Компания "Инфосистемы Джет" обнародовала статистические данные по инцидентами за третий квартал 2014 года. Данные были собраны аутсорсинговым центром реагирования на инциденты JSOC, который обеспечивает клиентов интегратора услугами по защите информационных систем.
Собственно, статистику по инцидентами сотрудники JSOC собирают с начала 2014 года, то есть в отчёте приведены данные за первые три квартала 2014 года. Это и позволяет проанализировать динамику изменения угроз за 2014 год. В первые три квартала 2014 года было зафиксировано 54276 событий "с подозрением на инцидент", из них 18858 в третьем квартале. Причём 56% было обнаружено базовыми средствами защиты, такими как антивирусы и межсетевые экраны, а почти 44% - интеллектуальными средствами корреляции событий типа SIEM или фрод-мониторинга.
Одной из интересных тенденций, обнаруживаемых в статистике "Джет", является достаточно большая доля критичных внешних ночных инцидентов. Хотя в общей массе доля ночных инцидентов не очень заметна - всего 13%, однако для критичных инцидентов эта доля составляет уже в два раза большую величину - 27,8%. Но если ещё уточнить данные, выбрав только внешние критические инциденты, то окажется, что на ночные приходится уже почти половина - 46,4%. Причём доля эта растёт от квартала к кварталу, и дальше этот показатель, скорее всего, также будет расти.
Действительно, в рабочее время администраторы вполне могут оперативно и эффективно отражать нападения, а ночью за системам защиты часто следят только автоматизированные системы, которые можно легко обмануть. Второй причиной может быть активизация хакеров из других временных зон - из Америки, для которых российские информационные системы стали по каким-то причинам интересны. При этом компании самостоятельно уже не могут справиться с подобными атаками, поскольку создавать службу круглосуточного дежурства для подразделения информационной безопасности сейчас становится достаточно дорого. Проще воспользоваться услугами аутсорсинговых центров реагирования, таких как предлагает компания "Джет".
Характерными особенностями современных внешних атак является активное внедрение зомби-компонент - по данным "Джет" 7 из 8 успешных проникновений приводит к установке зомби-агента, то есть хакеры рассчитывают на длительное использование захваченных корпоративных компьютеров. Это означает, что компаниям нужно не только обеспечить защиту от проникновения, но и выявлять активность уже установленных зомби-агентов.
Также злоумышленники активно используют технологии анонимизации - 11 из 15 инцидентов инициированы с TOR-адресов. Что же касается DDoS-атак, то сейчас они в основном направлены против приложений - 15 из 19 атак относится к этому типу. Причём выход из строя приложения заметить сложнее, чем недоступность канала - для этого нужно использовать специальные средства мониторинга, которые не просто проверяют доступность сервера, но тестируют доступность основных бизнес-функций.
В отчёте "Джет" прослеживается тенденция к уменьшению доли внутренних инцидентов, инициированных администраторами - в третьем квартале таких насчитывалось 19,8%, хотя ещё в первом квартале 2014 года эта доля составляла 24,9%. В то же время растёт доля внутренних инцидентов, связанных с аутсорсерами и подрядчиками - их в третьем квартале стало 12,5% по сравнению с 11% в первом квартале. Вполне возможно, что компании просто чаще стали пользоваться услугами внешних администраторов, которые по моральным принципам оказались не лучше собственных. То есть по причине безопасности переходить на внешних администраторов не стоит.
