В современном гиперсетевом мире вопрос заключается уже не в том, подвергнетесь ли вы атаке, а в том, когда это произойдет. В отчете Symantec (Nasdaq: SYMC) об угрозах безопасности в Интернете (ISTR), выпуск 20, отмечается сдвиг в тактике киберпреступников: теперь они проникают в сети и ускользают от обнаружения, захватывая управление инфраструктурой крупных корпораций и используя ее в своих преступных целях.
«Злоумышленникам не нужно взламывать „двери“, ведущие в корпоративную сеть, когда в их распоряжении оказываются ключи, — отметил Кевин Хейли (Kevin Haley), директор отдела обеспечения защиты Symantec. — Все чаще взломщики обманом подталкивают компании к заражению троянскими программами через обновления распространенных приложений и просто терпеливо ждут получения беспрепятственного доступа к корпоративной сети».
Согласно исследованию Symantec, в год, ставший рекордным по количеству уязвимостей нулевого дня, компаниям-разработчикам ПО требовалось в среднем 59 дней для выпуска исправлений, тогда как в 2013 году на это уходило всего 4 дня. В 2014 году было обнаружено 24 уязвимости нулевого дня, и перед злоумышленниками открывались широкие возможности использовать известные им бреши в защите до выхода исправлений.
Между тем продвинутые киберпреступники продолжали взламывать сети с помощью целенаправленных фишинговых атак, число которых в 2014 году выросло на 8%. Особенно удивительной в прошлом году стала точность этих атак — злоумышленникам для достижения целей потребовалось на 20% электронных писем меньше, а число загруженных без ведома пользователей вредоносных программ и других веб-уязвимостей возросло.
Кроме того, по наблюдениям Symantec, злоумышленники применяли следующие методы: использование украденных адресов электронной почты одной корпоративной жертвы, чтобы атаковать других, продвигаясь вверх по «пищевой цепочке»; использование инструментов и процедур администрирования для перемещения украденного IP по корпоративной сети до эксфильтрации; применение специальных атакующих программ в сети своих жертв для дальнейшей маскировки своей деятельности.
Электронная почта по-прежнему остается важным для киберпреступников инструментом, однако они экспериментируют с новыми методами атаки через мобильные устройства и социальные сети для достижения большей аудитории с меньшими затратами сил.
«Киберпреступники по сути своей ленивы, они предпочитают автоматизированные инструменты и невольную помощь пользователей в их грязной работе, — добавил Кевин Хейли (Kevin Haley), директор отдела обеспечения защиты Symantec. — За последний год в 70% случаев мошенничество через социальные сети совершалось вручную, поскольку злоумышленники пользовались готовностью людей доверять контенту, которым с ними делятся друзья».
В то время как мошенничество через социальные сети позволяет киберпреступникам быстро обогащаться, некоторые из них полагаются на более прибыльные и агрессивные методы атаки, например, программы-вымогатели, количество которых в прошлом году выросло на 113%. Примечательно, что число пострадавших от программ-вымогателей увеличилось в 45 раз по сравнению в 2013 годом. И теперь киберпреступники не имитируют правоохранительные органы, требуя штраф за нелегальный контент по сценарию традиционных программ-вымогателей, а используют более изощренные криптографические методы атаки, блокируя файлы, фотографии и прочий цифровой контент жертвы и совершенно не скрывая свои преступные намерения.
В то время как злоумышленники придумывают все новые методы атаки, компании и отдельные пользователи могут предпринять целый ряд шагов, чтобы защитить себя. Symantec рекомендует использовать следующие передовые практики.
Для компаний: использовать передовые решения для анализа угроз — они помогают выявлять признаки несанкционированного доступа и быстрее реагировать на инциденты; устанавливать многоступенчатые средства защиты конечных точек и сети, надежные технологии шифрования, аутентификации и оценки репутации; сотрудничать с поставщиком услуг по управлению информационной безопасностью, чтобы расширить компетенцию своего ИТ-отдела; подумать о найме стороннего эксперта, который помогал бы вам справляться с кризисами; установить нормативы, корпоративные политики и процедуры для защиты конфиденциальных данных на персональных и корпоративных устройствах; регулярно оценивать работу отдела внутренних расследований и проводить практическую отработку, чтобы удостоверяться в том, что вы обладаете навыками, необходимыми для эффективной борьбы с киберугрозами.
Для пользователей: использовать сложные и уникальные пароли для своих аккаунтов и устройств и меняйте их периодически — в идеале каждые три месяца; никогда не использовать один и тот же пароль для разных аккаунтов; не нажимать на ссылки, которые вам предлагают без вашего запроса в электронных письмах и сообщениях в социальных сетях, особенно если они получены из неизвестного источника; при установке сетевых устройств, таких как домашний роутер или сетевой термостат, и при загрузке новых приложений обращать внимание на то, какие данные вы раскрываете; блокировать удаленный доступ, если в нем нет необходимости.