Trace Id is missing

A külső támadási felületek anatómiája

Letöltés
Megosztás
A külső támadási felületek anatómiájának megértése

Öt elem, amelyet a szervezeteknek figyelniük kell

A kiberbiztonság világa egyre összetettebbé válik, ahogyan a szervezetek a felhőbe költöznek, és decentralizált munkavégzésre térnek át. Napjainkban a külső támadási felület több felhőre, az összetett digitális ellátási láncokra és a hatalmas külső ökoszisztémákra is kiterjed. Ebből következően a mostanában gyakori globális biztonsági problémák puszta mérete gyökeresen megváltoztatja azt a módot, ahogyan az átfogó biztonságra tekintünk.

Most már az internet is része a hálózatnak. A szinte felbecsülhetetlen mérete dacára a biztonsági csapatoknak ugyanolyan mértékben kell gondoskodniuk a szervezetük internetes jelenlétének védelméről, mint a tűzfalaik mögötti eszközeikéről. Ahogyan egyre több szervezet teszi magáévá a Teljes felügyelet alapelveit, a belső és külső felületek védelme internetméretű kihívássá válik. Ezért egyre fontosabb, hogy a szervezetek teljes körű ismereteket szerezzenek a támadási felületükről.

A Microsoft 2021-ben felvásárolta a Risk IQ céget, hogy segítsen a szervezeteknek a teljes digitális nagyvállalatuk felmérésében. A RiskIQ internetintelligencia-diagramja segítségével a szervezetek megismerhetik a támadási felületüket alkotó összetevőkben, kapcsolatokban, szolgáltatásokban, IP-címmel csatlakozó eszközökön és infrastruktúrában előforduló veszélyforrásokat, és így rugalmas, méretezhető védelmet alakíthatnak ki.

A biztonsági csapatoknak már a védelemre szoruló felület puszta mérete is ijesztő lehet. Perspektívába helyezhetik azonban a szervezetük támadási felületét például úgy, ha az internetre egy támadó nézőpontjából tekintenek. Ez a cikk öt olyan területet ismertet, amely segít jobban meghatározni a külső támadási felület hatékony kezelésének kihívásait.

A globális támadási felület az internettel együtt nő

És napról napra növekszik. 2020-ban az interneten megtalálható adatok mennyisége elérte a 40 zettabájtot, azaz 40 billió gigabájtot.1 A RiskIQ eredményei szerint percenként 117 298 gazdaszámítógép és 613 tartomány2 adódik hozzá a globális támadási felület tekervényes szövetét alkotó rengeteg, egymásba fonódó szálhoz. Ezek mindegyike adott elemek készletet tartalmazza, például alapul szolgáló operációs rendszereket, keretrendszereket, külső alkalmazásokat, beépülő modulokat és nyomkövetési kódokat. A mindezeket az elemeket magukba foglaló webhelyek gyors terjedésével a globális támadási felület hatóköre is exponenciálisan nő.

A globális támadási felület minden percben egyre nő

  • létrehozott gazdaszámítógép perceként.
  • létrehozott tartomány percenként.
  • 375 új veszélyforrás percenként.2

A törvényesen működő szervezetek és a fenyegető szereplők egyaránt hozzájárulnak ehhez a növekedéshez, ami azt jelenti, hogy a kiberfenyegetések száma az internettel együtt nagy ütemben növekszik. A cégek adatait, márkáját, szellemi tulajdonát, rendszereit és alkalmazottait célba vevő kifinomult, folyamatos komplex veszélyforrások (APT-k) és kisstílű kiberbűnözők egyaránt fenyegetést jelentenek a vállalkozások biztonságára.

2021 első negyedévében a CISCO 611 877 egyedi adathalász webhelyet észlelt3, 32 tartománymegsértési eseménnyel és 375 új teljes körű fenyegetéssel percenként.2 Ezek a veszélyforrások csalásra kifejlesztett eszközökkel veszik célba a szervezetek alkalmazottait és ügyfeleit, és arra próbálják rávenni őket, hogy kártékony hivatkozásokra kattintsanak, és bizalmas adatokat kísérelnek meg adathalászattal megszerezni. Ezek mind ronthatják a márka megbízhatóságát és a fogyasztói bizalmat.

