Nova bitka vodi se na području identiteta

Muškarac i žena sjede za stolom i koriste prijenosno računalo.

Cyber Signals izdanje 1: Dobijte uvide u razvijajuće računalne prijetnje i koje korake poduzeti kako biste bolje zaštitili svoju tvrtku ili ustanovu.

Postoji opasan nesklad između sigurnosnih protokola većine tvrtka ili ustanova te prijetnji s kojima se susreću. Dok napadači zaista nastoje silom ući u mreže, njihova je preferirana taktika jednostavnija: pogađanje slabijih lozinki za prijavu. Osnovne mjere kao što je višestruka provjera autentičnosti učinkovite su protiv 98 % napada, ali ih samo 20 % organizacija u potpunosti primjenjuje (Microsoftovo izvješće o digitalnoj zaštiti, 2021.).

U prvom ćete izdanju saznati više o trenutačnim trendovima i preporukama u području sigurnosti od Microsoftovih istraživača i stručnjaka, uključujući:

Tko se oslanja lozinke i napade koje se temelje na identitetu.
Što  napraviti kako bi se suprotstavilo napadima, uključujući strategije za krajnje točke, e-poštu i identitet.
Kada  stavljati prioritete na različite sigurnosne mreže.
Gdje  ulaze opterećenja ucjenjivačkim softverom i šire se među mrežama i kako ih zaustaviti.
Zašto  je zaštita identiteta i dalje najveći problem – ali i najveća prilika za poboljšanje vaše sigurnosti.

Državni su akteri ponovo pojačali napore da jednostavno zgrabe osnovne elemente identiteta

Računalni napadi od strane državnih aktera su u porastu. Unatoč njihovim širokim resursima, ovi se protivnici često oslanjaju na jednostavnu taktiku kako bi ukrali lozinke koje se lako mogu pogoditi. Tako mogu dobiti brz i lagan pristup korisničkim računima. U slučaju korporativnih napada, proboj u mrežu organizacije državnim akterima omogućava dobivanje uporišta koje mogu iskoristiti za okomito premještanje, po sličnim korisnicima i resursima, ili za vodoravno premještanje, čime dobivaju pristup dragocjenijim vjerodajnicama i resursima.

Individualizirana krađa identiteta, napadi društvenim inženjeringom i dalekosežninapadi raspršivanjem lozinke  čine osnovnu taktiku državnih aktera koja se primjenjuje za krađu ili pogađanje lozinki. Microsoft dobiva uvid u trgovačke vještine i uspjehe napadača promatranjem u koje taktike i tehnike ulažu i koje su im uspješne. Ako se vjerodajnicama korisnika loše upravlja ili su ranjive bez ključnih zaštita, kao što su višestruka provjera autentičnosti (MFA) i značajke bez lozinki, nacionalne države će i dalje primjenjivati jednostavnu taktiku.

Potreba za provođenjem usvajanja višestruke provjere autentičnosti ili pristupa bez lozinke ne može se pretjerati jer ih jednostavnost i niska cijena napada usmjerenih na identitet čine prikladnima i učinkovitima za aktere. MFA nije samo alat za upravljanje pristupom i identitetom koji tvrtke ili ustanove trebaju koristiti, već i snažno odvraća od napada.

Zlouporaba vjerodajnica glavna je značajka grupe NOBELIUM, državnog zlonamjernog aktera povezanog s Rusijom. Međutim, i drugi se protivnici, kao što je grupa DEV 0343 povezana s Iranom , oslanjaju na napade raspršivanjem lozinke. Aktivnost grupe DEV-0343 promatrala se u različitim obrambenim poduzećima koji proizvode radara vojničke razine, tehnologiju bespilotnih letjelica, satelitske sustava i komunikacijske sustave za odgovor u slučaju nužde. U daljnjim aktivnostima meta su bile regionalne ulazne luke u Perzijskom zaljevi i nekoliko pomorskih poduzeća i poduzeća za prijevoz tereta s poslovnim fokusom na Srednji Istok.

Analiza računalnih napada koji se temelje na identitetu koje je pokrenuo Iran

Države koje su bile najčešće mete Irana između srpnja 2020. i lipnja 2021. bile su Sjedinjene Američke Države (49 %), Izrael (24 %) i Saudijska Arabija (15 %). Saznajte više o ovoj slici na stranici 4 u cijelom izvješću

Tvrtka ili ustanova bi trebala:

Omogućiti višestruku provjeru autentičnosti: Tako smanjuje rizik da će lozinke dospjeti u krive ruke. Još bolje, uklonite sve lozinke i koristite višestruku provjeru autentičnosti (MFA) bez lozinke.

