Когда спят хакеры

В какое время суток киберпреступники наиболее активны

Хакеры атакуют корпоративные системы и днем, и ночью, принося компаниям миллионные убытки. У них нет рабочего дня, однако в их действиях есть цикличность. От чего зависит график активности киберпреступников и в какое время корпоративные системы чаще подвергаются атакам, читателям RSpectr рассказал руководитель департамента бизнес-решений и инноваций Orange Business Services в России и СНГ Робин Де Кейзер.


В РАБОЧИЙ ПОЛДЕНЬ

Когда говорят о киберпреступниках, то фантазия рисует картину позднего вечера, темной комнаты, освещенной лишь мерцанием мониторов. Однако реальность кардинально отличается от стереотипов: высокотехнологичные злоумышленники в подавляющем большинстве случаев атакуют конечных пользователей в рабочее время. И в 2020 году, несмотря на карантин и удаленную работу, наибольшее количество инцидентов фиксировалось с 9 утра до 15 часов дня.

Причем активность не зависит от страны. В российские, французские, английские и китайские компании киберпреступники предпочитают проникать в рабочие часы. При взломе хакеры надеются на низкий уровень грамотности персонала в вопросах информационной безопасности (ИБ). Именно поэтому свой режим работы злоумышленники подстраивают под график офисных клерков.


ИНФОРМАЦИЯ К РАЗМЫШЛЕНИЮ

Эксперты международной компании в сфере управляемых услуг кибербезопасности Orange Cyberdefense (как и Orange Business Services в России и СНГ – часть международного телеком-оператора и сервис-провайдера Orange) проанализировали почти 19 тыс. зафиксированных ИБ-инцидентов, которые произошли с января по октябрь 2020 года. Результаты обобщили в отчете Security Navigator 2021.

По данным Orange Cyberdefense,

пики активности злоумышленников приходились на периоды с 9 до 11 и с 15 до 16 часов

После 17 часов, когда деловая активность спадает, а часть сотрудников и вовсе уходят из офисов (или заканчивают трудовой день дома), количество фиксируемых инцидентов резко уменьшается. Ближе к полуночи активность снижается до минимума и начинает расти только после 7 утра следующего дня.

Любопытно, что интенсивность атак на корпоративную инфраструктуру зависит от времени суток, а их типы в ночной и дневной период практически идентичны. Так, наиболее распространенный инцидент в любое время – подозрительное исходящее соединение. Конечно, в дневные часы высока вероятность случайного срабатывания системы, однако и количество подтвержденных инцидентов утром и днем значительно выше, чем ночью.


НЕ СПАТЬ

В любой период времени наиболее часто Orange Cyberdefense фиксировал попытки установки различного вредоносного ПО, аномалии аутентификации, несанкционированное раскрытие информации и попытки вторжения. Однако в вечерние и ночные часы эти инциденты случаются на 45% реже, чем утром и днем.

Конечно, поведение киберпреступников во многом зависит от графика работы и уровня подготовки сотрудников компании.

Фишинг намного чаще встречается утром и днем, а ближе к ночи активность такого рода атак падает почти до нуля

Некоторые виды инцидентов обнаруживаются в нерабочее время. Например, в вечерние часы преимущественно происходят атаки с использованием вредоносного ПО.
Более того, есть виды инцидентов, которые фиксируются в основном ночью. К ним можно отнести попытки использования уязвимостей кода в веб-приложениях, которые сотрудники устанавливают самостоятельно, в том числе с домашних компьютеров, применяя не утвержденный службами компании софт: архиваторы, браузерные надстройки, торрент-клиенты и другое. Все это развязывает руки киберпреступникам.

Количество попыток использования уязвимостей кода для проникновения в корпоративные системы в 2020 году возросло

Если у компании нет своего Security Operations Center (SOC) и выделенной команды быстрого реагирования на инциденты, то высок риск стать жертвой киберпреступников. Ведь несмотря на снижение активности в ночные часы, злоумышленники работают круглосуточно. Без постоянного мониторинга ситуации и анализа трафика можно просто пропустить момент атаки. ИБ для компаний – это уже не опция, она должна быть частью бизнес-процессов организации.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Фишинговый миллиард с объявлений
Хакерские группировки набирают сотни «бойцов» и обучают их по мануалам