A biztonsági rések számának növekedése a távoli munkaerő oldaláról

Az internetkapcsolattal rendelkező eszközök száma jelentősen kiszélesítette az átlagos szervezeteket érintő veszélyforrások és biztonsági rések spektrumát. A COVID-19 megjelenésének hatására újra felgyorsult a digitális növekedés, hiszen szinte minden szervezetnek meg kellett növelnie a digitális lábnyomát, hogy alkalmazkodni tudjon a távoli, rugalmas munkaerőhöz és üzleti modellhez. Az eredmény: a támadók mára sokkal több hozzáférési pontot tudnak kikutatni vagy kihasználni.

A távelérési technológiák, például az RDP (Remote Desktop Protocol) és a VPN (Virtual Private Network) használata hirtelen ugrásszerűen 41, illetve 33%-kal4 megemelkedett, ahogyan a világ nagy része bevezette az otthonról történő munkavégzést. A távoli asztali szoftverek globális piacának mérete, amely 2019-ben 1,53 milliárd dollárra rúgott, 2027-re el fogja érni a 4,69 milliárd dollárt.5

A távelérési szoftverek és eszközök több tucatnyi új biztonsági rése eddig soha nem látott lehetőségeket ad a támadók kezébe. A RiskIQ számos biztonsági rést azonosított a legnépszerűbb távelérési és szegélyeszközökön, és a biztonsági rések áradata azóta sem csillapodott. 2021-ben összesen 18 378 biztonsági résről tettek bejelentést.6

A sebezhetőségek új világa

  • növekedés az RDP használatában.
  • növekedés a VPN használatában.
  • bejelentett biztonsági rés 2021-ben.

A több fenyegető csoport által összehangolt és a digitális nagyvállalatokra szabott globális méretű támadások erősödésével a biztonsági csapatoknak saját maguk, a harmadik felek, a partnerek, az ellenőrzött és ellenőrizetlen alkalmazások és a szolgáltatások esetében is csökkenteniük kell a biztonsági réseket a digitális ellátási láncban kialakult kapcsolatokban.

A digitális ellátási láncok, az egyesülések és felvásárlások, valamint az árnyékinformatika rejtett támadási felületet alakítanak ki

A legtöbb kibertámadás forrása a hálózattól kilométerekre található, a hackertámadások során pedig leggyakrabban a webalkalmazások alkotta vektorkategóriát használják ki. Sajnos a legtöbb szervezet nincs teljes kép birtokában az internetes eszközeiket tekintve, és arról sem tud mindent, hogy ezek az eszközök hogyan kapcsolódnak a globális támadási felülethez. A láthatóság hiányához három jelentős tényező járul hozzá: az árnyékinformatika, az egyesülések és felvásárlások és a digitális ellátási láncok.

Kockázatos függőségek

  • lejárt szolgáltatás percenként.2
  • azoknak az ügyleteknek az aránya, amelyek esetében kellő gondossággal járnak el a kiberbiztonsággal kapcsolatban.7
  • a szervezeteknek tapasztalt legalább egy, harmadik fél által okozott, adatokkal való visszaélést.8

Árnyékinformatika

 

Ha az IT-részleg nem tud lépést tartani az üzleti követelményekkel, a vállalkozás máshol keres támogatást az új webes eszközök fejlesztéséhez és üzembe helyezéséhez. A biztonsági csapat gyakran nincs tisztában ezekkel az árnyékinformatikai tevékenységekkel, ami oda vezet, hogy nem tudja az elkészült eszközöket a biztonsági programja keretébe helyezni. A felügyelet nélküli vagy árva eszközök idővel teherré válhatnak a szervezet támadási felületén.

Mára megszokottá vált a tűzfalon kívüli digitális eszközöknek ez a gyors elburjánzása. Az új RiskIQ-ügyfeleknek jellemzően körülbelül 30%-kal több eszközük van, mint gondolták volna, a RiskIQ pedig perceként 15 lejárt szolgáltatást (amelyek esetében fennáll az altartomány átvételének veszélye) és 143 nyitott portot észlel.2

Egyesülések és felvásárlások

 

A mindennapi működés és a kritikus üzleti kezdeményezések, például az egyesülések és felvásárlások, a stratégiai partnerségek és a feladatok kiszervezése is hozzájárul a külső támadási felületek kialakulásához és növekedéséhez. Mára a globális ügyletek kevesebb mint 10%-a esetében járnak el kellő gondossággal a kiberbiztonsággal kapcsolatban.

