Злоумышленники охотятся на ИТ-специалистов

Злоумышленники охотятся на ИТ-специалистов

Злоумышленники охотятся на ИТ-специалистов

Как показало исследование «Актуальные киберугрозы: III квартал 2024 года», которое провела компания Positive Tehnologies, ИТ-специалисты стали самой атакуемой категорией сотрудников.

Злоумышленники используют в своих целях ситуацию на рынке труда. Особенно благодатной для них является положение в тех странах, где сложился дефицит ИТ-специалистов, в том числе и в России.

Наиболее часто злоумышленники применяют схему Contagious Interview («Заразное собеседование»), которую впервые обнаружили эксперты Palo Alto Networks еще в декабре 2022 года. Киберпреступники проводят фиктивное собеседование, вынуждая под тем или иным предлогом загрузить зловред, который маскируется под легитимное ПО (такая тактика получила название тайпсквоттинг).

Так, группировка Lazarus распространяла свои вредоносы под видом приложений видео-конференц-связи, а троян Quasar RAT распространяли через npm-пакеты для разработчиков.

ИТ-специалисты также становятся мишенью вредоносной рекламы. В III квартале киберпреступники распространили таким образом зловреды DeerStealer, Atomic Stealer  и Poseidon Stealer.

В целом для атак на организации чаще всего использовались вредоносные программы для удаленного управления (44%) и шифровальщики (44%). В 79% успешных атак были скомпрометированы компьютеры, серверы и сетевое оборудование. Самыми популярными среди киберпреступников инструментами стали AsyncRAT, XWorm и SparkRAT. Основным способом их распространения стал фишинг, в том числе целевой.

Как отметили в Positive Technologies, социальная инженерия по-прежнему является ключевой угрозой для частных лиц (92%) и применяется в половине атак на организации. Основным каналом для такого рода атак на компании остается электронная почта (88%), для частных лиц — сайты (73%). Следствиями атак на организации стали утечки конфиденциальных данных (52%), а также нарушение основной деятельности организаций (32%).

«Рост числа атак на ИТ-специалистов, помимо финансовой выгоды, можно объяснить желанием перейти к более крупным целям, например к компаниям, в которых они работают. Кроме того, используя ИТ-специалистов в качестве начальной точки атаки, киберпреступники могут вклиниться в цепочку поставок программного обеспечения и нанести непоправимый вред большому количеству организаций. Эксперты по кибербезопасности отмечают, что в 2024 году такие атаки происходили как минимум раз в два дня», — рассказала Валерия Беседина, младший аналитик исследовательской группы Positive Technologies.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Айдентити Конф 2024: новые подходы к обеспечению безопасности Identity

31 октября в Москве состоялась Айдентити Конф 2024 – первая и единственная в России конференция на тему безопасности айдентити. Мероприятие прошло при поддержке компании «Индид» – российского разработчика комплекса решений для защиты идентификационных данных.

Главной темой конференции стало формирование нового комплексного подхода к проблеме защите айдентити. Ведущим мероприятия выступил Олег Шабуров, эксперт компании Kaspersky.

В Айдентити Конф приняли участие более 30 спикеров – высшие руководители крупных российских компаний и ведущие эксперты по информационной безопасности. Среди них были представители Газпромбанк, Capital Group, Segezha Group, Сбер, Kaspersky, «ВКонтакте», «Металлоинвест», «Россети Цифра», Московский кредитный банк, «Росгосстрах», Группа «Черкизово», «АСКОНА», HeadHunter, СДМ-Банк.

В формате открытого диалога они обсудили насущные вопросы кибербезопасности, с которыми им приходится сталкиваться каждый день. Участники поделились своим мнением о том, как строить передовую информационную безопасность с помощью современных средств защиты айдентити, и привели примеры их использования из своей практики.

Официальную часть конференции со вступительной речью открыл Алексей Баранов, генеральный директор Компании «Индид»:

«Айдентити Конф – единственная конференция в России, посвященная защите идентификационных данных. В этом году она прошла впервые и уже с самого начала убедительно подтвердила свою значимость.  На мероприятии рассматривались все актуальные вопросы кибербезопасности, связанные с защитой айдентити.

Ситуация в отрасли ИТ постоянно меняется, и угрозы для информационной безопасности становятся все серьезнее. Исходя из экспертного опыта, накопленного нами за 15 лет, мы, как стратегический партнер Айдентити Конф и разработчик решений для области identity security, понимаем, что необходимо создать комфортную профессиональную среду для обмена опытом и свежими идеями. Она должна содействовать инновациям и продвижению эффективных технологий защиты айдентити. Уверен, что проведение подобных мероприятий для сообщества специалистов по ИБ поможет укрепить безопасность российских организаций».

Деловая программа началась с выступления Андрея Лаптева, директора продуктового офиса компании «Индид» на тему «Что такое identity security?» Он отметил, что безопасность айдентити сегодня жизненно важна для организаций, так как, по статистике,

около 30% всех инцидентов и атак на корпоративную инфраструктуру связаны с кражей учетных записей. Андрей также рассказал о том, как с помощью комплексного подхода сформировать эффективную систему защиты бизнеса, чтобы решить все задачи безопасности.

На пленарной сессии «Identity security – новый периметр информационной безопасности» эксперты обсудили важность перехода от реактивной защиты идентификационных данных к проактивной и поговорили о том, как адаптироваться к размытию корпоративного периметра. Кроме того, речь шла об актуальных вопросах, связанных с импортозамещением, формированием системного подхода и применением нулевого доверия (Zero Trust) на базе решений для защиты айдентити. Модератором сессии выступил Илья Шабанов, основатель и генеральный директор основатель и генеральный директор, АМ Медиа».

