их анализ показывает, что по-прежнему основные усилия владельцев информационных систем направлены на защиту периметра. Это, безусловно, важнейшая задача: безопасность периметра – краеугольный камень системы защиты. Но к сожалению, сегодня этого мало.

ВЕКТОРЫ АТАК

Для проникновения в инфраструктуру организации в настоящее время злоумышленники используют следующие основные векторы.

• Взлом сервисов, доступных на периметре. На долю этого вектора, по имеющимся в распоряжении НКЦКИ данным, приходится почти половина всех атак уровня АРТ. Сейчас, наверное, все владельцы информационных ресурсов понимают опасность уязвимостей программного обеспечения, особенно обеспечивающего работу внешних сервисов. Большинство так или иначе организуют работы по отслеживанию появления таких уязвимостей и их закрытию. Но на практике оказывается, что почти треть организаций имеют в своей инфраструктуре уязвимые ресурсы. Ну а когда публикуются сведения о критических уязвимостях в широко распространённых продуктах, у злоумышленников возникают окна возможностей, когда можно успеть скомпрометировать систему до установки обновлений. Например, почтовых серверов с уязвимостями в стране до сих пор далеко не единицы. И многочисленные утечки – отсюда.
• Второй вектор – фишинговые рассылки. Многочисленные исследования российских и зарубежных специалистов сходятся примерно к одному. В среднем фишинговое письмо открывает каждый седьмой сотрудник. Это с учётом всех организаций, даже тех, которые по уровню зрелости информационной безопасности находятся на высоком уровне. Если говорить про отрасли, в которых традиционно отмечается нехватка кадров и ресурсов, то здесь статистика ещё печальнее: открывается каждое четвёртое письмо.
• Третий вектор – атаки через подрядчиков. Количество таких атак за год, по имеющейся в распоряжении НКЦКИ информации о компьютерных инцидентах, выросло в два раза. И получив доступ к инфраструктуре подрядчика, злоумышленники оказываются внутри целевой системы.
• Обычное ВПО – тоже не мелочи. Какое-нибудь всем известное ВПО обычно не вызывает у «безопасников» желания пристально посмотреть на свою инфраструктуру. Часто мероприятия по реагированию ограничиваются лишь устранением самого ВПО. Такое отношение, как показывает опыт, бывает чревато более тяжёлыми последствиями. Получают распространение случаи, когда операторы таких обычных бот-сетей (а они обычно очень большие, используются, например, для DDOS-атак) продают доступ к заражённым машинам организаторам АРТ-кампаний. А дальше всё просто: периметр пробит, система позволяет развить успех внутри инфраструктуры и получить устойчивую точку присутствия.

ПРОПИСНЫЕ ИСТИНЫ

Что же получается? Удержать периметр своей инфраструктуры стало объективно трудной задачей, выполнение которой с заданным уровнем надёжности обеспечить подчас очень трудно. При этом большинство владельцев сосредотачивает свои усилия на защите периметра, и протоколирование осуществляют только на нём. А внутри инфраструктуры не то что противодействия злоумышленнику не предусмотрено, даже протоколирование не ведётся, чтобы проследить за ним.

Известна прописная истина: скорость выявления и принятия мер напрямую влияет на масштаб ущерба и затраты, необходимые для реагирования. Поэтому к инцидентам необходимо готовиться. По нашему мнению, атаки с использованием цепочки поставщиков ещё не достигли своей кульминации. Опубликованные в этом году утечки злоумышленники продолжают анализировать на предмет выявления связей между организациями и для подготовки новых атак.

ПОСЛЕДНИЙ АКЦЕНТ

Не будем в настоящей статье останавливаться на мерах. Об этом говорилось и писалось не единожды. Но ещё раз акцентируем внимание на следующем. Практика реагирования на компьютерные инциденты 2022 года ещё раз подтвердила, что без системного выстраивания и реализации процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты противодействовать злоумышленникам сегодня не получится. Поэтому данное направление становится актуальным для всех владельцев информационных ресурсов.