МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра ИБ
отчет
по практической работе №1
по дисциплине «Основы информационной безопасности»
«Вызовы и угрозы РФ в области обеспечения информационной безопастности»
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Введение
2022 год показал, насколько кибермир восприимчив к изменениям, происходящим в реальности. Начало СВО сильно повлияло на ландшафт киберугроз. Интенсивность атак выросла, а хакерским ударам стали подвергаться абсолютно все компании, независимо от масштаба и сферы деятельности. Массовость атак сопровождалась их постоянным опубличиванием: сообщения о новых взломах и сливах регулярно появлялись в информационном поле. Активную позицию заняли хактивисты, цель которых заключалась в создании всеобщей паники. Но, несмотря на массовость, новых инструментов и уникальных тактик у киберпреступников за год скорее не появилось: они использовали фишинг с ВПО, уязвимости в софте, которые было сложно закрывать на фоне ухода вендоров из РФ, веб-атаки, компрометацию учетных записей и т. п.
Вызовы и угрозы РФ в области информационной безопастности.
Киберпреступная отрасль в 2023 году показала, что она является хорошо отлаженной машиной – хакеры используют проверенные методы атак, такие как фишинг, вредоносное ПО, DDoS и другие. Злоумышленники расширяют количество своих целей, в то время как организации с трудом справляются с растущей сложностью своей IT-инфраструктуры.
В апреле 2021 года Владимиром Путиным был подписан указ, утверждающий основы государственной политики страны в области международной информационной безопасности, в котором были отражены стратегическое планирование и официальные взгляды на сущность международной информационной безопасности и определены основные угрозы международной ИБ, цели и задачи государственной политики РФ в области международной ИБ, а также основные направления её реализации.
Переход людей на дистанционную работу, нерегулярное обновление прошивки и функций защиты, новые вирусы в электронных письмах, продуманных фишинговыми кампаниями, широкодоступность в интернете уязвимостей, слабая политика конфиденциальности, уязвимость конечных устройств, подверженность пользователей социальной инженерии, а также популярность электронной коммерции сыграли на руку киберпреступникам.
Основными угрозами международной кибербезопасности являются:
Использование информационно-коммуникационных технологий (ИКТ) в военно-политической и иных сферах в целях подрыва (ущемления) суверенитета, нарушения территориальной целостности государств, осуществления в глобальном информационном пространстве иных действий, препятствующих поддержанию международного мира, безопасности и стабильности;
Использование ИКТ в террористических целях, в том числе для пропаганды терроризма и привлечения к террористической деятельности новых сторонников;
Использование ИКТ в экстремистских целях, а также для вмешательства во внутренние дела суверенных государств; Использование ИКТ в преступных целях, в том числе для совершения преступлений в сфере компьютерной информации, а также для совершения различных видов мошенничества;
Использование ИКТ для проведения компьютерных атак на информационные ресурсы государств, в том числе на критическую информационную инфраструктуру; Использование отдельными государствами технологического доминирования в глобальном информационном пространстве для монополизации рынка ИКТ, ограничения доступа других государств к передовым ИКТ, а также для усиления их технологической зависимости от доминирующих в сфере информатизации государств и информационного неравенства.
В рамках исследования компании Positive Technologies были сделаны следующие выводы: в 2022 году первой по популярности сферой для нападения у хакеров была — государственная, а второй — промышленная; основными целями нападений являлись получение данных и финансовая выгода; в подавляющем большинстве случаев злоумышленник может проникнуть в корпоративную сеть, в которой он получит данные пользователей и полный контроль над инфраструктурой; в 75% компаний был получен доступ в технологический сегмент сети, что позволило в половине случаев получить доступ к системам управления технологическими процессами.
