Group-IB, международная компания, специализирующаяся на предотвращении кибератак, проанализировала высокотехнологичные преступления 2019 года в финансовой отрасли, к реагированию на которые привлекались ее эксперты Лаборатории компьютерной криминалистики. Group-IB фиксирует значительное сокращение целевых атак на банки, а в топе угроз 2019-го года — утечки с целью продажи выгрузок данных о клиентах банков, инциденты с социальной инженерией и вирусами-шифровальщиками.

Общее количество реагирований (Incident Response) Лаборатории компьютерной криминалистики Group-IB за год выросло более чем на 40% относительно 2018 года. К работам по корректной локализации инцидента, сбору, анализу цифровых доказательств и расследованию атаки банки все чаще привлекают сторонних специалистов с профильной экспертизой, уходя от распространенного метода «самолечения».

Уровень готовности к инцидентам кибербезопасности в банках повысился, а исход хакерских групп из «зоны РУ» привел к значительному сокращению целевых атак на российский финансовый сектор. Вместе с тем эксперты Group-IB фиксируют рост запросов на реагирования, связанных с инцидентами по утечками данных — на 48%, социальной инженерией — на 154% и фактами «долгосрочной» компрометации корпоративной инфраструктуры из-за вовремя не обнаруженных и не удаленных угроз — на 23%.

Укрепление защиты цифровых рубежей банков вынудило киберкриминал искать новые каналы вывода информации. В 2019-м году заметно возросла активность по утечкам данных вследствие действий инсайдеров. Согласно сравнительному анализу, проведенному командой Group-IB Threat Hunting Intelligence, количество даркнет-сервисов по продаже выгрузок клиентских данных в 2019 году увеличилось на 55% по сравнению с 2018 годом. Появление на андеграундных форумах объявлений о продаже выгрузок данных о клиентах различных банков становилось фокусом новостной повестки. Отметим, что такой «товар» в даркнете был всегда, но благодаря вниманию СМИ, именно в прошлом году эти объявления вызывали наибольший общественный резонанс. Покупка таких выгрузок, как правило, нужна для использования в мошенничествах с социальной инженерией: чем больше данных есть у мошенников о клиенте банка, тем проще вызвать доверие. Обычно для этих целей используется инсайдер с невысоким уровнем доступа, не имеющий возможности выгрузки CVV/CVC, полного номера карты и др.

Еще одним важным трендом прошлого года стали инциденты с вирусами-шифровальщиками — зафиксирован рост количества пострадавших организаций на 42%. При этом, кроме вымогательства, целью большинства операторов вирусов-шифровальщиков стала выгрузка данных из скомпрометированных сетей для последующего использования в различных целях.

Главный вывод экспертов-криминалистов Group-IB — прошлый год показал позитивные сдвиги в защите банков от киберугроз. Часть пересмотрели подход к управлению кибербезопасностью: инвестирование в обучение сотрудников привело к сокращению времени реагирования на инциденты и повышению качества их отработки. Количество банков, демонстрирующих высокую готовность к атакам, выросло на 21 процентный пункт по сравнению с прошлым годом. Доля банков, не имеющих плана реагирования, снизилась до 53% в 2019 году, против 74% годом ранее.

Более 30% банков провели повторную проверку по итогам работ по выявлению следов компрометации и признаков подготовки хакерской атаки (Compromise Assessment) и проработали выявленные недостатки. Наиболее продвинутые игроки финансового сектора стали регулярно проводить проверку готовности к инцидентам ИБ (Pre-IR Assessment) и внедрили у себя разработанные по итогам этой проверки регламенты.

Изменения коснулись и внутренних процессов: для полноценного централизованного управления своей сетью в 2018 году не хватало компетенций у 62% банков, в 2019-м — 54%. Большинство банков (80%) не имели достаточной глубины журналирования событий, в 2019 их количество сократилось до 68%. В рамках ретроспективного анализа за 2018 год, в 52% финансовых организаций были обнаружены следы взломов и атак, о которых сотрудники информационной безопасности не подозревали. Этот показатель сократился почти на половину — 24% по итогам 2019 года.

Повышение квалификации сотрудников по кибербезопасности внутри банков постепенно становится трендом рынка. На 9 процентных пунктов сократилось количество банков, у специалистов которых недостаточно профильных навыков по самостоятельному поиску следов заражения и несанкционированной активности (70% в 2018 году против 61% — в 2019). Если в 2018 году 70% банковских «безопасников» не имели четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения, то в 2019 показатель сократился до 59%. Оперативность смены паролей в банке после инцидента является критичным фактором для недопущения повторной атаки: в 2018 году более 60% пострадавших банков были не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка. В 2019 году и этот показатель снизился до 52%.

Еще один тренд зарождается в сфере рекрутинга: все чаще на позицию специалистов по кибербезопасности требуются кандидаты с навыками Threat Hunter («охотник за угрозами») для проактивного мониторинга и предотвращения инцидентов на ранней стадии. Этому способствуют как мировые тренды развития узких областей кибербезопасности, так и финансовая составляющая по итогам оценки потенциальных рисков наступления инцидента.

«Банки сознательно уходят от общего мониторинга сети и не ограничиваются локальной проверкой конкретного узла, на котором возникло событие, — прокомментировал Валерий Баулин, глава Лаборатории компьютерной криминалистики Group-IB. — Более зрелый подход заключается в расследовании с целью установления причинно-следственной связи возникновения инцидента. По итогам прошедшего года, среди организаций финансового сектора мы наблюдаем осознание важности доведения хронологической цепочки расследования до конца: от выявления причины до создания практик и регламентов по предотвращению инцидентов в будущем. Эти и другие показатели, которые мы анализировали в своем исследовании, свидетельствуют о взрослении российского банковского сектора в части реагирования на киберинциденты, чему способствует активность регулятора и высокий спрос на обучение и повышение квалификации киберспециалистов».