C начала 2023 года число кибератак в кредитно-финансовой отрасли выросло более чем на четверть и достигло 6,8 тыс., одновременно растет сложность попыток кибервзломов. Это следует из отчета, подготовленного специалистами центра противодействия кибератакам Solar JSOC ГК «Солар».
Они отмечают, что, осознавая высокий уровень защиты финорганизаций, злоумышленники тщательнее готовятся к нападению и активно используют киберразведку для изучения потенциальной жертвы. Больше трети атак в банковской сфере (36%) связано с эксплуатацией уязвимостей. На втором месте (28%) находится несанкционированный доступ к системам и сервисам (включая компоненты автоматизированной банковской системы и дистанционного банковского обслуживания, внутренний документооборот и ключевые базы данных).
Сетевые атаки заняли долю в 14%, а на вредоносное программное обеспечение в этой сфере пришлось только 4%, что ниже показателей в других отраслях.
Последнее указывает на высокий уровень базовой защиты финансовой ИТ-инфраструктуры: хорошо настроенную антивирусную защиту и жесткое соблюдение политик информационной безопасности сотрудниками.
Эксперты отметили, что есть сценарии выявления инцидентов, свойственные именно банковской сфере. К ним отнесли попытки взлома баз данных (СУБД) основных банковских приложений, а также попытки использования учетных записей сотрудников третьими лицами. Это связано с тем, что базы данных содержат много конфиденциальной информации, а сотрудники проводят критически значимые операции. Именно поэтому банки чаще других просят запустить такие сценарии в рамках мониторинга.
Ежегодно Solar JSOC запускает около 20 новых сценариев выявления киберинцидентов в финансовых организациях (в других отраслях этот показатель в среднем не превышает 10). Самым популярным способом доставки хакерских остается фишинг: с начала 2023 года число фишинговых писем в адрес российских кредитно-финансовых организаций выросло в 1,5 раза. Чаще всего киберзломщики имитировали акции или опросы от имени банка. А их главной целью были не данные банковских карт, а доступ в личный кабинет клиента.
Одновременно сохраняется и внешняя цифровая угроза для банков в части эквайринга. Так в 2023 году эксперты центра Solar AURA обнаружили 5,4 тыс. вредоносных интернет-ресурсов, которые принимают электронную оплату от пользователей. При этом 96% из этих сайтов приходят на незаконный игорный бизнес.
Как уточняется, количество киберударов по банковским веб-ресурсам (DDoS- и веб-атаки) постепенно сокращаются, что объясняется высокой защищенностью организаций (наличием решений класса WAF и Anti-DDoS) и неэффективностью массовых атак. Так в 2023 году количество DDoS-атак в финсфере уменьшилось почти в девять раз. В то же время заметен рост числа сканирований веб-приложений, то есть поиска уязвимостей для совершения успешной атаки.
«Финсектор на фоне других отраслей лучше справляется с постоянным ростом кибератак, уровень защиты от базовых угроз здесь выше. Но фокус злоумышленников высокой квалификации вновь сместился на финансовую отрасль, поэтому банкам необходимо обращать внимание на повышение уровня киберграмотности сотрудников, которые зачастую становятся точкой входа в ИТ-инфраструктуру организации», — пояснил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC ГК «Солар» Алексей Павлов.
По словам эксперта, на фоне технологических ограничений SIEM-систем в части потока обрабатываемых данных необходимо увеличивать зону обзора своих центров мониторинга информационной безопасности за счет специальных сенсоров (NTA, EDR и прочих.).
Кражу секретов упрощают сотрудники предприятий, пересылающие документы в Telegram
Также надо выстраивать процессы патч-менеджмента и управления уязвимостями, особенно для публичных сервисов компаний, через которые последние два года происходит порядка 70% всех взломов инфраструктур, заключил Павлов.
Накануне, 12 февраля, сообщалось, что портал «Госуслуги» подвергся более чем 600 млн хакерских атак в 2023 году. Все крупнейшие профессиональные хакерские группировки мира нацелены на портал из-за нынешней геополитики. Несмотря на это давление, все попытки атаковать сайт были пресечены.
