Mūsdienu uzbrukumu tvēruma anatomija

Vairākumam organizāciju e-pasts ir būtiski svarīga ikdienas uzņēmējdarbības daļa. Diemžēl e-pasts joprojām ir populārākais apdraudējumu vektors. 35% izspiedējprogrammatūras incidentu 2022. gadā bija saistīti ar e-pastu.⁴ Uzbrucēji veic vairāk e-pasta uzbrukumu nekā jebkad iepriekš: 2022. gadā pikšķerēšanas uzbrukumu apjoms palielinājās par 61%, salīdzinot ar 2021. gadu^.5

Tagad uzbrucēji arī vispārēji izmanto likumīgus resursus, lai veiktu pikšķerēšanas uzbrukumus. Tas lietotājiem vēl vairāk apgrūtina iespējas atšķirt reālus un ļaunprātīgus e-pasta ziņojumus, palielinot varbūtību, ka apdraudējums īstenosies. Satura pikšķerēšanas uzbrukumi ir viens tādas tendences piemērs, kur apdraudējumu aktori ļaunprātīgi izmanto likumīgus mākoņpakalpojumu sniedzējus, lai no lietotājiem izvilinātu atļauju piešķiršanu, lai piekļūtu konfidenciāliem datiem.

Bez iespējas korelēt e-pasta signālus ar plašākiem incidentiem, lai vizualizētu uzbrukumus, uzbrukumu aktora, kas ir ieguvis piekļuvi ar e-pasta palīdzību, noteikšana var prasīt daudz laika. Un tad jau var būt par vēlu, lai nepieļautu kaitējuma nodarīšanu. Vidējais laiks, kas uzbrucējam ir nepieciešams, lai piekļūtu organizācijas privātajiem datiem, ir tikai 72 minūtes.⁶ Tas uzņēmuma līmenī var izraisīt nopietnus zaudējumus. Biznesa e-pasta apdraudējumu (BEC) cena koriģētajos zaudējumos 2021. gadā bija aptuveni 2,4 miljardi USD.⁷

Šodienas mākoņa iespējotā pasaulē piekļuves drošināšana ir kļuvusi vēl kritiskāka, nekā jebkad iepriekš. Tā rezultātā padziļinātas izpratnes par identitātēm jūsu organizācijā, tostarp lietotāju kontu atļaujām, darba slodžu identitātēm un to iespējamām ievainojamībām , gūšana ir vitāli svarīga, īpaši tāpēc, ka palielinās uzbrukumu biežums un radošuma izpausmes.

2022. gadā paroļu uzbrukumu skaits pieauga līdz aptuveni 921 uzbrukumam sekundē, kas veido palielinājums 74% apmērā, salīdzinot ar 2021. gadu.⁸ Korporācijā Microsoft mēs novērojām arī to, ka apdraudējuma aktori kļūst arvien radošāki, mēģinot apiet daudzfaktoru autentifikāciju (MFA), izmantojot tādus paņēmienus kā pārtveršanas pikšķerēšanas uzbrukumus un marķieru ļaunprātīgu izmantošanu, lai gūtu piekļuvi organizācijas datiem. Pikšķerēšanas komplekti apdraudējumu aktoriem akreditācijas datu zagšanu ir padarījuši pat vēl vienkāršāku. Microsoft digitālo noziegumu apkarošanas vienība pēdējā gada laikā ir pamanījusi pikšķerēšanas komplektu izsmalcinātības palielināšanos, kā arī ļoti atvieglotu to izmantošanas uzsākšanu, kur viens pārdevējs piedāvā pikšķerēšanas komplektus tikai par 6 USD dienā.⁹

Identitātes uzbrukumu tvēruma pārvaldība ir kas vairāk nekā tikai lietotāju kontu drošināšana — tā aptver piekļuvi mākonim, kā arī darba slodžu identitātes. Apdraudēti akreditācijas dati apdraudējumu aktoriem var būt jaudīgs rīks, ko izmantot postījumu izraisīšanai organizācijas mākoņa infrastruktūrā.

Ņemot vērā ierīču lielo skaitu šodienas hibrīdajā vidē, galapunktu drošināšana ir kļuvusi vēl izaicinošāka. Nav mainījies vien tas, ka galapunktu, īpaši nepārvaldīto ierīču, drošināšana ir kritiski svarīga stingram drošības stāvoklim, jo pat tikai viens apdraudējums var sniegt apdraudējumu aktoriem piekļuvi jūsu organizācijai.

