Как и чем ломали российские компании. Исследование Jet CSIRT

Значимый прорыв формирует отрасль ИИ: CSIRT 1 минуту назад Как и чем ломали российские компании. Исследование Jet CSIRT Средний 7 мин 3 Блог компании Инфосистемы Джет Информационная безопасность * Аналитика Привет! На счету Jet CSIRT с 2023 по 2025 год более 100 крупных расследований ИБ-инцидентов — мы помогали российским компаниям правильно реагировать на них и ликвидировать последствия.

У нас накопилось довольно много полезной статистики по теме, так что мы решили оформить это в большое исследование и выложить в открытый доступ. Там много цифр, статистики и практических ИБ-рекомендаций – рассказываем о ключевых результатах. В этой статье — про актуальную ситуацию в кибербезе, реальные угрозы, популярные тактики и техники атак, используемые для нарушения киберустойчивости российских компаний, с описанием методов их обнаружения.

Технические детали

Небольшая вводнаяОдно из ключевых свойств для бизнеса в плане ИБ (да и ИТ в целом) — это его непрерывность, возможность работать без сбоев 24*7. Потому что простой любого крупного интернет-маркетплейса, например, это миллионные убытки. А то и миллиардные, зависит от маркетплейса и длительности простоя.

Раньше сами подходы к обеспечению непрерывности формировались с учётом того, что главная угроза для бизнеса — какие-то проблемы с железом или человеческие ошибки. Кибератаки тоже рассматривались как риск, но в плане «кто-то получит доступ к инфре и узнает секретные данные». Сейчас всё изменилось, и главная цель кибератак — это не просто получить персональные, платёжные и иные данные, а именно глобально и гарантированно стопорнуть деятельность бизнеса.

Положить все сайты и внутренние системы, обрубить доступы для команды восстановления, и главное — уничтожить или зашифровать резервные копии, чтобы даже после хард-ресета компании банально было неоткуда восстановиться. В целом достаточно разных ИБ-инцидентов, которые способны привести к серьёзным материальным или репутационным потерям, но мы в рамках статьи выделим именно те, которые напрямую нацелены на непрерывность бизнеса. Атаки с использованием программ-вымогателей.

Отраслевые последствия

Блокируют доступ к ИТ-сервисам, вызывают простои бизнеса, недовольство пользователей. Атаки, направленные на уничтожение данных (вайперы). Ведут к критическому и (в идеале для злоумышленника) необратимому повреждению ИТ-активов.

DDoS-атаки, масштаб которых кладёт ключевые ИТ-сервисы на долгое время. По нашим данным, на сегодня порядка 76% всех кибератак — это шифрование и разрушение инфраструктуры. Чем полезна статистика — так это тем, что можно знать врага в лицо и понимать его интересы.

А также используемый им инструментарий. Значит, можно подготовиться как к самим атакам, так и предусмотреть способы восстановления после них.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.