Šiuolaikinės atakos pažeidžiamos srities anatomija

Daugumoje organizacijų el. paštas yra esminė kasdienės verslo veiklos dalis. Deja, el. paštas išlieka pagrindiniu grėsmės šaltiniu. 2022 m. 35 % išpirkos reikalaujančios programinės įrangos incidentų buvo susiję su elektroniniu paštu.⁴ Įsilaužėliai vykdo daugiau el. pašto atakų nei bet kada anksčiau – 2022 m. sukčiavimo apsimetant atakų skaičius išaugo 61 %, palyginti su 2021 m^.5

Įsilaužėliai dabar taip pat dažnai naudoja teisėtus išteklius sukčiavimo apsimetant atakoms vykdyti. Dėl to vartotojams dar sunkiau atskirti tikrus ir kenkėjiškus el. laiškus, todėl didėja tikimybė, kad grėsmė liks nepastebėta. Vienas iš šios tendencijos pavyzdžių – sutikimo sukčiavimo apsimetant atakos, kai grėsmių sukėlėjai piktnaudžiauja teisėtais debesies paslaugų teikėjais, kad apgautų vartotojus ir šie suteiktų teises prieiti prie konfidencialių duomenų.

Nesant galimybės susieti el. laiškų signalus su platesnio masto incidentais, kad būtų galima vizualizuoti atakas, gali prireikti daug laiko aptikti grėsmės sukėlėją, patekusį į sistemą el. paštu. Tada jau gali būti per vėlu užkirsti kelią žalai. Vidutinė trukmė, per kurią įsilaužėlis gali pasiekti privačius organizacijos duomenis, yra vos 72 minutės.⁶ Dėl to įmonės gali patirti didelių nuostolių. Apskaičiuota, kad 2021 m. dėl pažeisto verslo el. pašto patirta 2,4 milijardo JAV dolerių patikslintų nuostolių.⁷

Šiuolaikiniame debesies kompiuterijos pasaulyje prieigos apsauga tapo dar svarbesnė nei bet kada anksčiau. Todėl labai svarbu gerai suprasti visos organizacijos tapatybę, įskaitant vartotojų paskyrų teises, darbo krūvio tapatybes ir galimus jų pažeidžiamumus , ypač didėjant atakų dažnumui ir kūrybiškumui.

Apskaičiuota, kad 2022 m. slaptažodžių atakų skaičius išaugo iki 921 atakos per sekundę, t. y. 74 proc. daugiau nei 2021 m.⁸ „Microsoft“ taip pat pastebėjome, kad grėsmių sukėlėjai vis išradingiau apeina kelių dalių autentifikavimą (MFA), naudodami tokius metodus, kaip sukčiavimo apsimetant atakos ir piktnaudžiavimas atpažinimo ženklais, kad gautų prieigą prie organizacijų duomenų. Dėl sukčiavimo apsimetant rinkinių grėsmių sukėlėjams tapo dar lengviau pavogti prisijungimo informaciją. „Microsoft“ skaitmeninių nusikaltimų skyrius pastebėjo, kad per praėjusius metus sukčiavimo apsimetant rinkinių sudėtingumas išaugo, o patekimo kliūtys labai mažos – vienas pardavėjas sukčiavimo rinkinius siūlo vos už 6 JAV dolerius per dieną.⁹

Tapatybės atakos pažeidžiamos srities valdymas yra daugiau nei vartotojų paskyrų apsauga – jis apima ir prieigą prie debesies, ir darbo krūvio tapatybes. Pažeista prisijungimo informacija gali būti galingas įrankis, kuriuo naudodamiesi grėsmių sukėlėjai gali griauti organizacijos debesies infrastruktūrą.

Atsižvelgiant į tai, kad šiuolaikinėje hibridinėje aplinkoje yra labai daug įrenginių, apsaugoti galinius punktus tapo dar sudėtingiau. Nepasikeitė tai, kad galinių punktų, ypač nevaldomųjų įrenginių, apsauga yra labai svarbi stipriam saugos būsenai užtikrinti, nes net vienas pažeidimas gali padėti grėsmės sukėlėjams patekti į jūsų organizaciją.

