Както разкриват детайлите от отчета за дигитална защита на Microsoft за 2023 г., киберзаплахите продължават да увеличават сложността, скоростта и мащаба си, компрометирайки вечно растящия набор от услуги, устройства и потребители. Като се изправяме срещу тези предизвикателства и се подготвяме за бъдеще, в което ИИ може да помогне за изравняването на условията, е важно да действаме решително по тези десет прозрения.
Получете информация от експертите в подкаста Набор от ресурси на Microsoft срещу заплахи. Слушайте сега.
10 основни прозрения от отчета за дигитална защита на Microsoft за 2023 г.
Като компания, ангажирана с превръщането на света в по-сигурно място, Microsoft инвестира значителни средства в изследвания в областта на защитата, иновациите и глобалната общност по защитата. Имаме достъп до разнообразен набор от данни за защитата, което ни поставя в уникална позиция да разберем състоянието на киберсигурността и да идентифицираме индикатори, които могат да ни помогнат да предвидим следващите действия на атакуващите.
Като част от нашият дългогодишен ангажимент за създаване на по-безопасен свят, инвестициите на Microsoft в проучванията, иновациите и глобалната общност по защита включват:
Научете повече за това изображение на страница 6 в пълния отчет
По-голямата част от успешните кибератаки могат да бъдат осуетени чрез прилагане на няколко основни практики за хигиена на защитата. Използването на хипер обхвата на облака улеснява прилагането им, като ги активирате по подразбиране или обмислите нуждата от прилагането им от клиентите.
Графика с крива на киберхигиената, взета от Отчет за дигитална защита на Microsoft (MDDR) за 2023 г. Научете повече за това изображение на страница 7 в пълния отчет
Основите на киберхигиената
Активиране на MFA: Това защитава от компрометирани потребителски пароли и помага да се осигури допълнителна устойчивост за самоличности.
Прилагане на принципите на Zero Trust: Най-важната част на всеки план за издръжливост е ограничаването на влиянието на атаката. Тези принципи са: (1) Изрична проверка. Уверете се, че потребителите и устройствата са в добро състояние, преди да позволите достъпа им до ресурси. (2) Използване на достъп с най-малко привилегии. Позволявайте само нужната привилегия за достъп до ресурс и нищо повече. (3) Не изключвайте вероятността от пробиви. Предположете, че защитите на системата са нарушени и системите могат да бъдат компрометирани. Това означава непрекъснато наблюдение на средата за възможна атака.
Използване на разширено откриване и реакция (XDR) и защита срещу злонамерен софтуер: Внедряване на софтуер за откриване и автоматично блокиране на атаки и предоставяне на информация на софтуера за операции по защитата. Наблюдението на прозренията от системите за откриване на заплахи е от съществено значение, за да можете да реагирате на киберзаплахите бързо.
Бъдете винаги актуални: Атакуващите се възползват от некоригирани и остарели системи. Уверете се, че всички системи са актуализирани, включително фърмуера, операционната система и приложенията.
Защитавайте данните: Познаването на вашите важни данни, къде се намират и дали са внедрени правилните защити, е от решаващо значение за прилагането на подходяща защита.
Телеметрията на Microsoft показва повишен брой атаки с рансъмуер в сравнение с миналата година, като атаките с рансъмуер, управлявани от хора, са се увеличили три пъти от септември 2022 г. насам. В бъдеще очакваме, че операторите на рансъмуер ще търсят използването на автоматизация, ИИ и всеобхватни облачни системи, за да мащабират и увеличат ефективността на своите атаки.
Пейзажът на рансъмуера
Научете повече за това изображение на страница 2 в пълния отчет
Премахване на рансъмуер и основните пет
Идентифицирахме пет основни принципа, които смятаме, че всяко предприятие трябва да внедри, за да се защити от рансъмуер в самоличността, данните и крайните точки.
