Влияние APT-атак на российский бизнес: госучреждения, банки и промышленность

Мы уже рассказывали, что такое APT-атаки, как их распознать и защититься. Теперь давайте узнаем, какое влияние данные атаки оказывают на бизнес в России.

Данные в статье взяты из исследований нашего партнера Positive Technologies. Эксперты компании проанализировали поведение APT-группировок в 2018 и 2019 году и выявили какой процент из них атаковал ту или иную отрасль (многие группировки действовали сразу в нескольких отраслях):

• 68% – государственные учреждения,
• 59% – промышленные компании,
• 45% – финансовые компании,
• 41% – компании ТЭК (топливно-энергетического комплекса).

Согласно опросам Positive Technologies среди руководителей ИБ-подразделений, на сегодняшний день лишь немногие организации могут противостоять APT-атакам. Для каждой компании злоумышленники прорабатывают свою схему действий, однако внутри отрасли целевые атаки на имеют схожие нюансы реализации и методы защиты. Их мы и разберем ниже.

APT-атаки на государственные учреждения

Итак, госучреждения – это самый «атакуемый» сектор среди APT-группировок. Мотивами атак на информационные системы госструктур могут быть кража конфиденциальных данных (включая шпионаж), желание нанести удар по репутации или политическая ситуация.

В госучреждениях используются следующие средства защиты информации:

• Антивирус – 95%
• IPS/IDS – 53%
• WAF – 35%
• Решения NTA – 28%
• NGFW – 23%
• Sandbox – 23%
• SIEM – 20%
• EDR – 15%
• Решения для защиты от APT-атак – 8%

Больше половины опрошенных ИБ-руководителей госучреждений признали, что APT-атака будет иметь для них весомые последствия. При этом 45% организаций из опроса не готовы бороться с APT-группировками, а 23% вообще не занимаются обнаружением и расследованием инцидентов кибербезопасности.

Для проникновения в госучреждения киберпреступники используют:

• Фишинговые рассылки – 87%
• Атаки Watering hole (заражая веб-сайт вредоносным ПО) – 27%
• Другие методы – 47%

Чаще всего APT-группировки атакуют госучреждения из-за ценной информации. Поиск нужных данных и выведение их за пределы периметра может длиться достаточно долго, поэтому важно обнаруживать передвижения злоумышленников по сети до того, как они достигнут своей цели.

APT-атаки на промышленные компании

Промышленная отрасль является второй по популярности мишенью для APT-группировок. Обычно злоумышленники стремятся захватить контроль над информационными и технологическими системами предприятия для нарушения его работоспособности, а также для кражи данных и финансов. К сожалению, у многих предприятий установлены лишь базовые средства защиты, которые неэффективны против сложных целевых атак.

Средства информационной защиты в промышленных компаниях:

• Антивирус – 100%
• IPS/IDS – 47%
• NGFW – 35%
• WAF – 35%
• SIEM – 33%
• Sandbox – 25%
• Решения NTA – 21%
• EDR – 16%
• Решения для защиты от APT-атак – 5%

Как и в случае с госучреждениями, в большинстве опрошенных промышленных компаний нет должного обучения сотрудников и не хватает квалифицированных специалистов по кибербезопасности. А в некоторых организациях (23%) также отсутствует практика поиска и расследования инцидентов безопасности.

Для проникновения в организации киберпреступники используют:

• Фишинговые рассылки – 85%
• Заражение часто используемых сотрудниками сайтов – 31%
• Взлом доверенной стороны, например, партнера или подрядчика (поставка зараженного оборудования и т. п.) – 15%

После попадания в инфраструктуру и закрепления в ней, основной задачей злоумышленников становится получение доступа к технологическому сегменту организации. Поэтому важно, чтобы устройства данного сегмента не были доступны из интернета или корпоративной сети.

APT-атаки на банки и финансовые организации

Согласно отчету ФинЦЕРТ, в 2018 году на финансовые учреждения совершили 177 целевых атак. Из них 38 кампаний провели группировки Cobalt и Silence, украв у банков на общую сумму 58 миллионов рублей.

Мотивы злоумышленников практически не отличаются от других секторов, однако основная – это кража денежных средств со счета компании или клиентов.