Organizacijoms pradėjus taikyti BYOD (atsinešk nuosavą įrenginį) politiką, padaugėjo nevaldomųjų įrenginių. Todėl galinių punktų atakos pažeidžiama sritis dabar yra didesnė ir labiau pažeidžiama. Vidutiniškai korporacijoje yra 3500 prijungtų įrenginių, kurie nėra apsaugoti atakų prieš galinius punktus aptikimo ir reagavimo agento.¹¹

Nevaldomieji įrenginiai (kurie yra šešėlinės IT aplinkos dalis) yra ypač patrauklūs grėsmių sukėlėjams, nes saugos komandoms trūksta matomumo, reikalingo jiems apsaugoti. „Microsoft“ nustatėme, kad tikimybė, jog vartotojai užsikrės nevaldomajame įrenginyje, yra 71 % didesnė.¹² Kadangi nevaldomieji įrenginiai jungiasi prie įmonės tinklų, jie taip pat suteikia galimybę įsilaužėliams rengti platesnio masto atakas prieš serverius ir kitą infrastruktūrą.

Nevaldomieji serveriai taip pat yra potencialūs galinių punktų atakų šaltiniai. 2021 m. „Microsoft“ sauga pastebėjo ataką, kai grėsmės sukėlėjas pasinaudojo neapsaugotu serveriu, naršė po katalogus ir aptiko slaptažodžių aplanką, suteikiantį prieigą prie paskyrų duomenų.

Vienas iš labiausiai pražiūrimų atakų prieš galinius punktus tipų yra IoT (internetu sąveikaujantys įrenginiai), apimantis milijardus didelių ir mažų įrenginių. IoT sauga apima fizinius įrenginius, kurie jungiasi prie tinklo ir keičiasi su juo duomenimis, pavyzdžiui, maršrutizatorius, spausdintuvus, fotoaparatus ir kitus panašius įrenginius. Ji taip pat gali apimti operacinius prietaisus ir jutiklius (operacinės technologijos arba OT), pavyzdžiui, išmaniąją įrangą gamybos linijose.

Didėjant IoT įrenginių skaičiui, daugėja ir pažeidžiamumų. IDC prognozuoja, kad iki 2025 m. įmonių ir vartotojų aplinkoje bus 41 mlrd. IoT įrenginių.¹⁵ Kadangi daugelis organizacijų stiprina maršrutizatorius ir tinklus, kad grėsmių sukėlėjams būtų sunkiau juos pažeisti, IoT įrenginiai tampa lengvesniu ir patrauklesniu taikiniu. Dažnai pastebėjome, kad grėsmių sukėlėjai, pasinaudodami pažeidžiamumais, IoT įrenginius paverčia tarpiniais serveriais, t. y. pasinaudoja neapsaugotu įrenginiu kaip atramos tašku tinkle. Įgijęs prieigą prie IoT įrenginio, grėsmės sukėlėjas gali stebėti tinklo srautą, ieškodamas kitų neapsaugotų objektų, judėti ir įsiskverbti į kitas taikinio infrastruktūros dalis arba atlikti žvalgybą ir planuoti plataus masto atakas prieš jautrią įrangą ir įrenginius. Viename tyrime 35 % saugos specialistų pranešė, kad per pastaruosius dvejus metus IoT įrenginys buvo panaudotas platesnio masto atakai prieš jų organizaciją vykdyti.¹⁶

Deja, IoT organizacijoms dažnai yra „juodoji dėžė“ matomumo požiūriu, todėl daugeliui jų trūksta tinkamų IoT saugos priemonių. 60 % saugos specialistų nurodė, kad IoT ir OT sauga yra vienas iš mažiausiai apsaugotų IT ir OT infrastruktūros aspektų.¹⁷

Šiuolaikinė organizacijos išorinė atakų pažeidžiama sritis apima įvairius debesis, sudėtingas skaitmeninio tiekimo grandines ir milžiniškas trečiųjų šalių ekosistemas. Dabar internetas yra tinklo dalis ir, nepaisant beveik nesuvokiamo jo dydžio, saugos komandos turi ginti savo organizacijos buvimą internete tokiu pat mastu, kaip ir viską, kas yra už užkardos. Kadangi vis daugiau organizacijų taiko nulinio pasitikėjimo principus, vidinės ir išorinės atakos pažeidžiamų sričių apsauga tapo interneto masto iššūkiu.

