Регистрация

Сколько данных воруют в облаках и как их потом используют

3 мартa 204 0

Источник: CNews.

Атаки каждые 14 секунд

Причиной потери данных или их конфиденциального характера (т.е. если администрация сервиса смогла восстановить утерянные данные) может стать как недостаточно защищенный облачный сервис, так и достаточно защищенный, но очень привлекательный для взлома.

Согласно докладу о глобальных рисках Всемирного экономического форума 2019 г., мошенничество с данными и кибератаки являются четвертым и пятым глобальными рисками, с которыми сталкивается каждая организация. При этом в официальном ежегодном отчете о киберпреступности (ACR) за 2019 г., опубликованном Cybersecurity Ventures, сообщается, что атаки хакеров во всем мире происходят каждые 14 секунд, и частота растет из года в год. К 2021 г. она вырастет еще на 20% и атаки будут происходить каждые 11 секунд.

Растет качество, а не количество
Многие случаи взлома — суть следствие имеющихся уязвимостей. Как отмечают аналитики IBM в своем аналитическом докладе X-Force Threat Intelligence Index-2020 (февраль 2020 г.), в 2019 г. подавляющее (до 85%) число взломов облачных сервисов, данных произошло из-за некорректного администрирования. Причин много — неправильные настройки, недостаточная защита, несоблюдение или нестрогие правила безопасности.

Всего в 2019 г. было украдено около 9 млрд. записей, что в три раза выше, чем годом ранее. Число взломов уменьшилось примерно на 14%, но резко выросло «качество» взломов, то есть количество данных, похищаемых при взломе. В частности, в 2019 г. была зафиксирована пара случаев, когда похищались сразу миллиарды записей.

В докладе IBM отмечается, что 60% взломов было осуществлено с использованием известных уязвимостей ПО (до 30% взломов, прирост — 22%) и ранее похищенных учетных записей, которые помогли осуществить новые атаки. Еще одна весомая причина — обман пользователей с целью получения доступа к данным. При этом фишинговых атак за 2019 г. стало меньше на 19% (нынешняя доля — 31%).

В компании по кибербезопасности DeviceLock в конце 2019 г. посчитали, что по причине утечек данных из облаков в общий доступ попало в два раза больше данных, нежели в 2018 г. В первую очередь речь идет о данных из МФО и операторов фискальных данных. Всего за полгода было обнаружено около 200 облачных серверов практически с открытым доступом.

Среди наиболее крупных утечек — один из серверов Amazon Web Services с 20 млн записей о россиянах, утечка 14 млн записей с чеками и адресами магазинов, где были совершены покупки, из ОФД «Дримкас» и утечка в микрофинансовой компании «ГринМани» (более 1 млн записей).

Причины утечек

По данным компании Filemon одной из наиболее часто упоминаемых проблем в облачных средах является неправильная конфигурация защитного программного обеспечения, а также халатность сотрудников и ручной процесс настройки параметров ИТ-безопасности.

Косвенно на утечки влияет и недостаточное финансирование департаментов ИТ-безопасности: почти у 80% компаний данная статья бюджета составляет менее 25% всех затрат. Впрочем, надо понимать, что нет смысла просто повышать финансирование, нужно еще и найти грамотных специалистов в области ИТ-безопасности.

Среди причин также можно выделить негласную политику работы с обнаруженными уязвимостями. Производители ПО, безусловно, активно ищут уязвимости и даже готовы оплатить сведения об их наличии сторонним людям, которые их нашли.

Однако устранение уязвимостей в большинстве случаев происходит в следующих версиях и релизах, а не в текущей. Поэтому даже давно обнаруженные уязвимости, например, в MS Office, Windows Server, могут быть успешно использованы до сих пор. Всего же в разных программах насчитывается порядка 150 000 подобных уязвимостей.

Как используют украденные данные

Украденные пользовательские учетные записи использовались в почти 30% всех взломов, в частности, для слияния с санкционированным трафиком и нанесения вреда под его прикрытием (например, в DDoS-атаках). Фильтровать такой несанкционированный поток весьма сложно, здесь с трудом справляются даже серьезные математические методы (фильтры Калмана, Фурье, вейвлет-анализ и др.).

Так называемые «грубые физические» атаки с полнопереборными алгоритмами подбора пароля уже не так популярны (в 2019 г. — 6% всех атак). Но стали популярны «стиратели», «вымогатели». Например, ущерб от одной программы-стирателя оценивается в среднем почти в $240 млн. Это в 60 раз выше, чем ущерб от взлома учетных записей.

Немалый ущерб нанесли и «вымогатели-шифровальщики», но этот ущерб в первую очередь моральный. Применение зловредного ПО многих ввергло в стрессовую ситуацию, а некоторых заставило даже заплатить вымогателям (зачастую бесполезно).

Более сотни госструктур США подвергалось в прошедшем году воздействию «шифровальщиков». Например, вирус WannaCry-2017, воздействующий через Server Message идентифицировали в 80% случаев взлома. В конце 2019 мир был «обрадован» разновидностью «шифровальщика» ZeroCleare. В банковской сфере значительные ресурсы были направлены на борьбу с штаммами шифровальщика TrickBot, Ramnit, QaBot, Gozi и др.

Где находятся источники угроз

В отчете IBM приведена статистика по странам-источникам распространения угроз. Так, в части спама и рассылки зараженные ссылок уверенно лидирует США (26,5% всего вредоносного спама). Далее идут Франция (7,6%) и Нидерланды (6,3%). Россия — на четвертой позиции (6,1%).

Рейтинг стран по количеству жертв: США (11,7%), Индия (6,4%), Индонезия (5,9%). Россия — вновь четвертая (5,8%).

Кого атакуют в первую очередь

В 2019 г. наибольшему воздействию подвергались крупнейшие технологические компании:

В «Топ-10» также Spotify, Netflix, MS, FaceBook, Instagram, WhatsApp. «Не обижены вниманием» взломщиков транспортные компании, электронные СМИ, различные онлайн-сервисы, включая государственные.

Нажимая на кнопку "Подписаться", Вы соглашаетесь с условиями Политики в отношении обработки персональных данных и даете согласие на обработку персональных данных