Τάσεις IB-2022: πώς έχει αλλάξει η κατάσταση της αγοράς
Παρά τις ταχέως μεταβαλλόμενες συνθήκες στα ρωσικά και
«Στις αρχές του 2022, φαινόταν ότι με ransomwareμπορεί να έχει τελειώσει - υπήρξαν συλλήψεις, ορισμένες από τις ομάδες τράπηκαν σε φυγή, κάποιες έπεσαν χαμηλά και μετονομάστηκαν, Λόγω πολιτικών διαφωνιών, υπήρξε διάσπαση στην ομάδα Conti, η οποία οδήγησε στη δημοσίευση εσωτερικών αρχείων και αλληλογραφίας, αλλά μέχρι το τέλος του 2023 αποδείχθηκε ότι η αυτοκρατορία ransomware είναι ακόμα ισχυρή και πολύ επικίνδυνη», σημειώνει ο Valery Baulin. Διευθύνων Σύμβουλος του Group- IB στη Ρωσία και την ΚΑΚ.
Υπάρχουν διάφοροι λόγοι για την επιτυχία του ransomware.Πρώτον, οι εισβολείς δεν χρειάζεται να χακάρουν οι ίδιοι την υποδομή ή να αναζητήσουν κενά στα εταιρικά δίκτυα. Έχουν μια ανεπτυγμένη αγορά για την πώληση πρόσβασης σε εταιρικά δίκτυα. Σύμφωνα με ειδικούς του Group-IB, έχει υπερδιπλασιαστεί, ενώ η τιμή πρόσβασης έχει μειωθεί περίπου στο μισό. Το 70% των τύπων πρόσβασης που εμφανίζονται πωλούνται λογαριασμοί RDP και VPN.
Δεύτερον, να αποκτήσουν πρόσβαση σε εταιρικέςΤα δίκτυα άρχισαν να χρησιμοποιούν ενεργά αρχεία καταγραφής που αποκτήθηκαν από κλέφτες - κακόβουλο λογισμικό που κλέβει συνδέσεις/κωδικούς πρόσβασης σε υπηρεσίες SSO, VPN και υπηρεσίες Citrix. Οι κλέφτες έχουν γίνει η δεύτερη πιο σημαντική απειλή στον κυβερνοχώρο το 2022 μετά το ransomware, λέει ο Valery Baulin.
Τι συναντήσατε Ρωσία
Δραστικές αλλαγές στον τομέα της ασφάλειας πληροφοριών σημειώθηκαν στα τέλη Φεβρουαρίου, σημειώνει ο Anton Kuzmin, επικεφαλής του Κέντρου Αντιμετώπισης Κυβερνοαπειλών Innostage CyberART:
«Βλέπουμε τη συντονισμένη δραστηριότητα των αποκαλούμενων «χακτιβιστών» - χρηστών χωρίς εμπειρία στην πραγματοποίηση επιθέσεων, οι οποίοι ενεργούν σύμφωνα με ορισμένες οδηγίες».
Όλα είναι υπό την απειλή των όπλων
Προηγουμένως αντιμετώπισε περισσότερες επιθέσεις στον κυβερνοχώροτραπεζικοί, χρηματοοικονομικοί τομείς, μεγάλες επιχειρήσεις σκέφτηκαν την ασφάλεια των δραστηριοτήτων στο Διαδίκτυο. Σήμερα, κάθε εταιρεία της οποίας η εργασία είναι συνδεδεμένη με το Διαδίκτυο βρίσκεται υπό το όπλο - δηλαδή σχεδόν ολόκληρη η επιχείρηση.
Η στάση απέναντι στην ασφάλεια των πληροφοριών έχει αλλάξει
Μόλις πριν από ένα χρόνο, η σημασία της ασφάλειας των πληροφοριών έπρεπε να μεταδοθεί στη διοίκηση των επιχειρήσεων. Τώρα δεν είναι απαραίτητο να γίνει αυτό - η τρέχουσα κατάσταση έχει κάνει τη δουλειά της για όλους.
«Σήμερα, πολλοί ηγέτες όχι μόνο το γνωρίζουν αυτόΑυτή είναι η κυβερνοασφάλεια – πολλοί άνθρωποι έχουν αντιμετωπίσει άμεσα τα ζητήματα παροχής της στις επιχειρήσεις τους. Τόσο οι μεγάλες όσο και οι μικρές επιχειρήσεις αντιμετωπίζουν επιθέσεις DDoS, διακοπές στη λειτουργία των πληροφοριακών συστημάτων και διαρροή δεδομένων. Οποιαδήποτε εταιρεία της οποίας το έργο είναι συνδεδεμένο με το Διαδίκτυο, δηλαδή σχεδόν ολόκληρη η επιχείρηση, απειλείται», τονίζει ο Anton Kuzmin.