Számos oka lehet annak, hogy a szervezetek miért nem rendelkeznek teljes rálátással a potenciális kiberkockázatokra a kellő gondosságot igénylő folyamatok során. Az egyik az általuk felvásárolt cég digitális jelenlétének puszta méretében keresendő. Nem ritka, hogy egy nagyobb szervezet több ezer – vagy akár több tízezer – aktív webhellyel és más, nyilvánosan elérhető eszközzel rendelkezik. Habár a felvásárolandó cég IT- és biztonsági csapata nyilvántartást vezet a webhelyeken megtalálható eszközökről, ez szinte minden esetben csupán részleges rálátást ad a valóságra. Minél kevésbé központosítottak egy szervezet IT-tevékenységei, annál hiányosabbak ezek az ismeretek.

Ellátási láncok

 

A nagyvállalatok egyre jobban függnek a modern ellátási láncot alkotó digitális szövetségektől. Habár ezek a függőségek elengedhetetlenek a 21. századi működéshez, rendszerezetlen, réteges és rendkívül bonyolult külső kapcsolatrendszert eredményeznek, amelyben a kapcsolatok nagy része kívül esik a biztonsági és kockázatkezelési csapatok hatáskörén, így ők nem tudják ellátni ezeknek a proaktív védelmét. Ennek következtében hatalmas kihívássá válik a kockázatot jelentő, sérülékeny digitális eszközök azonosítása.

Ezeknek a függőségeknek a hiányos ismerete és láthatósága oda vezetett, hogy a külső támadások mára a fenyegető szereplők egyik leggyakoribb és leghatékonyabb vektorává vált. A támadásoknak egy jelentős része manapság a digitális ellátási láncon keresztül érkezik. Manapság az IT-szakértők 70%-a számol be arról, hogy közepes vagy magas szinten függnek olyan külső entitásoktól, amelyek harmadik, negyedik vagy ötödik félt is magukban foglalhatnak.9 Ugyanakkor a szervezetek 53%-a tapasztalt már legalább egy olyan, adatokkal való visszaélést, amelyet egy harmadik fél idézett elő.10

Habár az ellátási láncokat érő nagyobb mértékű támadások gyakoribbak, a szervezeteknek a kisebbekkel is napi szinten foglalkozniuk kell. A bankkártyákkal való digitális visszaélést („skimming”) lehetővé tevő kártevők – ilyen például a Magecart – a külső e-kereskedelmi beépülő modulokat támadják. 2022 februárjában a RiskIQ azt találta, hogy a Magecart nevű kártevő több mint 300 tartományt támadott meg.11

A vállalkozások évről évre egyre többet fektetnek a mobileszközökbe, ahogyan az átlagos fogyasztók életstílusa egyre mobileszköz-központúbbá válik. Az amerikaiak manapság több időt töltenek a mobileszközük használatával, mint tévénézéssel, és a közösségi távolságtartás is hozzájárult ahhoz, hogy még több fizikai igényüket mobileszközzel elégítsék ki, például a vásárlás vagy az oktatás területén. Az App Annie kutatása szerint a mobileszközökre 2021-ben döbbenetes nagyságú összeget, 170 milliárd dollárt költöttek, ami évről évre 19%-os növekedést jelent.12

A mobileszközökre mutatkozó óriási igény hatására rendkívüli módon megszaporodtak a mobilalkalmazások. A felhasználók 2020-ban 218 milliárd alkalmazást töltöttek le. Mindeközben a RiskIQ 33 százalékos általános növekedést figyelt meg 2020-ban az elérhető mobilalkalmazások számát tekintve, ami percenként 23 új mobilalkalmazást jelent.2

Az alkalmazás-áruházak egyre nagyobb támadási felületet jelentenek

  • növekedés a mobilalkalmazások számában.
  • új mobileszköz percenként.
  • letiltott alkalmazás ötpercenként.2

A szervezetekben ezek az alkalmazások hozzájárulnak az üzleti eredményekhez. Ugyanakkor kétélű fegyverek is lehetnek. Az alkalmazások jelentős részét teszik ki a nagyvállalatok teljes, a tűzfalon túli támadási felületének, ahol a biztonsági csapatok gyakran a láthatóság kritikus hiányát tapasztalják. A fenyegető szereplők ezt a rövidlátást kihasználva olyan „rosszindulatú alkalmazásokat” készítenek, amelyek közismert márkákat utánoznak, vagy máshogyan tüntetik fel másnak magukat, mint amik, azzal a céllal, hogy rávegyék az ügyfeleket az alkalmazások letöltésére. Ha egy gyanútlan felhasználó letölti ezeket a kártékony alkalmazásokat, a fenyegető szereplők szabad utat kapnak, hogy adathalászattal bizalmas információkat szerezzenek meg, vagy kártevő szoftvereket töltsenek fel az eszközökre. A RiskIQ ötpercenként helyez tiltólistára egy-egy kártékony mobilalkalmazást.