Organizācijām pieņemot savas ierīces izmantošanas (Bring Your Own Device — BYOD) politikas, nepārvaldītas ierīces ir kļuvušas ļoti izplatītas. Tāpēc galapunktu uzbrukumu tvērums tagad ir lielāks un pieejamāks. Vidēji uzņēmumā ir 3500 saistītu ierīču, kuras netiek aizsargātas, izmantojot galapunktu atklāšanas un reaģēšanas aģentu.¹¹

Nepārvaldītas ierīces (kas ir daļa no ēnu IT ainavas) ir īpaši pievilcīgas apdraudējumu aktoriem, jo drošības komandām nav to drošināšanai nepieciešamās redzamības. Korporācijā Microsoft mēs konstatējām, ka lietotāji ar 71% lielāku varbūtību tiks inficēti nepārvaldītā ierīcē.¹² Tā kā tie veido savienojumu ar uzņēmumu tīkliem, nepārvaldītās ierīces sniedz uzbrucējiem arī iespējas uzsākt plašākus uzbrukumus serveriem un citai infrastruktūrai.

Nepārvaldīti serveri arī ir iespējamie galapunktiem īstenoto uzbrukumu vektori. 2021. gadā Microsoft drošība novēroja uzbrukumu, kur apdraudējuma aktors izmantoja neielāpota servera ievainojamību, pārvietojās pa direktorijiem un atklāja paroļu mapi, kas sniedz piekļuvi konta akreditācijas datiem.

Viens no visvairāk neievērotajiem galapunktu uzbrukuma vektoriem ir IoT (lietiskais internets), kas ietver miljardiem gan lielu, gan mazu ierīču. IoT drošība aptver fiziskās ierīces, kas veido savienojumu ar tīklu un apmainās ar datiem, izmantojot maršrutētājus, printerus, kameras un citas līdzīgas ierīces. Tas ietver arī operatīvās ierīces un sensorus (operatīvā tehnoloģija vai OT), piemēram, viedo aprīkojumu ražošanas līnijās.

IoT ierīču skaits palielinās un līdz ar to pieaug arī ievainojamību skaits. IDC prognozē, ka 2025. gadā uzņēmumu un patērētāju vidēs būs 41 miljards IoT ierīču.¹⁵ Tā kā daudzas organizācijas stiprina maršrutētāju un tīklu aizsardzību, lai apdraudējumu aktoriem apgrūtinātu to uzlaušanu, IoT ierīces kļūst par vieglāku un pievilcīgāku mērķi. Mēs bieži redzam, ka apdraudējumu aktori izmanto ievainojamības, lai IoT ierīces pārvērstu par starpniekierīcēm, izmantojot atklāto ierīci kā kāju tīkla durvju spraugā. Tiklīdz apdraudējumu aktors ir guvis piekļuvi IoT ierīcei, tas var pārraudzīt tīkla trafiku, lai atrastu citus neaizsargātus līdzekļus, veiktu laterālu kustību, lai iefiltrētos citās mērķa infrastruktūras daļās, vai veiktu izlūkošanu, lai plānotu liela mēroga uzbrukumus sensitīvam aprīkojumam un ierīcēm. Kādā izpētē 35% drošības praktiķu ziņoja, ka pēdējo 2 gadu laikā vismaz viena IoT ierīce tika izmantota, lai veiktu plašāku uzbrukumu viņu organizācijai.¹⁶

Diemžēl IoT bieži vien organizācijām ir kā melnā kaste, runājot par redzamību, un daudz kur iztrūkst atbilstošu IoT drošības līdzekļu. 60% drošības praktiķu norādīja IoT un OT drošību kā vienu no vismazāk drošiem to IT un OT infrastruktūras aspektiem.¹⁷

Mūsdienās organizācijas ārējo uzbrukumu tvērums aptver vairākus mākoņus, sarežģītas digitālās piegādes ķēdes un plašas trešo pušu ekosistēmas. Internets tagad ir daļa no tīkla, un par spīti tā gandrīz neaptveramajam lielumam drošības komandām ir jāaizsargā savas organizācijas klātbūtne visā internetā tādā pašā pakāpē kā viss, kas atrodas aiz organizācijas ugunsmūriem. Turklāt arvien lielākam organizāciju skaitam apgūstot nulles uzticamības principus, gan iekšējo, gan ārējo uzbrukumu tvērumu aizsardzība ir kļuvusi par interneta mēroga izaicinājumu.

