Статистика по инцидентам за третий квартал 2014 года

Методология

Общие положения
JSOC Security flash report является сводным материалом по анализу инцидентов, выявленных командой JSOC как при оказании регулярных услуг по мониторингу и реагированию на инциденты, так и в ходе консультативно-аналитической поддержки компаний российского рынка в рамках разовых обращений.

Деление инцидентов по категориям и типам угроз основано на внутренней классификации и методологии самого JSOC. Отчет является только информативным материалом и не претендует на то, что приведенные данные полностью отражают все угрозы российского рынка.

Сводная статистика по JSOC

• Всего за первые три квартала 2014 г. в JSOC было зафиксировано 54 276 событий с подозрением на инцидент, из них 18 858 событий – в Q3.
• 56% исследуемых событий зафиксировано при помощи основных сервисов инфраструктуры и базовой безопасности: межсетевые экраны и сетевое оборудование, VPN, AD, почтовые сервера, базовые средства защиты (антивирусы, прокси-сервера, IPS).
• 44% – оставшиеся инциденты, выявляемые при помощи сложных интеллектуальных средств защиты или анализа событий бизнес-систем, несут гораздо больший объем информации и имеют высокую степень критичности для информационной и экономической безопасности клиента, что позволяет глубже и полнее видеть картину защищенности компании и своевременно предотвращать критичные таргетированные инциденты.

Классификация инцидентов по критичности
Основным критерием при классификации инцидентов по критичности является воздействие инцидента на ключевые бизнес-процессы и данные заказчика. Инцидент считается критичным, если в результате него возможны и высоковероятны следующие события:

• длительное прерывание (более получаса) или остановка функционирования систем и сервисов клиента, относящихся к категориям Business и Mission Critical;
• повреждение, потеря или компрометация критичных сегментов данных и учетных записей, включая относящиеся к коммерческой и банковской тайне;
• прямые финансовые потери суммой более 1 млн руб. в результате действий внутренних сотрудников или киберпреступников.

Общие показатели по инцидентам

Несмотря на то, что максимальный объем событий, требующих внимания офицера ИБ, происходит в дневное время и может быть успешно разобран в достаточно короткие сроки, акцент по наиболее болезненным для компании инцидентам смещается на ночное время и те часы, когда сотрудники, ответственные за ИБ, не могут реагировать с должной скоростью. Особенно ярко эта тенденция видна на внешних атаках, относящихся к действиям злоумышленников и киберпреступников (см. рис. 1 и 2).

Внешние инциденты

В рамках данной части отчета рассматриваются инциденты, инициаторами и причиной которых становились действия лиц, не являющихся внутренними пользователями клиента. Из отчета исключены действия, которые можно явно классифицировать как деятельность автоматизированных систем (бот-сетей), не приводящие к реальным инцидентам ИБ: сканирование сетей, неуспешная эксплуатация уязвимостей и подборы паролей (см. рис. 3).

Особенности внешних инцидентов в третьем квартале

• 7 из 8 успешных эксплуатаций уязвимостей своей целью ставят подсадку управляющего бота;
• 11 из 15 DDoS-атак направлены на приложение, а не на интернет-канал;
• 15 из 19 атак направлены с TOR-адресов.

Статистика показывает постепенное смещение внешних атак на прикладной уровень. Одной из причин этого является существенное увеличение количества внешних ресурсов и Web-сервисов в компаниях практически всех отраслевых сегментов. При этом уровень собственной защищенности данных приложений, к сожалению, существенно уступает возможностям злоумышленников.

Вывод и прогноз

• Внешние атаки становятся все более изощренными и все чаще носят таргетированный характер.
• Основной целью атак является не снижение доступности или нарушение целостности систем, а получение прямой финансовой выгоды (хищения денежных сумм из бизнес-систем клиентов).

Внутренние инциденты

В рамках данной части отчета рассматриваются инциденты, инициаторами и причиной которых становились действия внутренних сотрудников клиентов JSOC: халатность в соблюдении политик ИБ или их прямое нарушение, компрометация или передача учетных данных сотрудников, злонамеренные и незлонамеренные воздействия на бизнес-процессы и функционирование систем клиента (см. рис. 4 и 5).

Особенности внутренних инцидентов

• 22% инцидентов с доступом в Интернет связано с использованием TOR-сетей.
• В компаниях с внедренной парольной политикой инцидентов с учетными записями на 76% меньше.
• Около 4% сотрудников IT-департамента средней компании являются регулярными посетителями хакерских форумов.

Существенных изменений в распределении внутренних инцидентов за время сбора информации по отчетам JSOC не установлено.

Ключевые выводы, прогнозы и тенденции

• Существенно растет процент внутренних инцидентов, связанных не с халатностью сотрудников, а с прямым злым умыслом и финансовой мотивацией.
• За первые три квартала 2014 г. наблюдается устойчивая тенденция по увеличению доли критичных для компании инцидентов в ночное время. Уже к середине 2015 г. именно на ночное время будет приходиться более половины критичных инцидентов.
• Существенно растет использование систем, маскирующих или скрывающих деятельность в Интернете, в том числе TOR, как внутренними сотрудниками, так и внешними злоумышленниками.
• Статистика JSOC подтверждает отмечаемую многими исследователями тенденцию по постепенному смещению внешних атак на прикладной уровень.
• Выявлен существенный прирост внешних и внутренних целенаправленных атак на бизнес-системы компаний, целью которых является получение прямой финансовой выгоды.