Anatomia współczesnego obszaru podatnego na ataki

Dla większości organizacji poczta e-mail jest podstawową częścią codziennych operacji biznesowych. Niestety, poczta e-mail pozostaje głównym wektorem zagrożeń. 35% zdarzeń w roku 2022 obejmowało użycie poczty e-mail.⁴ Atakujący przeprowadzają więcej ataków na pocztę e-mail niż kiedykolwiek przedtem — w roku 2022 liczba ataków mających na celu wyłudzanie informacji wzrosła o 61% w porównaniu z rokiem 2021^.5

Obecnie atakujący wykorzystują też często wiarygodne zasoby do przeprowadzania ataków mających na celu wyłudzanie informacji. To jeszcze bardziej utrudnia użytkownikom odróżnienie rzeczywistych wiadomości e-mail od złośliwych, zwiększając prawdopodobieństwo prześlizgnięcia się zagrożenia. Ataki mające na celu wyłudzanie informacji za zgodą są jednym przykładem tego trendu, gdzie źródła zagrożeń nadużywają uprawnionych dostawców usług w chmurze, aby nakłonić użytkowników do udzielenia uprawnień dostępu do danych poufnych.

Bez możliwości skorelowania sygnałów z poczty e-mail w szersze zdarzenia w celu zwizualizowania ataków wykrycie źródła zagrożenia, które uzyskało dostęp przez pocztę e-mail, może zająć dużo czasu. Wówczas może już być za późno, aby zapobiec szkodom. Średni czas, jakiego potrzebuje atakujący na uzyskanie dostępu do prywatnych danych organizacji, to zaledwie 72 minuty.⁶ Może to spowodować poważne straty na poziomie przedsiębiorstwa. Koszt naruszenia bezpieczeństwa biznesowej poczty e-mail (BEC) jest szacowany na 2,4 miliarda USD w skorygowanych stratach w roku 2021.⁷

We współczesnym świecie z obsługą chmury zabezpieczanie dostępu stało się bardziej krytyczne niż kiedykolwiek wcześniej. W wyniku tego uzyskanie głębokiego zrozumienia tożsamości w organizacji — w tym uprawnień kont użytkowników, tożsamości obciążeń oraz ich potencjalnych luk w zabezpieczeniach — jest kluczowe, zwłaszcza gdy ataki stają się coraz częstsze i bardziej kreatywne.

Liczba ataków na hasła wzrosła do szacunkowo 921 ataków co sekundę w roku 2022 — o 74% w porównaniu z rokiem 2021.⁸ W firmie Microsoft zaobserwowaliśmy także, że źródła zagrożeń stają się coraz bardziej kreatywne w obchodzeniu uwierzytelniania wieloskładnikowego (MFA) przy użyciu technik, takich jak ataki mające na celu wyłudzenie informacji typu adversary-in-the-middle oraz nadużywanie tokenów w celu uzyskania dostępu do danych organizacji. Zestawy do wyłudzania informacji jeszcze bardziej ułatwiły źródłom zagrożeń wykradanie poświadczeń. Dział Digital Crimes Unit firmy Microsoft zaobserwował w ciągu minionego roku wzrost wyrafinowania zestawów do wyłudzania informacji wraz z bardzo niskimi barierami wejścia — jeden ze sprzedawców oferował takie zestawy w cenie zaledwie 6 USD za dzień.⁹

Zarządzanie obszarem tożsamości podatnym na ataki to coś więcej niż zabezpieczanie kont użytkowników — obejmuje dostęp do chmury, a także tożsamości obciążeń. Poświadczenia z naruszonymi zabezpieczeniami mogą być dla źródeł zagrożeń zaawansowanym narzędziem do wykorzystania w celu dokonania spustoszeń w infrastrukturze chmury organizacji.

Biorąc pod uwagę ogromną liczbę urządzeń we współczesnym środowisku hybrydowym, zabezpieczanie punktów końcowych stało się jeszcze bardziej wyzywające. Nie zmieniło się to, że zabezpieczanie punktów końcowych — zwłaszcza urządzeń niezarządzanych — jest krytyczne dla silnego stanu zabezpieczeń, ponieważ nawet jedno naruszenie zabezpieczeń może umożliwić źródłom zagrożeń wkroczenie do organizacji.

