Причина инцидентов в грубом несоблюдении базовых норм кибергигиены

Причина инцидентов в грубом несоблюдении базовых норм кибергигиены

Причина инцидентов в грубом несоблюдении базовых норм кибергигиены

На первой пленарной сессии SOC Forum 2024 министр цифрового развития, связи и массовых коммуникаций Максут Шадаев назвал пренебрежение нормами информационной безопасности одной из главных причин серьезных инцидентов. Той же точки зрения придерживаются и другие основные регуляторы.

Максут Шадаев назвал обеспечение кибербезопасности вопросом национальной безопасности.

«Не может не расстраивать, что крупные инциденты зачастую происходят не из-за отсутствия решений, а из-за игнорирования элементарных правил», — заявил министр в ходе дискуссии.

Он выразил надежду, что отчасти исправить данную ситуацию сможет введение оборотных штрафов. По оценке Максута Шадаева, данную норму законодатели должны принять до конца года. Именно такая мера способна заставить бизнес инвестировать в кибербезопасность.

Референт Совета Безопасности РФ Алексей Петров подчеркнул, что ни одна организация в условиях неприкрытой кибервойны не может считать себя в безопасности:

«Каждый может стать целью: комплексное воздействие хакеров нацелено не только на ущерб самому объекту, но и на социально-экономические последствия для государства».

Он назвал основной задачей создание единого правового режима для всех систем, значимых для работы общества и государства.

Алексей Петров анонсировал на 2025 год начало работы по регламентации такого режима. Первым шагом станет принятие новой Доктрины информационной безопасности России, работа над которой находится в активной фазе.

Заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Петр Белов констатировал существенную схему приоритетов у атакующих. Он сместился с пропагандистского эффекта на нанесение реального ущерба. Согласно статистике НКЦКИ, 70% инцидентов были связаны с полным уничтожением данных в атакованных инфраструктурах. Векторы атак при этом остались теми же: эксплуатация уязвимостей, фишинг, а также проникновение через инфраструктуру подрядчиков.

Петр Белов анонсировал появление нового закона о работе ГосСОПКА, который существенно расширит перечень субъектов, их прав и обязанностей. Данный нормативный акт также будет регламентировать ответственность субъектов. Пока же заместитель руководителя НКЦКИ посетовал на то, что далеко не всегда представители атакованных организаций реагировали на предупреждения о том, что в их инфраструктуру проникли злоумышленники.

Заместитель министра промышленности и торговли Василий Шпак привел статистику мониторинга объектов критической информационной инфраструктуры (КИИ) с 2022 года, подведомственных Минпромторгу. Было проверено около 2000 объектов, в 70% которых были выделены нарушения, а 15% заявили об отсутствии таковых. Только 15% выполнили требования законодательства в полном объеме.

Заместитель директора ФСТЭК России Виталий Лютиков анонсировал появление в скором времени KPI для руководителей служб информационной безопасности. Они будут рассчитываться в автоматическом режиме. Пока же, как показал анализ работы таких служб, лишь в 10% организаций уровень информационной безопасности соответствовал базовому показателю. Однако Виталий Лютиков оговорился, что данная выборка не является репрезентативной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В BI.ZONE CPT добавили метрика EPSS для приоритизации уязвимостей

Согласно исследованию Threat Zone 2025, около 13% атак на организации в России и СНГ начинаются с эксплуатации уязвимостей в общедоступных приложениях. Однако, по данным BI.ZONE Threat Intelligence, в реальных атаках используется менее 1% всех известных брешей.

Теперь в BI.ZONE CPT добавили метрику EPSS для приоритизации уязвимостей. С ее помощью организации смогут определять наиболее опасные для них уязвимости, которые нужно устранять в первую очередь.

Традиционно уровень серьёзности уязвимости оценивают по метрике CVSS, но она показывает лишь техническую «тяжесть» проблемы, не отражая, насколько активно ей пользуются злоумышленники.

Для этого существует дополнительная метрика — EPSS (Exploit Prediction Scoring System). Она помогает понять, как велика вероятность того, что уязвимость будет эксплуатироваться в ближайшие 30 дней.

По словам руководителя направления анализа защищённости BI.ZONE Павла Загуменнова, высокий балл CVSS не всегда означает высокий риск. Некоторые уязвимости с формально «критическим» уровнем опасности сложно использовать на практике — они требуют специфических условий или глубоких знаний. Поэтому атакующие чаще выбирают простые и массово эксплуатируемые уязвимости.

EPSS строится на основе алгоритмов машинного обучения и учитывает множество факторов:

  • производителя и тип ПО, где обнаружена уязвимость;
  • наличие эксплойтов и PoC;
  • включение в список Known Exploited Vulnerabilities (KEV);
  • наличие детектов в популярных инструментах безопасности.

Как использовать EPSS на практике:

BI.ZONE предлагает ориентироваться на следующие уровни риска:

  • EPSS ниже 0,3 — низкий приоритет, вероятность эксплуатации мала;
  • EPSS 0,3–0,7 — средний риск, стоит запланировать устранение;
  • EPSS выше 0,7 — высокий риск, уязвимость нужно закрыть в первую очередь.

Ранее специалисты также отмечали, что злоумышленники всё чаще покупают эксплойты на теневых форумах. Например, участники кластера Paper Werewolf использовали уязвимость в архиваторе WinRAR, эксплойт для которой, по данным экспертов, стоил около 80 тысяч долларов.

В итоге ключевой вывод исследования прост: не все критические уязвимости одинаково опасны, и приоритизация по EPSS помогает сосредоточиться именно на тех, которые реальны для атаки — здесь и сейчас.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru