Jak wskazuje szczegółowo Raport firmy Microsoft na temat ochrony zasobów cyfrowych za 2023 r., cyberzagrożenia wykazują ciągły wzrost w zakresie zaawansowania, szybkości i skali, narażając coraz większą pulę usług, urządzeń i użytkowników. Podczas gdy mierzymy się z tymi wyzwaniami i przygotowujemy na przyszłość, w której AI przyczyni się do wyrównania szans, niezbędne jest zdecydowane działanie w oparciu o te szczegółowe informacje.
Zarejestruj się na seminarium internetowe poświęcone szczegółowym informacjom zawartym w raporcie firmy Microsoft na temat ochrony zasobów cyfrowych za 2024 r., które odbędzie się 30 października.
Raport firmy Microsoft na temat ochrony zasobów cyfrowych za 2023 r. — 10 najważniejszych wniosków
Jako firma zaangażowana w poprawę bezpieczeństwa na świecie Microsoft intensywnie inwestuje w badania nad zabezpieczeniami, innowacje i budowanie globalnej społeczności zajmującej się sprawami bezpieczeństwa. Mamy dostęp do szerokiego zakresu różnorodnych danych dotyczących zabezpieczeń, co stawia nas w wyjątkowej pozycji, aby interpretować na ich podstawie stan cyberbezpieczeństwa i identyfikować wskaźniki, które ułatwią przewidywanie kolejnych ruchów atakujących.
Do inwestycji w badania nad zabezpieczeniami, innowacje i budowanie globalnej społeczności poświęconej sprawom bezpieczeństwa, które są częścią długotrwałego zaangażowania firmy Microsoft w poprawę bezpieczeństwa na świecie, należą:
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 6
Zdecydowaną większość udanych cyberataków można udaremnić, wdrażając kilka podstawowych praktyk higieny zabezpieczeń. Używanie chmury z możliwością hiperskalowania ułatwia ich wdrażanie przez domyślne włączenie lub eliminując konieczność wdrażania przez klientów.
Krzywa dzwonowa higieny cyberbezpieczeństwa, Raport firmy Microsoft na temat ochrony zasobów cyfrowych za 2023 r. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 7
Podstawowe zasady higieny cyberbezpieczeństwa
Włączanie uwierzytelniania wieloskładnikowego: chroni przed naruszeniami zabezpieczeń haseł użytkowników i pomaga zapewnić dodatkową odporność tożsamości.
Stosowanie reguł modelu Zero Trust: podstawą każdego planu cyberochrony jest ograniczanie wpływu ataków. Do tych zasad należą: 1. Jawna weryfikacja. Upewnij się, że użytkownicy i urządzenia są w dobrym stanie, zanim zezwolisz na dostęp zasobów. 2. Korzystanie z dostępu z najniższym poziomem uprawnień. Przyznawaj wyłącznie uprawnienia dostępu do konkretnego zasobu. 3. Zakładanie naruszenia zabezpieczeń. Zakładaj, że środki obrony systemu zostały naruszone i systemy mogą mieć naruszone zabezpieczenia. Oznacza to ciągłe monitorowanie środowiska pod kątem ewentualnego ataku.
Używanie rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie (XDR) oraz oprogramowania chroniącego przed złośliwym kodem: wdróż oprogramowanie do wykrywania i automatycznego blokowania ataków oraz dostarczania szczegółowych informacji do oprogramowania operacji zabezpieczeń. Monitorowanie szczegółowych informacji z systemów wykrywania zagrożeń ma zasadnicze znaczenie dla szybkiego reagowania na cyberzagrożenia.
Aktualizowanie: atakujący wykorzystują nieaktualne systemy, w których nie zastosowano poprawek. Upewnij się, że wszystkie systemy są aktualizowane na bieżąco, łącznie z oprogramowaniem układowym, systemem operacyjnym i aplikacjami.