Рисунок 1 - Мотивы злоумышленников (доли атак)
В октябре – декабре 2022 года была зафиксирована 281 тыс. событий ИБ – подозрений на инцидент после обработки первой линией мониторинга и фильтрации ложных срабатываний. Это на треть превышает аналогичный показатель III квартала прошлого года (214 тыс. инцидентов), и это самый высокий квартальный показатель за весь 2022 год. При этом число подтвержденных инцидентов в IV квартале показало падение – почти на 20% (речь о сложных инцидентах, которые подтвердил заказчик). В целом картина типична для конца года: четвертый квартал, особенно декабрь, характеризуется резким всплеском событий ИБ. С одной стороны, предновогодняя суета и распродажи, с другой - поспешное закрытие финансового года, подготовка отчетов, финальные поставки. Все это активно используют злоумышленники в надежде на то, что в ворохе задач их действия останутся незамеченными. Однако такая поспешность и ситуативность сказывается на уровне подготовки: в основном это низкоквалифицированные атаки, имеющие массовый характер. В итоге мы видим снижение доли подтвержденных инцидентов. К тому же за год организации усилили защиту ИТ-периметра, и реализовывать несложные атаки хакерам стало сложнее
Р
исунок
1 - Удельный вес каждого уровня инцидентов
за квартал существенных изменений не
претерпел. Произошедшее увеличение
доли критических инцидентов не является
опасным, так как данные показатели
остаются в своих средних значениях
Рисунок 2 - Распределение инцидентов с разным уровнем критичности по категориям
Рисунок 3 - Распределение инцидентов с разным уровнем критичности по категориям
Эти данные наглядно показывают следующее:
1.Вредоносное ПО остается бессменным лидером в инструментарии киберпреступников. Однако волна фишинга с рассылкой вредоносов пришлась на III квартал года и в IV квартале уже пошла на спад. Это может говорить о не совсем удачных попытках злоумышленников использовать социальную инженерию. Причины, скорее всего, в эффективной работе антивирусного ПО и повышении осведомленности сотрудников компаний в вопросах кибергигиены.
Массовые атаки со стороны хактивистов на фоне проведения СВО постепенно затухают. Это также влияет на снижение числа инцидентов, связанных с ВПО (примечательно, что за IV квартал не было выявлено ни одной атаки с использованием шифровальщиков). Это не значит, что злоумышленники потеряли интерес к России, – просто их удары стали более целевыми и осознанными. В частности, все больше инцидентов направлено на хищение клиентских данных и компрометацию учетных записей.
В IV квартале хакеры стали чаще эксплуатировать уязвимости. Это может указывать на то, что они поняли неэффективность фишинга и вернулись к взлому периметра. Но в то же время количество критических инцидентов подобного типа сократилось на 80%. В начале и середине года на фоне ухода зарубежных вендоров многие ИТ-продукты остались без поддержи и возможности обновления. Но со временем компании перешли на отечественные решения, нашли способы установить патчи и в целом стали вести регулярную работу с периметром на предмет выявления и закрытия нелегитимных сервисов и критических уязвимостей. Также организации стали уделять повышенное внимание к потенциальным точкам входа в инфраструктуру – публичным сервисам компаний на периметре. Все это усложнило для злоумышленников реализацию кибератак.
2.Веб-атаки вернулись в топ. Они лидировали в I и II кварталах, но в III их доля резко сократилась. К концу года мы увидели возвращение тренда на взлом веба. Всплеск подобных атак типичен для конца года: попытки взлома, дефейса сайтов (преимущественно это онлайн-магазины, маркетплейсы), получение доступа к конфиденциальным данным клиентов и сотрудников. Однако годом ранее в IV квартале не было зафиксировано ни одного критического инцидента, связанного с веб-атакой. Но в 2022 году все зафиксированные нами попытки взлома сайтов имели высокую степень критичности. Можно предположить, что хакеры хорошо подготовились к «жаркому» сезону и лучше продумали свои действия.
В отчетном периоде мы увидели увеличение числа сетевых атак и инцидентов, связанных с компрометацией учетных записей (УЗ). Последнее в большинстве случаев связано с брутфорсом (подбор пароля) публичных сервисов (почта, веб-порталы), используя утекшие в первой половине года учетные данные. Компрометация УЗ говорит о том, что в ряде случаев злоумышленники успешно проникали в инфраструктуру, но благодаря мониторингу SOC их удалось выявить на ранних этапах развития атаки.
Зачастую сетевые атаки (сканирование периметра или веба) и попытки компрометации УЗ выполняются автоматизированными инструментами, которые хакеры используют для разведки в отношении клиента. Несмотря на низкий уровень критичности таких инцидентов, это опасный звонок для компаний, который указывает на то, что они привлекательны для злоумышленников. А значит, им необходимо продолжать тренд на усиление киберзащиты ИТ-периметров.
Наметившаяся в предыдущем квартале тенденция по снижению уровня критичности сетевых атак сохранилась – компании научились защищать свой периметр и уверенно движутся к повышению общего уровня защищенности.
В 2023 году в семи из десяти атак с использованием вредоносного ПО приняли участие злоумышленники, распространяющие программы-вымогатели. Этот показатель вырос на 30 п. п. в сравнении с 2022 годом (тогда их доля составляла лишь 39%). Чаще всего эти киберпреступники атаковали государственные и медицинские организации, промышленность и учреждения науки и образования.
