Пока взлом не грянет: каким для рынка кибербеза был 2024 год и каким будет 2025-й

Статистика атакующих и защитных действий

Динамика развития рынка кибербезопасности в России такова, что может дать фору многим другим секторам не только в IT-отрасли, но и в целом в экономике. Если в 2023 году, согласно оценкам Центра стратегических разработок, он вырос на 28,5%, до 248,5 млрд рублей, то к 2028 году достигнет 715 млрд рублей и на долю российских вендоров будет приходиться более 95% всего объема. Прогноз аналитиков TAdviser, в 2023-м оценивших рынок ИБ в 265 млрд рублей, также свидетельствует, что по итогам 2024 года он увеличится еще на 20-25% до 318-331 млрд рублей.

Впрочем, если ознакомиться с экспертными мнениями и оценками того, как растут количество и интенсивность кибератак на российских пользователей и бизнес, такие цифры уже не удивляют. Например, согласно данным Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора, которые озвучивал его директор Сергей Хуторцев на форуме «Спектр-2024» в октябре, число фишинговых атак в России выросло более чем впятеро с начала года по сравнению с 2023-м, на 425%, а количество DDoS-атак — на 70%. Далее, по оценкам «Лаборатории Касперского», в первом полугодии 2024-го в России и СНГ количество критичных киберинцидентов выросло на 39% по сравнению с аналогичным периодом 2023-го.

Еще немного показательной статистики: за первые семь месяцев 2024 года ущерб от IT-преступлений в России уже достиг 99 млрд рублей, а преступления в сфере кибермошенничества составляют более 30% от общего числа — такими подсчетами делился заместитель начальника Следственного департамента МВД Даниил Филиппов на Восточном экономическом форуме. Кроме того, по данным аналитиков Лаборатории цифровой криминалистики F.A.С.С.T., в 2024 году количество атак программ-вымогателей выросло на 44% по сравнению с предыдущим годом. При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве.

Утечки данных, конечно, тоже регулярно давали о себе знать. По данным на 16 декабря, аналитики Threat Intelligence F.A.С.С.T. выявили в 2024 году в тематических Telegram-каналах и на андеграундных форумах 259 ранее не опубликованных баз данных российских компаний (в 2023-м — 246). В «группе риска» в 2024 году в первую очередь оказались ретейл и интернет-магазины, медицинские организации, образовательные центры. «Как и раньше, большинство похищенных баз данных выкладываются в публичный доступ, в основном в Telegram-каналах, бесплатно для нанесения наибольшего ущерба компаниям и их клиентам», — сообщили в компании.

Forbes спросил экспертов и участников рынка информбезопасности, как изменились в 2024 году киберугрозы и чего нам ждать от хакеров-злоумышленников в следующем году.

Рост по всем направлениям

«Кибератаки за последний год стали более изощренными, хорошо продуманными и скоординированными», — делится впечатлениями СЕО Security Vision Руслан Рахметов. С одной стороны, отечественные компании существенно «подтянули» уровень информационной безопасности (ИБ), с другой — атакующие перешли от неизбирательных массовых и легко выявляемых кибератак к сложным кибероперациям с целью шпионажа, кражи данных, уничтожения информационной инфраструктуры жертв, говорит он. «Нескончаемый поток» киберинцидентов приводит к повышенной нагрузке на ИБ-специалистов, и компании стремятся к автоматизации процессов ИБ, чтобы компенсировать дефицит сотрудников и ускорить реагирование на киберугрозы, заключает Рахметов.

В то время, как кибератаки усложняются, бизнес стремится максимально облегчить для себя решение ИБ-вопросов, переложив его на специалистов. «Видим тренд на упрощение в управлении кибербезопасностью: компании стремятся буквально в пару кликов выстроить защищенный периметр, — говорит директор по продуктовому развитию ГК «Солар» Владимир Бенгин. — Но для реализации этого подхода необходима архитектура комплексной кибербезопасности, которая базируется на сервисах и продуктах ИБ».

«Уже в первые месяцы 2024 года мы фиксировали усиление активности злоумышленников — атаки стали более мощными и изощренными», — также подмечает директор по продуктам Servicepipe Михаил Хлебунов. Так, DDoS-атаки на приложения (уровень L7) выросли в длительности вдвое, рассказывает он. Особенно пострадал, по его словам, финансовый сектор: атаки на микрофинансовые организации увеличились в четыре с половиной раза. К марту активизировались хактивисты, которые стали запускать более мощные атаки — их пиковая скорость выросла с 13 до 47 Гбит/с. «Это был сигнал, что хакеры готовы к более амбициозным целям», — говорит Хлебунов. По его словам, летом Servicepipe фиксировала «мощнейшую волну атак» (как на сетевом уровне, так и на уровне приложений) на букмекеров на фоне проведения чемпионата Европы по футболу: «В частности, средняя продолжительность сетевых атак увеличилась до 72 часов — это рекордный показатель по сравнению с предыдущими годами».

Кроме того, летом хактивисты активно атаковали финсектор, используя тактику «ковровых» нападений на сетевом уровне, когда вредоносный трафик направляется по всем IP-адресам организации, сплошным «ковром» (при этом мощность атаки, приходящаяся на один IP-адрес, может быть очень невысокой). «Также мы фиксировали «ковровые» атаки на облачных и интернет-провайдеров», — продолжает Хлебунов. Как утверждают эксперты, это побудило реальный сектор пересмотреть свои подходы к обеспечению кибербезопасности — спрос на решения по защите сетевых атак и атак на уровне приложений существенно вырос, и, кроме того, активнее пошел процесс миграции на отечественные решения.

Нет худа без добра: главной тенденцией из тех, что определяли лицо рынка ИБ-услуг в 2024 году, генеральный директор RED Security Иван Вассунов называет «совокупное повышение зрелости российских компаний в области кибербезопасности». Оно повлекло за собой, по его мнению, несколько важных изменений: «Прежде всего, заказчики более широко внедряли стандартные средства защиты информации (СЗИ), и сейчас базовые СЗИ есть почти у всех». Правда, для отражения комплексных, многовекторных атак их недостаточно, оговаривается Вассунов, поэтому «настало время для более массового применения сложных решений».

Следствием повышения среднего уровня зрелости компаний в сфере ИБ стал рост спроса на центры мониторинга и реагирования на кибератаки, продолжает Вассунов. Дополнительным драйвером востребованности таких коммерческих сервисов служит то, что при попытке создания SOC (Security Operations Center, структурное подразделение, отвечающее за оперативный мониторинг IT-среды и реагирования на киберинциденты) внутри организаций заказчики сталкиваются с дефицитом квалифицированных кадров.

В целом за последние три года в России значительно возросло количество кибератак, направленных преимущественно на промышленные предприятия, государственный и энергетический сектор, ретейл, логистику и финансовые организации, перечисляет генеральный директор F.A.C.C.T. Валерий Баулин. «Вопросы кибербезопасности касаются сейчас абсолютно каждого, включая малый и средний бизнес, — говорит он. — Мы видим, как киберпреступность адаптируется, появляются новые угрозы и методы обхода традиционных средств защиты. Даже хорошо защищенная инфраструктура может не выдержать, когда речь идет об атаке через поставщика и цепочку поставок».

Эволюция подходов

К слову, о цепочках поставок. Нападения на поставщиков и проникновение, таким образом, в инфраструктуру компаний через посредника участники рынка ИБ указывают в качестве одного из самых расхожих типов атак этого года. «Мы сталкиваемся с этим постоянно в ходе расследований инцидентов», — выражает общее мнение руководитель управления исследования угроз «Лаборатории Касперского» Александр Лискин. При этом злоумышленники сосредоточили свое внимание на небольших подрядчиках, обращает внимание директор по продуктам и технологиям BI.Zone Муслим Меджлумов. «Компрометация таких компаний открывает атакующим двери к действительно значимым целям, ведь уровень защищенности у маленькой компании, как правило, не такой высокий, как у крупных игроков», — размышляет он.

За год число таких атак выросло на 50%, оценивает Вассунов. При этом злоумышленники, по его словам, очень тщательно маскируют свои действия под легитимную активность, и выявить их можно исключительно благодаря поиску небольших аномалий, которые заметны только круглосуточно работающему центру мониторинга. Последствия таких атак часто «фатальны для компаний», ведь, как правило, подрядчики имеют широкий доступ в инфраструктуру заказчика, рассуждает Бенгин. Его коллега Лискин из «Лаборатории Касперского» отмечает: технологии ИИ, которые многие компании сейчас стремятся внедрять в различные процессы, нередко базируются на проектах с открытым исходным кодом, а случаев с атаками на цепочки поставок через такие проекты в последнее время становится все больше.

Еще одной характерной чертой этого года участники рынка называют целевой характер кибератак. Он заметен, по словам Вассунова, и в том, что фишинговые письма в адрес сотрудников атакуемых организаций все чаще адаптированы под специфику деятельности конкретной компании и даже конкретного получателя, а особенно часто целевой фишинг используется для атак в финансовый сектор. По данным RED Security SOC, с начала года количество целенаправленных атак на крупный бизнес выросло примерно на 60%. В основном они направлены на объекты критической информационной инфраструктуры (КИИ), в особенности промышленности, финансов и телекома. В этих отраслях с целенаправленными атаками хотя бы единожды за год сталкивались уже 70% организаций.

Кроме того, на локальный ландшафт угроз по-прежнему влияет геополитический контекст, указывают эксперты. «Мы все еще наблюдаем высокий уровень активности хактивистов», — говорит Муслим Меджлумов. Организованные хактивисты, кибернаемники и солдаты киберармий используют более продвинутые методы атак, чем финансово-мотивированные злоумышленники, которые точно просчитывают «экономику» своих кибератак, размышляет Рахметов. «Последним в большинстве случаев для достижения цели достаточно банальных методов — социальная инженерия (фишинг, звонки, дипфейки), эксплуатация известных уязвимостей, применение ВПО (вредоносного программного обеспечения), включая использование «подписочных» вредоносов (Ransomware-as-a-Service) и инструментов для легальных пентестов. Хактивисты и члены киберармий как раз организуют атаки на цепочки поставок и атаки через доверительные отношения с дочерними и зависимыми обществами, а также могут эксплуатировать программные зависимости, возникающие при разработке или использовании ПО, включая Open Source.

Что год грядущий нам готовит

В конце ноября Госдума приняли законы, усиливающие ответственность за утечки персональных данных и их незаконное использование и передачу, введя уголовную ответственность и оборотные штрафы (до 3% совокупной выручки). По мнению экспертов, это окажет «огромное влияние» на отрасль. Причем неоднозначное. С одной стороны, важное следствие состоит в том, что компании будут системнее подходить к ИБ, считает Иван Вассунов: «В частности, стремиться к максимально полному покрытия цифровых активов средствами защиты, мониторинга и реагирования на инциденты».

Новые меры по защите персональных данных действительно назрели, говорит Руслан Рахметов, особенно ввиду объема утечек и высокой социальной значимости надежной защиты информации о гражданах. Согласно наблюдениям F.A.C.C.T., наряду с атаками программ-вымогателей киберугрозой №1 для российского бизнеса в 2024 году стали именно утечки баз данных, поскольку даже при атаках шифровальщиков кража персональных данных остается одной из приоритетных целей злоумышленников. Однако есть при этом риск того, что высокие штрафы спровоцируют злоумышленников воспользоваться ситуацией, полагает Рахметов: например, они могут начать вымогать у компаний деньги за неразглашение информации об утечке данных — вне зависимости от того, украли ли они данные в реальности или нет. «Кроме того, мошенники могут взять на вооружение и тактику угроз обращения в Роскомнадзор из-за якобы утечки персональных данных», — предупреждает он.

Игроки сходятся во мнении: в 2025 году российский бизнес ждут сложные многовекторные атаки, они станут новой реальностью. «Ожидаем усиления ковровых атак. Если в 2024 году они сосредотачивались на создании масштабного «засыпающего» эффекта для перегрузки инфраструктуры компаний, то в 2025 году мы ждем их дальнейшего усложнения, — прогнозирует Михаил Хлебунов. — Злоумышленники будут использовать комбинации различных методов, чтобы перегрузить инфраструктуру не только объемом трафика, но и одновременно воздействовать на уязвимости на разных уровнях».

По мнению Муслима Меджлумова, помимо того, что кластеры хактивистской направленности будут реализовывать все более сложные атаки, смещая фокус на шпионаж, активный процесс импортозамещения и растущая в связи с этим доля Linux-систем приведет к тому, что мы наверняка увидим больше атак именно на Linux.

ИБ-специалисты ожидают не только мультивекторных нападений: большое влияние окажет использование хакерами ИИ, уверены они. Это будет выражаться в увеличении числа длительных и комплексных атак, когда киберпреступники непрерывно перебирают все возможные вектора и инструменты для взлома компании, и после отражения атаки одного типа сразу же происходит попытка следующей — через другие точки входа, другие потенциальные бреши в защите, рассуждает Иван Вассунов: «На этом фоне еще острее встанет проблема дефицита кадров в отрасли». Уже сегодня злоумышленники все чаще и эффективнее применяют ИИ для разработки ВПО, поиска уязвимостей и проведения кибератак, а в будущем смогут автоматизировать трудоемкие операции по анализу скомпрометированной инфраструктуры, поиску «болевых точек» и обнаружению наиболее ценной информации, убежден Руслан Рахметов.

Впрочем, если злоумышленники будут использовать ИИ, то это отнюдь не значит, что его не смогут призвать на службу и «силы добра». Безопасники также автоматизируют с помощью ИИ свою защиту от кибератак. Со временем рекомендательные системы и ИИ-помощники (технология co-pilot) будут встраиваться во все большее число защитных решений, что позволит повысить эффективность и оперативность выявления и предотвращения киберугроз, размышляет Рахметов. «Возможно, со временем мы придем к противостоянию ИИ-инструментов для защиты и атаки. Первые битвы такого рода мы увидим уже в следующем году», — резюмирует Вассунов.