Trace Id is missing
Salt la conținutul principal
Security Insider

Anatomia unei suprafețe de atac externe

Descărcați
Distribuiți
Înțelegerea anatomiei unui atac extern de suprafață

Cinci elemente pe care organizațiile ar trebui să le monitorizeze

Lumea securității cibernetice devine tot mai complexă pe măsură ce organizațiile trec în cloud și adoptă modul de lucru descentralizat. Astăzi, suprafața de atac externă acoperă mai multe medii cloud, lanțuri complexe de aprovizionare digitală și ecosisteme uriașe ale părților terțe. În consecință, amploarea problemelor de securitate globală care au devenit obișnuite ne-a schimbat radical percepția asupra securității complete.

Internetul face acum parte din rețea. Deși are o dimensiune inimaginabilă, echipele de securitate trebuie să apere prezența organizației lor pe internet în aceeași măsură ca pe tot ce au pus în spatele soluțiilor firewall. Pe măsură ce tot mai multe organizații adoptă principiile Zero Trust, protejarea suprafețelor interne și externe va deveni o provocare de amploarea internetului. Ca atare, este tot mai important ca organizațiile să înțeleagă întregul domeniu de aplicare al suprafeței lor de atac.

Microsoft a achiziționat Risk IQ în 2021 pentru a ajuta organizațiile să-și evalueze securitatea întregii întreprinderi digitale. Cu ajutorul RiskIQ Internet Intelligence Graph, organizațiile pot descoperi și investiga amenințările din toate componentele, conexiunile, serviciile, dispozitivele conectate la IP și infrastructura care alcătuiesc suprafața de atac pentru a-și crea o apărare rezistentă și scalabilă.

Pentru echipele de securitate, profunzimea și amploarea a ceea ce trebuie să apere pot părea intimidante. Cu toate acestea, o modalitate de a pune în perspectivă amploarea suprafeței de atac a organizației este considerarea internetului din perspectiva unui atacator. Acest articol evidențiază cinci domenii care contribuie la o mai bună încadrare a provocărilor legate de gestionarea eficientă a suprafeței de atac externe.

Suprafața de atac globală crește odată cu internetul

Și se extinde pe zi ce trece. În 2020, cantitatea de date de pe internet va atinge 40 de zetabyți, adică 40 de trilioane de gigabyți.1 RiskIQ a constatat că, în fiecare minut, 117.298 de gazde și 613 domenii2 se adaugă la numeroasele fire întrețesute care alcătuiesc țesătura complicată a suprafeței de atac globale. Fiecare dintre acestea conține un set de elemente, cum ar fi sistemele sale de operare fundamentale, cadrele, aplicațiile de la terți, plugin-urile și codul de urmărire. Având în vedere că fiecare dintre aceste site-uri, aflate într-o rapidă expansiune, include aceste elemente fundamentale, domeniul de aplicare al suprafeței de atac la nivel global crește exponențial.

Suprafața de atac globală crește în fiecare minut

  • de gazde create în fiecare minut.
  • de domenii create în fiecare minut.
  • 375 de noi amenințări în fiecare minut.2

Atât organizațiile legitime, cât și actorii de amenințare contribuie la această creștere, ceea ce înseamnă că amenințările cibernetice cresc proporțional cu restul internetului. Atât amenințările persistente avansate sofisticate, cât și infractorii cibernetici de rang inferior pun în pericol siguranța firmelor, vizând datele, marca, proprietatea intelectuală, sistemele și personalul acestora.

În primul trimestru al anului 2021, CISCO a detectat 611,877 de site-uri unice de phishing,3 cu 32 de evenimente de încălcare a domeniilor și 375 de noi amenințări totale emergente pe minut.2 Aceste amenințări țintesc angajații și clienții organizațiilor cu active răuvoitoare, încercând să-i păcălească să acceseze linkuri rău intenționate și să obțină prin phishing date confidențiale, toate acestea fiind de natură să diminueze încrederea în marcă și încrederea consumatorilor.

Creșterea vulnerabilităților cauzate de forța de muncă de la distanță

Creșterea rapidă a activelor expuse internetului a extins în mod dramatic spectrul de amenințări și vulnerabilități care afectează organizațiile de rând. Odată cu apariția COVID-19, creșterea digitală s-a accelerat din nou, aproape fiecare organizație extinzându-și amprenta digitală pentru a se adapta la o forță de muncă și la un model de business la distanță, extrem de flexibil. În consecință, atacatorii au acum mult mai multe puncte de acces pe care să le sondeze sau să le exploateze.

Utilizarea tehnologiilor de acces la distanță, precum RDP (Protocol Desktop la Distanță) și VPN (Rețea particulară virtuală), a crescut exploziv cu 41% și, respectiv, 33%4, în condițiile în care majoritatea lumii a adoptat o politică de lucru de acasă. Dimensiunea pieței globale a software-ului de desktop la distanță, 1,53 miliarde USD în 2019, va atinge 4,69 miliarde USD până în 2027.5

Zeci de noi vulnerabilități ale software-ului și dispozitivelor de acces la distanță le-au oferit atacatorilor posibilități de atac fără precedent. RiskIQ a scos la iveală numeroase instanțe vulnerabile ale celor mai populare dispozitive de acces la distanță și de perimetru, iar ritmul torențial al vulnerabilităților nu a încetinit. În total, în 2021 au fost raportate 18.378 de vulnerabilități.6

Un nou peisaj al vulnerabilităților

  • creștere a utilizării RDP-urilor.
  • creștere a utilizării VPN-urilor.
  • vulnerabilități raportate în 2021.

