VMware: Драстичен ръст на атаките с изтриване на данни и искане на откуп във финансовия сектор

Това показва петото издание на проучването Modern Bank Heist Report

от Мария Динкова

27 юни 2022 14:58 1558 прочитания

63% от финансовите институции отчитат ръст в атаките, свързани с изтриване на данни. Освен това 74% от организациите в сектора признават, че са изпитали поне една рансъмуер атака в рамките на изминалата година, а 63% са заплатили поискания откуп.

Това показват данни от проучването Modern Bank Heist Report, проведено за пета поредна година от VMware, което измерва тенденции сред директорите по киберсигурност (CISO) във водещите финансови институции. Анкетираните оценяват променящото се поведение на киберпрестъпниците и мерките за защитата във финансовия сектор.

Проучването сочи, че освен увеличение в количеството кибернападения, както и платени откупи в сравнение с предходни години се наблюдава и еволюиране на естеството на атаките - от познатите измами с банкови преводи към целенасочено таргетиране на определени пазари, пробив в акаунти на инвестиционни посредници и проникване в банкови системи през по-малки и уязвими цели (island hopping).

Ключови наблюдения от проучването Modern Bank Heist Report 2022:

60% от финансовите институции са изпитали island hopping атаки, което е 58% ръст спрямо миналата година. Този ръст говори за нова ера на киберсигурност, в която по-малко защитените партньори на финансови институции се превръщат в основна цел. С това атакуващите търсят начин да пробият информационните системи на финансовите институции, които преминаха през дигитална трансформация последните години.
67% от респондентите са забелязали манипулации на времевите характеристики (time stamp). Този тип атаки са кръстени Chronos (на бог Кронос от древногръцката митология) и 44% от тях са таргетирали пазарни позиции.
83% са обезпокоени доколко гарантирана е сигурността на крипто борсите. При успех подобна атака дава предимство от моментална монетизация в криптовалута.
80% от главните директори по информационна сигурност все още са пряко подчинени на CIO вместо на главните изпълнителни директори.
На въпрос откъде произлизат заплахите мнозинството отговарят, че Русия създава най-голямо безпокойство в киберпространството като последица от геополитическото напрежение.

"Преди две години и особено днес, в контекста на актуалното геополитическо положение, виждаме ръст в опитите за фишинг, DDoS, рансъмуеър атаки и изтриване на данни. Киберпрестъпниците целят всичко, което може да бъде използвано за изнудване, кражба, продажба или при невъзможност за получаване на откуп - заличаване на информация. Киберпрестъпниците вече не са аматьори, това са добре организирани групи, действащи като всяка друга компания със своите бизнес цели, планиране и финансиране", посочва Александър Класанов, началник отдел "Сигурност" в "Райфазенбанк България". Той допълва, че банките могат да се отбраняват самостоятелно, но като част от цяла екосистема за обмен на информация този подход вече не е достатъчно ефективен.

По думите на експерта за защитата трябва да се грижат както финансовите институции, така и техните клиенти, като повишават културата си на кибербезопасност. Освен това според него трябва да съществува координация не само с държавни институции като CERT, но и с мобилни оператори, центровете за данни и други оператори на данни. "Бъдещето на защитени общности и организации зависи от успешното интегриране и координиране на действията за постигане на кумулативен ефект на защитата", отбелязва Класанов.

Интересно заключение в доклада е фактът, че с пробив на системите на финансовите институции вече не се целят банкови преводи и присвояването на капитал, както е било преди. Организираните групи за киберпрестъпления днес търсят достъп до непублична пазарна информация, като финансови отчети, публични предлагания и значими сделки. Две от три компании или 66% отбелязват атаки, които целят да достъпят информация за техни пазарни стратегии. Подобни съвременни манипулации приличат на икономически шпионаж и могат да се използва за дигитализиране на търговията с вътрешна информация.

В тази връзка повечето финансови институции планират да увеличат бюджетите си за киберсигурност с 20-30% тази година. Най-големите инвестиции ще са в XDR (комбинация от инструменти и данни за разширен мониторинг, анализ и реакция при атака - бел. ред.) - 24%, сигурността при натоварванията (22%) и сигурността на мобилните устройства (21%).

"Днес, в ситуация на високо геополитическо напрежение, сигурността е сред топ приоритетите на бизнес лидерите. Виждаме, че киберпрестъпниците все повече използват инструменти за заличаване на данни, отдалечен достъп (RATs) и злоупотребяват с уязвимости на системите (Zero Day exploit). От проучването виждаме промяна в мотивите от обир към търсене на откуп, от блокиране към изтриване на информация. Така те нанасят следи върху един много чувствителен сектор на икономиката. Взаимодействието между общности по киберсигурност, държавни институции и финансовия сектор е ключово в борбата срещу тези нарастващи заплахи", подчертава Венцислав Почекански, вицепрезидент научно-развойна дейност във VMware.

10 съвета за защита

На фона увеличаващите се киберзаплахи банковите институциите трябва да подобрят начините, по които се справят. Експертите от VMware дават 10 съвета на екипите по сигурност:

#1 Интегрирайте своята система за мрежова проверка и реакция (NDR) със своята платформа за проверка и реакция при крайните точки. Технологията за откриване и отговаряне на заплахи постоянно и в реално време следи системите с цел намиране и разследване на потенциални заплахи. След това системата използва автоматизация да ограничи и премахне тези заплахи.

#2 Приложете микросегментация, като по този начин ще ограничите способността на нападателите да се движат странично в организацията. Принуждавайки ги да преминават установените граници, осигурявате по-добри възможности за откриване и спиране.

#3 Автоматизирайте управлението на уязвимости, така че екипите по сигурност да имат подобрено приоритизиране на рисковете и да могат да се фокусират върху уязвимостите, които всъщност могат да се използват от хакерите

#4 Внедрете технологии за измама, така че да заблудите и отклоните нападателите.

#5 Активирайте управление на приложенията с висока степен на защита, за да предотвратите неодобрена промяна и да помогнете за спирането на малуер, рансъмуер и атаки от типа "нулев ден".

#6 Внедрете сигурност при работните процеси, за да намалите повърхността за атаки, увеличите видимостта във всички среди и да защитите работните процеси от нови заплахи.

#7 Провеждайте седмични проверки за заплахи. Екипите по сигурност трябва да предполагат, че престъпниците имат множество начини, по които да получат достъп до организацията. Търсенето на заплахи на всички устройства може да помогне на експертите да открият аномалии в поведението.

#8 Приложете DevSecOps и API сигурност, за да защитите модерните приложения

#9 Използвате т.нар. just-in-time administration, при което достъпът до системите е ограничен до предварително определен времеви период, на база на необходимост. По този начин повърхността за атака ще е само в моментите, когато привилегиите за достъп се използват активно.

#10 Гаратирайте, че бекъпите са достъпни и редовни, за да гарантирате, че критичните данни могат да бъдат възстановени бързо, ако организацията е засегната от рансъмуер или кибератака, съврзана с унищожаване на данни.

Проучването е проведено от VMware посредством онлайн анкета относно еволюцията на киберзаплахите през февруари 2022 година. В него са взели участие 130 директори по киберсигурност на финансови институции по цял свят. 41% от респондентите са от Северна Америка, 29% от Европа, 16% са от региона на Азия и Тихия океан, 12% са от Централна и Южна Америка и 2% - от Африка.