Trace Id is missing

Identitāte ir jaunā cīņas vieta

Lejupielādēt
Kopīgot
Vīrietis un sieviete sēž pie galda un lieto klēpjdatoru.

Kibersignālu 1. izdevums: Iegūstiet ieskatu par mainīgajiem kibernoziegumiem un to, kādas darbības jāveic, lai labāk aizsargātu savu organizāciju.

Pastāv bīstama neatbilstība starp vairākuma organizāciju drošības protokoliem un esošajiem šo organizāciju apdraudējumiem. Kad uzbrucēji mēģina ielauzties tīklos, to mīļākā taktika ir vienkārša: vāju pieteikšanās paroļu minēšana. Tādi pamatlīdzekļi kā daudzfaktoru autentifikācija ir efektīvi pret 98 procentiem uzbrukumu, bet tikai 20 procenti organizāciju pilnībā tos ievieš (Microsoft digitālās aizsardzības pārskats, 2021. gads).

1. izdevumā uzzināsit par pašreizējām drošības tendencēm un Microsoft pētnieku un ekspertu sniegtajiem ieteikumiem, tostarp šādu informāciju:

  • Kas  paļaujas uz uzbrukumiem, kuru pamatā ir parole un identitāte.
  • Ko  iesākt, lai pretdarbotos, ietverot galapunktu, e-pasta un identitāšu stratēģijas.
  • Kad  prioritizēt dažādus drošības līdzekļus.
  • Kur  izspiedējprogrammatūra cenšas iekļūt un izplatīties tīklos, un kā to apturēt.
  • Kāpēc  identitāšu aizsardzība joprojām ir galvenais iemesls bažām, bet ir arī vislabākā iespēja uzlabot savu drošību.

Valsts izpildorganizācijas dubulto savus centienus, lai vienkārši pagrābtu identitāšu veidošanas blokus

Valsts izpildorganizāciju kiberuzbrukumu skaits palielinās. Par spīti to plašajiem resursiem, šie pretinieki bieži paļaujas uz vienkāršu taktiku, lai nozagtu viegli uzminamas paroles. To darot, tie var iegūt ātru un vienkāršu piekļuvi klientu kontiem. Uzbrukumu lielam uzņēmumam gadījumā, ielaužoties organizācijas tīklā, valsts izpildorganizācijas var gūt piekļuvi, kas tām ļauj pārvietoties vertikāli, izmantojot līdzīgu lietotāju piekļuvi vai resursus, vai horizontāli, gūstot piekļuvi vērtīgākiem akreditācijas datiem un resursiem.

Mērķēta pikšķerēšana, sociālā inženierijas uzbrukumi un plaša mēroga paroļu šaltis ir valsts izpildorganizācijas pamattaktikas, kas tiek izmantotas, lai nozagtu vai uzminētu paroles. Microsoft gūst ieskatus uzbrucēju tehnikā un sekmēs, novērojot, kādās taktikās un paņēmienos tie investē un ar ko gūst panākumus. Ja lietotāja akreditācijas dati tiek slikti pārvaldīti vai ir atstāti ievainojami bez svarīgiem aizsardzības pasākumiem, piemēram, daudzfaktoru autentifikācijas (multi-factor authentication — MFA) un bezparoļu līdzekļiem, valsts izpildorganizācijas turpina izmantot tās pašas vienkāršās taktikas.

Nepieciešamību ieviest MFA apgūšanu vai bezparoles piekļuvi nevar pārspīlēt, jo uz identitāti fokusētu uzbrukumu vienkāršība un nelielās izmaksas padara tos par ērtiem un efektīviem izpildorganizāciju līdzekļiem. Lai gan MFA nav vienīgais identitāšu un piekļuves pārvaldības rīks, kas organizācijām būtu jāizmanto, tas var kalpot kā jaudīgs uzbrukumu atbaidītājs.