Ezek a rosszindulatú alkalmazások néha még hivatalos áruházakban is megjelennek, ritkán még a nagyobb alkalmazás-áruházak robusztus védelmét is át tudják törni. Több száz kevésbé jó hírű alkalmazás-áruház is létezik azonban; ezek pedig a jó nevű áruházak viszonylagos biztonságán kívül eső, sötét mobil alvilágot képviselik. Az ezekben az áruházakban elérhető alkalmazások sokkal kevésbé megbízhatók, mint a hivatalos áruházakban találhatók, néhányuk esetében pedig még a biztonságos ajánlatok mennyiségét is felülmúlja a kártékony alkalmazások száma.

A globális támadási felület a szervezetek támadási felületének is részét képezi

A mai globális internetes támadási felület jelentős átalakuláson ment keresztül, és most már egy olyan dinamikus, mindent felölelő és teljes mértékben egymásba fonódó szálakból álló ökoszisztéma, amelynek mindannyian a részei vagyunk. Ha van internetes jelenléte, az azt jelenti, hogy mindenki mással kölcsönös kapcsolatban áll, még azokkal is, akik kárt akarnak okozni Önnek. Ezért a veszélyforrás-infrastruktúra nyomon követése éppolyan fontos, mint a saját infrastruktúráé.

A globális támadási felület a szervezetek támadási felületének is részét képezi

  • új észlelt kártevő naponta.2
  • növekedés a kártevővariánsok számában.13
  • Cobalt Strike-kiszolgáló 49 percenként.2

A különböző fenyegető csoportok újrahasznosítják és megosztják az infrastruktúrát – az IP-címeket, a tartományokat és a tanúsítványokat –, és nyílt forráskódú eszközöket, például kártevőket, adathalászati készleteket és C2-összetevőket használnak annak érdekében, hogy elkerüljék az egyszerű beazonosításukat, miközben az egyedi igényeknek megfelelően tökéletesítik és javítják őket.

Nap mint nap több mint 560 000 új kártevőt észlelnek, a kiberbűnözők feketepiacán meghirdetett adathalászati készletek száma pedig egyenesen megduplázódott 2018 és 2019 között. 2020-ban az észlelt kártevővariánsok száma 74%-kal emelkedett.14 A RiskIQ manapság 49 percenként észlel egy-egy Cobalt Strike C2-kiszolgálót.

A legtöbb szervezet biztonsági stratégiája eredetileg olyan mélységi védelemben merült ki, amely a szegélyen kezdődött, és rétegesen haladt vissza a védelemre szoruló eszközök felé. Az efféle stratégia és a támadási felület között azonban vannak szakadási pontok, ahogyan ez a jelentés is szemlélteti. A digitális szórakozás mai világában a felhasználók a szegélyen kívül helyezkednek el – mint ahogyan egyre több, kockázatnak kitett vállalati digitális eszköz és számos kártékony szereplő is. Ha a Teljes felügyelet alapelveit alkalmazzuk a vállalati erőforrásokra, az segíthet a mai munkaerő védelmében is, és a személyek, az eszközök, az alkalmazások és az adatok biztonságáról is gondoskodik, függetlenül azok helyétől vagy a fenyegetések nagyságrendjétől. A Microsoft Biztonság célzott értékelőeszközeivel felmérheti a szervezete Teljes felügyelettel kapcsolatos érettségi szintjét.

Kapcsolódó cikkek

Kiberfenyegetések egy percben

Kibertámadás esetén minden másodperc számít. A globális kiberbűnözés méretének és hatókörének szemléltetésére egy évnyi kiberbiztonsági kutatást sűrítettünk egy 60 másodperces idősávba.
További információ

Szolgáltatott zsarolóvírusok

A kiberbűncselekmények legújabb üzleti modelljének számító, ember által irányított támadások különböző képességű bűnözőket bátorítanak cselekvésre.
További információ

Az IoT bővítése és az operatív technológiát érintő kockázat

Az eszközök internetes hálózatának (IoT) egyre nagyobb elterjedése kockázatnak teszi ki az operatív technológiát (OT), és számos potenciális sebezhetőséget és kitettséget jelent a fenyegető szereplőkkel szemben. Megtudhatja, hogyan gondoskodhat a szervezete folyamatos védelméről.
További információ