Среднее время обнаружения кибершпионских атак в 2024 году достигло 390 дней, что на 40% больше, чем в предыдущем году. Эксперты «Информзащиты» связывают этот рост с совершенствованием методов маскировки вредоносного ПО и расширением арсенала инструментов для поиска уязвимостей, позволяющих злоумышленникам незаметно проникать в инфраструктуру компаний.
Шпионское ПО представляет собой вредоносные программы, предназначенные для скрытого сбора конфиденциальной информации в инфраструктуре жертвы. В 2024 году наиболее распространенными методами реализации таких атак стали вредоносное программное обеспечение с функциями шпионажа (63% инцидентов) и инструменты скрытого мониторинга активности в системе (41%). Эти показатели суммарно превышают 100%, так как в ряде атак злоумышленники применяли несколько различных методов одновременно.
«Основной признак шпионских атак — длительное скрытное присутствие в системе. Современные злоумышленники активно используют методы маскировки: вредоносные программы часто проникают в инфраструктуру под видом легального ПО или загружаются вместе с ним, шифруют свой сетевой трафик, удаляют журналы событий, тем самым минимизируя риск обнаружения», — отметил директор Центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты» Александр Матвеев.
По данным «Информзащиты», злоумышленники также активно применяют инструменты автоматизированного поиска уязвимостей, включая системы имитации атак (BAS, Breach and Attack Simulation). Это позволяет им находить уязвимости нулевого дня
При этом наиболее распространённым вектором доставки шпионского ПО остаются фишинговые атаки — около 60% всех инцидентов кибершпионажа начинались именно с них.
В 2024 году шпионские атаки чаще всего были направлены на промышленный сектор (40% инцидентов) и ритейл (30%). Также значительное число атак зафиксировано в медицинской (10%) и образовательной (10%) сферах.
«Промышленность остаётся одной из наиболее атакуемых отраслей, что обусловлено высокой значимостью предприятий этого сектора для экономики, а также тем, что многие их ИТ- и ИБ-системы требуют модернизации. Информация, похищенная с таких объектов, может быть использована злоумышленниками для подготовки последующих атак. В свою очередь, ритейл, медицина и образование привлекают внимание атакующих из-за больших объёмов персональных и корпоративных данных, хранящихся в их системах», — подчеркнул Александр Матвеев.
Эксперты «Информзащиты» рекомендуют компаниям внедрять многоуровневый подход к киберзащите, включающий тестирование на проникновение и анализ защищённости информационных систем для выявления уязвимостей до злоумышленников, системное управление уязвимостями — регулярный аудит безопасности и оперативное обновление программного обеспечения, защиту от фишинга и социальной инженерии, включая антифрод-решения, многофакторную аутентификацию и обучение персонала, круглосуточный мониторинг и автоматизированное реагирование на инциденты с применением аналитики угроз и технологий поведенческого анализа. Современные шпионские атаки требуют не только технологической защищённости, но и высокой оперативности обнаружения подозрительной активности. Использование центров мониторинга (SOC), автоматизированных систем реагирования (SOAR), и различных MSSP-сервисов позволяет минимизировать время выявления угроз и значительно снизить потенциальные риски утечек данных и компрометации инфраструктуры.
