От “беспрецедентных” кибератак к угрозам нулевого дня: какие кибертренды ждать в 2023 году
Москва. 6 января. INTERFAX.RU - Ушедший год испытал на прочность системы безопасности российских компаний и госорганов: и отрасль, и власти признали, что кибератаки были беспрецедентными, причем, в основном, сайты атаковали с помощью DDoS-атак, чтобы нарушить работоспособность порталов и доставить неудобства пользователям. Что заметного произошло в 2022 году в информационной безопасности и что ожидать в наступившем, - в обзоре "Интерфакса".
Без прецедентов
С начала специальной военной операции России на Украине российский сегмент интернета подвергся крупным кибератакам. Как объясняли эксперты, они были незамысловатыми по механике, но довольно масштабными: глава компании Qrator Labs Александр Лямин отмечал в интервью "Интерфаксу", что в основном их устраивали хактивисты - самоорганизованные группы людей, - поэтому атаки были несложными.
Особенный всплеск эксперты фиксировали в первые недели после 24 февраля. К середине года интенсивность постепенно снизилась. Как рассказывали аналитики "Лаборатории Касперского", во втором квартале средняя продолжительность DDoS-атак выросла до 57 часов, и лишь в июне этот показатель пошёл на спад. Самая долгая DDoS-атака, зафиксированная экспертами, началась в мае и продолжалась почти 29 дней.
В первом квартале произошел четырёхкратный рост DDoS-атак на веб-ресурсы российских госорганов, СМИ, компаний и субъектов критической информационной инфраструктуры, отмечал руководитель группы архитекторов решений "Лаборатории Касперского" Роман Логинов. Не раз нападениям подвергался сайт Госуслуг, причем были зафиксированы массовые DDoS-атаки со стороны Украины, рассказывали в "Ростелекоме".
В Минцифры и "Ростелекоме" атаки называли "беспрецедентыми". Если раньше мощность атак на органы власти в пиковые моменты достигала 500 ГБ, то в момент сильнейшего нападения достигала 1 ТБ, то есть в два-три раза мощнее, чем самые серьезные инциденты такого типа, фиксировавшиеся ранее, отмечали в министерстве.
Власти признавали, что практически 90% инфраструктуры российского госсектора в той или иной степени подверглось кибератакам после начала спецоперации, количество нападений в 2022 году выросло на 80%, причем 25 тыс. атак были на госресурсы.
Атаки были настолько сильными, что системы даже таких подготовленных компаний как банки не выдерживали, и большое количество жалоб пользователей вынуждали организации признавать инциденты. Так, в декабре с проблемами столкнулись клиенты онлайн-сервисов ВТБ, и банк объяснил это крупной DDoS-атакой из-за рубежа.
Сильно пострадал и RuTube: хакеры атаковали сайт прямо в День Победы, когда на ресурсе должен был транслироваться парад. В итоге сайт не работал несколько дней.
Весной председатель правления АРПП "Отечественный софт" Наталья Касперская не торопилась квалифицировать эти атаки как кибервойну. DDoSы, вирусы-шифровальщики - "это просто пока цветочки", говорила она, указывая, что при настоящем противостоянии "половина объектов отвалится".
Тем не менее в декабре в "Ростелекоме" смело назвали происходящее полноценной кибервойной. Вице-президент компании по информационной безопасности Игорь Ляпунов отмечал, что в первые три-четыре месяца были массовые но не очень профессиональные атаки. Однако осенью начали поступать более серьезные угрозы, направленные на разрушение IT-инфраструктуры, получение контроля над критической информационной инфраструктурой, а одна из основных целей - это утечка персональных данных, подчеркивал Ляпунов.
В киберобороне
Минцифры в начале всплеска кибератак начало фильтровать зарубежный трафик, блокируя иностранные IP по геолокации. В связи с чем у пользователей из-за границы порой не открывались сайты госведомств.
Для фильтрации DDoS-трафика использовались средства противодействия угрозам (ТСПУ), установленные на трансграничных узлах связи, утверждали в Роскомнадзоре. В частности, с их помощью были отражены тысячи атак на информационные ресурсы федеральных и региональных органов власти, портал Госуслуг, Сбербанка, Россельхозбанка, платежной системы "Мир" и системы быстрых платежей, РЖД, российских СМИ.