Visuotinė atakos pažeidžiama sritis kasdien plečiasi kartu su internetu. „Microsoft“ pastebėjome, kad tokių grėsmių, pavyzdžiui, sukčiavimo apsimetant atakų, daugėja. 2021 m. „Microsoft“ skaitmeninių nusikaltimų padalinys nurodė pašalinti daugiau kaip 96 000 unikalių sukčiavimo URL adresų ir 7 700 sukčiavimo apsimetant rinkinių, todėl buvo nustatyta ir uždaryta daugiau kaip 2 200 kenkėjiškų el. pašto paskyrų, naudojamų vogtai klientų prisijungimo informacijai rinkti.²⁴

Išorinė atakos pažeidžiama sritis apima ne tik pačios organizacijos išteklius. Ji dažnai apima tiekėjus, partnerius, nevaldomuosius asmeninius darbuotojų įrenginius, prijungtus prie įmonės tinklų ar išteklių, ir naujai įsigytas organizacijas. Todėl labai svarbu žinoti apie išorinius ryšius ir atskleidimą, kad būtų galima sumažinti galimas grėsmes. 2020 m. „Ponemon“ ataskaitoje atskleista, kad 53 % organizacijų per pastaruosius dvejus metus patyrė bent vieną duomenų saugos pažeidimą dėl trečiosios šalies kaltės, kurio ištaisymas vidutiniškai kainavo 7,5 milijono JAV dolerių.²⁵

Didėjant kibernetinių atakų infrastruktūrai, grėsmių infrastruktūros matomumas ir internete esančio turto inventorizacija tapo kaip niekad aktualūs. Pastebėjome, kad organizacijoms dažnai būna sunku suvokti savo išorinio atskleidimo mastą, todėl atsiranda nemažai aklųjų vietų. Šios aklosios vietos gali turėti pražūtingų pasekmių. 2021 m. 61 proc. įmonių patyrė išpirkos reikalaujančios programinės įrangos ataką, dėl kurios bent iš dalies sutriko verslo veikla.²⁶

„Microsoft“ dažnai sakome klientams, kad vertindami saugos būklę į savo organizaciją žvelgtų iš išorės. Be VAPT (pažeidžiamumo vertinimo ir įsiskverbimo testavimo), svarbu gauti išsamų išorinės atakos pažeidžiamos srities matomumą, kad galėtumėte nustatyti pažeidžiamumus visoje savo aplinkoje ir išplėstinėje ekosistemoje. Jei būtumėte įsilaužėlis, bandantis patekti į vidų, kuo galėtumėte pasinaudoti? Norint apsaugoti savo organizaciją, labai svarbu suprasti visą jos išorinės atakos pažeidžiamos srities mastą.

Kaip gali padėti „Microsoft“

Šiuolaikinė grėsmių aplinka nuolat kinta, todėl organizacijoms reikia saugos strategijos, pajėgios užbėgti joms už akių. Dėl padidėjusio organizacijų sudėtingumo ir pažeidžiamumo, didelio grėsmių skaičiaus ir mažo patekimo į kibernetinių nusikaltimų ekonomiką barjero, kaip niekad svarbu apsaugoti kiekvieną atakos pažeidžiamos srities plotelį.

Saugos komandoms reikalinga veiksminga grėsmių žvalgyba, kad būtų galima apsisaugoti nuo daugybės šiuolaikinių ir nuolat kintančių grėsmių. Tinkama grėsmių žvalgyba susieja iš skirtingų vietų gaunamus signalus ir laiku pateikia aktualią informaciją apie dabartinę atakų elgseną ir tendencijas, kad saugos komandos galėtų sėkmingai aptikti pažeidžiamumus, nustatyti įspėjimų prioritetus ir nutraukti atakas. O jei pažeidimas vis dėlto įvyksta, grėsmių žvalgyba yra labai svarbi siekiant užkirsti kelią tolesnei žalai ir pagerinti apsaugą, kad panaši ataka nepasikartotų. Paprasčiau tariant, organizacijos, kurios naudoja daugiau grėsmių žvalgybos duomenų, bus saugesnės ir sėkmingesnės.

„Microsoft“ turi lygių neturintį besikeičiančios grėsmių aplinkos vaizdą, nes kasdien analizuoja 65 trilijonus signalų. „Microsoft“ saugos sprendimuose įdiegta grėsmių žvalgyba, realiuoju laiku susiejanti šiuos signalus su atakos pažeidžiamomis sritimis, suteikia įžvalgų apie augančią išpirkos reikalaujančių programų ir grėsmių aplinką, todėl galite pastebėti ir sustabdyti daugiau atakų. O naudodami pažangias dirbtinio intelekto galimybes, pavyzdžiui, „Microsoft Copilot“ saugai, galite neatsilikti nuo besikeičiančių grėsmių ir ginti savo organizaciją mašininiu greičiu, suteikdami saugos komandai galimybę supaprastinti sudėtingus dalykus, aptikti tai, ko kiti nepastebi, ir apsaugoti viską.