В I полугодии 2022 года было выявлено 416 тыс. событий ИБ, и 495 тыс. – во II, таким образом, рост составил 19%. Что же касается подтвержденных инцидентов, то здесь мы видим их резкий прирост на 73% во II полугодии. Однако доля критических инцидентов снизилась на 65%, что указывает на повышение способности российских компаний адекватно и своевременно реагировать на угрозы ИБ на фоне происходящего импортозамещения. Также мы видим более ответственный подход со стороны служб ИБ наших заказчиков – в условиях возросшей угрозы они стали активнее общаться с сервис-провайдерами и более четко выстраивать процессы реагирования на инциденты. Этот тренд виден и по росту спроса на решения класса IRP (Incident Response Platform), которые помогают выстроить и автоматизировать процесс реагирования на инциденты.
Р
исунок
4 — Распределение событий информационной
безопасности по кварталам
Количество компьютерных атак на российские информационные ресурсы постоянно увеличивается. Инициативы Российской Федерации в области обеспечения международной информационной безопасности встречают противодействие со стороны иностранных государств, стремящихся доминировать в глобальном информационном пространстве
Рисунок 5 - Исследование компании Group-IB, 2022 год
Р
исунок
6 — Распределение инцидентов по степени
критичности
Примечательно, что в I полугодии доля критических инцидентов снизилась (на 7%) в сравнении со II полугодием 2022 года. Во II полугодии 2022 мы видим продолжение этого тренда. Это может показаться парадоксальным на фоне активного роста числа атак. Но стоит понимать, что с момента начала СВО российский бизнес серьезно озаботился вопросами собственной киберзащиты. В частности, мы видим кастомизацию сценариев детектирования инцидентов и реагирования на них, что в итоге и дает положительную динамику на общем фоне. Чтобы не допустить роста числа критических инцидентов, компаниям важно вовремя выстроить эффективный процесс выявления угроз и реагирования на них. Инструменты (такие как SIEM, IRP) – это лишь часть решения. Важно не забыть про экспертную команду и настроенные процессы.
Самые популярные типы атак в течение года менялись. Инциденты с высокой степенью критичности в I полугодии были связаны в основном с веб-атаками, далее следовали ВПО и сетевые атаки. Во втором полугодии вектор сменился: сетевые атаки в принципе утратили свою критичность, удельный вес веб-атак снизился, а лидирующие позиции заняло ВПО.
Р
ис
7 - Распределение инцидентов с высокой
долей критичности
Если же смотреть на весь пул инцидентов, то видно увеличение почти на 40% доли ВПО во II полугодии, в то время как остальные типы самых популярных атак, наоборот, теряют свой удельный вес
Р
ис
8 - Распределение инцидентов с разным
уровнем критичности
Массовые утечки данных в 2023 году коснулись многих организаций и частных лиц как в России, так и во всем мире. В нескольких инцидентах пострадали такие известные компании и сервисы, как «Гемотест», «СДЭК», Яндекс.Еда, Delivery Club, DNS. Чаще всего злоумышленники похищали конфиденциальную информацию в медучреждениях (удалось украсть данные в 82% инцидентов), в организациях, занимающихся научными исследованиями или оказывающих образовательные услуги (67%), а также в ритейле (65%).
Ущерб от утечек во всем мире растет: согласно отчету IBM, в 2022 году средняя стоимость утечки данных достигла рекордно высокого уровня — 4,35 млн долларов, что на 2,6% больше, чем в прошлом году.
Злоумышленники скомпрометировали конфиденциальную информацию в 47% успешных атак на организации. Более трети украденной информации (36%) составили персональные данные, также интерес злоумышленников вызывала информация, относящаяся к коммерческой тайне (17%). Учетные данные составили 14% украденных данных. В успешных атаках, направленных на частных лиц, злоумышленникам удавалось украсть данные в 64% случаев. В основном были скомпрометированы учетные данные (41%), а также персональные (28%) и данные платежных карт (15%).
Наблюдается прирост доли персональных данных среди украденной информации относительно итогов 2022 года: для организаций — 4 процентных пункта (с 32% до 36%), для частных лиц — 8 п. п. (с 20% до 28%).
В 2023 году продолжатся мощные и сложные атаки на бизнес и сайты. При этом, количество простых DDoS-атак потенциально будет снижаться, уверен Сергей Голованов, главный эксперт "Лаборатории Касперского".