Ļaunprātīga akreditācijas datu izmantošana ir NOBELIUM, valsts izpildorganizācijas pretinieka, kas saistīts ar Krieviju, pamats. Tomēr citi pretinieki, piemēram, ar Irānu saistītais DEV 0343, paļaujas arī uz paroļu šaltīm. DEV-0343 darbība ir novērota aizsardzības organizācijās, kas ražo militārās pakāpes radarus, dronu tehnoloģijas, satelītu sistēmas un reaģēšanas ārkārtas situācijā saziņas sistēmas. Papildu aktivitāte ir vērsta pret reģionālajām ostām ap Persijas līci, kā arī vairākiem jūras transporta un kravas pārvadājumu uzņēmumiem, kuru uzņēmējdarbība fokusējas uz Vidējiem austrumiem.
Irānas uzsākto kiberuzbrukumu, kuru pamatā ir identitātes, sadalījums
Visbiežāk Irānas uzbrukumiem pakļautās valstis periodā no 2020. gada jūlija līdz 2021. gada jūnijam bija Amerikas Savienotās Valstis (49%), Izraēla (24%) un Saūda Arābija (15%). Papildinformācija par šo attēlu ir pilnā pārskata 4. lappusē

Organizācijām ir jāveic šādas darbības:

Daudzfaktoru autentifikācijas iespējošana: to darot, tās mazina paroļu nonākšanas nepareizajās rokās risku. Vēl labāka ir atteikšanās no parolēm pavisam, izmantojot bezparoles MFA.
Kontu atļauju auditēšana: privileģētas piekļuves konti, ja tiek nolaupīti, kļūst par jaudīgu ieroci, ko uzbrucēji var izmantot, lai gūtu piekļuvi tīkliem un resursiem. Drošības komandām ir bieži jāveic piekļuves atļauju audits, izmantojot minimālo piešķirto atļauju, kas darbiniekiem ļauj paveikt to darbu, principu.
Visu nomnieka administratoru kontu pārskatīšana, stiprināšana un pārraudzība: drošības komandām ir rūpīgi jāpārskata visi nomnieka administratori vai konti, kas saistīti ar uzticētajām administratīvajām privilēģijām, lai pārbaudītu lietotāju un darbību autentiskumu. Pēc tam tām ir jāatspējo vai jānoņem visas neizmantotās uzticētās administratīvās privilēģijas.
drošības bāzes izveide un ieviešana, lai samazinātu risku: valsts izpildorganizācijas spēlē ilgu spēli, un tām ir finansējums, griba un mērogs, lai izstrādātu jaunas uzbrukumu stratēģijas un paņēmienus. Katra joslas platuma vai birokrātijas dēļ atlikta tīkla stiprināšanas iniciatīva darbojas to labā. Drošības komandām ir jāprioritizē nulles uzticamības prakses, piemēram, MFA, un bezparoles jauninājumu ieviešana. Tās var sākt ar privileģētajiem kontiem, lai ātri iegūtu aizsardzību, pēc tam to pakāpeniski paplašināt un papildināt.

Izspiedējprogrammatūra dominē apziņu, bet reāli dominē tikai dažas problēmas

Dominējošais stāstījums, šķiet, ir tāds, ka pastāv milzīgs skaits jaunu izspiedējprogrammatūras apdraudējumu, kas pārspēj aizstāvju iespējas. Tomēr Microsoft analīze parāda, ka tas tā nav. Pastāv arī uzskats, ka noteiktas izspiedējprogrammatūras grupas ir viena monolītiska entītija, kas arī nav pareizi. Tas, kas pastāv, ir kiminālnoziedznieku ekonomika, kur dažādi tās dalībnieki standartizētās uzbrukuma ķēdēs veic apzinātas izvēles. To dzinulis ir ekonomikas modelis, lai maksimizētu peļņu, katram savā veidā izmantojot informāciju, kurai tiem ir piekļuve. Zemāk redzamajā diagrammā attēlots, kā dažādas grupas gūst peļņu no dažādām kiberuzbrukumu stratēģijām un informācijas, kas iegūta no datu pārkāpumu veikšanas.