Έξοδος ξένων εταιρειών
Το τοπίο του προστατευτικού εξοπλισμού έχει αλλάξει δραματικά,που μπορεί να χρησιμοποιηθεί. Η αποχώρηση ξένων παικτών πληροφορικής και ασφάλειας πληροφοριών από τη Ρωσία, όπως οι McAfee, PaloAlto, Microsoft, IBM, ESET, Fortinet και Cisco Systems Inc., είχε ισχυρό αντίκτυπο στην αγορά. Ο τερματισμός των δραστηριοτήτων στη χώρα ξένων προμηθευτών έχει μειώσει το επίπεδο εμπιστοσύνης σε αυτούς από την πλευρά των ρωσικών εταιρειών και οι περισσότερες από αυτές δεν είναι έτοιμες να συνεργαστούν με ξένες λύσεις, ακόμη και αν οι προγραμματιστές τους συνεχίσουν τις δραστηριότητές τους στη Ρωσία.
Αντικατάσταση εισαγωγής
Οι ρωσικές επιχειρήσεις χτίζουν εδώ και χρόνιαυποδομές βασισμένες σε δυτικές λύσεις, ωστόσο, μετά την αποχώρηση ξένων εταιρειών, αλλά και περιορισμούς και απαγορεύσεις στη χρήση των λύσεών τους, αναγκάζομαι να αναζητήσω νέο δρόμο.
Τεχνικές που χρησιμοποιήθηκαν από επιτιθέμενους το 2022
Οι κυβερνοεπιθέσεις που καταγράφηκαν στη Ρωσία φέτος μπορούν να χωριστούν σε επτά τύπους:
- Επιθέσεις άρνησης υπηρεσίας (DDoS).— αυτός είναι ο κύριος τύπος επιθέσεων που χρησιμοποιείται σήμερα, ο κύριος στόχος του οποίου είναι η απενεργοποίηση συστημάτων ή η απόκρυψη άλλων τύπων επιθέσεων στον κυβερνοχώρο.
- Καταστρέφωπου χαρακτηρίζεται από την αντικατάσταση του περιεχομένου του χακαρισμένουπηγή πληροφοριών και τοποθέτηση σε αυτόν οποιουδήποτε προκλητικού μηνύματος με σκοπό την προπαγάνδα και την πρόκληση βλάβης στη φήμη του ιδιοκτήτη του ιστότοπου.
- Μηνύματα ηλεκτρονικού ψαρέματος (phishing).- ένα είδος διαδικτυακής απάτης που βασίζεται σεμεθόδων κοινωνικής μηχανικής, σκοπός των οποίων είναι να χειραγωγήσουν ψυχολογικά άτομα για να εκτελέσουν ορισμένες ενέργειες ή να αποκαλύψουν εμπιστευτικές πληροφορίες, τις περισσότερες φορές για την κλοπή δεδομένων τραπεζικών καρτών.
- Έγχυση κακόβουλου λογισμικού (VPO)— εφαρμογή κακόβουλου λογισμικού σε συστήματα πληροφοριώνδιάφοροι οργανισμοί με στόχο τη διείσδυση στην υποδομή ή την πραγματοποίηση καταστροφικών ενεργειών (για παράδειγμα, κρυπτογράφηση δεδομένων) με στόχο την υποδομή πληροφορικής.
- Αριθμός λογαριασμών (Brute Force)σε υπηρεσίες απομακρυσμένης πρόσβασης - η ουσία της προσέγγισηςαποτελείται από μια διαδοχική αυτοματοποιημένη αναζήτηση όλων των πιθανών συνδυασμών χαρακτήρων προκειμένου να βρεθεί ο σωστός συνδυασμός ονόματος χρήστη και κωδικού πρόσβασης.
- Αυτοματοποιημένη σάρωσηπόρους πληροφοριών για σκοπούς αναζήτησηςΟι περίμετροι δικτύου των οργανισμών έχουν κρίσιμα τρωτά σημεία και εσφαλμένο λογισμικό που μπορούν να χρησιμοποιήσουν οι χάκερ για να διεισδύσουν στην υποδομή ή να υπονομεύσουν δεδομένα και συστήματα πληροφοριών.
- Αυθαίρετη εκτέλεση κώδικα σε διακομιστή web. Για παράδειγμα, SQL-injection ή cross-site scripting (XSS). Οι επιθέσεις επιτρέπουν την πρόσβαση σε βάσεις δεδομένων, καθώς και την έγχυση κακόβουλου κώδικα σε συστήματα Ιστού.
