Отчет за дигитална защита на Microsoft за 2022 г.
Прозрения от трилиони ежедневни сигнали за защита
Уникално предимство
Целта на Отчета за дигитална защита на Microsoft, който се изготвя за трета година (преди това се наричаше отчет за аналитична информация за защита на Microsoft и в него са архивирани над 22 доклада), е да осветли променящия се пейзаж на дигиталните заплахи в четири ключови области: киберпрестъпност, заплахи от страна на националната държава, устройства & инфраструктура и операции за кибервлияние, като същевременно предоставя информация и насоки за това как да се подобри киберустойчивостта.
Майкрософт обслужва милиарди клиенти в световен мащаб, което ни позволява да събираме данни за сигурността от широк и разнообразен спектър от организации и потребители. Този отчет се основава на широкия и задълбочен обхват на разузнавателните ни сигнали от цялата компания Microsoft, включително облака, крайните точки и интелигентния край. Тази уникална гледна точка ни дава високоточна картина на пейзажа на заплахите и текущото състояние на киберсигурността, включително индикатори, които ни помагат да предвидим какво ще направят нападателите след това. Смятаме, че прозрачността и споделянето на информация са от съществено значение за подпомагането на клиентите ни да станат по-устойчиви в киберпространството и за защитата на екосистемата.
В това обобщение на доклада на високо ниво ще научите за състоянието на киберпрестъпността, как устройствата на интернет на нещата (IoT) стават все по-популярна цел, новите тактики на националните държави и възхода на кибернаемниците, операциите за кибервлияние и, най-важното, как да останете устойчиви в тези времена.
- 43 трилиона сигнала, които се синтезират ежедневно, като се използват сложни алгоритми за анализ на данни и изкуствен интелект, за да се разберат и защитят от цифрови заплахи и престъпна кибердейност
- Над 8500 инженери, изследователи, специалисти по данни, експерти по киберсигурност, ловци на заплахи, геополитически анализатори, следователи и служители на първа линия в 77 държави
- 15 000+ партньори в нашата екосистема за защита, които увеличават кибер устойчивостта на нашите клиенти
Киберпрестъпността продължава да се увеличава, което се дължи на драстичното нарастване на броя на случайните и целенасочените атаки. Наблюдаваме все по-разнообразни заплахи в цифровия пейзаж с развитието на методите за кибератаки и престъпната инфраструктура, използвани за подсилване на кинетичната война по време на руската инвазия в Украйна.
Атаките с рансъмуер представляват повишена опасност за всички лица, тъй като критичната инфраструктура, предприятията от всякакъв мащаб и държавните и местните власти са обект на атаки от страна на престъпници, използващи нарастваща киберпрестъпна екосистема. Тъй като атаките с рансъмуер стават все по-дръзки по своя обхват, последиците от тях стават все по-обхватни. Устойчивите и успешни усилия срещу тази заплаха ще изискват стратегия на цялото правителство, която да се изпълнява в тясно партньорство с частния сектор.
При анализа на нашите ангажименти за реагиране и възстановяване постоянно откривахме слаб контрол на идентичността, неефективни операции по сигурността и непълни стратегии за защита на данните сред засегнатите организации.
През тази година се наблюдаваше значително увеличение на безразборния фишинг и кражбата на удостоверения с цел получаване на информация, която се продава и използва при целенасочени атаки като рансъмуер, ексфилтрация и изнудване на данни и компрометиране на бизнес електронна поща.
Киберпрестъпността като услуга (CaaS) е нарастваща и развиваща се заплаха за клиентите по целия свят. Отделът за цифрови престъпления на Microsoft (DCU) наблюдава непрекъснат растеж на екосистемата CaaS с нарастващ брой онлайн услуги, улесняващи киберпрестъпленията, включително компрометиране на бизнес електронна поща (BEC) и управляван от хора рансъмуер. Продавачите на CaaS все по-често предлагат за закупуване компрометирани пълномощия и наблюдаваме все повече CaaS услуги и продукти с подобрени функции за избягване на откриването им.
