Кибератаки почувствовали все, особенно госучреждения, банки и СМИ

События начала года внесли существенные изменения в подходы к киберзащите большинства российских организаций. О последствиях атак и новых угрозах в области ИБ «Б.О» рассказал Сергей Лахин, коммерческий директор SolidSoft

Сергей Лахин, коммерческий директор SolidSoft

Сергей Лахин, коммерческий директор SolidSoft

— Сергей, как изменился ландшафт киберугроз для российских организаций после 24 февраля?

— Начались массовые кибератаки. Это почувствовали на себе все, особенно госучреждения, кредитно-финансовые организации и СМИ. В несколько раз увеличилось количество DDoS-атак. Значительно выросло число направленных атак на уязвимости в веб-приложениях, в том числе в open-source-компонентах и системах управления контентом (CMS). Участились случаи выявления «закладок» в популярных приложениях и библиотеках. Кроме того, были отмечены инциденты с распространением инсайдерской информации, с передачей внутренних доступов третьим лицам по политическим мотивам.

Одновременно с этим рынок покинула часть зарубежных вендоров, что привело к дополнительным трудностям для отечественных компаний: от проблем с покупкой и поддержкой решений до полной остановки работы ранее внедренных средств защиты.

— Каким образом были организованы массовые и мощные атаки?

— В том числе в результате скоординированных действий «хактивистов» — субъектов, атакующих ресурсы организаций, чтобы продвигать политические идеи и взгляды. Для координации их деятельности применялись телеграм-каналы, администраторы которых ежедневно выкладывали списки новых целей. Таким образом, на практике был реализован подход, который в последние годы не раз открыто обсуждался в зарубежных СМИ: привлечение гражданских IT-специалистов к организации кибератак в отношении объектов критической информационной инфраструктуры (КИИ).

— Можно ли отметить технические особенности этих атак?

— 95% атак осуществлялось на уровне L7. Большинство было направлено на публичные веб-ресурсы, при этом если раньше интенсивность, как правило, не превышала 50 тыс. запросов в секунду, то в последние месяцы регистрировались атаки интенсивностью до 700 тыс. запросов в секунду. Изменилась и продолжительность атак. Ранее средняя атака длилась около трех часов. Сейчас специалисты отражают атаки, которые начались в конце февраля и продолжаются по сей день. Инструменты для реализации до сих пор выложены в открытые репозитории GitHub и постоянно дорабатываются.

Ранее средняя атака длилась около трех часов. Сейчас специалисты отражают атаки, которые начались в конце февраля и продолжаются до сих пор

По результатам расследований были обнаружены факты использования ранее захваченных веб-ресурсов. Участились попытки эксплуатации 1-day-уязвимостей, которые не были своевременно устранены организациями. Часть веб-ресурсов регулярно оставалась недоступной. Отмечены утечки чувствительной информации, факты модификации веб-страниц, уничтожение данных, нарушение бизнес-процессов. Многие организации понесли существенные финансовые и репутационные потери.

— С какими последствиями столкнулась ваша команда?

— Нам пришлось в сжатые сроки решать задачу кратного масштабирования. Выросло количество инсталляций наших решений, значительно увеличился объем инженерной и аналитической поддержки. Нагрузки на специалистов стали максимальными, при этом необходимо было выдерживать установленные в компании условия SLA. В части проактивного реагирования специалисты третьей линии не только помогали отражать атаки, но и давали рекомендации, как перестроить процессы, чтобы повысить устойчивость и защищенность инфраструктуры заказчиков.

 
SmartMoney
maxcredit
zaimigo
zaimexpress
zaimer
zaim24na7
ucenter
telezaim
prostozaim
platiza
pepic
otnal
nadodeneg
migcache
mck
kapitalina
joymoney
imoneys
fastmany
ezaem
everwell
dobrozaim
credits24
credito24
credit7
checkmany
cacheu
zaimsrazu
bigzaim
ekapusta
efinmarket
bistrodengi