Проанализировав выборку российских организаций сегмента крупного и среднего бизнеса инструментами киберразведки по открытым данным (OSINT), эксперты Innostage выявили тренды атак и причины возникновения цифровых уязвимостей на стороне бизнеса:
48,9% выявленных инцидентов связаны с упоминаниями в репозитории. Такое происходит, когда сотрудник случайно опубликовал в общедоступном репозитории код с чувствительной информации. Например, в комментариях или метаданных файла содержатся упоминания о паролях, ключах API или других конфиденциальных сведений, что может привести к утечке данных клиентов, краже денежных средств, а также нанести компании репутационный ущерб.
В 29,2% причиной инцидентов ИБ становится новая служба на сетевом периметре, внедренная без соответствующего анализа угроз и оценки рисков. Если новая служба имеет уязвимость, злоумышленники могут использовать ее для несанкционированного доступа к сети и совершения широкого спектра кибератак.
В 11% исследованных кейсов хакеры изменили веб-контент компании-жертвы. Подмена контента сайта или приложения осуществляется через внедрение вредоносного кода. Цель злоумышленников – нарушить безопасность веб-ресурса, получить доступ к учетным данным пользователей, заменить реквизиты на поддельные для вывода денег пользователей на подконтрольные хакерам счета.
Чуть меньше – 9% инцидентов ИБ – приходится на создание потенциально фишингового домена. Регистрация домена, максимально похожего на оригинальный (например, с опечатками или добавлением пары дополнительных букв или цифр), как правило, является частью фишинговой кампании. Такие сайты и приложения создаются для выуживания из жертв личной информации и учетных данных, а также кражи денег.
В 1,6% инцидентов ИБ виноваты ошибки конфигурации. Неправильная конфигурация сетевых устройств или программного обеспечения может создать уязвимости, которые будут использованы злоумышленниками для атаки. Например, если служба с необходимыми патчами не обновляется, это может привести к несанкционированному доступу к системе, распространению вредоносного ПО, утере данных и другим нарушениям работы приложений и сервисов.
Оставшиеся 0,3% относятся к категории «упоминание в утечке». Это критические инциденты информационной безопасности, при которых конфиденциальная информация или данные о компании становятся доступны третьим лицам через несанкционированное раскрытие или публикацию. Негативные последствия включают финансовые потери, вызванные раскрытием коммерческой тайны и/или подрывом доверия клиентов и сотрудников, чьи данные утекли, а также штрафы за нарушения законодательства о защите данных. В случае шифрования или подмены информации, содержавшейся во взломанном файловом хранилище, возможна приостановка деятельности компании, грозящая в среднесрочной перспективе ее банкротством.
«За первое полугодие подавляющее количество инцидентов информационной безопасности по-прежнему связано с человеческим фактором. Такая тенденция прослеживается не первый год, но текущие цифры более чем красноречивы. Статистика показывает, что почти в половине случаев чувствительные данные не только не были защищены должным образом, а фактически лежали у хакеров перед глазами, в публичных репозиториях. Еще почти треть уязвимостей возникла из-за некорректного внедрения новых служб в сетевом периметре. Чтобы минимизировать риск возникновения таких угроз, необходимо регулярно проводить аудит ИТ-ресурсов и повышать квалификацию сотрудников, отвечающих за ИТ и ИБ-процессы. Это базис многих отраслевых подходов, включая методологию повышения киберустойчивости бизнеса Innostage CyberYool, разработанную нашими коллегами» - пояснил Максим Акимов, руководитель Центра противодействия киберугрозам Innostage SOC CyberART.