Trace Id is missing
Pereiti prie pagrindinio turinio
Sauga iš vidinės perspektyvos

Tapatybė yra naujasis mūšio laukas

Atsisiųsti
Bendrinti
Vyras ir moteris sėdi prie stalo ir naudojasi nešiojamuoju kompiuteriu.

„Cyber Signals“ Nr. 1: Pasisemkite įžvalgų apie kibernetinių grėsmių evoliuciją ir kokiomis priemonėmis galite apsaugoti savo organizaciją.

Daugumos organizacijų saugos protokolai ir grėsmės, su kuriomis jos susiduria, pavojingai nesutampa. Nors įsilaužėliai tikrai bando įsilaužti į tinklus, dažnai jie renkasi paprastesnę taktiką – atspėti silpnus prisijungimo slaptažodžius. Bazinės priemonės, pavyzdžiui, kelių dalių autentifikavimas, veiksmingai apsaugo nuo 98 proc. atakų, tačiau tik 20 proc. organizacijų jas išties taiko („Microsoft“ skaitmeninės gynybos ataskaita, 2021 m.).

Pirmame numeryje sužinosite apie dabartines saugos tendencijas ir „Microsoft“ tyrėjų bei ekspertų rekomendacijas, įskaitant:

  • Kas pasikliauja  slaptažodžiais ir tapatybe pagrįstos atakos.
  • daryti, kad atremtumėte atakas, įskaitant galinių punktų, el. pašto ir tapatybės strategijas.
  • Kada  teikti pirmenybę įvairioms saugos priemonėms.
  • Kur  išpirkos reikalaujančių programų atmainos patenka į tinklus ir juose plinta bei kaip jas sustabdyti.
  • Kodėl  tapatybės apsauga vis dar kelia daugiausia rūpesčių, bet kartu yra ir didžiausia galimybė padidinti savo saugą.

Nacionalinių valstybių veikėjai deda dvigubai daugiau pastangų, kad paprasčiausiai užgrobtų tapatybės pagrindus

Daugėja nacionalinių valstybių veikėjų vykdomų kibernetinių atakų. Nepaisant jų didelių išteklių, šie priešininkai dažnai remiasi paprasta taktika, kad pavogtų lengvai atspėjamus slaptažodžius. Taip jie gali greitai ir lengvai pasiekti klientų sąskaitas. Įmonių atakų atveju įsiskverbimas į organizacijos tinklą leidžia nacionalinės valstybės veikėjams įsitvirtinti organizacijos tinkle, kurį jie gali panaudoti norėdami judėti vertikaliai, t. y. pereiti prie panašių naudotojų ir išteklių, arba horizontaliai, t. y. gauti prieigą prie vertingesnių įgaliojimų ir išteklių.

Tikslinis sukčiavimas apsimetant, socialinės inžinerijos atakos ir plataus masto vieno slaptažodžio bandymo atakos – tai pagrindinės nacionalinės valstybės veikėjų taktikos, naudojamos slaptažodžiams pavogti arba atspėti. „Microsoft“ gauna įžvalgų apie įsilaužėlių įgūdžius ir sėkmę stebėdama, į kokias taktikas ir metodus jie investuoja ir kiek jie būna sėkmingi. Jei vartotojų kredencialai bus prastai valdomi arba liks pažeidžiami be svarbiausių apsaugos priemonių, tokių kaip kelių dalių autentifikavimas (MFA) ir funkcijos be slaptažodžio, nacionalinės valstybės ir toliau taikys tą pačią paprastą taktiką.

Būtinybė užtikrinti MFA taikymą arba pereiti prie slaptažodžių nenaudojimo yra neabejotina, nes į tapatybę orientuotų atakų paprastumas ir nedidelė kaina daro jas patogias ir veiksmingas veikėjams. Nors MFA nėra vienintelė tapatybės ir prieigos valdymo priemonė, kurią turėtų naudoti organizacijos, ji gali būti stipri atgrasymo nuo atakų priemonė.

