Недостаток осведомленности о современных киберугрозах по-прежнему является серьезной проблемой для предприятий: сотрудники открывают 30% поступающих фишинговых сообщений. Что еще хуже, 12% сотрудников открывают вредоносные файлы, прилагаемые к письму, предоставляя злоумышленникам возможность похитить конфиденциальные данные, которые позже используются для кражи средств со счетов или шпионажа.

Об этом говорится в только что опубликованном отчете Verizon об утечках данных за 2015 год. Исследование было подготовлено на основе более 100 тыс. инцидентов и 2260 подтвержденных случаев утечек, которые произошли у 67 организаций, включая спецслужбы, правоохранительные органы и правительственные учреждения.

Наиболее пугающими аспектами картины корпоративной безопасности, как это ни парадоксально, являются не новые, а давно известные угрозы. Среди основных угроз, по мнению Verizon, доминируют старые добрые фишинговые атаки, вредоносное ПО и слабые пароли. И хотя ИБ-специалисты рассказывают о фишинге уже более десятилетия, практически один из трех сотрудников все равно открывает фишинговые сообщения. Это плохая новость: в предыдущем отчете Verizon рапортовала о том, что сотрудники открыли около 23% фишинговых сообщений.

«Фишинг используется как в целевых, так и в массовых атаках, — утверждает Марк Спитлер (Marc Spitler), исследователь и один из авторов отчета Verizon. — Эта тактика используется как хакерами, работающими на спецслужбы, так и киберпреступниками и зиждется на человеческом факторе: жертву всеми способами побуждают открыть вредоносную ссылку или файл».

Что является целью фишинговых атак? Предсказуемо учетные данные.

В Verizon рассказывают, что фишинговые рассылки имеют единственную цель — добраться до учетных данных привилегированных пользователей. Фишинговые письма содержат эксплойты и используют бэкдоры, помогающие закрепиться в сети организации и внедрить в нее вредоносное ПО.

Украденные учетные данные используются для расширения присутствия хакеров в сети: таким образом злоумышленники надеются наткнуться на финансовые данные или POS-системы. «Это рождение и перерождение взлома. Сначала злоумышленники охотятся за учетными данными при помощи фишинга, а затем, получив контроль над устройством, они начинают «гулять» по корпоративной сети в поисках целей», — говорит Спитлер.

В 89% случаев проникновение осуществляется с целью кражи средств или шпионажа, говорится в отчете.

По данным Verizon, в большинстве случаев с момента заражения до взлома системы проходит несколько дней, а две трети взломщиков похищают данные в течение 48 часов с момента проникновения. Однако некоторые хакеры работают со скоростью света: взлом происходит за минуты, и злоумышленники исчезают вместе с ценными данными практически сразу.

«В противоположность киберпреступникам службы безопасности работают медленно; мы хотели бы узнать, сколько времени проходит с момента взлома до обнаружения, — признался Спитлер. — К сожалению, очевидно, что с момента вторжения до момента обнаружения взлома проходит намного больше времени, нежели с момента заражения до момента вторжения. Киберпреступники эволюционируют намного быстрее, чем компании».

Из-за этого отсутствие многофакторной аутентификации усугубляет проблему безопасности. Компаниям следует внедрить системы многофакторной аутентификации: при анализе известных инцидентов специалисты Verizon отметили, что в 63% случаев хакеры воспользовались слабыми, дефолтными или украденными паролями.

По мнению Спитлера, понимание сценария атаки — это только полдела при разработке действенной стратегии киберзащиты.

Согласно отчету, 95% взломов следуют девяти распространенным сценариям: комбинация нескольких ошибок (17,7%); действия инсайдеров или превышение привилегий пользователя (16,3%); кража или утеря устройства (15,1%); DoS-атаки (15%); вредоносное ПО (12,4%); атаки на веб-приложение (8,3%), взлом POS-систем (0,8%); кибершпионаж (0,4%); скимминг (0,2%).

Категории: Аналитика, Главное, Хакеры