- Модерно удостоверяване с идентификационни данни, защитени от фишинг
- Най-ниско привилегирован достъп, приложен към целия технологичен стек
- Среди без заплахи и без риск
- Управление на положението за съответствие и изправност на устройствата, услугите и активите
- Автоматично архивиране и синхронизиране на файлове в облака за критични за потребителя и бизнеса данни
Данните на Microsoft Entra разкриват повече от десетократно увеличение в опитите за атаки на пароли в сравнение със същия период миналата година. Един начин да спрете атакуващите е да използвате устойчиви на фишинг идентификационни данни като Windows Hello за бизнеса или FIDO ключове.
Диаграма, показваща броя на атаките срещу пароли в сравнение със същото време миналата година. Научете повече за това изображение на страница 16 в пълния отчет
Знаехте ли?
Една от главните причини атаките на пароли да са толкова преобладаващи се дължи на ниското положение на защитата. Много организации не са активирали многофакторно удостоверяване за своите потребители, като ги оставят уязвими към фишинг, инжектиране на идентификационни данни и атаки с груба сила.
Извършителите на заплахи адаптират своите техники за социално инженерство и използват технологиите, за да извършват по-сложни и скъпи BEC атаки. Отделът за дигитални престъпления на Microsoft вярва, че увеличеното споделяне на информация в публичния и частния сектор ще активира по-бърз и по-въздействащ отговор на BEC.
# от ежедневните опити за BED, наблюдавани в периода от април 2022 до април 2023. Научете повече за това изображение на страница 33 в пълния отчет
Знаехте ли?
Отделът за дигитални престъпления на Microsoft е заел проактивна позиция като активно проследява и наблюдава 14 сайта за наемане на DDoS, включително един, който се намира в тъмния уеб, като част от ангажимента му да идентифицира потенциални киберзаплахи и да бъде напред от киберпрестъпниците.
Извършителите на заплахи, насочвани от държава, увеличават глобалния обхват на кибероперациите си като част от събирането на информация. Организациите, свързани с критични инфраструктури, образование и правене на политики, са сред най-честите цели, съгласно с геополитическите цели и фокусираните в шпионажа компетенции на много групи. Стъпките за откриване на възможни пробиви, свързани с шпионаж, включват наблюдение на промените в пощенските кутии и разрешенията.
Най-набелязваните за цел нации по регион* са:
Снимка на данни за извършители на глобални заплахи, насочвани от държава, по-пълна разбивка на данните може да бъде намерена в отчета. Научете повече за това изображение на страница 12 в пълния отчет
Знаехте ли?
Тази година Microsoft стартира нова таксономия на имената на извършителите на заплахи. Новата таксономия ще даде по-добра яснота на клиентите и на анализаторите на защита с по-организирана и лесна за използване справочна система за извършителите на заплахи.
Извършителите на атаки, насочвани от държава, все по често използват операции за влияние заедно с кибероперации, за да разпространяват предпочитани пропагандни разкази, да подклаждат социално напрежение и да увеличават съмнението и объркването. Тези операции често се изпълняват в контекста на въоръжени конфликти и национални избори.
Категория на извършител – „Снежна буря“
Извършителите на атаки от Русия разшириха обхвата си на дейност отвъд Украйна, за да се насочат към съюзниците на Киев, главно членовете на НАТО.
Категория на извършител – „Тайфун“
Разширените и усъвършенствани дейности на Китай отразяват двойното му преследване на глобално влияние и събиране на информация. Неговите цели включват защитата и критичните инфраструктури на САЩ, нациите в Южнокитайско море и партньорите от инициативата „Един пояс, един път“.
Категория на извършител – „Пясъчна буря“
Иран е разширил кибердейностите към Африка, Латинска Америка и Азия. Разчитайки предимно на операции за влияние, той лансира истории, които целят да предизвикат смут сред шиитите в страните от Арабския залив и да се противопоставят на нормализирането на арабско-израелските връзки.
Изберете категория на извършител
Северна Корея е увеличила сложността на своите кибероперации през последната година, особено в кражбата на криптовалута и атаките на вериги за доставки.
Знаехте ли?