Piktnaudžiavimas kredencialais yra NOBELIUM, nacionalinės valstybės priešininkės, susijusios su Rusija, mėgiama taktika. Tačiau kiti kenkėjai, pavyzdžiui, su Iranu siejama DEV 0343, naudojasi ir vieno slaptažodžio bandymo atakomis. DEV-0343 veikla pastebėta gynybos bendrovėse, gaminančiose karinės paskirties radarus, bepiločių orlaivių technologijas, palydovines sistemas ir reagavimo į ekstremalias situacijas ryšio sistemas. Kita veikla buvo nukreipta į Persijos įlankos regioninius įvažiavimo uostus ir kelias jūrų ir krovinių vežimo bendroves, kurių pagrindinė veikla vykdoma Artimuosiuose Rytuose.
Irano inicijuotų tapatybėmis pagrįstų kibernetinių atakų pasiskirstymas
Nuo 2020 m. liepos mėn. iki 2021 m. birželio mėn. labiausiai Irano atakuojamos šalys buvo Jungtinės Amerikos Valstijos (49 %), Izraelis (24 %) ir Saudo Arabija (15 %). Sužinokite daugiau apie šį vaizdą visos ataskaitos 4 puslapyje

Organizacijos turėtų:

Įgalinti kelių dalių autentifikavimą: taip jos sumažina riziką, kad slaptažodžiai pateks į netinkamas rankas. Dar geriau – visiškai atsisakykite slaptažodžių naudodami MFA be slaptažodžio.
Tikrinkite paskyros teises: užgrobtos privilegijuotosios prieigos paskyros tampa galingu ginklu, kurį įsilaužėliai gali naudoti norėdami gauti didesnę prieigą prie tinklų ir išteklių. Saugos komandos turėtų dažnai tikrinti prieigos teises, vadovaudamosi mažiausių suteiktų teisių principu, kad darbuotojai galėtų atlikti darbus.
Peržiūrėti, stiprinti ir stebėti visas nuomotojo administratoriaus paskyras: saugos komandos turėtų nuodugniai peržiūrėti visus nuomininko administratoriaus vartotojus arba paskyras, susietas su įgaliotojo administravimo teisėmis, kad patikrintų vartotojų ir veiklos autentiškumą. Tada jos turėtų išjungti arba pašalinti visas nenaudojamas įgaliotojo administravimo teises.
Nustatyti ir taikyti saugos bazinę konfigūraciją rizikai sumažinti: nacionalinės valstybės skiria daug laiko ir turi lėšų, valios ir galimybių kurti naujas puolimo strategijas ir metodus. Kiekvienas tinklo stiprinimo iniciatyvos vėlavimas dėl pralaidumo ar biurokratijos pasitarnauja jų naudai. Saugos komandos turėtų teikti pirmenybę nulinio pasitikėjimo praktikos, tokios kaip MFA ir atnaujinimai be slaptažodžių , įgyvendinimui. Jos gali pradėti nuo privilegijuotų paskyrų, kad apsauga būtų užtikrinta greitai, o paskui ją palaipsniui ir nuolat plėsti.

Išpirkos reikalaujančios programos populiarios, tačiau dominuoja tik kelios atmainos

Atrodo, kad vyrauja nuomonė, jog naujų išpirkos reikalaujančių programų grėsmių skaičius viršija gynėjų galimybes. Tačiau „Microsoft“ analizė rodo, kad tai netiesa. Taip pat manoma, kad tam tikros išpirkos reikalaujančių programišių grupės yra vienas monolitinis darinys, tačiau tai taip pat neteisinga. Egzistuoja kibernetinių nusikaltimų ekonomika, kurioje įvairūs atakų grandinių dalyviai sąmoningai priima sprendimus. Jie vadovaujasi ekonominiu modeliu, kuriuo siekiama gauti kuo didesnį pelną, atsižvelgiant į tai, kaip kiekvienas iš jų išnaudoja turimą informaciją. Toliau pateiktame paveikslėlyje parodyta, kaip įvairios grupės pelnosi iš įvairių kibernetinių atakų strategijų ir informacijos, gautos dėl pažeistos duomenų saugos.