Усилить информационную безопасность планируется и в долгосрочной перспективе. К концу 2024 года должна появиться российская национальная система противодействия DDoS-атакам. В конце 2023 года планируется достичь полного покрытия российского сегмента сети связи общего пользования ТСПУ, используемых для фильтрации трафика.
Курс на импортозамещение, особенно ускорившийся в этом году, в том числе был направлен на повышение кибербезопасности. Так, президент запретил госзаказчикам с 31 марта закупать без согласования иностранное программное обеспечение (в том числе в составе программно-аппаратных комплексов) для использования на объектах критической информационной инфраструктуры. А использование такого ПО будет запрещено с 1 января 2025 года.
Тренд на усложнение
Опрошенные "Интерфаксом" эксперты подчеркивают, что этот год запомнится именно масштабом угроз: по данным за третий квартал, количество кибератак по сравнению с аналогичным периодом 2021 года увеличилось на треть, а относительно прошлого квартала - на 10%, рассказал Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies.
"Также стоит отметить развитие хактивизма: если в начале года злоумышленники взламывали легкодоступные сайты и проводили DDoS-атаки, то за прошедшие месяцы кибератаки стали комплексными и целевыми. Раньше такие методы были характерны для высококвалифицированных киберпреступников и APT-группировок", - отметил он.
Другим трендом этого года Кувшинов называет усложнение кибератак: "Это происходит вследствие того, что компании, взломанные ранее, усилили свою защиту и стали менее уязвимы".
По его словам, сам факт масштабности атак был полной неожиданностью, и многие компании оказались к такому совершенно не готовы. Все это привело к высокому росту инцидентов безопасности - результатом стали взломы, утечки и потери данных, констатирует эксперт.
Как отметил Кувшинов, если геополитическая ситуация усугубится, то рост атак сохранится и может достичь 60%, а фишинг и попытки эксплуатации уязвимости вырастут на 20%.
Главный эксперт "Лаборатория Касперского" Сергей Голованов согласен, что атакующие начнут использовать новые техники, тактики и уязвимости нулевого дня. "Пока, несмотря на то, что атакующих было очень много, их методы были хорошо известны и понятны специалистам. В будущем году количество атак вредоносного ПО, вероятнее всего, будет существенно увеличиваться", - отметил он.
Меньше масштабности, больше результативности
В следующем году в Positive Technologies также прогнозируют появление еще большего количества вредоносных пакетов на публичных сервисах для разработчиков, таких как Pypi, NPM, Github. Таким образом злоумышленники будут использовать уязвимости в open source (ПО с открытым исходным кодом). "Эта тенденция подстегнет развитие процессов безопасной разработки", - считает Кувшинов.
Также из-за курса на импортозамещение злоумышленники начнут искать уязвимости нулевого дня в системах и приложениях, на которые сейчас переходят отечественные организации, в частности в OC Astra Linux. "Компаниям следует быть готовыми к появлению вредоносного ПО и хакерских инструментов, разработанных под эту операционную систему, а также к созданию атакующими вредоносных кампаний, направленных на взлом компьютеров Linux", - указал он.
По прогнозу Голованова, количество простых DDoS-атак потенциально начнет снижаться, так как они становятся менее эффективными благодаря защитным мерам, принятым компаниями, однако продолжатся мощные и сложные атаки на бизнес и сайты.
В свою очередь основатель Qrator Labs Александр Лямин считает, что количественный пик атак уже пройден: "Массовые незатейливые атаки, которые многие ресурсы буквально "валили с ног", свое отработали".
По его словам, на место масштабности придет обеспечение результативности. "Будет расти изощренность нападений, и методы их нейтрализации, которые были эффективными еще вчера, завтра с большой вероятностью работать не будут. Количество атак начнет падать, а их сложность будет расти. Этот паттерн станет общим для любых сервисов - и государственных компаний, и частных бизнесов", - сказал он.
Также в 2023 году эксперт ожидает усиления атак уровня приложений (Application Layer) - это изощренные атаки, трафик которых мимикрирует под поведение обычных пользователей. "Подобные нападения чрезвычайно трудно выявлять и нейтрализовывать", - отметил он.
DDoS-атаки, фишинг и взломы год от года также будут занимать лидирующие позиции в рейтинге самых распространенных угроз в интернете, указал Лямин: "В 2023 году появления принципиально новых видов угроз мы не ожидаем".