Сергей Лахин, коммерческий директор SolidSoft

— Сергей, как изменился ландшафт киберугроз для российских организаций после 24 февраля?

— Начались массовые кибератаки. Это почувствовали на себе все, особенно госучреждения, кредитно-финансовые организации и СМИ. В несколько раз увеличилось количество DDoS-атак. Значительно выросло число направленных атак на уязвимости в веб-приложениях, в том числе в open-source-компонентах и системах управления контентом (CMS). Участились случаи выявления «закладок» в популярных приложениях и библиотеках. Кроме того, были отмечены инциденты с распространением инсайдерской информации, с передачей внутренних доступов третьим лицам по политическим мотивам.

Одновременно с этим рынок покинула часть зарубежных вендоров, что привело к дополнительным трудностям для отечественных компаний: от проблем с покупкой и поддержкой решений до полной остановки работы ранее внедренных средств защиты.

— Каким образом были организованы массовые и мощные атаки?

— В том числе в результате скоординированных действий «хактивистов» — субъектов, атакующих ресурсы организаций, чтобы продвигать политические идеи и взгляды. Для координации их деятельности применялись телеграм-каналы, администраторы которых ежедневно выкладывали списки новых целей. Таким образом, на практике был реализован подход, который в последние годы не раз открыто обсуждался в зарубежных СМИ: привлечение гражданских IT-специалистов к организации кибератак в отношении объектов критической информационной инфраструктуры (КИИ).

— Можно ли отметить технические особенности этих атак?

— 95% атак осуществлялось на уровне L7. Большинство было направлено на публичные веб-ресурсы, при этом если раньше интенсивность, как правило, не превышала 50 тыс. запросов в секунду, то в последние месяцы регистрировались атаки интенсивностью до 700 тыс. запросов в секунду. Изменилась и продолжительность атак. Ранее средняя атака длилась около трех часов. Сейчас специалисты отражают атаки, которые начались в конце февраля и продолжаются по сей день. Инструменты для реализации до сих пор выложены в открытые репозитории GitHub и постоянно дорабатываются.

Ранее средняя атака длилась около трех часов. Сейчас специалисты отражают атаки, которые начались в конце февраля и продолжаются до сих пор

По результатам расследований были обнаружены факты использования ранее захваченных веб-ресурсов. Участились попытки эксплуатации 1-day-уязвимостей, которые не были своевременно устранены организациями. Часть веб-ресурсов регулярно оставалась недоступной. Отмечены утечки чувствительной информации, факты модификации веб-страниц, уничтожение данных, нарушение бизнес-процессов. Многие организации понесли существенные финансовые и репутационные потери.

— С какими последствиями столкнулась ваша команда?

— Нам пришлось в сжатые сроки решать задачу кратного масштабирования. Выросло количество инсталляций наших решений, значительно увеличился объем инженерной и аналитической поддержки. Нагрузки на специалистов стали максимальными, при этом необходимо было выдерживать установленные в компании условия SLA. В части проактивного реагирования специалисты третьей линии не только помогали отражать атаки, но и давали рекомендации, как перестроить процессы, чтобы повысить устойчивость и защищенность инфраструктуры заказчиков.