Хакеры экономят время

Эксперты по кибербезопасности отмечают рост скорости взлома крупных компаний. За год она увеличилась на 30%, и сейчас «счет идет на дни, а в ряде случаев — на часы». Компании усиливают киберзащиту, признают участники рынка, но смена профильных решений в ходе импортозамещения приводит к росту уязвимостей в системах. Усугубили ситуацию взломы самих поставщиков систем информбезопасности в прошлом году. Ресурсы хакеров, утверждают эксперты, также расширяются за счет привлечения финансирования из недружественных стран.

Выйти из полноэкранного режима

Развернуть на весь экран

За год скорость проникновения хакеров в IT-инфраструктуру российских компаний заметно увеличилась, рассказали опрошенные “Ъ” поставщики решений для кибербезопасности. Согласно оценке «Информзащиты», рост составляет около 30%, если сравнивать скорость взломов с началом 2023 года. В ряде случаев она может доходить до 72 часов.

Речь идет о крупных организациях, уже имеющих серьезные средства защиты, говорят в «Информзащите». По данным компании, «под ударом находится госсектор и промышленность» — последняя с начала года опережает по числу атак финансовый сектор.

Злоумышленники сокращают время между первоначальным проникновением, перемещением по инфраструктуре жертвы и непосредственным взломом, уточняет эксперт отдела анализа защищенности «Информзащиты» Анатолий Песковский.

«Кроме скорости атаки, увеличилась скорость закрепления злоумышленников в инфраструктуре: сегодня время закрепления может составлять около часа против трех часов год назад»,— говорит он.

Тренд подтверждают и консультанты. Директор технологической практики «ТеДо» (ранее PwC) Юрий Швыдченко оценивает рост скорости взломов в 20–30%, объясняя ситуацию в том числе развитием и доступностью в даркнете инструментов для осуществления атак.

В «Информзащите» подтверждают, что в даркнете распространяется много «самописных вредоносных программ», что снижает барьер входа для низкоквалифицированных злоумышленников и позволяет автоматизировать поиск уязвимостей в инфраструктуре жертвы.

В то же время в ГК «Солар» называют проникновение хакеров в IT-инфраструктуру компаний за часы «исключительными случаями». Так происходит, если в организации несколько десятков или сотен рабочих станций и многие из них уязвимы, поясняют в компании. Если организация имеет сложную сеть с большим количеством специфических элементов (виртуальные серверы, серверы резервных копий), на проникновение требуется от недели, уточняет руководитель группы расследования инцидентов центра исследования Solar 4RAYS Иван Сюхин.

В начале 2023 года аналитики кибербезопасности также отмечали рост скорости реализации инцидентов. Тогда с момента проникновения в инфраструктуру до достижения целей хакерам в среднем требовалось семь дней, а в 2022 году — несколько месяцев (см. “Ъ” от 13 апреля 2023 года). Среди громких сложных инцидентов 2024 года, например, кража и шифрование данных Агрокомплекса им. Н. И. Ткачева, когда атаке подверглись все IT-системы холдинга (см. “Ъ” от 10 апреля).

Скорость взломов IT-систем крупных компаний растет и потому, что злоумышленникам в прошлом году удалось скомпрометировать большое число «различных IT-интеграторов и разработчиков софта», считают в F.A.C.C.T. (бывшая Group IB). «В их инфраструктурах хакеры получили значительное количество аутентификационных данных для подключений к клиентам»,— отмечают там.

На динамику кибератак влияет и повсеместный процесс смены средств защиты на фоне спешного импортозамещения IT-инфраструктуры и ПО, добавляет Юрий Швыдченко, как следствие, открывается значительное количество уязвимостей. Кроме того, отмечает собеседник “Ъ” на рынке кибербезопасности, серьезной проблемой становится увеличение финансирования хакерских группировок «теми или иными госструктурами недружественных стран».

Татьяна Исакова