Докато профилните снимки, генерирани от ИИ, от дълго време са особеност на операциите за влияние, спонсорирани от държава, използването на по-сложни инструменти на ИИ за създаване на впечатляващо мултимедийно съдържание е тенденция, която очакваме да се задържи с по-широката достъпност до такива технологии.
Атакуващите все повече се насочват към високата уязвимост на информационните технологии и оперативната технология (IT-OT), които може да са трудни за защита. Например, от 78% от устройствата с (IoT) интернет на нещата с известни уязвимости в клиентските мрежи 46% не могат да бъдат коригирани. Следователно добрата система за управление на корекции на OT е основен компонент от стратегията за киберсигурност, докато наблюдението на мрежи в среди с OT може да помогне за откриването на злонамерена дейност.
Научете повече за това изображение на страница 61 в пълния отчет
Знаехте ли?
25% от OT устройствата в клиентските мрежи използват неподдържани операционни системи, което ги прави по-податливи на кибератаки поради липсата на основни актуализации и защита срещу развиващите се киберзаплахи.
ИИ може да подобри киберсигурността като автоматизира и увеличи задачите за киберсигурност, давайки възможност на защитниците да откриват скрити модели и поведения. LLM могат да допринесат към разузнаването за заплахи, отговорите на инциденти и възстановяването; наблюдението и откриването; тестването и проверката; образованието; защитата, управлението, риска и съответствието.
Анализаторите на Microsoft и приложните учени изследват много сценарии за прилагането на LLM в киберзащитата, като например:
Научете повече за това изображение на страница 98 в пълния отчет
Знаехте ли?
Червеният екип за ИИ на Microsoft от интердисциплинарни експерти помага за създаването на бъдеще с по-сигурен ИИ. Нашият Червен екип за ИИ симулира тактиките, техниките и процедурите (TTP) на противниците от реалния свят, за да идентифицира рискове, да разкрие слепи точки, да провери предположения и да подобри цялостното положение на защитата на системите с ИИ. Научете повече за червения екип за ИИ на Microsoft в Червеният екип за ИИ на Microsoft създава бъдеще с по-сигурен ИИ | Блог за Microsoft Security.
Докато киберзаплахите еволюират, публично-частното сътрудничество ще бъде ключов елемент за подобряването на колективните знания, стимулирането на устойчивост и информирането за указания за смекчаване в екосистемата на защитата. Например тази година Microsoft, Fortra LLC и Health-ISAC работиха заедно , за да намалят инфраструктурата на киберпрестъпността за нелегалното използване на Cobalt Strike. В резултат на това има намаление на тази инфраструктура с 50% в САЩ.
Диаграма, показваща 50% намаление в САЩ на разрушените сървъри на Cobalt Strike. Научете повече за това изображение на страница 115 в пълния отчет
Знаехте ли?
Глобалната инициатива Cybercrime Atlas обединява разнообразна общност от повече от 40 членове от частния и публичния сектор, за да централизира споделянето на знания, сътрудничеството и проучването на киберпрестъпления. Целта е да се прекъснат киберпрестъпниците чрез предоставяне на информация, която улеснява действията на правоприлагащите органи и частния сектор, водейки до арести и разрушаване на криминалните инфраструктури.
Глобалния недостиг на специалисти по киберсигурност и ИИ може да бъде разрешен само чрез стратегическо партньорство между образователните институции, организациите с нестопанска цел, правителствата и бизнесите. Тъй като ИИ може да помогне за облекчаването на част от това бреме, развитието на ИИ умения е топ приоритет за стратегиите за обучение на компаниите.
35% увеличение в търсенето на експерти по киберсигурност през последната година. Научете повече за това изображение на страница 120 в пълния отчет
Знаехте ли?
Инициативата за ИИ умения на Microsoft включва нови, безплатни курсове, разработени в сътрудничество с LinkedIn. Това дава възможност на работниците да научат началните концепции за ИИ, включително рамките за отговорен ИИ, и да получат сертификат за основна кариера при завършване.
Следвайте Microsoft