Яков Фишелев, соучредитель Octopus Identity:

«Объем данных сегодня растет взрывными темпами, поэтому управлять ими становится все тяжелее. Identity management – это практический подход, который позволяет управлять данными более безопасно. Поясню это на примере самокатов: чтобы проактивно уменьшить количество связанных с ними нарушений, можно создать карту навигации, которая будет показывать, куда и с какой скоростью на самокате ехать дозволено, а куда и как быстро – запрещено. Если применить эту аналогию к управлению айдентити, то можно аналогичным образом создать правила и матрицы доступа ко всем системам, а также использовать поведенческую аналитику. Эту задачу эффективно решает технология Identity Threat Detection and Response (ITDR). Она позволяет избежать типичных ситуаций, когда возникает инцидент и специалисты выясняют, что злоумышленник – бывший сотрудник компании, который не работает в ней уже 10 лет. Между тем у него до сих пор есть доступ ко всем системам, рисковые полномочия совмещаются, все это накапливается. Поэтому проактивное обеспечение безопасности позволяет значительно снизить риск атак».

Вторая часть деловой программы Айдентити Конф была посвящена теме «ITDR, MFA и SSO: современная аутентификация и анализ поведения». Модератором выступил технический директор компании «Индид» Павел Конюхов. Участники разобрали актуальные вопросы, связанные с развитием механизмов многофакторной аутентификации и переходом на ее адаптивную модель, которая позволяет динамически настраивать процесс аутентификации в зависимости от текущей ситуации. При этом, чтобы обеспечить доступ с использованием концепции нулевого доверия, нужно менять подходы к реализации многофакторной аутентификации. Эту задачу позволяет выполнить новый для рынка класс решений – ITDR (Identity Threat Detection and Response).

Максим Королев, директор по информационной безопасности Segezha Group:

«В Segezha Group вопрос многофакторной аутентификации стал особенно актуальным в 2020 г., во время пандемии коронавируса. Из-за массового перехода на удаленную работу периметр компании был сильно размыт, поэтому идентификация пользователей со стопроцентной точностью стала жизненно важной задачей. Тогда мы приняли решение внедрить многофакторную аутентификацию и сразу выбрали отечественную разработку, запустив ее буквально за пару месяцев. Сервис до сих пор работает без нареканий. Вместе с тем адаптивная аутентификация сегодня дает возможность проверять еще больше факторов: тот ли это пользователь на самом деле, использует ли он доверенное устройство, с помощью какого ресурса он запрашивает доступ, как часто он это делает, откуда подключается, в рабочее время или нет. Как крупной enterprise-компании, нам важно анализировать все эти параметры для укрепления безопасности».

Далее участники конференции обсудили, как с помощью систем управления айдентити (IdM) навести порядок с правами доступа к информационным ресурсам в масштабах всей компании, и приводили примеры из своей практики.

Владимир Солонин, директор по информационной безопасности СДМ-Банка:

«Во время пандемии у нас уже были внедрены и эксплуатировались системы IdM, CM и SSO, а рабочие места были виртуализированы. Поэтому мы смогли оперативно организовать удаленный доступ. Дополнительно усилить безопасность позволила интеграция со СКУД. Так, если сотрудник уходил из офиса, то в системе ставилась отметка о том, что в его учетную запись можно входить только с конкретного компьютера, получить доступ к которому на самом деле было невозможно, так как его не существовало. При этом, если возникала необходимость в удаленном доступе, то он оперативно предоставлялся через систему IdM путем назначения нужных ролей. Безопасности не бывает слишком много. Если человек выходит из помещений банка, то он больше не должен входить всеть».

Следующей важной темой стало управление привилегированным доступом (PAM). Спикеры обсудили причины, по которым они приняли решение внедрить системы PAM в своих компаниях, рассказали об их преимуществах и перспективах их развития.

Григорий Слинкин, начальник департамента услуг по информационной безопасности «Россети Цифра»:

«У группы „Россети“ довольно много субъектов критической информационной инфраструктуры, поэтому решение о внедрении систем PAM было принято уже давно. В структуру группы входят много дочерних организаций, и наши филиалы имеют свою специфику, поэтому для эффективного управления безопасностью требовалось контролировать доступ из центрального офиса. Так как „Россети Цифра“ является центром корпоративной безопасности, на местах весьма актуальны вопросы, связанные с разрешением доступа иснижением рисков для кибербезопасности. Использование систем PAM позволяет уменьшить финансовые потери, например затраты на аудит, и уменьшить последствия инцидентов. Эти системы позволяют быстро отслеживать цепочки таких событий, которые они призваны предотвращать».

Завершил официальную программу блок «Практики внедрения проектов по identity», в рамках которого представители интеграторов обсудили различия между подходами к внедрению систем и их преимущества, вопросы миграции с зарубежных систем и консалтинга в сфере управления доступом.

Айдентити Конф объединила свыше 450 участников – руководителей служб безопасности, ведущих специалистов и экспертов по информационной безопасности. Официальными партнерами конференции стали компании «Инфосистемы Джет», Octopus Identity, iTPROTECT, ARinteg, Кибердом, «Бастион», ГК Softline, УЦСБ и Puzzle Systems.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru