Беларусь заняла второе место среди стран СНГ по количеству успешных кибератак на организации. Эксперты Positive Technoligies рассказали, какие киберугрозы актуальны для Беларуси и как от них защититься.
Хакеры постоянно разрабатывают новые виды вредоносных программ и используют методы социальной инженерии для компрометации инфраструктуры организаций. Для Беларуси действия киберпреступников являются актуальной проблемой. Нашу страну они атакуют особенно часто.
По данным исследования Positive Technoligies, во второй половине 2024 года и в первых трех кварталах 2025-ого Беларусь заняла второе место по числу успешных кибератак в странах СНГ. На долю белорусских организаций пришлось 9% успешных кибератак в регионе. По этому показателю нас опережает лишь Россия – с 72%. На третьем месте Казахстан – у него 7%.
Какие цели преследуют хакеры
Чаще всего в Беларуси атакам хакеров подвергаются госучреждения, на долю которых пришлось 18% всех успешных кибератак. Повышенный интерес злоумышленников к государственным учреждениям Беларуси авторы исследования связывают в том числе с партнерством с Россией в ключевых сферах. Кибершпионов могут интересовать документы и переписки, касающиеся взаимодействия с российскими ведомствами.
На втором месте по числу кибератак в Беларуси оказались промышленные предприятия и производственный сектор. На их долю пришлось 14% успешных кибератак.
Каждая девятая (11%) успешная кибератака связана с финансовой отраслью. Целями становятся банки и финтех-компании. Обычно они подвергаются фишинговым атакам, внедрению вредоносного ПО и шантажу с использованием программ-шифровальщиков.
Белорусские организации становятся целью как массовых, так и целевых атак. В 62% случаев успешные кибератаки заканчивались утечкой конфиденциальной информации.
Почему кибератаки становятся успешными
Человеческий фактор все еще остается главной причиной успеха киберпреступников. Доля успешных кибератак с использованием социальной инженерии составляет 67%. При этом речь не только о психологической обработке или невнимательности жертвы: как правило, это используется в связке с развертыванием вредоносного ПО и эксплуатацией уязвимостей.
В то же время атаки с применением вредоносного ПО стали фиксироваться реже. Их доля снизилась с 77% до 62% по сравнению с 2023 годом. А доля успешных атак на основе эксплуатации уязвимостей наоборот выросла: с 34% до 48%.
Эксперты отмечают, что цифровая инфраструктура страны все еще остается уязвимой из-за массового использования устаревших IT-систем, особенно в госсекторе и промышленности. Проблему усугубляют также невысокий уровень знаний по информационной безопасности у рядовых сотрудников и нехватка специалистов по кибербезопасности в организациях.
Каких кибератак стоит ожидать
По мнению экспертов, пик кибератак в этом году придется на четвертый квартал. В это время компании наиболее уязвимы, так как подводят итоги годовой деловой активности: завершают проекты, заключают важные сделки, распределяют бюджеты на следующий год и формируют отчетность.
Такая концентрация критически важных процессов повышает привлекательность организаций для злоумышленников, нацеленных на кражу данных, вымогательство и шантаж. Кроме того, осенью и зимой традиционно резко возрастает число фишинговых рассылок, маскирующихся под налоговые уведомления, праздничные продажи и сезонные акции.
Сложные пароли и обновление антивируса
Целенаправленный интерес высококвалифицированных хакеров или APT-групп к людям, которые не являются госслужащими, VIP-персонами или сотрудниками организаций с доступом к критически важным данным, невелик. Однако множество атак носит массовый характер, и злоумышленники активно используют личные устройства сотрудников как точку входа в корпоративную сеть. Поэтому уровень рисков остается значимым для всех пользователей, независимо от должности
Следование простейшим азам кибербезопасности поможет избежать утечки не менее чувствительных личных данных: паролей от учетных записей, фотографий, а также кражи денег с карточек или банковского счета.
Антивирусные решения должны использоваться как базовый элемент защиты. Одновременно с этим необходимо обновлять операционную систему и приложения, чтобы закрывать уязвимости и тем самым снижать вероятность их успешной эксплуатации вредоносным ПО.
