Trace Id is missing
Przejdź do głównej zawartości
Aktualności dotyczące bezpieczeństwa

Anatomia zewnętrznego obszaru podatnego na ataki

Pobierz
Udostępnij
Zrozumienie anatomii zewnętrznych obszarów podatnych na ataki

Pięć elementów, które organizacja powinna monitorować

Świat cyberbezpieczeństwa staje się coraz bardziej złożony w miarę tego, jak organizacje przechodzą do chmury i zdecentralizowanego środowiska pracy. Obecnie zewnętrzny obszar podatny na ataki obejmuje wiele chmur, złożone cyfrowe łańcuchy dostaw i ogromne ekosystemy innych firm. W związku z tym przejrzysta skala znanych powszechnie globalnych zagrożeń dla bezpieczeństwa drastycznie zmieniła nasze postrzeganie tematu bezpieczeństwa.

Internet jest teraz częścią sieci. Pomimo jego niewyobrażalnych rozmiarów zespoły ds. zabezpieczeń muszą bronić organizacje w internecie w takim samym stopniu jak wszystkie inne zasoby za zaporami. Chociaż coraz więcej organizacji przyjmuje zasadę  Zero Trust, ochrona zarówno wewnętrznych, jak i zewnętrznych obszarów podatnych na ataki staje się wyzwaniem na wielką skalę. Organizacje coraz częściej muszą zdawać sobie sprawę z pełnego zakresu swoich obszarów podatnych na ataki.

Microsoft przejął Risk IQ w 2021 roku, aby pomóc organizacjom w ocenie zabezpieczeń wszystkich cyfrowych przedsiębiorstw. Z pomocą  wykresu analizy internetowej RiskIQ organizacje mogą rozpoznawać i badać zagrożenia dla komponentów, połączeń, usług, urządzeń połączonych z IP i infrastruktury tworzące obszar podatny na ataki, aby stworzyć odporną i skalowalną ochronę.

Dla zespołów ds. zabezpieczeń sama głębokość i zakres tego, co muszą chronić, może już zniechęcać. Jednak jednym ze sposobów na określenie zakresu obszaru podatnego na ataki w organizacji jest myślenie o internecie z perspektywy atakującego. Ten artykuł omawia pięć kwestii, które są pomocne w określeniu zadań mających na celu skuteczne zarządzanie zewnętrznymi obszarami podatnymi na ataki.

Globalny obszar podatny na ataki rozwija się wraz z internetem

I rośnie każdego dnia. W 2020 roku ilość danych w internecie osiągnęła 40 zettabajtów, czyli 40 bilionów gigabajtów.1 RiskIQ dowiodło, że w każdej minucie powstaje 117 298 hostów i 613 domen2 , które powiększają liczbę przeplatających się nici tworzących misterną tkaninę globalnych obszarów podatnych na ataki. Każda z nich zawiera zestaw elementów, takich jak systemy operacyjne, struktury, aplikacje zewnętrznych firm, wtyczki i kody śledzące. W przypadku każdej z tych szybko rozprzestrzeniających się witryn zawierających te wszystkie elementy zakres globalnego obszaru podatnego na ataki proporcjonalnie rośnie.

Globalny obszar podatny na ataki rozwija się z każdą minutą

  • hostów powstających co minutę.
  • domen powstających co minutę.
  • 375 nowych zagrożeń co minutę.2

Do tego rozwoju przyczyniają się zarówno legalne organizacje, jak i źródła zagrożeń, co oznacza, że zagrożenia cybernetyczne rosną na dużą skalę wraz z resztą Internetu. Zaawansowane trwałe zagrożenia (ATP), a także drobni cyberprzestępcy zagrażają bezpieczeństwu firm, biorąc sobie na celownik ich dane, markę, własność intelektualną, systemy i personel.

W pierwszym kwartale 2021 roku CISCO wykryło 611 877 unikatowych witryn phishingowych,3  z 32 zdarzeniami naruszającymi domenę oraz 375 nowych zagrożeń pojawiających się co minutę.2 Te zagrożenia atakują pracowników i klientów organizacji poprzez fałszywe zasoby, aby zmusić ich do kliknięcia złośliwych linków i phishingu w celu wyłudzenia danych wrażliwych. To z kolei może negatywnie wpłynąć na pozycję marki i zaufanie klientów.