Dažādu kibernoziegumu pakalpojumu vidējās cenas
Tirdzniecībā pieejamo kibernoziegumu pakalpojumu vidējās cenas. Nolīgstamo uzbrucēju likme par vienu darbu sākas no 250 USD. Izspiedējprogrammatūras komplekti maksā 66 ASV dolārus vai 30% no peļņas. Maksa par apdraudētām ierīcēm sākas no 13 centiem par datoru un 82 centiem par mobilo ierīci. Cena par mērķēto pikšķerēšanu ir no 100 USD līdz 1000 USD. Zagtu lietotājvārdu un paroļu pāru vidējā cena sākas no 97 centiem par 1000 pāru. Papildinformācija par šo attēlu ir pilnā pārskata 5. lappusē  

Tomēr nav svarīgi, cik daudz ir izspiedējprogrammatūras vai kādas ir saistītās problēmas, patiesībā ir tikai trīs ieejas vektori: attālās darbvirsmas protokola (remote desktop protocol — RDP) pārlase, ievainojamas sistēmas ar piekļuvi internetam un pikšķerēšana. Visus šos vektorus var mazināt ar pareizu aizsardzību ar paroli, identitātes pārvaldību un programmatūras atjauninājumiem, kas papildina visaptverošu drošības un atbilstības rīkkopu. Jebkura izspiedējprogrammatūra var tikai tad kļūt auglīga, ja tā gūst piekļuvi akreditācijas datiem un iespēju izplatīties. Pēc tam pat tad, ja tā ir zināma problēma, tā var nodarīt lielus postījumus.

Draudu izpildītāju kartēšana no sākotnējās piekļuves līdz laterālajai kustībai sistēmā
Kad sistēmā ir veikts pārkāpums, draudu izpildītāja darbību ceļa nospraušana no sākotnējā piekļuves punkta līdz akreditācijas datu zādzībai un laterālai kustībai sistēmā. Pastāvīgā ceļa izsekošana, lai tvertu kontus un iegūtu izspiedējprogrammatūras vērtumu. Papildinformācija par šo attēlu ir pilnā pārskata 5. lappusē

Drošības komandām būtu jāveic šādas darbības:

Izprašana, ka izspiedējprogrammatūra zeļ, izmantojot noklusējuma vai apdraudētus akreditācijas datus: tā rezultātā drošības komandām ir jāpaātrina aizsardzības pasākumu, piemēram, bezparoles MFA, ieviešana visos lietotāju kontos un jāprioritizē vadītāju, administratoru un citas privileģētās lomas.
Identificēšana, kā laikus atklāt signālu anomālijas, lai rīkotos: agrīna pieteikšanās, failu kustība un citas darbības, kas ievieš izspiedējprogrammatūru var šķist grūti nosakāmas. Tomēr komandām ir jāpārrauga, vai nav anomāliju, un to gadījumā ir ātri jārīkojas.
Reakcijas uz izspiedējprogrammatūru plāna izveide un atkopšanas vingrinājumu veikšana: mēs dzīvojam mākoņa sinhronizācijas un koplietošanas laikmetā, bet IT sistēmu un datu bāzu datu kopijas atšķiras. Komandām ir jāvizualizē, kā izskatās pilna atjaunošana, un jātrenējas to veikt.
Brīdinājumu pārvaldība un ātra reaģēšana ietekmes mazināšanai: lai gan visi baidās no izspiedējprogrammatūras uzbrukumiem, drošības komandām primāri ir jāfokusējas uz tādu vāju drošības konfigurāciju stiprināšanu, kas uzbrucējam ļauj gūt sekmes. Tām ir jāpārvalda drošības konfigurācijas, lai tiktu pareizi reaģēts uz brīdinājumiem un noteikšanas gadījumiem.
Aizsardzības izplatīšanas līkne rāda, kā vienkārša drošības higiēna palīdz aizsargāties pret 98% uzbrukumu
Aizsargājieties no vairāk kā 98% uzbrukumu, izmantojot ļaunprogrammatūras novēršanas programmas, pielietojot priviliģēto piekļuvi, iespējojot daudzfaktoru autentifikāciju, atjauninot uz jaunākajām versijām un aizsargājot datus. Atlikušie 2% uz līknes atbilst anomāliem uzbrukumiem. Papildinformācija par šo attēlu ir pilnā pārskata 5. lappusē