Wraz z przyjęciem przez organizacje zasad BYOD („Bring Your Own Device”) nastąpiło namnożenie urządzeń niezarządzanych. W rezultacie obszar podatny na ataki w punkcie końcowym jest teraz większy i bardziej na nie narażony. Średnio w przedsiębiorstwie istnieje 3500 połączonych urządzeń, które nie są chronione przez agenta wykrywania i reagowania w punktach końcowych.¹¹

Urządzenia niezarządzane (stanowiące element krajobrazu „niezatwierdzonych zasobów IT”) stały się szczególnie atrakcyjne dla źródeł zagrożeń, ponieważ zespołom ds. zabezpieczeń brakuje wglądu niezbędnego do zapewnienia ich bezpieczeństwa. W firmie Microsoft zauważyliśmy, że prawdopodobieństwo zainfekowania użytkowników na urządzeniu niezarządzanym jest o 71% większe.¹² Urządzenia niezarządzane łączą się z sieciami firmowymi, dlatego także stwarzają atakującym szanse na przeprowadzanie szerszych ataków na serwery i inną infrastrukturę.

Serwery niezarządzane także stanowią potencjalne wektory dla ataków na punkt końcowy. W roku 2021 w ramach rozwiązań zabezpieczających firmy Microsoft zaobserwowano atak, w którym źródło zagrożenia wykorzystało serwer bez zastosowanych poprawek, przeszło przez katalogi i odkryło folder haseł dający dostęp do poświadczeń konta.

Jednym z najczęściej pomijanych wektorów ataku na punkt końcowy jest IoT (internet rzeczy) — obejmujący miliardy urządzeń, zarówno dużych, jak i małych. Zabezpieczenia IoT obejmują urządzenia fizyczne, które łączą się z siecią i wymieniają z nią dane, takie jak routery, drukarki, kamery i inne podobne urządzenia. Mogą także obejmować czujniki i urządzenia operacyjne (technologię operacyjną lub „OT”), takie jak inteligentny sprzęt na liniach produkcyjnych.

W miarę zwiększania się liczby urządzeń IoT rośnie liczba luk w zabezpieczeniach. IDC przewiduje, że do 2025 roku 41 miliardów urządzeń IoT będzie obecnych w środowiskach przedsiębiorstwa i klienta.¹⁵ Ponieważ wiele organizacji wzmacnia routery i sieci, aby utrudnić źródłom zagrożenia naruszenie ich zabezpieczeń, urządzenia IoT stają się łatwiejszym i bardziej atrakcyjnym celem. Często obserwujemy, jak źródła zagrożeń wykorzystują luki w zabezpieczeniach, aby przekształcić urządzenia IoT w serwery proxy, używając narażonego urządzenia jako punktu zaczepienia do wtargnięcia do sieci. Gdy źródło zagrożeń uzyska dostęp do urządzenia IoT, może monitorować ruch w sieci pod kątem innych niechronionych zasobów, poruszać się w bok, aby infiltrować inne części infrastruktury swojego celu, lub przeprowadzać rozeznanie, aby planować ataki na dużą skalę na wrażliwy sprzęt i urządzenia. W jednym z badań 35% praktyków w zakresie zabezpieczeń stwierdziło, że w ciągu ostatnich 2 lat urządzenie IoT zostało użyte do przeprowadzania szerszego ataku na ich organizację.¹⁶

Niestety, IoT jest często czarną skrzynką dla organizacji pod względem widoczności, a wielu z nich brakuje odpowiednich środków zabezpieczeń IoT. 60% praktyków w zakresie zabezpieczeń wymieniło zabezpieczenia IoT oraz OT jako jeden z najgorzej zabezpieczonych aspektów ich infrastruktury IT i OT.¹⁷

Obecnie obszar organizacji podatny na ataki z zewnątrz obejmuje wiele chmur, złożone cyfrowe łańcuchy dostaw i ogromne ekosystemy innych firm. Internet stanowi teraz część sieci i pomimo jego niewyobrażalnych rozmiarów zespoły ds. zabezpieczeń muszą bronić organizacje w internecie w takim samym stopniu jak wszystkie inne zasoby za zaporami. W miarę tego jak coraz więcej organizacji przyjmuje reguły modelu Zero Trust, ochrona obszarów podatnych na ataki zarówno z wewnątrz, jak i z zewnątrz, stała się wyzwaniem na wielką skalę.