Nadzirati ovlasti nad računom: računi s pristupom s ovlastima postaju snažno oružje koje napadači mogu koristiti kako bi dobili veći pristup mrežama i resursima. Sigurnosni timovi trebali bi redovito nadzirati ovlasti nad pristupom, primjenjujući načelo s minimumom odobrenih privilegija kako bi zaposlenici mogli obavljati posao.

Pregledati, ojačati i nadzirati sve račune korisnika administratora: sigurnosni timovi trebaju temeljito pregledati sve korisnike administratore ili račune povezane s delegiranim administratorskim ovlastima radi provjere autentičnosti korisnika i aktivnosti. Zatim bi trebali onemogućiti ili ukloniti bilo koje nekorištene delegirane administratorske ovlasti.

Utvrditi i provesti polazište za sigurnost radi smanjenja rizika: nacionalne države već dugo igraju ovu igru i imaju sredstva, volju i opseg za razvijanje novih strategija i tehnika napada. Svako zakašnjelo ojačavanje mreže zbog propusnosti ili birokracije ide njima na ruku. Sigurnosni timovi trebaju prioritet staviti na implementiranje praksi modela „svi su nepouzdani” kao što su ažuriranja na višestruku provjeru autentičnosti i pristup bez lozinke . Mogu započeti s računima s ovlastima kako bi brzo dobili zaštitu, a zatim se širiti u inkrementalnim i kontinuiranim fazama.

Ucjenjivački softver je najpoznatija prijetnja, ali nije jedina dominantna

Dominantan ja narativ da se čini da postoje ogromne količine novih prijetnji ucjenjivačkim softverom koje nadmašuju sposobnosti branitelja. Međutim, Microsoftova analiza pokazuje da je to netočno. Postoji i percepcija da su određene grupe koje provode napade ucjenjivačkim softverom jedan monolitni entitet, što je također netočno. Ono što postoji je ekonomija računalnog zločina gdje različiti igrači u napadačkim lancima gdje se sve pretvara u proizvod donose promišljene odluke. Potaknuti su ekonomskim modelom maksimiziranja profita na temelju načina na koji svaki iskorištava informacije kojima imaju pristup. Grafički prikaz u nastavku pokazuje kako različite grupe profitiraju od raznih strategija računalnih napada i informacija iz kršenja sigurnosti podataka.

Prosječne cijene raznih usluga računalnog kriminala

Prosječne cijene usluga računalnog kriminala za prodaju. Cijena napadača za najam počinje od 250 USD po angažmanu. Kompleti ucjenjivačkog softvera koštaju 66 USD ili 30 % od zarade. Cijena kompromitiranih uređaja počinje od 13 centi po osobnom računalu i 82 centa po mobilnom uređaju. Cijena individualizirane krađa identiteta za najam u rasponu je od 100 USD do 1000 USD. Cijena ukradenih parova korisničkog imena i lozinke počinje u prosjeku od 97 centi po njih 1000. Saznajte više o ovoj slici na stranici 5 u cijelom izvješću

Bez obzira na količinu ucjenjivačkog softvera ili koja su opterećenja uključena, zaista se svodi na tri vektora ulaska: grupa sila na protokol udaljene radne površine (RDP), ranjivi internetski sustav i krađa identiteta. Svi se ovi vektori mogu ublažiti odgovarajućom zaštitom lozinke, upravljanjem identitetima i softverskim ažuriranjima uz sveobuhvatan komplet alata za sigurnost i sukladnost. Vrsta ucjenjivačkog softvera može se širiti samo kada dobije pristup vjerodajnicama i sposobnost širenja. Otamo, iako je poznato opterećenje, može napraviti puno štete.

Grafički prikaz zlonamjernih aktera od inicijalnog pristupa do bočnog kretanja po sustavu

Put ponašanja zlonamjernog aktera kada se neovlašteno pristupi sustavu od pristupne točke do krađe vjerodajnica i bočnog kretanja kroz sustav. Prati uporan put za hvatanje računa i pribavljanje korisnih podataka ucjenjivačkog softvera. Saznajte više o ovoj slici na stranici 5 u cijelom izvješću

Sigurnosni timovi bi trebali:

Razumjeti da ucjenjivački softver uspijeva na zadanim ili kompromitiranim vjerodajnicama: kao posljedica toga, sigurnosni timovi trebali bi ubrzati zaštite poput implementiranja višestruke provjere autentičnosti bez lozinke i davanja prioriteta izvršnim, administratorskim i drugim uloga s dodijeljenim ovlastima.