Wzrost luk w zabezpieczeniach na skutek pracy zdalnej

Szybki rozwój zasobów dostępnych w internecie drastycznie poszerzył zakres zagrożeń i luk w zabezpieczeniach, co może mieć wpływ na przeciętne organizacje. Wraz z pandemią COVID-19 rozwój cyfrowy ponownie przyspieszył, kiedy to praktycznie każda organizacja poszerzyła swoją działalność cyfrową, aby uwzględnić zdalnych, elastycznych pracowników i model biznesowy. W wyniku tego atakujący mają teraz dużo więcej punktów dostępu, które mogą testować i wykorzystywać.

Kiedy większość firm wprowadziła pracę zdalną, wykorzystanie technologii zdalnego dostępu, takich jak RDP (protokół zdalnego pulpitu) czy VPN, zwiększyło się odpowiednio o 41% i 33%4. Rozmiar globalnego rynku oprogramowań do tworzenia pulpitów zdalnych, którego wartość w 2019 roku wynosiła 1,53 miliarda dolarów, do 2027 roku osiągnie wartość 4,69 miliarda dolarów.5

Dziesiątki nowych luk w oprogramowaniu i urządzeniach do zdalnego dostępu zapewniły atakującym możliwości, jakich nigdy wcześniej nie mieli. RiskIQ ujawniło wiele luk w zabezpieczeniach najpopularniejszych urządzeń do zdalnego dostępu i obwodowych, a tempo pojawiania się luk wcale nie zwolniło. W 2021 roku zgłoszono łącznie 18 378 luk w zabezpieczeniach.6

Nowy obraz luk w zabezpieczeniach

  • wzrostu w wykorzystaniu RDP.
  • wzrostu w wykorzystaniu VPN.
  • zgłoszonych luk w zabezpieczeniach w 2021 roku.

Wraz ze wzrostem liczby ataków na skalę globalną zorganizowanych przez grupy przestępcze i dostosowanych do potrzeb przedsiębiorstw cyfrowych, zespoły ds. zabezpieczeń muszą łagodzić luki w zabezpieczeniach u siebie, firm zewnętrznych, partnerów, kontrolowanych i niekontrolowanych aplikacji oraz usług w ramach relacji w cyfrowym łańcuchu dostaw.

Cyfrowe łańcuchy dostaw, fuzje i przejęcia (M&A) i niezatwierdzone zasoby IT stwarzają ukryty obszar podatny na ataki

Większość cyberataków jest przeprowadzana z dala od sieci. Najczęściej do naruszeń hakerskich pod kątem luk w zabezpieczeniach dochodziło w kategorii aplikacji internetowych. Niestety większość organizacji nie dysponuje pełnym przeglądem swoich zasobów internetowych i sposobu, w jaki łączą się one z globalnym obszarem podatnym na ataki. Do braku takiej przejrzystości przyczyniają się trzy kwestie: niezatwierdzone zasoby IT, fuzje i przejęcia (M&A) oraz cyfrowe łańcuchy dostaw.

Zagrożone zależności

  • wygasłych usług na minutę.2
  • umów zawierających zapis o due diligence dot. cyberbezpieczeństwa.7
  • organizacji, które doświadczyły co najmniej jednego naruszenia zabezpieczeń danych przez firmę zewnętrzną.8

Niezatwierdzone zasoby IT

 

Jeśli IT nie nadąża za wymaganiami firmy w jakimś obszarze, to firma szuka innego wsparcia w rozwoju i wdrażaniu nowych zasobów sieciowych. Zespół ds. zabezpieczeń często nie wie o działaniach z użyciem niezatwierdzonych zasobów IT, przez co nie może uwzględnić stworzonych zasobów w zakresie programu bezpieczeństwa. Niezarządzane i opuszczone zasoby mogą z czasem stać się zagrożeniem w obszarze podatnym na ataki organizacji.

To szybkie rozprzestrzenianie się zasobów cyfrowych poza zaporą sieciową jest obecnie normą. Nowi klienci RiskIQ znajdują przeciętnie o 30% więcej zasobów, niż myśleli, że posiadają, a RiskIQ wykrywa co minutę 15 wygasłych usług (podatnych na przejęcie domen trzeciorzędnych) i 143 otwartych portów.2

Fuzje i przejęcia

 

Każdego dnia różne operacje i kluczowe inicjatywy biznesowe, takie jak fuzje i przejęcia (M&A), strategiczne partnerstwa czy outsourcing tworzą i poszerzają zewnętrzne obszary podatne na ataki. Obecnie mniej niż 10% umów na całym świecie zawiera zapis o due diligence dot. cyberbezpieczeństwa.