Ieskati tiek gūti un apdraudējumi tiek bloķēti, izmantojot vairāk neka 24 triljonus signālu ik dienas

Galapunkta draudi:
2021. gadā no janvāra līdz decembrim Microsoft Defender galapunkta aizsardzībai bloķēja vairāk nekā 9,6 miljardus ļaunprogrammatūras apdraudējumu, kuru mērķis bija lielo uzņēmumu un patērētāju ierīces.
E-pasta apdraudējumi:
2021. gadā no janvāra līdz decembrim Microsoft Defender pakalpojumam Office 365 bloķēja vairāk nekā 35,7 miljardus pikšķerēšanas un citus ļaunprātīgus e-pasta ziņojumus, kuru mērķis bija lielie uzņēmumi un patēriņa klienti.
Identitātes apdraudējumi:
2021. gadā no janvāra līdz decembrim Microsoft (Azure Active Directory) noteica un bloķēja vairāk nekā 25,6 miljardus mēģinājumu nolaupīt lielo uzņēmumu klientu kontus, veicot nozagtu paroļu pārlasi.

Metodoloģija: Momentuzņēmuma datiem Microsoft platformas, tostarp Defender un Azure Active Directory, nodrošināja anonimizētus datus par apdraudējumu aktivitāti, piemēram, pieteikšanās mēģinājumu pārlasi, pikšķerēšanu un citiem ļaunprātīgiem e-pasta ziņojumiem, kuru mērķis bija lielie uzņēmumi un patērētāji, un ļaunprogrammatūras uzbrukumiem 2021. gadā no janvāra līdz decembrim. Papildu ieskati gūti no 24 triljoniem ikdienas drošības signālu, kas tiek iegūti visā korporācijā Microsoft, tostarp mākonī, galapunktos un viedajās robežierīcēs. Spēcīgi autentifikācijas dati apvieno MFA un bezparoles aizsardzību.

Identitāte Izspiedējprogrammatūra Plaša mēroga

Saistītie raksti

Kibersignālu 2. izdevums: Nelegāla ekonomiskā darbība

Iegūstiet informāciju no priekšlīnijas ekspertiem par izspiedējprogrammatūras kā pakalpojuma attīstību. No programmām un vērtuma līdz piekļuves brokeriem un partneriem – uzziniet par kibernoziedznieku biežāk izmantotajiem rīkiem, taktiku un mērķiem un iegūstiet vadlīnijas, kas palīdzēs aizsargāt jūsu organizāciju.
Papildinformācija

Ukrainas aizstāvība: Kiberkara pirmās mācības

Jaunākie secinājumi, kas gūti mūsu draudu informācijas pasākumos Krievijas un Ukrainas karā, un virkne secinājumu par pirmajiem četriem mēnešiem pastiprina nepieciešamību turpināt un ieguldīt tehnoloģijās, datos un partnerībās, lai atbalstītu valsts iestādes, uzņēmumus, NVO un universitātes.
Papildinformācija

Eksperta profils: Kristofers Glaiers (Christopher Glyer)

Identitātes draudu informācijas vadītājs Kristofers Glaiers (Christopher Glyer), kas Microsoft draudu informācijas centrā (MSTIC) pievērsies izspiedējprogrammatūrai, ir daļa no komandas, kas pēta, kā progresīvākie draudu izpildītāji piekļūst sistēmām un izmanto tās.
Papildinformācija