Ochrona danych: wiedza o istotnych danych, ich lokalizacji i wdrożeniu właściwych zabezpieczeń, ma kluczowe znaczenie dla wdrożenia odpowiedniej ochrony.
Dane telemetryczne firmy Microsoft wskazują zwiększoną liczbę ataków z użyciem oprogramowania wymuszającego okup w porównaniu z ubiegłym rokiem, w tym potrojoną liczbę ataków z użyciem oprogramowania ransomware obsługiwanego przez człowieka w stosunku do danych z września 2022 r. Spodziewamy się, że w przyszłości operatorzy oprogramowania ransomware będą próbowali korzystać z automatyzacji, AI i systemów w chmurze z możliwością hiperskalowania, aby skalować swoje ataki i maksymalizować ich skuteczność.
Krajobraz oprogramowania ransomware
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 2
Zwalczanie oprogramowania ransomware i pięć podstawowych założeń
Zidentyfikowaliśmy pięć podstawowych zasad, które według nas powinny zostać wdrożone w każdym przedsiębiorstwie, aby bronić je przed oprogramowaniem wymuszającym okup dla wszystkich tożsamości, danych i punktów końcowych.
- Nowoczesne uwierzytelnianie z poświadczeniami odpornymi na wyłudzanie informacji
- Dostęp z najniższym poziomem uprawnień stosowany dla całego stosu technologii
- Środowiska wolne od zagrożeń i ryzyk
- Zarządzanie stanem w zakresie zgodności i kondycji urządzeń, usług i zasobów
- Automatyczne wykonywanie kopi zapasowej w chmurze i synchronizacja plików w przypadku danych krytycznych dla użytkowników i dla działalności firmy
Dane usługi Microsoft Entra wskazują na ponad dziesięciokrotnie większą liczbę prób ataków na hasła w porównaniu z tym samym okresem w ubiegłym roku. Jednym ze sposobów na odstraszanie potencjalnych atakujących jest używanie poświadczeń, które nie pozwalają na wyłudzanie informacji, takich jak funkcja Windows Hello dla firm lub klucze branżowego stowarzyszenia FIDO Alliance.
Wykres przedstawiający liczbę ataków na hasła w porównaniu z tym samym okresem w ubiegłym roku. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 16
Czy wiesz?
Jednym z powodów tak powszechnych ataków na hasła jest niski stan zabezpieczeń. Wiele organizacji nie włącza uwierzytelniania wieloskładnikowego dla swoich użytkowników, przez co naraża ich na wyłudzanie informacji, ataki z użyciem przejętych poświadczeń i ataki siłowe.
Źródła zagrożeń wykorzystują techniki inżynierii społecznej i technologię, aby przeprowadzać coraz bardziej zaawansowane i droższe próby naruszeń biznesowej poczty e-mail (ataki BEC). Jednostka firmy Microsoft ds. cyberprzestępczości (Digital Crimes Unit, DCU) uważa, że udostępnianie analizy zagrożeń sektorowi publicznemu i prywatnemu ułatwi szybszą i skuteczniejszą odpowiedź na ataki BEC.
dzienna liczba ataków BEC zaobserwowanych od kwietnia 2022 r. do kwietnia 2023 r. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 33
Czy wiesz?
Jednostka firmy Microsoft ds. cyberprzestępczości (Digital Crimes Unit, DCU) przyjęła proaktywną postawę, aktywnie śledząc i monitorując 14 witryn internetowych oferujących ataki DDoS jako usługę (w tym jedną w darknecie) w ramach zaangażowania w identyfikowanie potencjalnych cyberzagrożen i wyprzedzanie cyberprzestępców.
Państwowe grupy hakerskie zwiększyły światowy zasięg swoich cyberoperacji w ramach zbierania informacji. Wśród najczęściej atakowanych znalazły się organizacje zaangażowane w krytyczną infrastrukturę, edukację i kształtowanie polityki, co jest zgodne z celami wielu grup geopolitycznych i misjami ukierunkowanymi na szpiegostwo. Kroki prowadzące do wykrycia możliwych naruszeń związanych ze szpiegostwem obejmują monitorowanie zmian w zakresie skrzynek pocztowych i uprawnień.
