ИССЛЕДОВАНИЕ КОМПАНИИ POSITIVE TECHNOLOGIES

АНАЛИТИКА

ТЕНЕВОЙ РЫНОК ДОСТУПОВ

Информационная безопасность – одно из приоритетных направлений для компаний , а на поддержание ее на достаточном уровне тратится огромное количество ресурсов , в том числе финансовых . Согласно исследованию Gartner , общемировые расходы на информационную безопасность в 2020 году выросли на 6,4 % по сравнению с 2019 годом , а главным приоритетом при планировании корпоративного бюджета 61 % из более чем 2000 опрошенных IT-директоров назвали инвестиции в ИБ .

Однако больших денежных вливаний и найма квалифицированных сотрудников может быть недостаточно . Общепринятые подходы к оценке угроз предусматривают классификацию потенциальных злоумышленников и построение системы защиты с учетом возможностей определенных типов нарушителей . Существует такая практика , когда компании считают , что они не интересны крупным APT-группировкам и другим злоумышленникам серьезного уровня , а менее подготовленные нарушители не способны причинить ущерб бизнесу . Если неправильно оценить возможности потенциального злоумышленника , то защита окажется неэффективной .

Как поменялся теневой рынок доступов Рынок доступов к корпоративным сетям активно формировался в течение последних нескольких лет . О его зрелости уже можно было судить в начале 2020 года . Один из факторов , способствующих такому развитию , – увеличение количества атак с использованием программ-вымогателей : участники партнерских программ шифровальщиков часто пользуются предложениями на рынке доступов .

Количество новых объявлений на тему доступов на теневых форумах увеличивалось с каждым кварталом на протяжении всего рассматриваемого периода . Чаще всего это были объявления о продаже уже полученных доступов к корпоративным сетям . На протяжении 2020 года мы выявили 707 новых объявлений о продаже доступов . В сравнении с 2019 годом количество новых объявлений увеличилось более чем в семь раз . И за один только I квартал 2021 года было обнаружено уже 590 новых предложений . Число новых объявлений о поиске напарников и злоумышленников-исполнителей также выросло : можно предположить , что это связано с появлением новых партнерских программ шифровальщиков и расширением старых группировок , распространяющих этот тип вредоносного ПО .

Интерес к доступам подтверждается и количеством пользователей , которые размещают объявления о покупке , продаже или сотрудничестве . Относительно I квартала 2020 года в I квартале 2021 года количество пользователей увеличилось в три раза .

В среднем в дарквебе ежеквартально продаются доступы в корпоративные сети на сумму около 600 000 долл . США . Хотя количество предложений на рынке растет , совокупная стоимость изменяется незначительно , что свидетельствует о том , что средняя цена , запрашиваемая за один доступ , снижается . Недорогие доступы , как правило , без привилегий – и чаще всего их продают неопытные злоумышленники , которые опасаются развивать атаку дальше . В целом стоимость доступа обычно зависит : от количества компьютеров , к которым преступник получит доступ ; привилегий учетной записи ; размера компании ; доходов компании и других ее финансовых показателей ; отрасли , к которой принадлежит компания .

С 2017 года по I квартал 2020 года доля объявлений , где была указана цена менее 1000 долл . США за доступ в одну компанию , составляла 15 %, а в период со II квартала 2020 года по I квартал 2021 года она выросла на 30 процентных пунктов и составила уже 45 %.

Доля дорогих доступов , стоимость которых превышает 5000 долл . США , за тот же период сократилась практически в два раза . Такие изменения могут быть следствием активного выхода на рынок злоумышленников-новичков .

Наш прогноз подтверждается : у злоумышленников появилась новая специализация – « добытчики доступов », и она привлекает новичков легким заработком . Их основная задача – получить первоначальный доступ в сеть компании для последующей реализации на рынке в дарквебе .

Чаще всего злоумышленники выставляли на продажу доступы к компаниям из сферы услуг ( 17 %), промышленности ( 14 %) и учреждениям в сфере науки и образования ( 12 %). В прошлом рассматриваемом периоде тройка наиболее часто встречающихся отраслей выглядела следующим образом : промышленные компании ( 16 %), предприятия сферы услуг ( 14 %) и финансовые организации ( 11 %). Организации сфере науки и образования занимали четвертое место , и их доля среди всех объявлений о продаже доступов в сети компаний составляла 9 %.

Отметим , что доля промышленных компаний и финансовых организаций , доступы в которые традиционно стоят дороже , несколько уменьшилась . Мы можем связать это с тем , что рынок доступов наполняется низкоквалифицированными игроками , которые предпочитают жертв « попроще ».

Последствия для бизнеса Мы видим , что модель нарушителя меняется : внешний нарушитель , который получает первоначальный доступ к сети компании , и нарушитель , который развивает атаку внутри , – абсолютно разные по уровню подготовки . Даже если периметр будет взломан новичком , в локальной сети атаковать будут уже профессионалы . Они обладают всеми ресурсами для достижения цели – реализации самых опасных для компании событий ( от кражи денег со счетов до полной остановки бизнес-процессов на длительное время ). А значит , и выстраивать систему защиты от кибератак необходимо с учетом новых реалий .

ИССЛЕДОВАНИЕ КОМПАНИИ POSITIVE TECHNOLOGIES

РАСПРЕДЕЛЕНИЕ ВЗЛОМАННЫХ ОРГАНИЗАЦИЙ ПО ОТРАСЛЯМ

17 %

14 %

12 % ^{НАУКА И}

7 %

3 %

3 %

6 % _{ГОСУЧРЕЖДЕНИЯ} 6 % ТОРГОВЛЯ

6 %

26 %

РАСПРЕДЕЛЕНИЕ ПРЕДЛОЖЕНИЙ О ПРОДАЖЕ ДОСТУПОВ К СЕТЯМ КОМПАНИЙ ПО ИХ СТОИМОСТИ

9 %

7 %

17 %

22 %

45 %

ДОЛЯ АТАК ШИФРОВАЛЬЩИКОВ СРЕДИ ВСЕХ АТАК НА ОРГАНИЗАЦИИ С ИСПОЛЬЗОВАНИЕМ ВПО

80 70 60 50 40 30 20 10 0

34

39

52

56

63

КОЛИЧЕСТВО НОВЫХ ОБЪЯВЛЕНИЙ НА ТЕНЕВЫХ ФОРУМАХ О ПРОДАЖЕ ДОСТУПОВ

800 700 600 500

КОЛИЧЕСТВО ПОЛЬЗОВАТЕЛЕЙ , РАЗМЕЩАЮЩИХ НА ФОРУМАХ ОБЪЯВЛЕНИЯ О ПРОДАЖЕ ДОСТУПОВ

160 140 120 100

147