Istnieje kilka powodów, dla których organizacje nie posiadają pełnego przeglądu potencjalnego ryzyka cybernetycznego podczas procesów due diligence. Pierwszym z nich jest sama skala obecności cyfrowej firmy, którą przejmują. Często zdarza się, że wielkie organizacje mają tysiące, a nawet dziesiątki tysięcy, aktywnych witryn internetowych i innych publicznie dostępnych zasobów. Chociaż zespoły IT i ds. zabezpieczeń w przejmowanej firmie posiadają rejestr zasobów witryn internetowych, zazwyczaj jest to tylko część istniejących faktycznie zasobów. Im bardziej zdecentralizowane są działania IT organizacji, tym większa staje się luka.

Łańcuchy dostaw

 

Przedsiębiorstwo jest coraz bardziej zależne od cyfrowych relacji, które tworzą współczesny łańcuch dostaw. Takie zależności są bardzo ważne w działalności firmy XXI wieku, ale stwarzają także „zaśmieconą”, warstwową i wysoce skomplikowaną sieć relacji z firmami zewnętrznymi, a wiele z nich nie jest objętych kompetencjami zespołów ds. zabezpieczeń i ryzyka, przez co nie są proaktywnie chronione. W związku z tym szybka identyfikacja cyfrowych zasobów podatnych na ataki, które stwarzają ryzyko, stanowi ogromne wyzwanie.

Brak zrozumienia i wglądu w te zależności sprawia, że ataki na firmy zewnętrzne są jednymi z najczęstszych i najskuteczniejszych wektorów dla źródeł zagrożenia. Do znacznej liczby ataków dochodzi obecnie poprzez cyfrowy łańcuch dostaw. Obecnie 70% pracowników działów IT wskazuje na średni do wysokiego poziom zależności od zewnętrznych podmiotów, które mogą obejmować wiele firm zewnętrznych.9Jednocześnie 53% organizacji doświadczyło co najmniej jednego naruszenia zabezpieczeń danych spowodowanego przez firmę zewnętrzną.10

Podczas gdy szeroko zakrojone ataki na łańcuchy dostaw są coraz częstsze, organizacje codziennie mierzą się z mniejszymi atakami. Złośliwe oprogramowanie do przeglądania cyfrowych kart kredytowych, takie jak Magecart, wpływa na wtyczki e-commerce zewnętrznych firm. W lutym 2022 roku RiskIQ wykryło ponad 300 domen, które zostały zaatakowane złośliwym oprogramowaniem do przeglądania cyfrowych kart kredytowych.11

Każdego roku firmy inwestują coraz więcej w aplikacje mobilne, ponieważ styl życia przeciętnego konsumenta staje się coraz bardziej mobilny. Amerykanie spędzają teraz więcej czasu na korzystaniu z urządzeń przenośnych niż na oglądaniu telewizji, a dystans społeczny spowodował, że spełniają swoje potrzeby, takie jak zakupy czy edukacja, za pomocą takich urządzeń. Aplikacja Annie pokazuje, że w 2021 roku wydatki na urządzenie przenośne wzrosły do 170 miliardów dolarów, co w skali roku dało wzrost o 19%.12

Taki popyt na urządzenia mobilne spowodował masowe rozprzestrzenianie się aplikacji mobilnych. W 2020 roku użytkownicy pobrali 218 miliardów aplikacji Jednocześnie w 2020 roku RiskIQ odnotowało 33% rozwój aplikacji mobilnych — 23 aplikacje powstające co minutę.2

Sklepy z aplikacjami są rosnącym obszarem podatnym na ataki

  • rozwój aplikacji mobilnych.
  • mobilnych aplikacji pojawia się co minutę.
  • aplikacji blokowanych co pięć minut.2

W przypadku organizacji te aplikacje wpływają na wyniki biznesowe. Jednak mogą też być mieczem obosiecznym. Aplikacje stanowią znaczną część obszaru podatnego na ataki w przedsiębiorstwie, który istnieje poza zaporą, gdzie zespoły ds. zabezpieczeń często cierpią z powodu istotnego braku widoczności. Źródła zagrożenia zarabiają na wykorzystywaniu takiego stanu do tworzenia „oszukańczych aplikacji”, które naśladują znane marki lub w inny sposób udają coś, czym nie są, aby oszukać klientów i zmusić ich do pobrania. Gdy niczego niepodejrzewający użytkownik pobierze te złośliwe aplikacje, cyberprzestępcy mogą wyłudzić wrażliwe informacje lub przesłać złośliwe oprogramowanie na urządzenia. RiskIQ blokuje złośliwe aplikacje mobilne co pięć minut.

