Неутешительную динамику описывают эксперты Alert Logic в своем докладе о технологиях обнаружения угроз. В последние годы киберпреступники все больше автоматизируют свои атаки, таким образом лишая жертв времени на защитные меры.
Исследование охватывает период с апреля 2017 года по июль 2018-го. Аналитики изучили более 254 тыс. инцидентов ИБ и 7,2 млн связанных с ними событий.
Если обобщить полученные данные, то реальная сегодняшняя кибератака разворачивается в три этапа, в то время как «традиционная модель» предполагала последовательное прохождение, по крайней мере, семи ступеней. И это, соответственно, оставляло специалистам время для того, чтобы заметить атаку и устранить ее последствия.
Семиэтапная схема начиналась с разведки, когда хакеры собирали учетные данные, выясняли внутреннюю структуру компании-жертвы, подбирали необходимое ПО, только затем они проникали в инфраструктуру, размещали в ней зловред и устанавливали удаленный контроль. Последним шагом было собственно применение полезной (вернее «вредной») нагрузки — шифрование данных, кража ценной информации, перехват денежных средств.
Преступники 2018 года, однако, способны полностью автоматизировать первые пять этапов кибератаки — от разведки до установки вредоносного ПО. Специализированный поисковик уязвимых умных устройств делает эту задачу доступной даже для школьника. Как итог, хакеры могут максимально быстро расширить охват без увеличения затраченных ресурсов.
Метод автоматизации, которому по традиции дали красочное название spray-and-pray («стреляй и молись»), сегодня применяется в 88% вредоносных кампаний. При этом по-прежнему актуальным остается вопрос насильственного превращения аппаратуры в майнинговую ферму.
Исследователи заключают, что в нынешних условиях для организаций оказываются особенно важными «вопросы базовой гигиены», то есть постоянной проверки на наличие уязвимостей и, разумеется, внимание к человеческому фактору.
В мае КБ-эксперты сообщили, что в среднем преступники опережают ИБ-специалистов на семь дней — столько времени требуется экспертам, чтобы закрыть уязвимость после ее обнаружения. Автоматизация атак только увеличивает этот разрыв.