Нападателите намират нови начини за прилагане на техники и хостване на оперативната си инфраструктура, като например компрометиране на предприятия за хостване на фишинг кампании, зловреден софтуер или използване на изчислителната им мощ за добив на криптовалута. Устройствата от интернет на нещата (IoT) стават все по-популярна цел за киберпрестъпниците, използващи широко разпространени ботнети. Когато рутерите не са поправени и са оставени изложени директно на интернет, участниците в заплахите могат да злоупотребяват с тях, за да получат достъп до мрежи, да изпълняват злонамерени атаки и дори да поддържат своите операции.
През изминалата година хактивизмът се разрасна, като частни лица извършваха кибератаки за постигане на социални или политически цели. Хиляди физически лица бяха мобилизирани да извършват атаки в рамките на руско-украинската война. Въпреки че предстои да видим дали тази тенденция ще продължи, технологичната индустрия трябва да се обедини, за да разработи цялостен отговор на тази нова заплаха.
Ускорената цифрова трансформация увеличи риска за киберсигурността на критичната инфраструктура и киберфизичните системи. Тъй като организациите се възползват от напредъка в компютърните възможности и обектите се дигитализират, за да процъфтяват, повърхността на атаката в цифровия свят експоненциално се увеличава.
Бързото внедряване на решенията на IoT увеличи броя на векторите за атаки и риска за организациите. Тази миграция надхвърли възможностите на повечето организации да се справят с нея, тъй като зловредният софтуер като услуга премина в широкомащабни операции срещу гражданската инфраструктура и корпоративните мрежи.
Наблюдаваме увеличаване на заплахите, използващи устройства във всяка част на организацията - от традиционно ИТ оборудване до контролери за оперативни технологии (ОТ) или обикновени сензори на IoT. Видяхме атаки срещу електропреносната мрежа, атаки с цел получаване на откуп, нарушаващи операциите на ОТ, и рутери на IoT, които се използват за по-голяма устойчивост. В същото време все по-често се използват уязвимости във фърмуера - софтуер, вграден в хардуера или платката на дадено устройство - за извършване на опустошителни атаки.
За да се противопоставят на тези и други заплахи, правителствата по света разработват и развиват политики за управление на риска за киберсигурността на критичната инфраструктура. Много от тях също така въвеждат политики за подобряване на сигурността на устройствата от сферата на интернет на нещата и на устройствата от сферата на операционната техника. Нарастващата глобална вълна от политически инициативи създава огромни възможности за повишаване на киберсигурността, но също така поставя предизвикателства пред заинтересованите страни в цялата екосистема. Тъй като политическата дейност в различни региони, сектори, технологии и области на управление на оперативния риск се провежда едновременно, съществува потенциал за припокриване и несъответствие в обхвата, изискванията и сложността на изискванията. Организациите от публичния и частния сектор трябва да се възползват от възможността за повишаване на киберсигурността с допълнителна ангажираност и усилия за постигане на съгласуваност.
- 68% от анкетираните смятат, че внедряването на IoT/OT е от решаващо значение за тяхната стратегическа цифрова трансформация
- 60% признават, че сигурността на IoT/OT е един от най-слабо защитените аспекти на тяхната инфраструктура
През изминалата година се забелязва преминаване на националните групи за киберзаплахи от експлоатиране на веригата за доставка на софтуер към експлоатиране на веригата за доставка на ИТ услуги, насочвайки се към доставчиците на облачни решения и управлявани услуги, за да достигнат до клиентите надолу по веригата в правителствения сектор, политиката и критичната инфраструктура.
Тъй като организациите укрепват позициите си за киберсигурност, националните държави реагират, като прилагат нови и уникални тактики за осъществяване на атаки и избягване на откриването им. Идентифицирането и използването на уязвимости от типа "нулев ден" е ключова тактика в тези усилия. Броят на публично оповестените уязвимости от типа "нулев ден" през изминалата година е равен на този от предходната година, която беше рекордно висока. Много организации приемат, че е по-малко вероятно да станат жертва на атаки с експлойти нулев ден, ако управлението на уязвимостите е неразделна част от мрежовата им сигурност. Въпреки това комерсиализацията на експлойтите води до това, че те се появяват с много по-бързи темпове. Експлойтите от нулевия ден често се откриват от други участници и се използват повторно в широк мащаб за кратък период от време, като оставят непоправените системи в риск.