Средства информационной защиты в финансовых компаниях:

• Антивирус – 93%
• IPS/IDS – 68%
• SIEM – 51%
• NGFW – 51%
• Sandbox – 49%
• WAF – 49%
• EDR – 37%
• NTA – 20%
• Решения для защиты от APT-атак – 17%
• DLP – 2%

Самый частый метод для проникновения в инфраструктуру, как и в других отраслях, – фишинг, намного реже киберпреступники размещают вредоносное ПО на веб-сайтах или используют легитимный способ для доступа к ресурсам компании. Несмотря на то, что фишинг – далеко не новый способ атак, 75% банков по-прежнему уязвимы к нему.

Далеко не все финансовые организации способны справиться с целевыми атаками. Так, согласно исследованиям Positive Technologies, почти в 60% банков злоумышленник сможет получить доступ к критически важным системам.

APT-атаки на топливно-энергетический комплекс

Бесперебойная работа предприятий ТЭК крайне важна. Помимо промышленного сектора от ТЭК зависят госучреждения (больницы, школы, социальные объекты), нарушения в работе которых могут привести к тяжелым последствиям и даже человеческим смертям.

Как и в случае с государственными и промышленными организациями, в ТЭК обычно используется базовая защита информации (всего 5% из числа опрошенных имеют специальную защиту от APT-атак).

Целью же злоумышленников является нарушение производственных процессов, саботаж и дестабилизация, а также кража конфиденциальной информации и финансов.

Схема взлома в ТЭК может быть очень простой – с помощью фишинга и шпионского ПО злоумышленники получают аудио- или видеозаписи и пароли с компьютеров жертв и используют их для проникновения в сеть. Главной задачей для взломщика является достижение технологического сегмента сети.

Несмотря на то, что компьютеры технологической системы не должны предоставлять доступ через Интернет или корпоративную сеть, осуществить изоляцию сегмента сложно.

Возможные недостатки в защите сети:

• У 64% предприятий у администраторов и руководителей есть доступ к технологической части системы.
• 73% промышленных компаний и ТЭК используют стандартные пароли.
• Сотрудники 82% ТЭК хранят пароли в документах, резервных копиях систем и прочих файлах.
• 36% организаций сохраняют сессию для удаленного подключения.
• У 45% промышленных компаний и ТЭК недостаточная фильтрация сетевого трафика.

Обнаружение и защита от целевых атак

Последствия APT-атак могут быть катастрофическими, причем не только для бизнеса, ведь они могут повлечь за собой даже человеческие жертвы. Так, например, в 2018 году кибератака на нефтехимический завод в Саудовской Аравии могла закончиться аварией и привести к взрыву, но, к счастью, саботаж удалось обнаружить раньше.

Предотвратить проникновение киберпреступника возможно далеко не всегда. В случае успешной APT-атаки, злоумышленнику удастся нанести колоссальный вред компании. А после атаки хакер, скорее всего, оставит для себя «лазейку», чтобы иметь возможность вернуться в систему.

Рекомендации по предотвращению проникновения в систему:

• Обучайте сотрудников техникам информационной безопасности.
• Постройте процессы реагирования и расследования инцидентов безопасности.
• Сегментируйте сеть и обеспечьте прозрачность происходящего в ней.
• Следите за событиями на периметре и внутри сети.
• Анализируйте события.
• Анализируйте внешний и внутренний трафик и файлы.
• Проводите ретроспективный анализ трафика и файлов для выявления угроз, которые могли быть пропущены ранее.
• Используйте помимо стандартных средств специализированные средства защиты для выявления целевых атак.

Абсолютно все компании могут подвергнуться целевой атаке. Сейчас набирают обороты атаки на целевую организацию через ее менее защищенные филиалы (если речь о головной компании), а также партнеров и подрядчиков. Поэтому не стоит ошибочно полагать, что ваша инфраструктура в безопасности.

APT-атаки сложно обнаружить, поэтому вы можете даже не подозревать о присутствии взломщика в вашей сети, а стандартные средства защиты не смогут обеспечить должный уровень безопасности.

Мы предлагаем вам решение PT Anti-APT — уникальный комплекс защиты, позволяющий выявлять угрозы и оперативно реагировать на присутствие злоумышленников в сети. Anti-APT выявляет целевые атаки в каждом пятом пилотном проекте. Узнайте подробнее на странице решения.