Είναι προφανές ότι τα γεγονότα που έλαβαν χώρα στιςστον κυβερνοχώρο το 2022 είναι μόνο συνέπεια της γεωπολιτικής κρίσης. Οι χάκερ, μαζί με φιλοκυβερνητικούς χάκερ, άρχισαν να διεξάγουν κοινές εκστρατείες - αυτό έγινε πιο αξιοσημείωτο στην ιστορία των μαζικών και σαφώς συντονισμένων επιθέσεων DDOS και της εισβολής εταιρειών για την κλοπή βάσεων δεδομένων.
«Σε γενικές γραμμές, φέτος σημείωσε ένα αντιρεκόρ γιααριθμός διαρροών, και ο «ηγέτης» ήταν ο Αύγουστος, όταν δημοσιεύτηκαν 100 διαρροές, συμπεριλαμβανομένων βάσεων δεδομένων 75 ρωσικών εταιρειών. Βλέπουμε ότι το κίνητρο των εγκληματιών έχει αλλάξει: εάν οι βάσεις δεδομένων που είχαν κλαπεί προηγουμένως τέθηκαν προς πώληση, τώρα διατίθενται δωρεάν στο κοινό, προκειμένου να προκληθεί ζημιά στη φήμη ή την οικονομική ζημία στις επιχειρήσεις και τους πελάτες τους», σημειώνει ο Valery Baulin.
Τι γίνεται με την υποκατάσταση των εισαγωγών;
Η επιχειρηματική δραστηριότητα της χώρας σήμερα στοχεύει στην υποκατάσταση των εισαγωγώνλογισμικού και υλικού. Ακόμη και οι αυξανόμενες τιμές των Ρώσων προγραμματιστών δεν τον εμποδίζουν να αγοράζει εγχώρια προϊόντα. Οι εγχώριες εταιρείες αναμένουν την εμφάνιση ρωσικών αναλόγων ξένων προϊόντων που βρίσκονται σε στάδιο ανάπτυξης. Επιπλέον, είναι έτοιμοι να τα αγοράσουν και να τα δοκιμάσουν με ασθενέστερη λειτουργικότητα από τα αντίστοιχα ξένα. Είναι αλήθεια ότι υπάρχει μια προϋπόθεση - είναι σημαντικό να την τελειοποιήσετε γρήγορα στην απαιτούμενη κατάσταση.
«Πολλοί Ρώσοι πωλητές είναι αρκετά ενεργοίνα επεκτείνει τη σειρά και να βελτιώσει τα προϊόντα, λαμβάνοντας σχόλια από τους πελάτες, λόγω των οποίων η ωριμότητα των λύσεων αυξάνεται. Τώρα υπάρχουν νέοι παίκτες, η αγορά μεγαλώνει. Είναι ενδιαφέρον ότι οι μεγάλες εταιρείες αναπτύσσουν τα προϊόντα τους, τα οποία προσφέρουν στην αγορά στο μέλλον», τονίζει ο Anton Kuzmin, επικεφαλής του Innostage CyberART Cyber Threat Countermeasures Center.
Οι βασικές εργασίες για την υποκατάσταση των εισαγωγών έχουν ξεκινήσειμετά το 250ο προεδρικό διάταγμα «Σχετικά με πρόσθετα μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών» και την αναχώρηση ξένων προμηθευτών από τη Ρωσική Ομοσπονδία, συγκεκριμένα την αδυναμία αγοράς, την ανανέωση των τρεχουσών αδειών, την αποσύνδεση από υπηρεσίες cloud και την έλλειψη υποστήριξης προμηθευτών. Σύμφωνα με τον Anton Kuzmin, εάν ακολουθήσουμε την κλασική προσέγγιση για τον εκσυγχρονισμό των υποδομών, τότε πριν εισαγάγουμε κάτι νέο, είναι απαραίτητο: να δοκιμάσουμε το προϊόν, να αναλύσουμε και να καταγράψουμε την απαραίτητη λειτουργικότητα, να κάνουμε πιλοτικό και μόνο τότε να εφαρμόσουμε τη λύση. Κάθε ένα από αυτά τα στάδια συνήθως διαρκεί πολύ, ειδικά αν αφορά πολύπλοκα και κρίσιμα συστήματα, όπως εργαλεία ασφάλειας πληροφοριών (εργαλεία ασφάλειας πληροφοριών).
Προβλέψεις για το 2023
Λαμβάνοντας υπόψη την εξάρτηση του κλίματος της αγοράςκυβερνοασφάλεια από την πολιτική κατάσταση στον κόσμο, είναι απίθανο η κατάσταση στον κυβερνοχώρο να αλλάξει πολύ. Οι τάσεις του 2022 θα συνεχιστούν, αλλά σε ορισμένα μέτωπα η πίεση μπορεί να ενταθεί.