Globālais uzbrukumu tvērums aug kopā ar internetu, un tas paplašinās ik dienas. Korporācija Microsoft redzēja šīs paplašināšanās pierādījumus daudzu veidu apdraudējumos, piemēram, pikšķerēšanas uzbrukumos. 2021. gadā Microsoft digitālo noziegumu apkarošanas vienība vadīja vairāk nekā 96 000 unikālu pikšķerēšanas vietrāžu URL un 7700 pikšķerēšanas komplektu noņemšanu. Tādējādi tika identificēti un slēgti vairāk nekā 2200 ļaunprātīgi e-pasta konti, kas tika izmantoti, lai vāktu zagtus klientu akreditācijas datus.²⁴

Ārējo uzbrukumu tvērums ievērojami pārsniedz organizācijas līdzekļus. Tas bieži vien ietver piegādātājus, partnerus, nepārvaldītas darbinieku personiskās ierīces, kas ir savienotas ar uzņēmuma tīkliem vai līdzekļiem, un jauniegūtas organizācijas. Tāpēc ir būtiski svarīgi apzināties ārējos savienojumus un riskantumu, lai mazinātu iespējamos apdraudējumus. 2020. gada Ponemon atskaite atklāja, ka pēdējos 2 gados 53% organizāciju pieredzēja vismaz vienu datu drošības pārkāpumu, kuru izraisīja trešā puse un kura koriģēšana izmaksāja vidēji 7,5 miljonus USD.²⁵

Kiberuzbrukumu infrastruktūrai palielinoties, apdraudējumu infrastruktūras redzamības gūšana un internetā atklāto līdzekļu inventarizācija ir kļuvusi vēl neatliekamāka, nekā jebkad iepriekš. Mēs konstatējām, ka organizācijām bieži vien ir grūtības izprast to ārējā riskantuma tvērumu, kā rezultātā rodas nozīmīgi neredzamie punkti. Šie neredzamie punkti var novest pie postošām sekām. 2021. gadā 61% uzņēmumu pieredzēja izspiedējprogrammatūras uzbrukumu, kas izraisīja vismaz daļēju uzņēmējdarbības pārtraukumu.²⁶

Korporācija Microsoft bieži vien iesaka klientiem aplūkot savu organizāciju no ārpuses, novērtējot drošības stāvokli. Pēc ievainojamību novērtēšanas un iekļūšanas testēšanas (Vulnerability Assessment and Penetration Testing — VAPT) ir svarīgi gūt dziļu redzamību savā ārējo uzbrukumu tvērumā, lai jūs varētu noteikt ievainojamības visā savā vidē un paplašinātajā ekosistēmā. Ja jūs būtu uzbrucējs, kas mēģina iekļūt iekšā, ko jūs izmantotu? Pilnīga savas organizācijas ārējo uzbrukumu tvēruma izpratne ir tā drošināšanas pamats.

Kā Microsoft var palīdzēt

Šodienas apdraudējumu ainava pastāvīgi mainās, un organizācijām ir nepieciešama drošības stratēģija, kas spēj turēties līdzi. Palielināta organizācijas sarežģītība un riskantums kopā ar lielu apdraudējumu apjomu un vieglu iekļaušanos kibernoziegumu ekonomikā katras atsevišķās šuves katrā uzbrukumu tvērumā un starp tiem padara vēl neatliekamāku, nekā jebkad agrāk.

Drošības komandām ir nepieciešami jaudīga draudu informācija, lai aizsargātos pret šodienas neskaitāmajiem mainīgajiem apdraudējumiem. Pareiza draudu informācija korelē signālus no dažādam vietām, nodrošinot savlaicīgu un atbilstošu kontekstu par pašreizējo uzbrukumu darbību un tendencēm, lai drošības komandas varētu sekmīgi identificēt ievainojamības, noteikt brīdinājumu prioritātes un izjaukt uzbrukumus. Gadījumā, ja tiešām notiek drošības pārkāpums, draudu informācija ir kritiski svarīga, lai nepieļautu turpmāku kaitējumu un uzlabotu aizsardzību, neļaujot atkārtoties līdzīgiem uzbrukumiem. Vienkārši sakot, organizācijas, kuras izmanto vairāk draudu informācijas, ir drošākas un sekmīgākas.

Korporācijai Microsoft ir nepārspējams attīstošās draudu ainavas skats, jo ikdienā tiek analizēti 65 triljoni signālu. Reāllaikā korelējot šos signālus uzbrukumu tvērumos, draudu informācija, kas iebūvēta Microsoft drošības risinājumos, nodrošina ieskatu pieaugošajā izspiedējprogrammatūras un apdraudējumu vidē, lai jūs spētu ieraudzīt un apturēt vairāk uzbrukumu. Turklāt, izmantojot uzlabotās mākslīgā intelekta iespējas, piemēram, Microsoft drošības Copilot, varat būt soli priekšā jaunajiem apdraudējumiem un aizsargāt savu organizāciju mašīnas darbības ātrumā, kas jūsu drošības komandai sniedz iespēju vienkāršot šo kompleksu, noķert to, ko citi palaiž garām, un visu aizsargāt.