Państwa najbardziej narażone na ataki według regionu*:
Migawka raportu dotyczącego państwowych grup hakerskich na świecie. Szczegółowe zestawienie danych można znaleźć w raporcie. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 12
Czy wiesz?
Firma Microsoft opublikowała w tym roku nową taksonomię nazw źródeł zagrożenia. Nowa taksonomia jest bardziej przejrzysta dla klientów i analityków zabezpieczeń przez zastosowanie lepiej zorganizowanego i łatwiejszego w użyciu systemu odniesień do źródeł zagrożeń.
Państwowe grupy hakerskie coraz częściej stosują działania w zakresie wywierania wpływu informacyjnego równolegle z cyberoperacjami, aby szerzyć propagandę, podsycać napięcie społeczne oraz potęgować wątpliwości i dezorientację. Te operacje są często przeprowadzane w kontekście konfliktów zbrojnych i wyborów do władz krajowych.
Kategoria grupy hakerskiej Blizzard
Państwowe grupy hakerskie w Rosji rozszerzyły zasięg działań poza Ukrainę, obierając za cel sojuszników Kijowa, przede wszystkim członków NATO.
Kategoria grupy hakerskiej Typhoon
Rozbudowane i wyrafinowane działania Chin są odzwierciedleniem ich dwojakiego celu — dążenia do światowego wpływu i zbierania informacji wywiadowczych. Ich celem jest system obrony Stanów Zjednoczonych i ich infrastruktura o krytycznym znaczeniu, państwa leżące nad Morzem Południowochińskim oraz partnerzy strategii „Jeden pas i jeden szlak”.
Kategoria grupy hakerskiej Sandstorm
Iran rozszerzył obszar swoich działań w cyberprzestrzeni o kraje Afryki, Ameryki Łacińskiej i Azji. Opierając się w dużym stopniu na działaniach w zakresie wywierania wpływu informacyjnego, forsuje narrację, która ma podsycać niepokój dotyczący szyitów w krajach Zatoki Perskiej i przeciwdziałać normalizacji stosunków arabsko-izraelskich.
Kategoria grupy hakerskiej Sleet
Cyberoperacje Korei Północnej stały się w ubiegłym roku jeszcze bardziej wyrafinowane, zwłaszcza w zakresie kradzieży kryptowalut i ataków na łańcuchy zaopatrzenia.
Czy wiesz?
Zdjęcia profilowe wygenerowane przez sztuczną inteligencję były już od dawna stosowane w sponsorowanych przez państwa działaniach w zakresie wywierania wpływu informacyjnego. Natomiast przewidywanym trendem, który ma się utrzymać dzięki szerszej dostępności tego typu technologii, jest korzystanie z bardziej zaawansowanych narzędzi AI do tworzenia efektowniejszej zawartości multimedialnej.
Atakujący coraz częściej obierają za cel luki w zabezpieczeniach technologii informatycznej i operacyjnej (IT-OT), których ochrona może być czasem trudna. Na przykład spośród 78% urządzeń infrastruktury Internetu rzeczy (IoT) w sieciach klientów, w których rozpoznano luki w zabezpieczeniach, w przypadku 46% nie można wprowadzić poprawek. Niezawodny system zarządzania poprawkami dla technologii operacyjnej jest zatem niezbędnym elementem strategii cyberbezpieczeństwa, a monitorowanie sieci w środowiskach technologii operacyjnej może ułatwić wykrywanie złośliwych działań.
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 61
Czy wiesz?
25 % urządzeń technologii operacyjnej w sieciach klientów używa nieobsługiwanych systemów operacyjnych, przez co są nawet bardziej podatne na cyberataki — nie mają istotnych aktualizacji i ochrony przed stale ewoluującymi cyberzagrożeniami.