Vidutinės įvairių kibernetinių nusikaltimų paslaugų kainos
Vidutinės kibernetinių nusikaltimų paslaugų pardavimo kainos. Įsilaužėlius galima pasamdyti nuo 250 USD už darbą. Išpirkos reikalaujančių programų rinkiniai kainuoja 66 USD arba 30 procentų nuo pelno. Įrenginių saugos pažeidimo kainos prasideda nuo 13 centų už vieną kompiuterį ir 82 centų už vieną mobilųjį įrenginį. Tikslinio sukčiavimo apsimetant samdymo kainos prasideda nuo 100 USD iki 1 000 USD. Pavogtos vartotojo vardo ir slaptažodžių poros kainos vidutiniškai prasideda nuo 97 centų už 1000. Sužinokite daugiau apie šį vaizdą visos ataskaitos 5 puslapyje  

Nesvarbu, kiek išpirkos reikalaujančių programų yra ir kokios jų atmainos, iš tiesų yra trys galimi jos patekimo būdai: nuotolinio darbalaukio protokolo (RDP) grubi jėga, pažeidžiamos internete pasiekiamos sistemos ir sukčiavimas apsimetant. Visus šiuos veiksnius galima sumažinti naudojant tinkamą slaptažodžių apsaugą, tapatybės valdymą ir programinės įrangos atnaujinimus bei išsamų saugos ir atitikties priemonių rinkinį. Išpirkos reikalaujanti programinė įranga gali tapti veiksminga tik tada, kai įgyja prieigą prie kredencialų ir gali plisti. Tada ji gali pridaryti daug žalos, net jei yra žinoma.

Grėsmės sukėlėjų veiksmų nuo pirminės prieigos iki šoninio judėjimo per sistemą nustatymas
Grėsmės sukėlėjo elgesio kelias pažeidus sistemą nuo pradinio prieigos taško iki kredencialų vagystės ir šoninio judėjimo per sistemą. Seka nuolatinį kelią, kad užfiksuotų paskyras ir įsigytų išpirkos reikalaujančios programinės įrangos paketo turinį. Sužinokite daugiau apie šį vaizdą visos ataskaitos 5 puslapyje

Saugos komandos turėtų:

Suprasti, kad išpirkos reikalaujančios programos klesti pasinaudodamos numatytaisiais arba pažeistais kredencialais: todėl saugos komandos turėtų pagreitinti apsaugos priemonių taikymą, pavyzdžiui, visose naudotojų paskyrose įdiegti MFA be slaptažodžio ir teikti pirmenybę vadovų, administratorių ir kitiems privilegijuotiesiems vaidmenims.
Sužinoti, kaip laiku pastebėti įspėjančias anomalijas ir imtis veiksmų: ankstyvi prisijungimai, failų perkėlimas ir kiti išpirkos reikalaujančias programas įdiegiantys veiksmai gali atrodyti niekuo neišsiskiriantys. Vis dėlto komandos turi stebėti, ar nėra anomalijų, ir imtis skubių veiksmų.
Turėti reagavimo į išpirkos reikalaujančių programas planą ir vykdyti atkūrimo pratybas: gyvename debesies sinchronizavimo ir bendrinimo eroje, tačiau duomenų kopijos skiriasi nuo ištisų IT sistemų ir duomenų bazių. Komandos turėtų įsivaizduoti ir praktiškai išbandyti, kaip atrodo visiškas atkūrimas.
Valdyti įspėjimus ir greitai sumažinti riziką: nors visi baiminasi išpirkos reikalaujančių programų atakų, saugos komandos daugiausia dėmesio turėtų skirti silpnoms saugos konfigūracijoms, leidžiančioms sėkmingai įvykdyti ataką, stiprinti. Jos turėtų valdyti saugos konfigūracijas, kad būtų tinkamai reaguojama į perspėjimus ir aptikimus.
Apsaugos pasiskirstymo kreivė, rodanti, kaip bazinė saugos higiena apsaugo nuo 98 % atakų
Apsisaugokite nuo 98 proc. atakų naudodami nuo kenkėjiškų programų apsaugančias programas, taikydami mažiausiai privilegijuotą prieigą, įgalindami kelių dalių autentifikavimą, naujindami versijas ir apsaugodami duomenis. Likę 2 proc. apima išskirtines atakas. Sužinokite daugiau apie šį vaizdą visos ataskaitos 5 puslapyje
Gaukite papildomų „Microsoft“ vyriausiojo grėsmių žvalgybos vadovo Christopherio Glyerio rekomendacijų, kaip apsaugoti tapatybę.