Станахме свидетели на разрастваща се индустрия на офанзивни участници от частния сектор или кибер наемници, които разработват и продават инструменти, техники и услуги на клиенти - често правителства - за проникване в мрежи, компютри, телефони и свързани с интернет устройства. Въпреки че са предимство за националните държави, тези структури често застрашават дисиденти, правозащитници, журналисти, застъпници на гражданското общество и други частни граждани. Тези кибернаемници предоставят усъвършенствани възможности за "наблюдение като услуга", които много от националните държави не биха могли да развият сами.
Демокрацията се нуждае от надеждна информация, за да процъфтява. Ключова област на внимание за Microsoft са операциите за влияние, които се развиват и поддържат от националните държави. Тези кампании подкопават доверието, увеличават поляризацията и застрашават демократичните процеси.
По-специално, наблюдаваме как някои авторитарни режими работят заедно, за да замърсят информационната екосистема в своя взаимна полза. Пример за това са кампаниите, които се стремяха да замъглят произхода на вируса COVID-19. От началото на пандемията руската, иранската и китайската пропаганда на COVID-19 увеличаваше отразяването, за да засили тези централни теми.
900% увеличение на разпространението на дълбоки фалшификати на годишна база от 2019 г. насам
Навлизаме също така в това, което очакваме да бъде златна ера за създаването и манипулирането на медии с помощта на изкуствен интелект, задвижвана от разпространението на инструменти и услуги за изкуствено създаване на високореалистични синтетични изображения, видеоклипове, аудио и текст и възможността за бързо разпространение на съдържание, оптимизирано за конкретни аудитории. По-дългосрочна и още по-коварна е заплахата за разбирането ни за истината, ако вече не можем да се доверяваме на това, което виждаме и чуваме.
Бързо променящият се характер на информационната екосистема, съчетан с операциите за влияние на националните държави - включително сливането на традиционните кибератаки с операции за влияние и намеса в демократичните избори - изисква подход, обхващащ цялото общество. Необходима е засилена координация и обмен на информация между правителството, частния сектор и гражданското общество, за да се повиши прозрачността на тези кампании за оказване на влияние и да се разкрият и прекъснат кампаниите.
Все по-належащо е да се реагира на нарастващото ниво на заплахите в цифровата екосистема. Геополитическите мотиви на участниците в заплахите показват, че държавите са увеличили използването на офанзивни кибероперации, за да дестабилизират правителства и да повлияят на глобалните търговски операции. Тъй като тези заплахи се увеличават и еволюират, от решаващо значение е да се изгради киберустойчивост в структурата на организацията.
Както видяхме, много кибератаки са успешни просто защото основната хигиена за защита не е следвана. Минималните стандарти, които всяка организация трябва да приеме, са:
- Изрична проверка: Уверете се, че потребителите и устройствата са в добро състояние, преди да позволите достъпа им до ресурси.
- Използвайте достъп с най-малки привилегии: Разрешете само привилегиите, които са необходими за достъп до даден ресурс, и не повече.
- Предполагайте нарушение: Допускайте, че защитите на системата са нарушени и системите могат да бъдат компрометирани. Това означава непрекъснато наблюдение на средата за възможна атака.
Използвайте модерна защита срещу злонамерен софтуер
Внедряване на софтуер за подпомагане на откриването и автоматичното блокиране на атаки и предоставяне на информация за операциите по сигурността. Наблюдението на прозренията от системите за откриване на заплахи е от съществено значение, за да можете да реагирате на заплахите навреме.
Бъдете винаги актуални
Системите без приложени корекции и остарелите системи са основна причина много организации да станат жертва на атака. Уверете се, че всички системи са актуализирани, включително фърмуера, операционната система и приложенията.
Защитете данните
Познаването на вашите важни данни, къде се намират и дали са внедрени правилните системи, е от решаващо значение за прилагането на подходящата защита.
Източник: Отчет за дигитална защита на Microsoft, ноември 2022