Trace Id is missing

Ārējo uzbrukumu tvēruma anatomija

Lejupielādēt
Kopīgot
Ārējo uzbrukumu tvēruma anatomijas izprašana

Pieci elementi, kas organizācijām jāpārrauga

Kiberdrošības pasaule kļūst arvien sarežģītāka, jo organizācijas sāk izmantot mākoņus un pārorientējas uz decentralizētu darbu. Mūsdienās ārējo uzbrukumu tvērums aptver vairākus mākoņus, sarežģītas digitālās piegādes ķēdes un plašas trešo pušu ekosistēmas. Līdz ar to jau ierasto globālās drošības problēmu plašais mērogs ir radikāli mainījis mūsu priekšstatu par visaptverošu drošību.

Internets tagad ir daļa no tīkla. Par spīti tā gandrīz neaptveramajam lielumam drošības komandām ir jāaizsargā savas organizācijas klātbūtne internetā tādā pašā pakāpē kā viss, kas atrodas aiz organizācijas ugunsmūriem. Tā kā arvien vairāk organizāciju ievieš nulles uzticamībasprincipus, gan iekšējo, gan ārējo tvērumu aizsardzība kļūst par interneta mēroga izaicinājumu. Tāpēc organizācijām kļūst arvien svarīgāk izprast savu uzbrukumu tvērumu pilnā apjomā.

2021. gadā Microsoft iegādājās uzņēmumu RiskIQ, lai palīdzētu organizācijām novērtēt visas to digitālās sistēmas drošību. Izmantojot RiskIQ Internet Intelligence Graph, organizācijas var atklāt un izpētīt draudus visos komponentos, savienojumos, pakalpojumos, IP savienotajās ierīcēs un infrastruktūrā, kas veido to uzbrukumu tvērumu, lai izveidotu elastīgu, mērogojamu aizsardzību.

Drošības komandām aizsargājamo datu apjoms var šķist biedējošs. Tomēr viens no veidiem, kā skatīt savas organizācijas uzbrukumu tvēruma apjomu, ir domāt par internetu no uzbrucēja skatupunkta. Šajā rakstā izceltas piecas jomas, kas palīdz labāk formulēt ārējo uzbrukumu tvēruma efektīvas pārvaldības problēmas.

Globālais uzbrukumu tvērums aug kopā ar internetu

Tas aug ar katru dienu. 2020. gadā datu apjoms internetā sasniedzis 40 zetabaitus jeb 40 triljonus gigabaitu.1 RiskIQ konstatēja, ka katru minūti 117 298 resursdatori un 613 domēni2 papildina daudzos pavedienus, kas veido globālā uzbrukumu tvēruma sarežģīto audeklu. Katrā no tiem ir elementu kopums, piemēram, pamatā esošās operētājsistēmas, struktūras, trešo pušu lietojumprogrammas, spraudņi un izsekošanas kods. Ar katru no šīm strauji augošajām vietnēm ar visiem to daudzajiem elementiem globālā uzbrukumu tvēruma apjoms palielinās eksponenciāli.

Globālais uzbrukumu tvērums aug ar katru minūti

  • resursdatori tiek izveidoti katru minūti.
  • domēni tiek izveidoti katru minūti.
  • 375 jauni draudi katru minūti.2

Šo pieaugumu veicina gan leģitīmas organizācijas, gan draudu izpildītāji. Tas nozīmē, ka kiberdraudu apjoms palielinās līdz ar pārējo interneta apjomu. Uzņēmumu drošību apdraud gan komplicēti pastāvīgie draudi (APT), gan mazie kibernoziedznieki, kas apdraud uzņēmuma datus, zīmolu, intelektuālo īpašumu, sistēmas un cilvēkus.

2021. gada pirmajā ceturksnī CISCO atklāja 611 877 unikālas pikšķerēšanas vietnes3 ar 32 domēna pārkāpumiem un 375 jauniem draudiem minūtē.2 Šie draudi ir vērsti pret organizāciju darbiniekiem un klientiem, izmantojot negodīgus līdzekļus, lai maldinātu viņus, liekot noklikšķināt uz ļaunprātīgām saitēm un pikšķerējot sensitīvus datus, kas var graut zīmola ticamību un patērētāju uzticību.

