En Solar JSOC, recopilamos continuamente datos sobre eventos e incidentes de seguridad de la información en las infraestructuras de los clientes. Con base en esta información, hacemos un análisis cada seis meses que demuestra cómo están cambiando los ataques a las organizaciones rusas. Hoy hemos recopilado para usted las tendencias más interesantes en la primera mitad de 2018.
El flujo diario promedio de eventos de seguridad de la información procesados por los sistemas SIEM y utilizados para proporcionar servicios de Solar JSOC ascendió a 28 mil millones. En total, durante la primera mitad de 2018, los especialistas de Solar JSOC registraron más de 357 mil ataques cibernéticos. Esto es aproximadamente dos veces más que en el primer semestre de 2017. (Creemos que es correcto comparar solo la primera mitad del año con la primera, la segunda con la segunda, ya que existe una tendencia estable a aumentar el número de ataques para fin de año).
Curiosamente, de año en año, no solo aumenta el número de ataques, sino también la tasa de crecimiento. En el primer semestre de 2017, el número de ataques aumentó en un 40% en comparación con el mismo período en 2016, y este año es más del 100%.
El número de ataques cibernéticos destinados a obtener el control sobre la infraestructura de la organización ha aumentado aproximadamente una vez y media. Los atacantes se esfuerzan cada vez más por lograr una presencia a largo plazo y discreta con el objetivo de realizar un estudio detallado y obtener el mayor acceso posible a la información y los sistemas tecnológicos.
El número de ataques aumentó en un 10%, cuyo objetivo es dirigir el retiro de fondos de las organizaciones, pero el éxito de tales ataques se reduce. Al mismo tiempo, existe una fuerte tendencia hacia una disminución en el número de ciberataques "hooligan", como dañar o comprometer sitios públicos, corrupción y destrucción de datos. Su número disminuyó en un 45% en comparación con el primer semestre de 2017.
Por separado, los investigadores señalan que el conjunto de herramientas de los atacantes se está desarrollando rápidamente. Cada semana, los analistas de Solar JSOC registran la aparición de 5-6 nuevas herramientas de hackers, y cada vez se utilizan más elementos legítimos del entorno operativo, herramientas populares para la administración remota o la administración de sistemas operativos para desarrollarlos.
Aproximadamente cada quinto incidente se clasificó como crítico, es decir, que podría conducir a pérdidas financieras por valor de más de 1 millón de rublos, comprometer la información confidencial o detener los sistemas comerciales críticos. En el primer semestre de 2018, la proporción de incidentes críticos ascendió a 18.7%, en el primer semestre de 2017, 17.2% fueron reconocidos como críticos, en el primer semestre de 2016 - 10.9%. Por lo tanto, si cada noveno incidente fue crítico en 2016, ahora cada quinto es crítico. Este es un récord en los últimos cuatro años. Se supone que dicha dinámica está asociada con un aumento general en la intensidad de los ataques masivos y dirigidos a las organizaciones.
En el primer semestre de 2018, los ciberataques externos complejos incluso con más frecuencia que antes (71% frente al 62% en el primer semestre de 2017) comenzaron con la introducción de malware en la infraestructura de la compañía a través de la ingeniería social: los usuarios abrieron archivos adjuntos maliciosos e hicieron clic en enlaces de phishing. Sin exagerar, por el momento, los ataques de phishing son una de las amenazas clave para la seguridad de la información de las organizaciones.
La mayoría de los incidentes (88.5%) ocurrieron durante el día, sin embargo, si hablamos de ataques externos críticos, en casi la mitad de los casos (48.9%) ocurrieron por la noche. Esta es la cifra más alta desde principios de 2014.
Durante el ataque, los ciberdelincuentes a menudo intentan hackear las aplicaciones web de las organizaciones (33.6%), infectar los servidores y estaciones de trabajo de los usuarios con malware (22.5%) o recoger contraseñas para cuentas en servicios externos de la compañía, es decir, en cuentas personales en sitios o sistemas de intercambio de archivos con contrapartes (21.7%).
Si la compañía fue atacada desde adentro, en el 42.1% de los casos se enfrentó a la fuga de datos confidenciales, y en el 22.6% de las cuentas internas resultó estar comprometida.
Los culpables de los incidentes internos generalmente eran empleados ordinarios (60.5%) o administradores de sistemas de TI (28%), en el 11.9% de los casos el incidente ocurrió debido a fallas de contratistas o contratistas de empresas.
La versión completa del informe se puede ver
aquí .