W rzadkich przypadkach takie oszukańcze aplikacje pojawiają się w oficjalnych sklepach, a nawet naruszają solidne zabezpieczenia głównych sklepów z aplikacjami. Jednak setki mniej renomowanych sklepów z aplikacjami umożliwiają działanie cyberprzestępcom i ich aplikacjom. Aplikacje w tych sklepach nie podlegają tak surowym przepisom jak w oficjalnych sklepach z aplikacjami, a niektóre są tak przepełnione złośliwymi aplikacjami, że jest ich więcej niż tych bezpiecznych.

Globalny obszar podatny na ataki także jest częścią obszarów organizacji.

Dzisiejszy globalny obszar podatny na ataki drastycznie przekształcił się w dynamiczny, wszechobecny i całkowicie powiązany ekosystem, którego wszyscy jesteśmy częścią. Jeśli ktoś jest obecny w internecie, to łączy się ze wszystkimi, łącznie z tymi, którzy chcą wyrządzić krzywdę innym. Z tego powodu śledzenie infrastruktury stwarzającej zagrożenie jest równie ważne, co śledzenie własnej infrastruktury.

Globalny obszar podatny na ataki także jest częścią obszarów organizacji.

  • nowych złośliwych oprogramowań wykrywanych codziennie.2
  • wzrostu w wariantach złośliwego oprogramowania.13
  • serwerów Cobalt Strike co 49 minut.2

Różne grupy zagrożeń będą ponownie wykorzystywać i udostępniać infrastrukturę — adresy IP, domeny i certyfikaty — oraz korzystać z narzędzi typu open source, takich jak złośliwe oprogramowanie, zestawy do phishingu i komponenty C2, aby uniknąć łatwego przypisywania, dostrajania i ulepszania, by dostosować je do ich unikalnych potrzeb.

Każdego dnia wykrywanych jest ponad 560 000 nowych złośliwych oprogramowań, a liczba zestawów do phishingu reklamowanych na nielegalnych platformach handlowych zajmujących się cyber­przestępczością podwoiła się w latach 2018–2019. W 2020 r. liczba wykrytych wariantów złośliwego oprogramowania wzrosła o 74%.14 RiskIQ wykrywa teraz jeden serwer Cobalt Strike C2 co 49 minut.

Tradycyjnie strategia bezpieczeństwa większości organizacji opierała się na podejściu obejmującym dogłębną obronę rozpoczynającą się od obwodu i obejmującą zasoby, które powinny być chronione. Jak przedstawiono w niniejszym raporcie, istnieją jednak rozbieżności pomiędzy tego rodzaju strategią a obszarem podatnym na ataki. W dzisiejszym cyfrowym zaangażowaniu użytkownicy znajdują się poza obwodem — podobnie jak coraz większa liczba ujawnionych korporacyjnych zasobów cyfrowych i wiele złośliwych źródeł zagrożenia. Stosowanie zasad Zero Trust we wszystkich zasobach firmy może pomóc w zabezpieczeniu pracowników — chroniąc ludzi, urządzenia, aplikacje i dane bez względu na ich lokalizację lub skalę napotykanych zagrożeń. Microsoft Security oferuje szereg ukierunkowanych narzędzi oceny, które pomagają ocenić etap dojrzałości Zero Trust w organizacji.

Artykuły pokrewne

Cyberzagrożenia w ciągu minuty

Podczas cyberataku liczy się każda sekunda. Aby zilustrować skalę i zakres globalnej cyber­przestępczości, podsumowaliśmy roczne badania nad cyberbezpieczeństwem w ciągu 60 sekund.
Dowiedz się więcej

Oprogramowanie ransomware jako usługa

Najnowszy model biznesowy w cyber­przestępczości, ataki kierowane przez ludzi, ośmielenie przestępców o różnych zdolnościach.
Dowiedz się więcej

Rozwój Internetu rzeczy i zagrożenia dla technologii operacyjnej (OT)

Rosnący udział technologii IoT w obiegu zagraża technologii operacyjnej poprzez szereg potencjalnych luk w zabezpieczeniach i narażenie na źródła zagrożeń. Dowiedz się, jak chronić swoją organizację.
Dowiedz się więcej