Исследование было проведено на базе 74,5 тысяч попыток кибератак в отношении заказчиков RED Security SOC – центра круглосуточного мониторинга и реагирования на киберугрозы, который ежедневно обрабатывает более 8,6 млрд событий информационной безопасности в инфраструктурах клиентов. Анализ техник и тактик злоумышленников производился в соответствии с матрицей MITRE ATT&CK, которая является международным стандартом классификации действий злоумышленников.
Результаты исследования показали, что для получения первоначального доступа в инфраструктуру (TA0001 Initial Access) хакеры чаще всего использовали утекшие данные корпоративных учетных записей (T1078 Valid Accounts), в большинстве случаев принадлежащие рядовым сотрудникам организаций (T1078.003 Local Accounts). Применение этого вектора атаки встречалось в 35% процентов случаев – на 12 п.п, чаще, чем за аналогичный период прошлого года. Это свидетельствует о том, что базы скомпрометированных корпоративных учетных записей, широко доступные в даркнете, содержат достаточный объем информации для атак на крупнейшие российские компании, чем стали активнее пользоваться атакующие.
Кроме того, аналитики RED Security SOC отмечают, что популярность данной техники связана с ее эффективностью. Так, в большинстве российских организаций процессы управления учетными записями недостаточно развиты или вовсе отсутствуют, вследствие чего недействительные учетные записи не всегда оперативно блокируются. Это приводит к тому, что даже устаревшие данные, оказавшиеся в базах утечек, могут дать злоумышленнику первичный доступ в инфраструктуру организации.
Фишинг (T1566 Phishing) занял второе место по популярности (30%), тогда как на протяжении предыдущих нескольких он оставался доминирующей техникой, используемой для первичного проникновения. Чаще всего хакеры прибегали к методу вредоносных вложений к рассылкам (T1566.001 Spearphishing Attachment). Исследователи также отмечают, что фишинг становится более качественным и таргетированным, что достигается с помощью искусственного интеллекта. По данным RED Security SOC, объем фишинговых писем с признаками применения ИИ вырос на 53% по сравнению с аналогичным периодом прошлого года.
На третьем месте по популярности (20%) оказалась техника (T1190 Exploit Public-Facing Application) – эксплуатация уязвимостей и некорректных конфигураций в доступных из интернета приложениях и конечных точках сети. Это связано с тем, что, по оценке экспертов RED Security, процесс аудита защищенности ИТ-периметра и устранения уязвимостей реализован только в 40% крупных компаний. Из них только 32% проводят его чаще, чем раз в год.
«Для защиты от самых распространенных техник первоначального проникновения злоумышленников в инфраструктуру мы рекомендуем использовать многофакторную аутентификацию, уделять внимание процессам повышения киберграмотности персонала и применять принцип Zero Trust – предоставлять наименьшие необходимые права рабочим станциям сотрудников. Кроме того, почтовые шлюзы с модулями «песочницы» или безопасные прокси для доступа в интернет, а также расширенное покрытие мониторингом рабочих станций и серверов на ИТ-периметре позволит своевременно выявить атаку и остановить злоумышленников», - рассказал Владимир Зуев, технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.
