У 2021 році кількість кібератак сягнула нового рекордного рівня. Ви запитаєте, куди ж більше, а ми просто знизуємо плечима. Погодьтеся, страх потрапити під гарячу руку хакерів часто діє як електрошок. Керівники розуміють, що кожен інцидент вимагає від компаній часу, грошей і ресурсів на відновлення, завдаючи часто непоправної шкоди репутації бренду і лояльності клієнтів. Але як вистояти, якщо тебе «атакують» з усіх боків?
Останній звіт Verizon про витоки даних за 2021 рік показав, що 85% витоків пов’язані з людським фактором. Що компаніям дає ця інформація? Як мінімум, показує вектор дій. Раз співробітники слабка ланка, значить варто звернути більше уваги на їхнє навчання кібергігієні і постійне тестування знань. Також важливо переглянути доступи і моніторити дії, щоб уникнути зловживань і неправильного поводження з даними. Нова реальність зобов’язує діяти без зволікань, як би сильно не хотілося відкласти рішення цих питань.
Соціальна інженерія залишається найпростішим способом проникнення зловмисників в мережі організацій. За даними звіту Verizon, атаки у такий спосіб, як і раніше є основним вектором загроз і використовуються в 36% випадків успішних витоків даних. Тільки уявіть, в цілому щодня розсилається понад ти мільярди фішингових листів! Тому керівникам підприємств вкрай важливо навчити свої команди виявляти і захищатися від них.
В умовах сучасної гібридної робочої сили – коли частина співробітників працює віддалено, а частина в офісі – все стало ще складніше. Імовірність того, що віддалений працівник попадеться на фішинг-шахрайство, вища, ніж у їхніх колег на місцях. У цьому контексті ініціативи з навчання та проведення тренінгів з кібербезпеки набувають особливої актуальності. Навчати співробітників передовим методам виявлення фішингових афер, забезпечувати регулярний і постійний інструктаж для зниження ризику витоку даних або кіберінцідентів – необхідність для сучасних компаній.
Що ще цікавого в звіті Verizon?
Число програм-вимагачів продовжує зростати
У 10% випадків витоків інформації в усьому винні програми-вимагачі. Вони застосовувалися більш ніж в два рази частіше, ніж у минулому році. Чому таке зростання? Зловмисники почали вдаватися до нової тактики – красти дані в процесі їхнього шифрування. Таким чином, програми-вимагачі тепер посідають третє місце серед дій, які спровокували витік.
Всюди винні люди
Ми вже згадували, що 85% порушень цілісності даних пов’язані з людським фактором. Фішинг був присутній в 36% випадків. У минулому році цей показник становив 25%. Компрометація ділової електронної пошти (BEC) була другою за поширеністю формою соціальної інженерії. Це відображає зростання числа випадків в 15 разів вище, ніж в минулому році.
Зловмисникам подобаються ваші веб-додатки
Відсоток атак на веб-додатки як і раніше високий. Вони є основним вектором атак в рейтингу Hacking Actions – на них припадає понад 80% порушень. У цьому контексті спільне використання робочого стола перемістилося на друге місце в топ списку векторів хакерських атак.
Трохи хмарно, місцями витоки
Скомпрометовані зовнішні хмарні активи зустрічалися частіше, ніж локальні, як в кіберінцідентах, так і при зламах. І навпаки, знизилася кількість зламів призначених для користувача пристроїв (настільних комп’ютерів і ноутбуків). Це цілком логічно, якщо врахувати, що порушення переходять на вектори соціальних і веб-додатків, наприклад, збір облікових даних та їхнє подальше використання проти хмарних систем електронної пошти.
Ваш пароль, сер
Деякі речі, здається, ніколи не зміняться. 61% випадків зламів пов’язані з обліком даних.
Рік був відносно непоганим
У серпні 2020 року експерти Verizon припустили, що COVID-19 призведе до зростання числа фішингу, програм-вимагачів, а також безлічі помилок і використання вкрадених облікових даних з веб-додатків. Частково вони мали рацію. У 2021 року доля фішингу збільшилася на 11%, а кількість програм-вимагачів – на 6%. Решта дві категорії залишилися на колишньому рівні. При цьому показник неправильної конфігурації і неправильної передачі даних знизився в процентному відношенні до помилок на -2% і -6% відповідно.
Джерело: Verizon