«Η ηθική στις επιθέσεις χακτιβιστών θα είναι οριστικάξεχασμένος. Αν παλαιότερα ήταν πολύ κακή η κρυπτογράφηση των νοσοκομείων, τώρα θα γίνει «κακή, αν όχι στη Ρωσία». Λόγω του πολιτικού υπόβαθρου, θα υπάρξουν περισσότερες επαγγελματικές επιχειρήσεις στον κυβερνοχώρο (APT) και θα εμπλακούν τόσο απλοί άνθρωποι όσο και εμπορικές εταιρείες, ως πιθανή διαδρομή προς τη στοχευμένη υποδομή ή παράπλευρες ζημιές. Οι επιθέσεις στις αλυσίδες εφοδιασμού θα γίνουν πιο σχετικές και οι ίδιες οι αλυσίδες θα γίνουν πιο δύσκολο να κατασκευαστούν λόγω της πολιτικής», λέει ο Anton Bochkarev, Διευθύνων Σύμβουλος της 3side.
Η τάση για υποκατάσταση εισαγωγών θα ενταθεί
Κατά τη διάρκεια του 2022, οι προγραμματιστές «ξαναχτίστηκαν»λύσεις, και ήδη από το επόμενο έτος αναμένεται μαζική κυκλοφορία νέων προϊόντων στην αγορά. Ταυτόχρονα, στο πλαίσιο της αύξησης του αριθμού των νέων ΓΠΣ, θα υπάρξει ανάγκη για ένα βιώσιμο εγχώριο οικοσύστημα. Εκτός από τα προϊόντα ασφάλειας πληροφοριών, θα πρέπει να περιλαμβάνει υλικό με βάση τη Ρωσία, λειτουργικά συστήματα και λογισμικό εφαρμογών. Ταυτόχρονα, πρέπει να αλληλεπιδρούν «αδιάλειπτα» μεταξύ τους, τονίζει ο Anton Kuzmin, επικεφαλής του Innostage CyberART Center for Counteracting Cyber Threats.
Συνέπειες της αποχώρησης ξένων εταιρειών
Οι ρωσικές εταιρείες δεν έχουν αισθανθεί ακόμη πλήρως την αποχώρηση ξένων εταιρειών, επειδή πολλές είχαν συναφθεί συμβάσεις ένα χρόνο νωρίτερα. Το 2023 θα δείξει τις πρακτικές συνέπειες της αποχώρησης ξένων πωλητών.
Ασκήσεις στον κυβερνοχώρο και πολύγωνα στον κυβερνοχώρο
Κατά τη διάρκεια του 2022, πολλές εταιρείες βρίσκονται εντατικάαναβάθμισαν τα συστήματα προστασίας τους με νέα μέσα προστασίας. Από αυτή την άποψη, θα πρέπει να αυξηθεί η ζήτηση για εκπαίδευση στην πρακτική εργασία με νέα εργαλεία ασφαλείας και τη σύνδεσή τους με άλλα εργαλεία ασφαλείας της εταιρείας.
Υπηρεσίες υποστήριξης λειτουργίας (outsourcing/outstaffing)
Η ανάγκη σχετίζεται με τη διαθεσιμότητα εκπαιδευμένου προσωπικού για τη διασφάλιση της σωστής λειτουργίας των συστημάτων ασφάλειας πληροφοριών.
«Κατά τη διάρκεια επιθέσεων ή επιθέσεων, πολλές εταιρείεςσυνειδητοποίησε ότι το εφαρμοζόμενο εργαλείο προστασίας, που μένει χωρίς τη συνεχή προσοχή ενός υπεύθυνου υπαλλήλου, παύει να εγγυάται την ορθότητα της εργασίας του με την πάροδο του χρόνου, απαιτεί από το δικό του ή μισθωμένο προσωπικό να παρακολουθεί συνεχώς την κατάσταση των συστημάτων προστασίας », σημειώνει ο Anton Kuzmin.
Επενδύσεις σε προσωπικό
Αφού έζησαν για ένα χρόνο στη νέα πραγματικότητα, πολλές εταιρείες κατάλαβαν ξεκάθαρα ότι οι ίδιες πρέπει να επενδύσουν στην ανάπτυξη της αγοράς κυβερνοασφάλειας στη Ρωσία, ιδίως στην αύξηση του δυναμικού ανθρώπινου δυναμικού της.
Διαβάστε περισσότερα:
Τα οφέλη της βιταμίνης D για την πρόληψη του καρκίνου ποικίλλουν ανάλογα με το βάρος
Κρυμμένη αποικία πιγκουίνων που ανακαλύφθηκε κατά λάθος από διαστημικές εικόνες
Μια γιγάντια ηλιακή κηλίδα στρέφεται προς τη Γη. Είναι ορατό με γυμνό μάτι