No Solar JSOC, coletamos continuamente dados sobre eventos e incidentes de segurança da informação nas infraestruturas de clientes. Com base nessas informações, fazemos uma análise a cada seis meses, demonstrando como os ataques às organizações russas estão mudando. Hoje, coletamos para você as tendências mais interessantes no primeiro semestre de 2018.
O fluxo diário médio de eventos de segurança da informação processados pelos sistemas SIEM e usados para fornecer serviços Solar JSOC totalizou 28 bilhões.No total, durante o primeiro semestre de 2018, os especialistas em Solar JSOC registraram mais de 357 mil ataques cibernéticos. Isso é aproximadamente duas vezes mais que no primeiro semestre de 2017. (Acreditamos que é correto comparar precisamente a primeira metade do ano com a primeira, a segunda com a segunda, pois há uma tendência estável de aumentar o número de ataques até o final do ano).
Curiosamente, de ano para ano, não apenas o número de ataques aumenta, mas também a taxa de crescimento. No primeiro semestre de 2017, o número de ataques aumentou 40% em relação ao mesmo período de 2016 e este ano é mais de 100%.
O número de ataques cibernéticos com o objetivo de obter controle sobre a infraestrutura da organização aumentou aproximadamente uma vez e meia. Os atacantes estão cada vez mais lutando por uma presença discreta e de longo prazo, com o objetivo de realizar um estudo detalhado e obter o máximo acesso possível à informação e aos sistemas tecnológicos.
O número de ataques aumentou 10%, cujo objetivo é direcionar a retirada de fundos das organizações, mas o sucesso de tais ataques é reduzido. Ao mesmo tempo, há uma forte tendência a uma diminuição no número de ataques cibernéticos "hooligan", como desfigurar ou comprometer sites públicos, corrupção de dados e destruição. Seu número diminuiu 45% em comparação com o primeiro semestre de 2017.
Separadamente, os pesquisadores observam que o conjunto de ferramentas dos invasores está se desenvolvendo rapidamente. Toda semana, os analistas do Solar JSOC registram a aparência de 5 a 6 novas ferramentas de hackers e, cada vez mais, usam elementos legítimos do ambiente operacional, ferramentas populares para administração remota ou gerenciamento de sistemas operacionais para seu desenvolvimento.
Cerca de cada quinto incidente foi classificado como crítico - isto é, potencialmente levando a perdas financeiras no valor de mais de 1 milhão de rublos, comprometendo informações confidenciais ou interrompendo sistemas comerciais críticos. No primeiro semestre de 2018, a participação de incidentes críticos foi de 18,7%; no primeiro semestre de 2017, 17,2% foram reconhecidos como críticos, no primeiro semestre de 2016 - 10,9%. Assim, se todo nono incidente foi crítico em 2016, agora todo quinto é crítico. Este é um recorde nos últimos quatro anos. Supõe-se que essa dinâmica esteja associada a um aumento geral na intensidade de massa e ataques direcionados a organizações.
No primeiro semestre de 2018, ataques cibernéticos externos complexos ainda mais frequentemente do que antes (71% versus 62% no primeiro semestre de 2017) começaram com a introdução de malware na infraestrutura da empresa por meio de engenharia social: os usuários abriram anexos maliciosos e clicaram em links de phishing. Sem exagero, no momento, os ataques de phishing são uma das principais ameaças à segurança das informações das organizações.
A maioria dos incidentes (88,5%) ocorreu durante o dia; no entanto, se falamos de ataques externos críticos, em quase metade dos casos (48,9%) eles ocorreram à noite. Este é o número mais alto desde o início de 2014.
Durante o ataque, os cibercriminosos geralmente tentam invadir os aplicativos da web das organizações (33,6%), infectar os servidores e as estações de trabalho dos usuários com malware (22,5%) ou coletar senhas de contas em serviços externos da empresa, ou seja, contas pessoais em sites ou sistemas de compartilhamento de arquivos com contrapartes (21,7%).
Se a empresa foi atacada por dentro, em 42,1% dos casos, enfrentou vazamento de dados confidenciais e em 22,6% das contas internas acabou comprometida.
Os culpados de incidentes internos eram geralmente funcionários comuns (60,5%) ou administradores de sistemas de TI (28%); em 11,9% dos casos o incidente ocorreu devido a culpa de contratados ou contratados de empresas.
A versão completa do relatório pode ser visualizada
aqui .