Sztuczna inteligencja może poprawić cyberbezpieczeństwo, automatyzując i rozszerzając zadania cyberbezpieczeństwa, aby umożliwić wykrywanie ukrytych wzorców i zachowań. Duże modele językowe mogą mieć swój wkład w analizę zagrożeń, reagowanie na zdarzenia i odzyskiwanie, monitorowanie i wykrywanie, testowanie i weryfikację, edukację oraz zabezpieczenia, zarządzanie, ład, zagrożenia i zgodność.
Badacze i naukowcy firmy Microsoft eksplorują wiele scenariuszy zastosowania dużych modeli językowych w cyberochronie:
Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 98
Czy wiesz?
Zespół atakujący ds. AI firmy Microsoft złożony z interdyscyplinarnych ekspertów pomaga tworzyć przyszłość bezpieczniejszej sztucznej inteligencji. Nasz zespół atakujący ds. AI naśladuje taktyki, techniki i procedury (TTP) rzeczywistych przeciwników, aby identyfikować ryzyka, odkrywać martwe punkty, weryfikować założenia i poprawiać ogólny stan zabezpieczeń systemów AI. Dowiedz się więcej o testach typu red teaming przeprowadzanych na AI przez firmę Microsoft: Tworzenie przyszłości bezpieczniejszej sztucznej inteligencji przez zespół atakujący ds. AI firmy Microsoft | Blog dotyczący rozwiązań zabezpieczających firmy Microsoft.
Wraz z rozwojem cyberzagrożeń współpraca sektora publicznego i prywatnego będzie kluczowa dla zwiększania zbiorowej wiedzy i odporności oraz podnoszenia świadomości na temat ograniczania ryzyka w całym ekosystemie zabezpieczeń. Na przykład w tym roku firmy Microsoft, Fortra LLC i Health-ISAC pracowały razem nad ograniczeniem infrastruktury używanej nielegalnie przez narzędzie Cobalt Strike. W rezultacie ta infrastruktura zmniejszyła się w Stanach Zjednoczonych o 50%.
Wykres przedstawiający zmniejszoną o 50% liczbę serwerów z hasłami łamanymi przez narzędzie Cobalt Strike w Stanach Zjednoczonych. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 115
Czy wiesz?
Światowy Atlas cyberprzestępstw zrzesza zróżnicowaną społeczność ponad 40 członków z sektora prywatnego i publicznego, aby centralizować dzielenie się wiedzą, współpracę i badania nad cyberprzestępczością. Aby osiągnąć cel, którym jest utrudnianie działań cyberprzestępcom, są udostępniane analizy umożliwiające podejmowanie akcji przez organy ścigania i sektor prywatny, które prowadzą do aresztowań i rozmontowania struktur przestępczych.
Jedyną odpowiedzią na globalny niedobór profesjonalistów w dziedzinie cyberbezpieczeństwa i AI mogą być strategiczne partnerstwa między instytucjami edukacyjnymi, organizacjami non-profit, rządami i firmami. Ponieważ AI może zapewnić odciążenie w tym obszarze, rozwój umiejętności w zakresie sztucznej inteligencji stanowi najwyższy priorytet w strategiach szkoleniowych firmy.
35-procentowy wzrost zapotrzebowania na specjalistów ds. cyberbezpieczeństwa w ubiegłym roku. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 120
Czy wiesz?
Inicjatywa firmy Microsoft w zakresie umiejętności związanych z AI obejmuje nowe bezpłatne kursy stworzone we współpracy z serwisem LinkedIn. To pozwala pracownikom poznawać koncepcje wprowadzające do AI, w tym struktury odpowiedzialnej sztucznej inteligencji, a po ukończeniu szkolenia otrzymać certyfikat na poziomie podstawowym.
Obserwuj rozwiązania zabezpieczające firmy Microsoft