"Такие атаки становятся менее эффективными благодаря защитным мерам, которые предпринимают компании. Актуальными угрозами для рядовых пользователей также остаются скам, фишинг и телефонное мошенничество", - говорит эксперт.
Новым трендом стало появление модели Ransomware-as-a-Service, RaaS. В начале года эксперты прогнозировали распространение этой модели и к концу года зафиксировали усиление тренда. Все дело в том, что для разработки вредоносного ПО требуются умения и навыки, для покупки готового - финансы, которые не всегда есть у новичков. Фактически, начинающим злоумышленникам предлагается подписная модель на инструменты для совершения киберпреступлений.
За 2023 год заметно выросла индустрия, обеспечивающая работу хакеров
"По схеме RaaS доступ к вредоносному ПО выходит существенно дешевле. Любой готовый и доступный инструмент - своего рода драйвер для увеличения числа кибератак среди злоумышленников с низкой квалификацией. Например, так развивалась эпидемия шифровальщиков - количество атак начало стремительно расти только с появлением партнерских программ, по которым злоумышленники-дистрибьюторы могли получать доступ к готовым шифровальщикам", - отмечает Федор Чунижеков, аналитик исследовательской группы отдела аналитики информационной безопасности Positive Technologies.
Число киберполигонов, на которых специалисты по информационной безопасности смогут проводить учения, вырастет до 15 в России к 2024 году. Об этом сообщил в четверг в рамках форума "IT-Диалог" глава профильного думского комитета Александр Хинштейн, отметив, что это необходимо для усиления киберзащиты.
"Нам необходимо решить два ключевых вопроса: первый - соразмерный ответ нашим противникам. С февраля текущего года наблюдаем непрекращающийся рост кибератак на нашу страну, важной задачей становится не просто защита нашей инфраструктуры, но и нападение, ведь с точки зрения последствий вывод из строя системы военного управления не менее важен, чем физическое уничтожение самих органов управления. Второй - усиление киберзащиты, совершенствование технологий и обучение новых кадров, киберполигон может стать базисом для такой подготовки. Так, уже открылись восемь опорных центров Национального киберполигона, а до 2024 года их число должно увеличиться до 15, ими становятся и вузы, что позволяет повысить квалификацию уже действующих сотрудников для ликвидации различных цифровых атак и подготовить специалистов по кибербезопасности", - сказал он.
В Петербурге открылся девятый форум "IТ-Диалог 2022". В мероприятии, которое будет проходить в течение двух дней в Центральном музее связи имени А.С. Попова принимают участие более 800 делегатов из 40 регионов страны - IT-руководители субъектов РФ в области информационных и коммуникационных технологий, представители IT и телеком компаний, эксперты в сфере цифровизации.
ЗАКЛЮЧЕНИЕ
В ходе написания аналитического отчета на тему «Вызовы и угрозы РФ в области информационной безопасности» были изучены документы, касающиеся данной темы, а именно доктрина информационной безопасности Российской Федерации и стратегия национальной безопасности Российской Федерации. Были выявлены современные угрозы и вызовы информационной безопасности Российской Федерации и способы борьбы с ними.
Также был изучен вид работ по разработке аналитического отчета на темы, связанные с безопасностью.
ВЫВОДЫ
Вызовами в области информационной безопасности по сведениям за 2018 – 2023 гг. являются:
тотальная информатизация, ведущая к увеличению числа уязвимостей к внешним атакам, направленных на деятельность организаций в сфере здравоохранения, финансовом секторе и многих других государственно важных сфер;
рост объемов и источников информации, ведущий к увеличению числа уязвимостей в работе организаций по отношению к внешним атакам;
введение ИКТ во все сферы деятельности государства и общества, служащее возможной почвой для атак, шпионажа со стороны внешних государств;
автоматизация промышленных процессов, исключающая возможность принятия этически верного решения с точки зрения человека в условиях чрезвычайных ситуаций;
возможности манипулирования сознанием и поведением людей посредством доступа к открытой информации.
Угрозами в области информационной безопасности являются:
блокирование деятельности государственных СМИ при помощи внешних воздействий, влекущее ослабление контроля государства и падения его авторитета внутри страны;
противоправный сбор и использование информации извне, ослабляющую безопасность деятельности организаций в РФ;
деятельность спецслужб иностранных государств, ОПГ, кибертеррористов на территории РФ, подрывающая авторитет, экономическое и политическое положение государства;
уничтожение стратегической оборонной инициативы;
внедрение вирусов и компонентов, непредусмотренных документацией, ведущее к появлению рисков безопасности деятельности
организации.