Ievainojamību pieaugums, ko rada attālais darbaspēks

Straujais interneta resursu pieaugums ir ievērojami paplašinājis to apdraudējumu un ievainojamību spektru, kas ietekmē vidējo organizāciju. Līdz ar COVID-19 pandēmiju digitālās vides attīstība atkal paātrinājās, un gandrīz katra organizācija paplašināja savu digitālo darbību, lai pielāgotos attālam, ļoti elastīgam darbaspēka un uzņēmējdarbības modelim. Rezultātā uzbrucējiem tagad ir daudz vairāk piekļuves punktu, kurus izpētīt un izmantot.

Attālās piekļuves tehnoloģiju, piemēram, RDP (attālās darbvirsmas protokols) un VPN (virtuālais privātais tīkls), izmantošana strauji pieauga attiecīgi par 41% un 33%4, jo lielākā daļa pasaules ieviesa “darbs no mājām” politiku. Globālā attālās darbvirsmas programmatūras tirgus apjoms 2019. gadā bija 1,53 miljardi USD dolāru, bet līdz 2027. gadam sasniegs 4,69 miljardi USD dolāru.5

Vairāki desmiti jaunu ievainojamību attālās piekļuves programmatūrā un ierīcēs ir devuši uzbrucējiem iespējas, kādas tiem iepriekš nebija. RiskIQ saskārās ar daudzām populārākajām attālās piekļuves un perimetra ierīču ievainojamībām, un ievainojamību straujais temps nav mainījies. Kopā 2021. gadā tika ziņots par 18 378 ievainojamībām.6

Jauna ievainojamību ainava

  • RDP lietošanas pieaugums.
  • VPN lietošanas pieaugums.
  • 2021. gadā atklātas ievainojamības.

Pieaugot globāla mēroga uzbrukumiem, kurus organizē vairāki draudu grupējumi un kuri ir pielāgoti digitālajiem uzņēmumiem, drošības komandām ir jāsamazina savas, trešo pušu, partneru, kontrolētu un nekontrolētu programmu un pakalpojumu ievainojamības digitālās piegādes ķēdes ietvaros un starp tām.

Digitālās piegādes ķēdes, M&A un ēnu IT rada slēptu uzbrukumu tvērumu

Lielākā daļa kiberuzbrukumu rodas tālu prom no tīkla; tīmekļa lietojumprogrammas bija visbiežāk izmantotā vektoru kategorija uzlaušanas pārkāpumos. Diemžēl lielākajai daļai organizāciju trūkst pilnīga priekšstata par saviem interneta resursiem un to, kā šie resursi ir saistīti ar globālu uzbrukumu tvērumu. Trīs svarīgi faktori, kas veicina šo redzamības trūkumu, ir ēnu IT, apvienošanas un iegādes (M&A) un digitālās piegādes ķēdes.

Apdraudētas atkarības

  • pakalpojumi, kam beidzies derīguma termiņš, minūtē.2
  • darījumos tiek veikta kiberdrošības uzticamības pārbaude.7
  • organizāciju ir piedzīvojušas vismaz vienu datu aizsardzības pārkāpumu, ko izraisījusi trešā puse.8

Ēnas IT

 

Ja IT netiek līdzi uzņēmuma prasībām, uzņēmums meklē atbalstu jaunu tīmekļa resursu izstrādē un izvietošanā. Drošības komanda bieži vien nav informēta par šīm ēnu IT darbībām, tāpēc nevar iekļaut radītos resursus savas drošības programmas tvērumā. Laika gaitā nepārvaldītie un pamestie resursu var kļūt par organizācijas uzbrukumu tvēruma daļu.

Šāda strauja digitālo resursu izplatīšanās ārpus ugunsmūra tagad ir kļuvusi par normu. Jaunie RiskIQ klienti parasti atrod aptuveni par 30% vairāk resursu, nekā domāja, ka viņiem ir, un katru minūti RiskIQ atklāj 15 pakalpojumus, kuru darbības termiņš ir beidzies (uzņēmīgi pret apakšdomēnu pārņemšanu), un 143 atvērtus portus.2

Apvienošanās un iegādes

 

Ikdienas darbības un kritiski svarīgas uzņēmējdarbības iniciatīvas, piemēram, M&A, stratēģiskās partnerības un ārpakalpojumi, rada un paplašina ārējo uzbrukumu tvērumu. Patlaban mazāk nekā 10% darījumu visā pasaulē tiek veikta kiberdrošības uzticamības pārbaude.

