Ущерб от кибератаки зависит от того, как быстро организация обнаружит деструктивную активность хакеров и насколько эффективными будут меры реагирования и противодействия злоумышленникам. Поэтому, чтобы их вредоносные действия как можно дольше оставались незамеченными, для проведения последнего и самого важного этапа атаки хакеры в большинстве случаев выбирают выходные, а не будние дни. Таким образом, две нерабочие недели – один из лучших периодов за весь год с точки зрения конечных целей злоумышленников.
«Длинные январские праздники – плохое время для первоначального взлома или попыток незаметного развития атаки, но идеальное – для фазы нанесения ущерба. Особенно рискуют организации, которые не отслеживают события информационной безопасности в своей инфраструктуре. У них практически нет шансов узнать о взломе до того, как хакеры парализуют бизнес. В новогодние праздники мы получаем вал запросов на помощь в реагировании и расследовании от таких компаний», – рассказал Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC.
За первую неделю января 2024 года количество сообщений о таких инцидентах в четыре раза превысило среднемесячные значения по году. Примерно в 80% они были связаны с попытками шифрования, и примерно в трети случаев атаки были реализованы через ранее взломанных ИТ-подрядчиков. В этом году, с учетом совокупного роста хакерской активности, эксперты RED Security SOC прогнозируют рост в четыре-пять раз.
Компаниям, у которых нет возможности вести круглосуточный мониторинг событий ИБ, эксперты RED Security SOC советуют принять ряд мер защиты на период праздников. Прежде всего, если в это время бизнес полностью останавливает работу, следует ограничить все сетевые соединения или вообще отключить доступ в интернет.
Если это невозможно, необходимо закрыть или свести к минимуму доступ ИТ-подрядчиков в инфраструктуру организации. Кроме того, полезно провести базовую проверку на компрометацию с помощью аудита доменных групп и поиска аномалий и несанкционированных действий за последние несколько месяцев. Также эксперты рекомендуют позаботиться о логировании событий в инфраструктуре, которое будет необходимо для расследования инцидента, и создании резервных копий, которые позволят компании оперативно восстановиться в случае атаки шифровальщика.
RED Security SOC предоставляет сервисы защиты от киберугроз в режиме 24/7 и ежедневно обрабатывает более 8,6 млрд событий информационной безопасности в инфраструктурах заказчиков. Эксперты центра мониторинга выявляют цепочки кибератак и выдают рекомендации, которые помогают заблокировать их развитие на ранних стадиях – до того, как злоумышленники достигнут своей цели и нанесут ущерб организации.
