Эту статистику всегда нужно воспринимать так: "в этом году наши решения сделали столько детектов на арм/серверах". Не уверен что можно говорить "стали атаковать меньше или больше", но вот вам факты, детекты есть

В тему "статистики" атак/детектов есть ещё такое https://www.tr.txone-networks.com/grafana/d/FzQhw6gMz/global-iiot-attack?orgId=2&kiosk

"атаковать стали меньше" это слова представителя ЛК 🙂

В отчётах Kaspersky ICS CERT после холиваров несколько лет назад вокруг термина "атака" термины были заменены на нейтральные "обнаружены вредоносные объекты". Это можно заменить в самом отчёте, если посмотреть на подписи к графикам со статистикой. Поэтому можно говорить о "нами обнаружено больше или меньше в конкретных местах". Коллега выразил это по своему, не критично. Факты в отчёте

https://ics-cert.kaspersky.ru/reports/2020/09/15/threat-landscape-for-industrial-automation-systems-h1-2020/

https://www.roi.ru/54239/ есть хорошие.

Не знаю как сейчас, а несколько лет назад я не осилил на линухе криптопро. :)

Имхо, это не атаковать стали иеньше, а защищать периметр больше

Поэтому на ендроинтах меньше детектов

Вы хотите сказать, что периметровые решения защиты, класса NGFW стали лучше защищать внешний периметр или что их накупили столько, что теперь внешний периметр защищён лучше, или что специалисты ИТ и ИБ, изучили максимально все возможности NGFW и стали их сразу настраивать корректно, что теперь до эндпоинтов долетает намного меньше вредоносов?))

Я хочу сказать, что их стали больше ставить )

Во многих местах их просто не было никаких

И да, меньше вредоносов долетает

Даже простой фаервол дает определенный эффект

Думаю у коллег из Касперского есть также статистика откуда пришел замеченный вредонос. И я бы сделал ставку на флэшки, а не сеть

Так что, думаю, стали больше бороться с левыми флэшками

И да, простой МЭ тоже эффективен, ибо большинство вредоноса до сих пор ползает по smb, который в АСУ ТП шибко не используется, но по умолчанию везде работает...

Вы правильно заметили, у коллег из Kaspersky есть информация откуда идут вредоносы, три основные канала: интернет, USB-носители и почта. И здесь сложно однозначно сказать, что больше повлияло на снижение атак, рост закупленных фаеров (но далеко не везде корректно установленных, за счёт чего часть угроз затекает, как с добрым утром) или снижение количества использования нелигитимных USB-носителей, посредством блокировки портов и обучения пользователей и инженеров АСУ. Скорее результат общий от совокупного применения различных средств в рамках повышения эффективности ИБ в целом.

Мне грустно смотреть, когда NGFW пытаются воткнуть в технологическую сеть, веря маркетинговым материалам производителей о эффективной защите АСУ ТП таким способом, а простой фаерволл в защите технологической сети эффективным назвать ещё сложнее, к сожалению.

Ну если вы видели типичную настройку ос windows в технологической сети (что клиента, что сервера), то согласитесь, что банальный МЭ на границе очень существенно сокращает поверхность атаки... Там же все: дхцп, ipv6, upnp, llmr и много чего ещё. При том, что сама АСУ ТП построена на каком-нибудь modbus tcp и все перечисленное там совершенно не нужно