Самоличността е новото бойно поле

Кибератаките от страна на извършители, насочвани от държава се увеличават. Въпреки огромните си ресурси тези недоброжелатели често разчитат на прости тактики за кражба на лесно отгатваеми пароли. По този начин те могат да получат бърз и лесен достъп до сметките на клиентите. В случай на корпоративни атаки проникването в мрежата на дадена организация позволява на извършители, насочвани от държава да получат опорна точка, която могат да използват, за да се придвижат по вертикала към сходни потребители и ресурси или по хоризонтала, получавайки достъп до по-ценни идентификационни данни и ресурси.

Насочен фишинг, атаки със социално инженерство и широкомащабно атаки с "пръскане с пароли" са основни тактики, използвани от извършители, насочвани от държава за кражба или отгатване на пароли. Microsoft придобива представа за уменията и успехите на нападателите, като наблюдава в какви тактики и техники инвестират и какви успехи постигат. Ако потребителските идентификационни данни се управляват лошо или се оставят уязвими без важни защитни мерки като многофакторно удостоверяване (MFA) и функции без парола, националните държави ще продължат да използват същите прости тактики.

Необходимостта да се наложи приемането на MFA или да се премине към работа без парола не може да бъде преувеличена, тъй като простотата и ниската цена на атаките, фокусирани върху идентичността, ги правят удобни и ефективни за участниците. Макар че MFA не е единственият инструмент за управление на идентичността и достъпа, който организациите трябва да използват, той може да представлява мощно средство за възпиране на атаки.

Злоупотребата с пълномощията е характерна за NOBELIUM, противник на ационалната държава, свързан с Русия. Други недоброжелатели обаче, като свързаната с Иран DEV 0343, също разчитат на атака с "пръскане с пароли". Активността на DEV-0343 е наблюдавана в отбранителни компании, произвеждащи радари от военен клас, технологии за безпилотни самолети, сателитни системи и комуникационни системи за спешно реагиране. По-нататъшната дейност е насочена към регионални входни пристанища в Персийския залив, както и към няколко компании за морски и товарен транспорт с бизнес насоченост в Близкия изток.

Разрешаване на многофакторното удостоверяване: По този начин те намаляват риска от попадане на пароли в чужди ръце. Още по-добре е да елиминирате паролите изцяло, като използвате MFA без парола.

Права на акаунта за проверка: Ако бъдат превзети, акаунтите за привилегирован достъп се превръщат в мощно оръжие, което нападателите могат да използват за получаване на по-голям достъп до мрежи и ресурси. Екипите по сигурността трябва често да проверяват привилегиите за достъп, като използват принципа на най-малките привилегии, за да позволят на служителите да си вършат работата.

Преглед, подсилване и наблюдение на всички администраторски акаунти на наемателите: Екипите по сигурността трябва да прегледат обстойно всички потребители на администратор на клиент или акаунти, свързани с делегирани административни привилегии, за да проверят автентичността на потребителите и дейностите. След това те трябва да деактивират или премахнат всички неизползвани делегирани административни привилегии.

Създаване и прилагане на базово ниво на сигурност за намаляване на риска: Националните държави играят дългосрочно и разполагат с необходимите средства, воля и мащаб, за да разработват нови стратегии и техники за нападение. Всяка инициатива за укрепване на мрежата, забавена поради пропускателната способност или бюрокрацията, работи в тяхна полза. Екипите по сигурността трябва да дадат приоритет на прилагането на практики за нулево доверие, като например MFA и обновяване без парола . Те могат да започнат с привилегировани акаунти, за да получат бърза защита, след което да я разширят на постепенни и непрекъснати етапи.

Изглежда, че преобладаващото мнение е, че има огромен брой нови заплахи от типа рансъмуер, които надхвърлят възможностите на защитниците. Анализът на Microsoft обаче показва, че това не е вярно. Съществува и схващането, че определени групи за рансъмуер са една монолитна структура, което също е погрешно. Това, което съществува, е киберпрестъпна икономика, в която различните участници в стоковите вериги за атаки правят съзнателен избор. Те се ръководят от икономически модел за максимизиране на печалбата въз основа на това как всеки от тях използва информацията, до която има достъп. Графиката по-долу показва как различни групи се възползват от различни стратегии за кибератаки и информация от пробиви на сигурността на данните.

Разберете, че рансъмуерът процъфтява благодарение на данни по подразбиране или компрометирани идентификационни данни: В резултат на това екипите по защитата трябва да ускорят защитните мерки, като например въвеждането на MFA без парола за всички потребителски акаунти и приоритизирането на изпълнителни, администраторски и други привилегировани роли.

Идентифицирайте как да откриете предупредителните аномалии навреме, за да действате: Подготвените влизания в системата, движението на файловете и други действия, които въвеждат рансъмуер, могат да изглеждат неописани. Въпреки това екипите трябва да следят за аномалии и да действат бързо по тях.

Имайте план за реагиране на рансъмуер и провеждайте учения за възстановяване: Живеем в ерата на облачното синхронизиране и споделяне, но копията на данни са различни от цели ИТ системи и бази данни. Екипите трябва да визуализират и практикуват как изглеждат пълните възстановявания.

Управлявайте сигналите и действайте бързо за смекчаване на последиците: Въпреки че всички се страхуват от атаки с рансъмуер, основният фокус на екипите по защита трябва да бъде върху укрепването на слабите конфигурации за сигурност, които позволяват успешното провеждане на атаката. Те трябва да управляват конфигурациите за сигурност, така че да се реагира правилно на сигналите и откритията.

Заплахи към крайни точки:
Microsoft Defender за крайна точка блокира повече от 9,6 милиарда малуерни заплахи, насочени към устройства на корпоративни и потребителски клиенти, между януари и декември 2021 г.

Заплахи, свързани с електронна поща:
Microsoft Defender за Office 365 блокира повече от 35,7 милиарда фишинг и други зловредни електронни съобщения, насочени към корпоративни и потребителски клиенти, между януари и декември 2021 г.

Заплахи за самоличността:
Между януари и декември 2021 г. Microsoft (Azure Active Directory) открива и блокира над 25,6 милиарда опита за превземане на акаунти на корпоративни клиенти чрез грубо насилване на откраднати пароли.