Globalny obszar podatny na ataki rozwija się wraz z internetem i rozszerza się każdego dnia. W firmie Microsoft zaobserwowaliśmy dowody tego wzrostu w odniesieniu do wielu typów zagrożeń, takich jak ataki mające na celu wyłudzanie informacji. W roku 2021 dział Digital Crimes Unit firmy Microsoft kierował usunięciem ponad 96 000 unikatowych adresów URL służących do wyłudzania informacji i 7700 zestawów do wyłudzania informacji, co pozwoliło na identyfikację i usunięcie ponad 2200 kont e-mail rozsyłających złośliwe oprogramowanie wykorzystywane do kradzieży poświadczeń klientów.²⁴

Zewnętrzny obszar podatny na ataki sięga daleko poza zasoby własne organizacji. Często obejmuje dostawców, partnerów, niezarządzane osobiste urządzenia pracowników połączone z zasobami lub sieciami firmy oraz nowo przejęte organizacje. Dlatego krytyczne znaczenie ma uświadomienie sobie istnienia zewnętrznych połączeń oraz ekspozycji w celu łagodzenia potencjalnych zagrożeń. Raport Ponemon z 2020 roku wykazał, że 53% organizacji doświadczyło w ciągu ostatnich 2 lat co najmniej jednego naruszenia zabezpieczeń danych spowodowanego przez inną firmę, którego skorygowanie kosztowało średnio 7,5 miliona USD.²⁵

W miarę zwiększania się infrastruktury za cyberatakami uzyskanie widoczności infrastruktury zagrożeń oraz sporządzenie inwentaryzacji zasobów narażonych na internet stało się pilniejsze niż kiedykolwiek. Dowiedzieliśmy się, że organizacje często mają trudności ze zrozumieniem zakresu swojej zewnętrznej ekspozycji, czego rezultatem jest znaczna liczba słabych punktów. Te słabe punkty mogą mieć katastrofalne skutki. W 2021 roku 61% firm doświadczyło ataku z użyciem oprogramowania wymuszającego okup, który doprowadził do co najmniej częściowego zakłócenia operacji biznesowych.²⁶

W firmie Microsoft często mówimy klientom, aby spojrzeli na swoją organizację od zewnątrz, gdy oceniają stan zabezpieczeń. Poza oceną luk w zabezpieczeniach i testowaniem penetracji (VAPT, Vulnerability Assessment and Penetration Testing) ważne jest uzyskanie głębokiej widoczności obszaru podatnego na ataki z zewnątrz, aby móc zidentyfikować luki w zabezpieczeniach w całym swoim środowisku i rozszerzonym ekosystemie. Wyobraź sobie, że jesteś atakującym próbującym się włamać — która luka mogłaby zostać przez Ciebie wykorzystana? Zrozumienie całego zakresu obszaru organizacji podatnego na ataki z zewnątrz ma kluczowe znaczenie w jego zabezpieczaniu.

Jak firma Microsoft może pomóc

Współczesny krajobraz zagrożeń stale się zmienia, a organizacje potrzebują strategii zabezpieczeń pozwalającej dotrzymać im kroku. Zwiększona złożoność organizacyjna i ekspozycja wraz z wysoką liczbą zagrożeń i niską barierą wejścia do ekonomii cyberprzestępstwa sprawiają, że zabezpieczanie każdego pojedynczego szwu w poszczególnych obszarach podatnych na ataki oraz między nimi stało się jeszcze bardziej pilne.

Zespoły ds. zabezpieczeń potrzebują zaawansowanej analizy zagrożeń, aby bronić się przed współczesnymi zróżnicowanymi i ewoluującymi zagrożeniami. Odpowiednia analiza zagrożeń koreluje sygnały z różnych miejsc — zapewniając terminowy i odpowiedni kontekst dla zachowań i trendów bieżącego ataku, aby zespoły ds. zabezpieczeń mogły pomyślnie identyfikować luki w zabezpieczeniach, priorytetyzować alerty i przerywać ataki. Natomiast w razie wystąpienia naruszenia zabezpieczeń analiza zagrożeń jest niezbędna do zapobiegania dalszym szkodom i poprawiania środków ochrony, aby podobny atak nie mógł wydarzyć się ponownie. Mówiąc wprost, organizacje wykorzystujące więcej analiz zagrożeń będą bezpieczniejsze i odniosą większy sukces.

Firma Microsoft ma niezrównany widok na ewoluujący krajobraz zagrożeń dzięki codziennej analizie 65 bilionów sygnałów. Korelowanie tych sygnałów w czasie rzeczywistym między wieloma obszarami podatnymi na ataki sprawia, że analiza zagrożeń wbudowana w rozwiązania zabezpieczające firmy Microsoft zapewnia szczegółowe informacje o rosnącym środowisku oprogramowania wymuszającego okup i zagrożeń, co pozwala obserwować i powstrzymywać więcej ataków. Dodatkowo zaawansowane funkcje sztucznej inteligencji, takie jak Copilot rozwiązań zabezpieczających firmy Microsoft, pozwalają wyprzedzać ewoluujące zagrożenia oraz chronić organizację z prędkością maszyny — umożliwiając zespołowi ds. zabezpieczeń uproszczenie złożoności, wyłapywanie tego, co inni przeoczyli, oraz chronienie wszystkiego.