Įžvalgos gaunamos ir grėsmės užblokuojamos naudojant daugiau nei 24 trilijonus signalų kasdien.

Galinių punktų grėsmės:
2021 m. sausio–gruodžio mėn. „Microsoft Defender“, skirta galiniams punktams užblokavo daugiau kaip 9,6 mlrd. kenkėjiškų programų grėsmių įmonių ir vartotojų įrenginiams.
El. pašto grėsmės:
2021 m. sausio–gruodžio mėn. „Microsoft Defender“, skirta „Offize 365“, užblokavo daugiau kaip 35,7 mlrd. sukčiavimo apsimetant ir kitų kenkėjiškų el. laiškų, siunčiamų įmonėms ir vartotojams.
Tapatybės grėsmės:
2021 m. sausio–gruodžio mėn. „Microsoft“ („Azure Active Directory“) aptiko ir užblokavo daugiau kaip 25,6 mlrd. bandymų užgrobti įmonių klientų paskyras naudojant pavogtus slaptažodžius.

Metodas: „Microsoft“ platformos, įskaitant „Defender“ ir „Azure Active Directory“, pateikė anoniminius duomenis apie 2021 m. sausio-gruodžio mėn. vykdytą grėsmių veiklą, pavyzdžiui, bandymus prisijungti brutalia jėga, sukčiavimo apsimetant ir kitus kenkėjiškus el. laiškus, skirtus įmonėms ir vartotojams, ir kenkėjiškų programų atakas. Papildomos įžvalgos yra gaunamos iš 24 trilijonų kasdien gaunamų „Microsoft“ saugos signalų, įskaitant debesį, galinius punktus ir intelektualųjį kraštą. Stiprūs autentifikavimo duomenys sujungia MFA ir apsaugą be slaptažodžio.

Tapatybė Išpirkos reikalaujančios programos Nacionalinė valstybė

Susiję straipsniai

„Cyber Signals“ Nr. 2: Reketo ekonomika

Iš ekspertų sužinokite apie išpirkos reikalaujančių programų kaip paslaugos plėtrą. Sužinokite apie kibernetinių nusikaltėlių naudojamus įrankius, taktiką ir taikinius – nuo programų ir paketų turinio iki prieigos tarpininkų ir partnerių – ir gaukite patarimų, kaip apsaugoti savo organizaciją.
Sužinokite daugiau

Ginant Ukrainą: pirmosios kibernetinio karo pamokos

Naujausi mūsų nuolat vykdomos grėsmių žvalgybos Rusijos ir Ukrainos kare duomenys ir išvados, padarytos per pirmuosius keturis mėnesius, sustiprina nuolatinių ir naujų investicijų į technologijas, duomenis ir partnerystę poreikį, siekiant palaikyti vyriausybes, bendroves, nevyriausybines organizacijas ir universitetus.
Sužinokite daugiau

Eksperto profilis: Christopher Glyer

Christopheris Glyeris, „Microsoft“ grėsmių žvalgybos centro (MSTIC) pagrindinis grėsmių analizės vadovas, didžiausią dėmesį skiriantis išpirkos reikalaujančioms programoms, dirba komandoje, kuri tiria, kaip pažangiausi grėsmių sukėlėjai pasiekia ir išnaudoja sistemas.
Sužinokite daugiau