ИБ-расходы растут: 83% инвестируют, но лишь 40% доверяют ИБ в стратегии

ИБ-расходы растут: 83% инвестируют, но лишь 40% доверяют ИБ в стратегии

ИБ-расходы растут: 83% инвестируют, но лишь 40% доверяют ИБ в стратегии

Институт изучения мировых рынков (ИИМР) представил результаты исследования «Взгляд топ-менеджеров: восприятие информационной безопасности – от понимания угроз до инвестиционных решений». Согласно выводам аналитиков, информационная безопасность больше не воспринимается исключительно как техническая задача.

Однако трудности с оценкой эффективности вложений в ИБ создают разрыв между осознанием значимости проблемы и готовностью инвестировать в защиту.

Исследование было представлено на Петербургском международном экономическом форуме. Как сообщают авторы, данные были получены в ходе глубинных интервью с руководителями российских компаний.

Ключевой вывод ИИМР: вопрос кибербезопасности перестал быть исключительно техническим, особенно в финансовом и медиасегментах. В производственной сфере такая трансформация выражена слабее. Тем не менее, российский рынок ИБ демонстрирует темпы роста, в 2–4 раза превышающие среднемировые. По данным исследования, 83% опрошенных компаний увеличили инвестиции в кибербезопасность.

«Раньше кибербезопасность была в большей степени теорией, а теперь мы сталкиваемся со сложными и серьёзными атаками. Понимание того, как правильно защищать активы, стало практическим вопросом», — отметил представитель ВТБ.

Основные факторы, влияющие на политику в области ИБ: геополитическая обстановка (100%), рост киберугроз (75%) и требования регуляторов (60%). Меньшее влияние оказывают собственный опыт, полученный в результате инцидентов (45%), и курс на импортозамещение (40%).

При этом сохраняется проблема взаимодействия между ИБ-подразделениями и руководством компаний. Это проявляется в разрыве между техническими подходами специалистов и бизнес-задачами. Только 40% респондентов считают, что руководитель ИБ-службы достаточно вовлечён в бизнес-процессы. Кроме того, отсутствует общее понимание, как оценивать эффективность инвестиций в безопасность.

«ИБ хочет всё максимально оградить, отключить любые внешние доступы, посадить сотрудников в защищённый периметр. Но бизнес не может эффективно работать в таких условиях: он просто становится неконкурентоспособным», — пояснил представитель одной из компаний.

Многие компании сталкиваются с трудностями при определении критериев эффективности работы ИБ-служб. Традиционные метрики вроде количества предотвращённых инцидентов или соотношения успешных атак к общему числу попыток считаются недостаточно показательными. Программы bug bounty на российском рынке пока остаются редкостью.

Дополнительную сложность создаёт и отчётность ИБ-подразделений: она часто не адаптирована под бизнес-язык и не содержит понятных метрик.

Авторы исследования выделили три сценария, которые приводят к заметному росту инвестиций в ИБ:

  • Ужесточение регуляторных требований, грозящее остановкой бизнеса,
  • Включение компании в перечень объектов критической информационной инфраструктуры,
  • Изменение бизнес-модели, например, выход на премиальные рынки.

Отрасли, в которых информация играет ключевую роль — финансы, телеком, электронная коммерция, — воспринимают защищённость как конкурентное преимущество. Для них инциденты вроде утечек данных или перебоев в работе являются серьёзным ударом по позиции на рынке.

В производственной сфере, напротив, кибербезопасность пока не считается приоритетной. Здесь на первый план выходят другие проблемы: нехватка кадров и сырья, регуляторное давление, падение спроса, конкуренция и санкции.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru