Компания Spanning (входит в состав Федерации EMC) представила результаты своего опроса, проведенного среди ИТ-профессионалов в США и Великобритании. Два региона сравнивались с позиций внедрения SaaS (software-as-a-service), защиты данных и соответствия требованиям закона.
Опрос показал, что случайное удаление данных является основной причиной утери информации в приложениях SaaS (43% в США; 41% в Великобритании), сообщили CNews в корпорации EMC.
Исследование было основано на ответах от 1037 ИТ-профессионалов из США и Великобритании. По его результатам также удалось определить, кто отвечает в компаниях за защиту данных в приложениях SaaS, кто обеспечивает уверенность в сервисах SaaS и их безопасности, а также обнаружить основные препятствия для переноса данных в «облако»,
E-mail-сообщения первыми «переходят» на SaaS. Так, более 50% ИТ-профессионалов из США и Великобритании отметили, что e-mail-сообщения уже были внедрены как сервис SaaS или будут внедрены в ближайшие 12 месяцев. Финансовые, HR- и CRM-системы следуют за ними с небольшим отрывом.
Между ощущениями и реальной защитой данных SaaS существует разрыв. «В своем большинстве организации полагаются на своего поставщика решений SaaS для резервного копирования и восстановления приложений (49% в США и 42% в Великобритании), несмотря на часто происходящие потери данных из-за ошибок пользователей (70% в США, 66% в Великобритании), за которые провайдеры SaaS, как правило, не отвечают», — отметили в EMC. Для защиты данных SaaS примерно треть организаций в США и Великобритании или используют сегодня, или планируют внедрить в ближайшие 12 месяцев сервис для резервного копирования и восстановления от провайдера, чтобы применять его вместе со своими приложениями SaaS (37% в США и 31% в Великобритании).
80% ИТ-профессионалов из США уверены в способности своей организации защитить данные приложений SaaS, в то время как в Великобритании такой ответ дали только 45%.
Согласно данным опроса, безопасность остается основным препятствием для миграции критических бизнес-приложений в «облако». Хотя организации из обеих стран сталкивались с потерей данных из-за случайного удаления, ошибки миграции (33% в США и 31% в Великобритании) и случайной перезаписи (27% в США и 26% в Великобритании), они по-прежнему больше всего беспокоятся о внешних атаках (44% в обоих регионах).
По информации EMC, подходы в США и Великобритании больше всего отличаются в вопросах безопасности. Когда у респондентов попросили отметить различия между США и Великобританией в вопросах внедрения SaaS, вопросы безопасности заняли первое место, оставив позади соответствие требованиям, доступность данных, затраты и приватность информации.
«Этот отчет не только подтверждает ускорение процессов внедрения SaaS, но также доказывает, что ИТ-профессионалы из США и Великобритании понимают важность наличия стратегии резервного копирования и восстановления для SaaS-приложений, ведь только 7% и 8% респондентов соответственно не планируют или не используют никаких систем резервного копирования для приложений SaaS, — заявил Джефф Эррамусп (Jeff Erramouspe), вице-президент и руководитель Spanning. — Однако, когда речь идет о защите данных SaaS, отчет демонстрирует неоправданную уверенность. Провайдеры SaaS не обеспечивают восстановление данных, удаленных по причине ошибки пользователя, а именно этот сценарий является основным. Таким образом обнаруживается потребность в облачных решениях резервного копирования и восстановления».
Опрос также выявил, что 50% респондентов в США и 40% в США считают, что частая смена требований по защите данных в ЕС создает проблемы с безопасностью и приводит к росту затрат. В связи с запуском Privacy Shield, исследование продемонстрировало, что по разные стороны Атлантики ИТ-специалисты демонстрируют разные взгляды на защиту, и респонденты из Великобритании более аккуратно подходят к вопросам суверенности данных.
Несмотря на эти сложности, большинство участников опроса (66% в Великобритании и 72% в США) считают, что хранение данных в основном ЦОДе провайдера в ЕС гарантирует 100% соответствие требованиям приватности данных.
«Как компании со штаб-квартирой в Великобритании, нам критически важно убедиться в том, что наши данные размещены в соответствии с требованиями Экономической Зоны Евросоюза, и для них гарантирована нужная безопасность, — указал Гарри Ленгторн, директор по ИТ-сервисам в SThree PLC. — Это было критически важным драйвером, по причине которого мы выбрали систему резервного копирования Spanning Backup. Теперь наши данные о продажах остаются в ЦОД в Великобритании, где им гарантируется защита, резервное копирование и восстановление».
Специалисты из департамента Threat Intelligence компании F6 обнаружили ряд признаков, указывающих на связь между кибершпионской кампанией HollowQuill и известной киберпреступной группировкой FakeTicketer.
По данным F6, атаки были направлены на российские промышленные предприятия. Хакеры использовали документ, который выглядел как официальное письмо от имени Балтийского государственного технического университета «ВОЕНМЕХ».
Однако еще в конце 2024 года активность, связанную с этой кампанией, заметили эксперты из Positive Technologies. Теперь же специалисты F6 провели дополнительное расследование и обнаружили пересечения с операциями группы FakeTicketer.
та группа, предположительно занимающаяся кибершпионажем, действует как минимум с июня 2024 года. Среди её целей — промышленные компании, госучреждения и даже спортивные чиновники.
Анализ вредоносной программы и используемой инфраструктуры показал, что в HollowQuill и у FakeTicketer используются схожие дропперы и похожие доменные имена. В частности, эксперты нашли совпадения с вредоносом Zagrebator.Dropper, который связывают с FakeTicketer:
Оба дроппера — LazyOneLoader и Zagrebator.Dropper — написаны на C#.
У них одинаковые названия иконок («faylyk»).
И файлы, и иконки хранятся в ресурсах программы; дропперы извлекают эти данные и записывают их с помощью одного и того же класса — BinaryWrite.
Код, создающий ярлыки, почти не отличается.
Используются файлы с названиями OneDrive*.exe и OneDrive*.lnk для маскировки активности.
Кроме того, в F6 заметили, что FakeTicketer раньше регистрировали ряд доменов с одинаковыми данными владельца. Один из таких доменов — phpsymfony[.]info. При этом в HollowQuill фигурировал домен phpsymfony[.]com — он использовался как C2-сервер для Cobalt Strike.
По мнению исследователей, эти совпадения позволяют предположить, что за кампанией HollowQuill, скорее всего, стоит группа FakeTicketer — хотя и с оговоркой, что уверенность в этом пока средняя.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