Utvrditi kako uočiti jasne anomalije na vrijeme kako bi mogli djelovati: rane prijave, kretanje datoteka i druga ponašanja koja uvode ucjenjivački softver mogu se činiti bezličnima. Unatoč tome, timovi trebaju pretraživati anomalije i brzo djelovati na njih.

Imati plan odgovora na ucjenjivački softver i provoditi vježbe oporavka: živimo u doba sinkroniziranja i dijeljenja u oblaku, ali kopije podataka različite su od svih IT sustava i baza podataka. Timovi trebaju vizualizirati i prakticirati ono što sliči potpunim obnovama.

Upravljati upozorenjima i brzo ublažavati: dok se svi boje napada ucjenjivačkim softverom, primarni fokus sigurnosnih timova treba biti na osnaživanju slabih sigurnosnih konfiguracija koje omogućavaju napadu da bude uspješan. Trebali bi upravljati sigurnosnim konfiguracijama kako bi se na upozorenja i otkrivanja odgovaralo na odgovarajući način.

Krivulja distribucije zaštite s prikazom kako osnovna sigurnosna higijena pomaže u zaštiti od 98 % napada

Zaštitite se od 98 posto % korištenjem programa protiv zlonamjernog softvera, primjenom pristupa uz najnižu razinu ovlasti, omogućavanjem višestruke provjere autentičnosti, ažuriranjem verzija i zaštitom podataka. Preostala 2 % zvonaste krivulje uključuje napade netipične vrijednosti. Saznajte više o ovoj slici na stranici 5 u cijelom izvješću

Dodatne smjernice primite od Microsoftova glavnog voditelja za obavještavanje o prijetnjama, Christophera Glyera , o tome kako zaštititi identitet.

Uvidi se dobivaju i prijetnje se blokiraju koristeći preko 24 bilijuna signala dnevno

Prijetnje krajnjim točkama:
Microsoft Defender za krajnju točku blokirao je više od 9,6 milijarde prijetnji zlonamjernim softverom čija su meta bili velike tvrtke i korisnički klijentski uređaji, između siječnja i prosinca 2021.

Prijetnje putem e-pošte:
Microsoft Defender za Office 365 blokirao je više od 35,7 milijardi krađa identiteta i drugih zlonamjernih poruka e-pošte čija su meta bili velike tvrtke i korisnički klijenti, između siječnja i prosinca 2021.

Prijetnje identitetima:
Microsoft (Azure Active Directory) otkrio je i blokirao više od 25,6 milijardi pokušaja otimanja korporativnih korisničkih računa preko lozinki ukradenih grubom silom, između siječnja i prosinca 2021.

Metodologija: Za podatke snimke stanja, Microsoftove platforme, uključujući Defender i Azure Active Directory, pružile su anonimizirane podatke o aktivnosti prijetnji, kao što su pokušaji prijave grubom silom, krađa identiteta i druge zlonamjerne poruke e-pošte čija su meta velike tvrtke i korisnici te napadi zlonamjernim softverom između siječnja i prosinca 2021. Dodatni uvidi dolaze od 24 bilijuna dnevnih sigurnosnih signala prikupljenih u Microsoftu, uključujući oblak, krajnje točke i inteligentni rub. Snažni podaci provjere autentičnosti kombiniraju višestruku provjeru autentičnosti i zaštitu bez lozinke.

Identitet Ucjenjivački softver Nacionalna država

Povezani članci

Cyber Signals izdanje 2: Ekonomija iznuđivanja

Saznajte više od stručnjaka za zaposlenike za komunikaciju s klijentima o razvoju ucjenjivačkog softvera kao usluge. Od programa i korisnih podataka do pristupnih agenata i povezanih programa, saznajte više o alatima, taktikama i ciljevima koje računalni zločinci više vole i dobijte smjernice kako biste pridonijeli zaštiti svoje organizacije.

Saznajte više

Obrana Ukrajine: Prve lekcije iz računalnog rata

Najnovije spoznaje u stalnim naporima obavještajnih prijetnji u ratu između Rusije i Ukrajine i niz zaključaka iz prva četiri mjeseca pojačavaju potrebu za stalnim i novim ulaganjima u tehnologiju, podatke i partnerstva radi podrške vladama, tvrtkama, nevladinim organizacijama i sveučilištima.

Saznajte više

Profil stručnjaka: Christopher Glyer

Kao glavni voditelj za obavještavanje o prijetnjama s fokusom na ucjenjivački softver u Microsoftovu centru za obavještavanje o prijetnjama (MSTIC), Christopher Glyer, dio je tima koji istražuje kako najnapredniji akteri računalnih prijetnji pristupaju sustavima te ih iskorištavaju.

Saznajte više