Rambler's Top100
Реклама
 
Все новости Новости отрасли

«Бумажная» безопасность уходит в прошлое

06 апреля 2020

Group-IB проанализировала высокотехнологичные преступления 2019 года в финансовой отрасли, к реагированию на которые привлекались ее эксперты Лаборатории компьютерной криминалистики. Group-IB фиксирует значительное сокращение целевых атак на банки, а в топе угроз 2019-го года — утечки с целью продажи выгрузок данных о клиентах банков, инциденты с социальной инженерией и вирусами-шифровальщиками.

Общее количество реагирований (Incident Response) Лаборатории компьютерной криминалистики Group-IB за год выросло более чем на 40% относительно 2018 года. К работам по корректной локализации инцидента, сбору, анализу цифровых доказательств и расследованию атаки банки все чаще привлекают сторонних специалистов с профильной экспертизой, уходя от распространенного метода «самолечения». 

Уровень готовности к инцидентам кибербезопасности в банках повысился, а исход хакерских групп из «зоны РУ» привел к значительному сокращению целевых атак на российский финансовый сектор. Вместе с тем эксперты Group-IB фиксируют рост запросов на реагирования, связанных с инцидентами по утечками данных – на 48%, социальной инженерией – на 154% и фактами «долгосрочной» компрометации корпоративной инфраструктуры из-за вовремя не обнаруженных и не удаленных угроз — на 23%. 

Возьмите новый «пробник»

Укрепление защиты цифровых рубежей банков вынудило киберкриминал искать новые каналы вывода информации. В 2019-м году заметно возросла активность по утечкам данных вследствие действий инсайдеров. Согласно сравнительному анализу, проведенному командой Group-IB Threat Hunting Intelligence, количество даркнет-сервисов по продаже выгрузок клиентских данных в 2019 году увеличилось на 55% по сравнению с 2018 годом. Появление на андеграундных форумах объявлений о продаже выгрузок данных о клиентах различных банков становилось фокусом новостной повестки. Отметим, что такой «товар» в даркнете был всегда, но благодаря вниманию СМИ, именно в прошлом году эти объявления вызывали наибольший общественный резонанс.  Покупка таких выгрузок, как правило, нужна для использования в мошенничествах с социальной инженерией: чем больше данных есть у мошенников о клиенте банка, тем проще вызвать доверие. Обычно для этих целей используется инсайдер с невысоким уровнем доступа, не имеющий возможности выгрузки CVV/CVC, полного номера карты и др.

Еще одним важным трендом прошлого года стали инциденты с вирусами-шифровальщиками — зафиксирован рост количества пострадавших организаций на 42%. При этом, кроме вымогательства, целью большинства операторов вирусов-шифровальщиков стала выгрузка данных из скомпрометированных сетей для последующего использования в различных целях.

Банки «взрослеют»

Главный вывод экспертов-криминалистов Group-IB – прошлый год показал позитивные сдвиги в защите банков от киберугроз. Часть пересмотрели подход к управлению кибербезопасностью: инвестирование в обучение сотрудников привело к сокращению времени реагирования на инциденты и повышению качества их отработки. Количество банков, демонстрирующих высокую готовность к атакам, выросло на 21 процентный пункт по сравнению с прошлым годом. Доля банков, не имеющих плана реагирования, снизилась до 53% в 2019 году, против 74% годом ранее. 

Более 30% банков провели повторную проверку по итогам работ по выявлению следов компрометации и признаков подготовки хакерской атаки (Compromise Assessment) и проработали выявленные недостатки. Наиболее продвинутые игроки финансового сектора стали регулярно проводить проверку готовности к инцидентам ИБ (Pre-IR Assessment) и внедрили у себя разработанные по итогам этой проверки регламенты. 

Изменения коснулись и внутренних процессов: для полноценного централизованного управления своей сетью в 2018 году не хватало компетенций у 62% банков, в 2019-м – 54%. Большинство банков (80%) не имели достаточной глубины журналирования событий, в 2019 их количество сократилось до 68%. В рамках ретроспективного анализа за 2018 год, в 52% финансовых организаций были обнаружены следы взломов и атак, о которых сотрудники информационной безопасности не подозревали. Этот показатель сократился почти на половину — 24% по итогам 2019 года.

«Небумажный» специалист

Повышение квалификации сотрудников по кибербезопасности внутри банков постепенно становится трендом рынка. На 9 процентных пунктов сократилось количество банков, у специалистов которых недостаточно профильных навыков по самостоятельному поиску следов заражения и несанкционированной активности (70% в 2018 году против 61% - в 2019). Если в 2018 году 70% банковских «безопасников» не имели четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения, то в 2019 показатель сократился до 59%. Оперативность смены паролей в банке после инцидента является критичным фактором для недопущения повторной атаки: в 2018 году более 60% пострадавших банков были не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка. В 2019 году и этот показатель снизился до 52%.

Еще один тренд зарождается в сфере рекрутинга: все чаще на позицию специалистов по кибербезопасности требуются кандидаты с навыками Threat Hunter («охотник за угрозами») для проактивного мониторинга и предотвращения инцидентов на ранней стадии. Этому способствуют как мировые тренды развития узких областей кибербезопасности, так и финансовая составляющая по итогам оценки потенциальных рисков наступления инцидента. 

«Банки сознательно уходят от общего мониторинга сети и не ограничиваются локальной проверкой конкретного узла, на котором возникло событие, — комментирует Валерий Баулин, глава Лаборатории компьютерной криминалистики Group-IB. —  Более зрелый подход заключается в расследовании с целью установления причинно-следственной связи возникновения инцидента. По итогам прошедшего года, среди организаций финансового сектора мы наблюдаем осознание важности доведения хронологической цепочки расследования до конца: от выявления причины до создания практик и регламентов по предотвращению инцидентов в будущем. Эти и другие показатели, которые мы анализировали в своем исследовании, свидетельствуют о взрослении российского банковского сектора в части реагирования на киберинциденты, чему способствует активность регулятора и высокий спрос на обучение и повышение квалификации киберспециалистов».

Источник: Group-IB

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен