Группа компаний «Солар» рассказала, что за год критичность инцидентов. значительно возросла. В первом полугодии 2023 года доля высококритичных инцидентов составляла 2%, а в первом полугодии 2024 года этот показатель вырос до 7%. Эти данные представлены в квартальном отчёте центра противодействия кибератакам Solar JSOC ГК «Солар». Исследование было проведено на основе анализа данных по мониторингу инфраструктур 300 организаций из разных отраслей экономики. Отчётный период включает первое полугодие и отдельно второй квартал 2024 года.
По словам ИБ‑специалистов, такая динамика может говорить о постоянном усложнении техник и тактик злоумышленников и более точечных кибератаках, которые учитывают особенности инфраструктуры конкретной организации. Резкий всплеск доли высококритичных инцидентов (до 9%) произошёл ещё в первом квартале 2024 года. Однако и во втором квартале этот показатель пусть и не побил рекорд, но составил 4%, что всё же выше средних показателей прошлых периодов на 1–2 процентных пункта.
Чаще всего причиной таких инцидентов в первом полугодии становился несанкционированный доступ (НСД) к информационным системам и сервисам (доля составила 46%). Тренд наметился в в первом квартале — вместо традиционных 5–6%, с НСД оказались связаны почти 50% всех инцидентов, зафиксированных Solar JSOC. Во втором квартале угроза осталась актуальной — на НСД пришлось 44% высококритичных инцидентов.
На втором месте (с долей в 42% в первом полугодии) находится заражение вредоносным ПО. Причём этот инструмент злоумышленники используют, как для массовых атак, так и для целевых ударов по ключевым объектам российской инфраструктуры. А данные расследований, которые проводит команда центра исследования киберугроз Solar 4RAYS, указывают на то, что профессиональные киберпреступники за последние два года значительно усложнили используемый софт, активнее применяют самописное ПО и совершенствуют свои техники и тактики.
В целом в первом полугодии 2024 года мониторинг Solar JSOC зафиксировал 676 тысяч инцидентов разной степени критичности. Это на 10% превышает показатели аналогичного периода предыдущего года. Чаще всего причиной инцидентов становились попытки заражения вредоносным ПО, эксплуатации уязвимостей и несанкционированный доступ к системам и сервисам. В то же время достаточное число атак было выявлено с помощью срабатывания сигнатур сенсоров SOC (NTA, EDR). Последнее ещё раз указывает на то, что кибератаки становятся продуманнее, и для выявления вредоносных действий уже не хватает стандартных средств защиты и мониторинга.