Ir vairāki bieži iemesli, kāpēc uzticamības pārbaudes procesā organizācijas negūst pilnīgu priekšstatu par iespējamiem kiberriskiem. Pirmais ir uzņēmuma digitālās klātbūtnes plašais mērogs, ko viņi iegūst. Nereti lielai organizācijai ir tūkstošiem vai pat desmitiem tūkstošu aktīvu tīmekļa vietņu un citu publiski eksponētu resursu. Lai gan pārņemamā uzņēmuma IT un drošības komandām būs pieejams tīmekļa vietņu resursu reģistrs, tas gandrīz vienmēr ir tikai daļējs pārskats par to, kas pastāv. Jo decentralizētākas ir organizācijas IT darbības, jo būtiskāka ir plaisa.

Piegādes ķēdes

 

Uzņēmums arvien vairāk ir atkarīgs no digitālajām aliansēm, kas veido moderno piegādes ķēdi. Lai gan šīs atkarības ir būtiskas, lai darbotos 21. gadsimtā, tās rada arī pārblīvētu, slāņainu un ļoti sarežģītu trešo pušu attiecību tīmekli, no kura daudzas ir ārpus drošības un riska grupu redzesloka, lai proaktīvi aizsargātu un aizstāvētu. Tāpēc ātra ievainojamu digitālo resursu, kas signalizē par risku, identificēšana ir milzīgs izaicinājums.

Izpratnes un redzamības trūkums šajās atkarībās ir padarījis trešo personu uzbrukumus par vienu no biežākajiem un efektīvākajiem draudu izpildītāju vektoriem. Ievērojams skaits uzbrukumu tagad notiek caur digitālo piegādes ķēdi. Šodien 70% IT speciālistu norādīja uz vidēji līdz augstu atkarības līmeni no ārējām struktūrām, kurās varētu būt trešās, ceturtās vai piektās puses.9 Tajā pašā laikā 53% organizāciju ir noticis vismaz viens datu aizsardzības pārkāpums, ko izraisījusi trešā puse.10

Lai gan izplatītāki kļūst plaša mēroga piegādes ķēdes uzbrukumi, organizācijas katru dienu cīnās ar mazākiem uzbrukumiem. Digitālo kredītkaršu datsmelšanas ļaunprogrammatūra, piemēram, Magecart, ietekmē trešās puses e-komercijas spraudņus. 2022. gada februārī RiskIQ atklāja vairāk nekā 300 domēnu, kurus skārusi Magecart digitālo kredītkaršu datsmelšanas ļaunprogrammatūra.11

Katru gadu uzņēmumi vairāk iegulda mobilajās ierīcēs, jo vidusmēra patērētāja dzīvesveids kļūst uz mobilajām ierīcēm koncentrēts. Tagad amerikāņi vairāk laika pavada, izmantojot mobilās ierīces nekā skatoties televīziju, un sociālās distances dēļ viņi vairāk savu fizisko vajadzību, piemēram, iepirkšanos un izglītību, pārcēla uz mobilajām ierīcēm. Programma Annie rāda, ka mobilo ierīču izdevumi 2021. gadā pieauga līdz 170 miljardiem USD dolāru, gada laikā pieaugot par 19%.12

Šis pieprasījums pēc mobilajām ierīcēm rada lielu mobilo programmu izplatību. Lietotāji 2020. gadā lejupielādējuši 218 miljardus programmu. Tikmēr RiskIQ atzīmēja 2020. gadā pieejamo mobilo programmu kopējo pieaugumu par 33%, ik minūti parādoties 23.2

App Store ir augošs uzbrukumu tvērums

  • mobilo programmu pieaugums.
  • mobilās programmas tiek rādītas katru minūti.
  • programma tiek bloķēta ik pēc piecām minūtēm.2

Organizācijām šīs programmas nodrošina uzņēmējdarbības rezultātus. Tomēr tam ir divas puses. Programmu ainava ir ievērojama daļa no uzņēmuma kopējā uzbrukumu tvēruma, kas pastāv ārpus ugunsmūra, kur drošības grupas bieži cieš no kritiska redzamības trūkuma. Draudu izpildītāji ir pelnījuši, izmantojot šo miopiju, lai ražotu “negodīgas programmas”, kas mērķtiecīgi atdarina pazīstamus zīmolus vai kā citādi cenšas būt kaut kas tāds, kas tie nav, lai apmuļķotu klientus to lejupielādēšanā. Kad lietotājs neapdomīgi lejupielādē šīs ļaunprātīgās programmas, draudu izpildītājiem var būt sava pieeja — pikšķerēšana, lai iegūtu sensitīvu informāciju, vai ļaunprogrammatūras augšupielādēšana ierīcēs. RiskIQ bloķē ļaunprātīgu mobilo programmu ik pēc piecām minūtēm.

