В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики. Интерес злоумышленников связан как с ростом оборота отрасли – по оценке АКИТ, рынок электронной коммерции вырос на 28% и составил 6,2 трлн рублей, – так и с расширением аудитории в российских регионах. Если в Москве и Санкт-Петербурге прирост составил 10%, то в регионах Сибири, Дальнего Востока и юга России клиентская база выросла более чем на 40%.
Эксперты Angara Security разобрали основные векторы проникновения злоумышленников во внутреннюю сеть компаний, а также наиболее эффективные меры защиты для бизнеса, в том числе и через самое уязвимое звено кибербезопасности ритейлеров – физические лица и человеческий фактор.
«2024 год может продолжить негативную тенденцию роста атак, поскольку основные угрозы останутся актуальными еще на длительный период. Это подтверждается концепцией «Пирамиды боли» Дэвида Бьянко, где используемые злоумышленниками тактики, техники и процедуры находятся на вершине пирамиды, а значит, сменить их не так просто. Новые техники борьбы могут и будут добавляться, но, чтобы сместить зловредные тренды, понадобится время», – комментирует Лада Антипова, эксперт по реагированию на инциденты Angara Security.
Чаще всего для первичного проникновения во внутреннюю сеть компаний используются фишинговые письма с вредоносными вложениями и ссылками, а также публично доступные приложения и сервисы, которые предоставляют удаленный доступ во внутреннюю сеть из сети Интернет (публично доступные сервера RDP, VPN-сервисы, в том числе с использованием валидных существующих учетных записей).
Другой популярный вектор – доступ через подрядчиков, которых привлекают для выполнения определенных работ, например, для разработки сайта, доработки функционала мобильного приложения. Такие провайдеры услуг оказываются одной из наиболее привлекательных мишеней для киберпреступников, так как в результате взлома можно получить доступ к IT-инфраструктуре компании-заказчика. Но несмотря на эту известную уязвимость разграничение доступа и прав для сотрудников внешних организаций, а также мониторинг и контроль специалистов на аутсорсинге реализуют далеко не все компании.
Третий вектор атак – через open-source код, который используют разработчики ПО. При запуске непроверенного ПО клиент может получить обновление или любое ПО от разработчика с включенным в него зловредным программным обеспечением или бэкдором.
Практика атак через цепочки поставок только увеличивается: если в 2022 году число инцидентов со взломом через подрядчиков было около 20%, то в первой половине 2023 года эта тактика фиксировалась уже в 30% случаев.
Критически важно обращать более пристальное внимание на безопасность заимствуемого из внешних репозиториев open-source кода, на культуру написания кода разработчиками и защищенность инфраструктуры разработки, отмечают эксперты Angara Security.
Далее следует самое уязвимое звено кибербезопасности ритейловых компаний – физические лица, которые в отличие от бизнеса, ограничены в возможностях снизить свои риски в результате кибератак. Поэтому здесь на первый план выходят принципы киберграмотности: защита данных банковских карт и чувствительной персональной информации, ограничения по сумме покупок в приложениях маркетплейсов.
«Стоит учитывать, что все данные, которые вы каким-либо образом указывали или передавали на обработку, теперь могут использоваться в неправомерных целях, даже ваш почтовый адрес – для рассылки на него спама и вредоносных писем. Поэтому как минимум стоит подумать, какие именно данные могли попасть в руки злоумышленникам, насколько это критично, а также в обязательном порядке сменить пароли от учетных записей в случае утечек», – добавляет Лада Антипова.
При этом наиболее эффективными мерами защиты для бизнеса остаются:
- харденинг, который усиливает защиту технических и программных средств и сокращает число возможных уязвимостей;
- системный анализ инцидентов ИБ, чтобы определять источники вредоносных активностей;
- регулярные аудиты защищенности приложений и мониторинг внешнего периметра IT-инфраструктуры компании.
Не менее важна и киберграмотность сотрудников, чтобы противостоять методам социальной инженерии, которые используют киберпреступники.