«Нельзя спрогнозировать, кто будет взломан завтра, но можно понять, по каким правилам хакеры выбирают цели. Их выбор, это не случайность, а логика, основанная на трёх вещах: стоимости атаки, ценности добычи и вероятности успеха. Если ваша компания выглядит как ‘дешёвый вход в дорогую сеть’, вы уже в списке.»
Логика, а не предсказание
Попытки угадать конкретных жертв кибератак на год вперёд напоминают гадание на кофейной гуще. Киберпреступники не публикуют планы, их тактики быстро эволюционируют. Однако выбор цели для них, это не лотерея, а рациональное решение, подчиняющееся рыночным законам. Они оценивают потенциальную выгоду от взлома, стоимость его проведения и риски. Исходя из этого, можно выделить не категории компаний ‘которые точно станут целями’, а их атрибуты, которые делают их привлекательными в глазах злоумышленников. Эти атрибуты — вектор, по которому стоит оценивать собственную уязвимость.
Что делает компанию привлекательной мишенью?
В основе выбора цели лежит простое уравнение: (Ценность данных или ресурсов) / (Сложность проникновения * Риск обнаружения). Чем выше результат, тем вероятнее атака.
Высокая ценность добычи при низкой стоимости атаки
Идеальная цель — ‘слабое звено в сильной цепи’. Примером служат подрядчики и субподрядчики крупных корпораций или государственных структур. Их собственные данные могут не представлять большой ценности, но их системы, это доверенный путь к гораздо более ‘жирным’ целям. Атаковать напрямую ‘кита’ с серьёзной службой информационной безопасности дорого и рискованно. Проще найти его менее защищённого партнёра, который имеет доступ к его сетям, системам электронного документооборота или цепочкам поставок. Таким образом, малый бизнес в сфере IT-аутсорсинга или логистики для крупного банка может оказаться в большей опасности, чем сам банк.
Другой пример — растущий сектор компаний, внедряющих технологии ‘Интернета вещей’ или промышленной автоматизации (АСУ ТП). Ценность здесь — не столько в корпоративных данных, сколько в возможности остановить производство, повредить оборудование или получить контроль над критической инфраструктурой. Защита таких систем часто отстаёт от их внедрения, создавая множество уязвимых точек входа.
Критическая зависимость других от её работы
Хакеры всё чаще действуют не как воры, а как шантажисты. Их цель — не украсть, а заблокировать, и получить выкуп за восстановление. Поэтому в зоне повышенного риска находятся организации, чья остановка даже на несколько часов несёт катастрофические издержки для них самих и для тысяч других. Это операторы связи, дата-центры, крупные ритейлеры с онлайн-платформами, логистические и транспортные компании. Атака на такую организацию с помощью шифровальщика (ransomware) гарантирует высокое давление на руководство для выплаты выкупа, так как каждый час простоя оборачивается миллионными убытками и репутационным коллапсом.
Обладание уникальными или чувствительными данными
Некоторые данные представляют ценность сами по себе, и их утечка может быть использована для конкурентной разведки, шантажа или продажи на чёрном рынке. В эту категорию попадают:
- Биотехнологические и фармацевтические компании: результаты клинических испытаний, формулы препаратов, патенты. Их кража может сэкономить конкурентам годы разработок и миллиарды рублей.
- Юридические и консалтинговые фирмы: они хранят коммерческие тайны, планы слияний и поглощений, стратегии своих клиентов.
- Медицинские учреждения: базы пациентов с медицинскими историями, это персональные данные высокого спроса, используемые для целевого мошенничества или чёрного маркетинга.
Атаки на такие организации часто носят целенаправленный характер (APT — Advanced Persistent Threat), когда злоумышленники неделями или месяцами изучают инфраструктуру, чтобы незаметно похитить конкретные данные.
Отраслевые тренды и прогнозы на ближайший период
Исходя из текущей логики угроз, можно ожидать смещения фокуса атак в следующих направлениях.
Переход от ‘западных’ технологических стеков и рост атак на импортозамещённые решения
Массовый переход российских компаний и госструктур на отечественное ПО и оборудование создаёт новую реальность. Хакерские группы, как криминальные, так и государственные, будут активно исследовать уязвимости в этих новых, часто менее ‘обстрелянных’ в реальных условиях системах. Отсутствие длительной истории публичных аудитов безопасности, как у крупных западных вендоров, делает их привлекательными для поиска ‘нулевых дней’ (zero-day). Компании, находящиеся на острие этого перехода — первые внедренцы или разработчики таких решений, — могут стать полигоном для отработки новых атак.
Эксплуатация человеческого фактора в условиях высокой текучести кадров
Экономическая турбулентность и перестройка рынка труда привели к росту текучести в IT-сфере. Это создаёт два вектора угроз. Во-первых, растёт риск инсайдерских угроз — недовольные или уволенные сотрудники могут сознательно нанести вред. Во-вторых, и это важнее, частая смена персонала ведёт к ошибкам в конфигурации систем безопасности. Новый сотрудник может по незнанию открыть внешний доступ к служебному порталу, забыть обновить критическое ПО или использовать слабые учётные данные. Для хакеров такая компания выглядит как система с постоянно появляющимися временными ‘дырами’, которые легко обнаружить автоматическими сканерами.
Цепи поставок и атаки через зависимости
Современное ПО строится на сотнях сторонних библиотек и компонентов с открытым исходным кодом. Компрометация одной популярной библиотеки, используемой тысячами компаний, позволяет атаковать их всех одновременно. Мы уже видели такие кампании, как SolarWinds или атака через библиотеку Log4j. В ближайшем периоде стоит ожидать роста целенаправленных атак на репозитории открытого ПО или на малоизвестных, но критичных поставщиков микросхем, аппаратных модулей безопасности. Организация, которая не ведёт строгий учёт своих программных зависимостей и не проверяет целостность поставляемых аппаратных компонентов, автоматически наследует уязвимости всех своих ‘поставщиков’.
Как оценить свою позицию в ‘целеуказателе’?
Вместо вопроса ‘Нападут ли на нас?’ задайте своей службе информационной безопасности или внешним аудиторам другие.
- Контекст: Кто наши ключевые клиенты и партнёры? Насколько мы для них критичны и насколько они защищены? Не являемся ли мы ‘мостиком’ к ним?
- Данные: Какие данные у нас обрабатываются, что было бы самой болезненной утечкой? Где они хранятся и как защищены?
- Доступ: Кто и откуда имеет доступ к нашим критическим системам? Как часто мы пересматриваем эти права, особенно при увольнении сотрудников?
- Зависимости: От каких внешних поставщиков ПО, услуг, оборудования зависит наша непрерывность? Как мы проверяем их безопасность?
- Слабые места: Какие у нас самые ‘старые’ и наименее защищённые системы, которые нельзя просто выключить? Часто это унаследованные (legacy) промышленные или финансовые системы.
Ответы на эти вопросы не дадут иммунитета, но позволят сместиться из категории ‘лёгкой и ценной’ цели в категорию ‘неоправданно дорогой для взлома’. В конечном счёте, хакеры, как и любой рациональный агрессор, ищут путь наименьшего сопротивления. Ваша задача — сделать этот путь для прохождения через вашу компанию максимально сложным, долгим и шумным, чтобы он перестал быть экономически целесообразным.