Облачные сервисы нравятся компаниям ровно до тех пор, пока они не столкнутся с первыми взломами, кражами или потерями своих данных. А это явление, как выясняется на практике, не такое-то и редкое. Более того, объем краж с годами только растет.
Атаки каждые 14 секунд
Причиной потери данных или их конфиденциального характера (т.е. если администрация сервиса смогла восстановить утерянные данные) может стать как недостаточно защищенный облачный сервис, так и достаточно защищенный, но очень привлекательный для взлома.
Согласно докладу о глобальных рисках Всемирного экономического форума 2019 г., мошенничество с данными и кибератаки являются четвертым и пятым глобальными рисками, с которыми сталкивается каждая организация. При этом в официальном ежегодном отчете о киберпреступности (ACR) за 2019 г., опубликованном Cybersecurity Ventures, сообщается, что атаки хакеров во всем мире происходят каждые 14 секунд, и частота растет из года в год. К 2021 г. она вырастет еще на 20% и атаки будут происходить каждые 11 секунд.
Растет качество, а не количество
Многие случаи взлома — суть следствие имеющихся уязвимостей. Как отмечают аналитики IBM в своем аналитическом докладе X-Force Threat Intelligence Index-2020 (февраль 2020 г.), в 2019 г. подавляющее (до 85%) число взломов облачных сервисов, данных произошло из-за некорректного администрирования. Причин много — неправильные настройки, недостаточная защита, несоблюдение или нестрогие правила безопасности.
Всего в 2019 г. было украдено около 9 млрд. записей, что в три раза выше, чем годом ранее. Число взломов уменьшилось примерно на 14%, но резко выросло «качество» взломов, то есть количество данных, похищаемых при взломе. В частности, в 2019 г. была зафиксирована пара случаев, когда похищались сразу миллиарды записей.
В докладе IBM отмечается, что 60% взломов было осуществлено с использованием известных уязвимостей ПО (до 30% взломов, прирост — 22%) и ранее похищенных учетных записей, которые помогли осуществить новые атаки. Еще одна весомая причина — обман пользователей с целью получения доступа к данным. При этом фишинговых атак за 2019 г. стало меньше на 19% (нынешняя доля — 31%).
В компании по кибербезопасности DeviceLock в конце 2019 г. посчитали, что по причине утечек данных из облаков в общий доступ попало в два раза больше данных, нежели в 2018 г. В первую очередь речь идет о данных из МФО и операторов фискальных данных. Всего за полгода было обнаружено около 200 облачных серверов практически с открытым доступом.
Среди наиболее крупных утечек — один из серверов Amazon Web Services с 20 млн записей о россиянах, утечка 14 млн записей с чеками и адресами магазинов, где были совершены покупки, из ОФД «Дримкас» и утечка в микрофинансовой компании «ГринМани» (более 1 млн записей).
Причины утечек
По данным компании Filemon одной из наиболее часто упоминаемых проблем в облачных средах является неправильная конфигурация защитного программного обеспечения, а также халатность сотрудников и ручной процесс настройки параметров ИТ-безопасности.
Косвенно на утечки влияет и недостаточное финансирование департаментов ИТ-безопасности: почти у 80% компаний данная статья бюджета составляет менее 25% всех затрат. Впрочем, надо понимать, что нет смысла просто повышать финансирование, нужно еще и найти грамотных специалистов в области ИТ-безопасности.
Среди причин также можно выделить негласную политику работы с обнаруженными уязвимостями. Производители ПО, безусловно, активно ищут уязвимости и даже готовы оплатить сведения об их наличии сторонним людям, которые их нашли.
Однако устранение уязвимостей в большинстве случаев происходит в следующих версиях и релизах, а не в текущей. Поэтому даже давно обнаруженные уязвимости, например, в MS Office, Windows Server, могут быть успешно использованы до сих пор. Всего же в разных программах насчитывается порядка 150 000 подобных уязвимостей.
Как используют украденные данные
Украденные пользовательские учетные записи использовались в почти 30% всех взломов, в частности, для слияния с санкционированным трафиком и нанесения вреда под его прикрытием (например, в DDoS-атаках). Фильтровать такой несанкционированный поток весьма сложно, здесь с трудом справляются даже серьезные математические методы (фильтры Калмана, Фурье, вейвлет-анализ и др.).
Так называемые «грубые физические» атаки с полнопереборными алгоритмами подбора пароля уже не так популярны (в 2019 г. — 6% всех атак). Но стали популярны «стиратели», «вымогатели». Например, ущерб от одной программы-стирателя оценивается в среднем почти в $240 млн. Это в 60 раз выше, чем ущерб от взлома учетных записей.
Немалый ущерб нанесли и «вымогатели-шифровальщики», но этот ущерб в первую очередь моральный. Применение зловредного ПО многих ввергло в стрессовую ситуацию, а некоторых заставило даже заплатить вымогателям (зачастую бесполезно).
Более сотни госструктур США подвергалось в прошедшем году воздействию «шифровальщиков». Например, вирус WannaCry-2017, воздействующий через Server Message идентифицировали в 80% случаев взлома. В конце 2019 мир был «обрадован» разновидностью «шифровальщика» ZeroCleare. В банковской сфере значительные ресурсы были направлены на борьбу с штаммами шифровальщика TrickBot, Ramnit, QaBot, Gozi и др.
Где находятся источники угроз
В отчете IBM приведена статистика по странам-источникам распространения угроз. Так, в части спама и рассылки зараженные ссылок уверенно лидирует США (26,5% всего вредоносного спама). Далее идут Франция (7,6%) и Нидерланды (6,3%). Россия — на четвертой позиции (6,1%).
Рейтинг стран по количеству жертв: США (11,7%), Индия (6,4%), Индонезия (5,9%). Россия — вновь четвертая (5,8%).
Топ-20 стран по организации вредоносного спама
Кого атакуют в первую очередь
В 2019 г. наибольшему воздействию подвергались крупнейшие технологические компании:
- Google (39% угроз),
- YouTube (17%),
- Apple (15%),
- Amazon (12%).
В «Топ-10» также Spotify, Netflix, MS, FaceBook, Instagram, WhatsApp. «Не обижены вниманием» взломщиков транспортные компании, электронные СМИ, различные онлайн-сервисы, включая государственные.