Пользователям рекомендуется не переходить по ссылкам из всплывающих окон и других непроверенных источников. Кроме того, при работе с веб-ресурсами необходимо проверять их подлинность, так как злоумышленники часто создают фишинговые сайты, визуально имитирующие страницы известных компаний
Как не стать жертвой
В первую очередь эксперты в области защиты данных рекомендуют провести инвентаризацию инфраструктуры и IT-процессов и расставить приоритеты в соответствии с рисками – от локального инцидента до потери контроля над всей системой. Максимальное внимание следует уделять узлам с наибольшим потенциалом ущерба, например серверам с централизованными системами управления инфраструктурой, доменным контроллерам и иным критически значимым ресурсам. Для таких систем необходим усиленный контроль доступа, регулярное обновление, мониторинг и резервирование, так как их компрометация оказывает наибольшее влияние на организацию.
Основные рекомендации:
- Использовать актуальные версии ОС и прикладных программ (в том числе СЗИ), выстроить процессы, связанные с управлением уязвимостями и их устранением. Отслеживать трендовые уязвимости на активах и установить SLA по их устранению — 24 часа.
- Внедрить двухфакторную аутентификацию для всех публично доступных сервисов (VPN, электронная почта и т. д.), а также для всех административных учетных записей в корпоративной сети.
- Сегментировать сеть и ограничить доступ между сегментами в соответствии с вашими бизнес-процессами. Ограничить взаимодействие внутри сегментов с помощью межсетевого экрана на узлах по необходимым портам и сервисам.
- Наладить процесс регулярного создания резервных копий критически значимых ресурсов и обеспечить их хранение изолированно от основной инфраструктуры.
- Обеспечить защиту конечных точек, в частности уделить больше внимания антивирусной защите. Необходимо, чтобы антивирусные средства защиты были установлены на всех ключевых серверах и рабочих станциях и функционировали в режиме постоянного мониторинга.
- Регулярно проводить аудит периметра инфраструктуры как на предмет уязвимостей, так и на предмет неиспользуемых общедоступных сервисов.
- Не хранить чувствительные данные в открытом виде. При хранении файлов с конфиденциальной информацией рекомендуется использовать зашифрованные разделы или контейнеры, для доступа к которым используются стойкие пароли. Для хранения и использования учетных данных рекомендуется использовать менеджер паролей.
- Установить требования к минимальной сложности паролей, исключающие возможность использования словарных комбинаций. Внедрить защиту учетных данных с помощью Credential Guard.
- Организовать централизованный сбор и долговременное (не менее 1 года) хранение журналов событий, в том числе журналов контроллеров домена, СЗИ, VPN, DNS и прокси-серверов.
Также эксперты настоятельно советуют использовать современные средства и технологии защиты информации, которые доказали свою эффективность в борьбе с киберпреступниками. В их числе:
- системы управления информацией и событиями безопасности (security information and event management, SIEM);
- системы поведенческого анализа сетевого трафика (network traffic analysis, NTA);
- межсетевые экраны для глубокой фильтрации трафика (next generation firewall, NGFW);
- средства защиты веб-приложений (web application firewall, WAF);
- изолированные среды для анализа вредоносных объектов (sandbox, песочницы);
- решения для обнаружения и реагирования на события, связанные с вредоносной активностью на конечных узлах (endpoint detection and response, EDR), и их современные расширенные версии (extended detection and response, XDR);
- системы контроля привилегированных учетных записей (privileged access management, PAM).
Кибербитвы с белыми хакерами
Важную роль занимает обучение специалистов по информационной безопасности. Для этого проводят специальные тренинги и даже целые учения. Так, в Беларуси недавно прошли киберучения на базе онлайн-симулятора Standoff Cyberbones.
Во время этого мероприятия команды белорусских центров кибербезопасности расследовали цепочки атак, которые ранее реализовали белые хакеры во время кибербитвы Standoff. Соревнование длилось четыре дня, а его победители были объявлены во время конференции Positive SOCcon 2.5 в Минске.
Масштабные кибербитвы проходят ежегодно. В них участвуют и белорусские команды. Для предприятий это шанс прокачать навыки специалистов по информационной безопасности без ущерба для бизнеса. Оно и логично: лучше соревноваться между собой, чем потом учиться на ошибках. Особенно если их цена составляет миллионы долларов.