Šīs negodīgās programmas oficiālajos veikalos parādās reti, pat pārkāpjot lielo programmu veikalu stingro aizsardzību. Tomēr simtiem mazāk cienījamu programmu veikalu ir neskaidra mobilo ierīču pasaule ārpus atzītu veikalu relatīvi drošās zonas. Programmas šajos veikalos ir daudz mazāk regulētas nekā oficiālie programmu veikali, un dažas ir tik pārsātinātas ar ļaunprātīgām programmām, ka pārspēj savus drošos piedāvājumus.

Globāls uzbrukumu tvērums ir arī daļa no organizācijas uzbrukumu tvēruma

Mūsdienu globālais interneta uzbrukumu tvērums ir dramatiski pārvērties par dinamisku, visaptverošu un pilnībā integrētu ekosistēmu, kurā esam iekļauti mēs visi. Ja jums ir interneta klātbūtne, jūs veidojat savienojumu ar visiem citiem, ieskaitot tos, kuri vēlas jums nodarīt kaitējumu. Šī iemesla dēļ draudu infrastruktūras izsekošana ir tikpat svarīga kā jūsu infrastruktūras izsekošana.

Globāls uzbrukumu tvērums ir daļa no organizācijas uzbrukumu tvēruma

  • katru dienu tiek konstatēti jauni ļaunprogrammatūras fragmenti.2
  • ļaunprogrammatūras variantu pieaugums.13
  • Cobalt Strike serveris ik pēc 49 minūtēm.2

Dažādi draudu grupējumi pārstrādās un koplietos infrastruktūru — IP, domēnus un sertifikātus —, kā arī izmantos atklātā pirmkoda preču rīkus, piemēram, ļaunprogrammatūru, pikšķerēšanas komplektus un C2 komponentus, lai izvairītos no vieglas identificēšanas, pielāgojot un uzlabojot tos savām unikālajām vajadzībām.

Katru dienu tiek atklāti vairāk nekā 560 000 jaunu ļaunprogrammatūru, un laikā no 2018. līdz 2019. gadam nelikumīgās kibernoziedzības tirdzniecības vietās reklamēto pikšķerēšanas komplektu skaits ir dubultojies. 2020. gadā atklāto ļaunprogrammatūras variantu skaits pieauga par 74%.14 RiskIQ tagad ik pēc 49 minūtēm atrod Cobalt Strike C2 serveri.

Tradicionāli vairumam organizāciju drošības stratēģija ir bijusi aizsardzības padziļināta pieeja, sākot no perimetra un atgriežoties pie resursiem, kas būtu jāaizsargā. Tomēr pastāv atšķirības starp šāda veida stratēģiju un uzbrukumu tvērumu, kā izklāstīts šajā pārskatā. Mūsdienu digitālās iesaistes pasaulē lietotāji atrodas ārpus perimetra — tāpat kā aizvien lielāks skaits eksponētu korporatīvo digitālo resursu un daudzi ļaunprātīgi izpildītāji. Nulles uzticamības principu ieviešana uzņēmuma resursos var palīdzēt aizsargāt mūsdienu darbaspēku, aizsargājot lietotājus, ierīces, programmas un datus neatkarīgi no to atrašanās vietas vai sastapto apdraudējumu mēroga. Microsoft drošība piedāvā mērķētu novērtēšanas rīku sēriju, kas palīdz novērtēt jūsu organizācijas nulles uzticamības stabilitātes pakāpi.

Saistītie raksti

Kiberdraudu minūte

Kiberuzbrukuma laikā katra sekunde ir svarīga. Lai ilustrētu visas pasaules kibernoziegumu mērogu un tvērumu, mēs izveidojām gadu ilga kiberdrošības pētījuma kopsavilkumu vienā 60 sekunžu laika posmā.
Papildinformācija

Izspiedējprogrammatūras pakalpojums

Kibernoziegumu jaunākais biznesa modelis — cilvēku vadīti uzbrukumi — iedrošina dažādu iespēju noziedzniekus.
Papildinformācija

Pieaugošā IoT izmantošana un risks operatīvajām tehnoloģijām

Pieaugošā IoT izmantošana pakļauj OT riskam, radot virkni potenciālu ievainojamību un iespēju draudu izpildītājiem. Uzziniet, kā aizsargāt savu organizāciju.
Papildinformācija