În contextul intensificării atacurilor la nivel global, coordonate de diverse grupări de amenințare și adaptate întreprinderilor digitale, echipele de securitate sunt nevoite să reducă vulnerabilitățile nu doar pentru propria organizație, ci și pentru parteneri, terți, precum și pentru aplicațiile și serviciile controlate sau necontrolate, din interiorul și din afara rețelei de relații ale lanțului de aprovizionare digital.

Lanțurile de aprovizionare digitală, M&A și IT-ul din zona gri creează o suprafață de atac ascunsă

Cele mai multe atacuri cibernetice provin de la kilometri distanță de rețea; aplicațiile web constituie categoria de vectori cel mai frecvent exploatată în încălcările legate de hacking. Din nefericire, cele mai multe organizații nu au o perspectivă completă asupra activelor lor de pe internet și a modului în care aceste active sunt conectate la suprafața de atac globală. Cei trei factori care contribuie în mod semnificativ la această lipsă de vizibilitate sunt IT-ul din zona gri, fuziunile și achiziționările (M&A) și lanțurile de aprovizionare digitale.

Dependențe supuse riscului

  • servicii expirate pe minut.2
  • din tranzacții conțin verificări prealabile privind securitatea cibernetică.7
  • dintre organizații au fost afectate de cel puțin o încălcare a securității datelor cauzată de o terță parte.8

IT din zona gri

 

În cazul în care departamentul IT nu poate ține pasul cu necesitățile firmei, aceasta va căuta în altă parte asistență pentru dezvoltarea și implementarea de noi active web. Echipa de securitate este adesea în necunoștință de cauză în ceea ce privește aceste activități IT din zona gri și, prin urmare, nu poate include activele create în domeniul de aplicare al programului de securitate. Activele negestionate și abandonate pot deveni, în timp, un punct vulnerabil în suprafața de atac a unei organizații.

Această proliferare rapidă a activelor digitale în afara firewallului a devenit o regulă. Noii clienți ai RiskIQ găsesc de obicei cu aproximativ 30% mai multe active decât credeau că au, iar RiskIQ detectează în fiecare minut 15 servicii expirate (susceptibile la preluarea de subdomenii) și 143 de porturi deschise.2

Fuziuni și achiziționări

 

Operațiunile de zi cu zi și inițiativele critice de afaceri, cum ar fi M&A, parteneriatele strategice și externalizarea, creează și extind suprafețele de atac externe. În prezent, la nivel mondial, procentul de tranzacții care conțin o verificare prealabilă privind securitatea cibernetică este mai mic de 10 %.

Există mai multe motive frecvente pentru care organizațiile nu obțin o imagine completă a potențialelor riscuri cibernetice în timpul procesului de verificare prealabilă. Primul constă în amploarea prezenței digitale a companiei pe care o achiziționează. Adesea, organizațiile mari pot avea mii sau chiar zeci de mii de site-uri web active și alte active expuse public. Deși echipele de IT și de securitate din cadrul companiei care urmează să fie achiziționată dispun de un registru de active al site-urilor web, acesta este aproape întotdeauna doar o prezentare parțială a ceea ce există. Cu cât activitățile IT ale unei organizații sunt mai descentralizate, cu atât decalajul este mai semnificativ.

Lanțuri de aprovizionare

 

Întreprinderea este din ce în ce mai dependentă de alianțele digitale care formează lanțul de aprovizionare modern. Cu toate că aceste dependențe sunt esențiale pentru a funcționa în secolul XXI, ele creează, la rândul lor, o rețea aglomerată, stratificată și extrem de complicată de relații cu terți, multe dintre acestea nefiind de competența echipelor de securitate și de risc în ceea ce privește protecția și apărarea proactivă. Prin urmare, identificarea rapidă a activelor digitale vulnerabile care semnalează riscuri reprezintă o provocare majoră.

Lipsa de înțelegere și de vizibilitate cu privire la aceste dependențe a făcut ca atacurile împotriva terților să devină unul dintre cei mai frecvenți și mai eficienți vectori pentru actorii de amenințare. În prezent, multe atacuri au loc prin intermediul lanțului de aprovizionare digital. La ora actuală, 70% dintre profesioniștii din domeniul IT au indicat un nivel de dependență moderat spre ridicat față de entități externe care ar putea include părți terțe, cvarte sau cvinte.9 Totodată, 53% dintre organizații au suferit cel puțin o breșă în date din cauza unei terțe părți.10

Chiar dacă atacurile la scară largă asupra lanțului de aprovizionare devin tot mai frecvente, organizațiile se confruntă zilnic cu atacuri mai mici. Malware-ul de furt al datelor de autentificare al cărților de credit digitale, cum ar fi Magecart, afectează pluginurile de comerț electronic ale terților. În februarie 2022, RiskIQ a detectat peste 300 de domenii afectate de malware-ul Magecart de furt al datelor de autentificare al cărților de credit digitale.11

În fiecare an, companiile investesc tot mai mult în telefoanele mobile, pe măsură ce stilul de viață al consumatorului mediu devine din ce în ce mai centrat pe mobil. Americanii petrec acum mai mult timp pe dispozitive mobile decât urmărind televiziunea în direct, iar distanțarea socială i-a determinat să-și transfere o parte mai mare din nevoile fizice pe mobil, cum ar fi cumpărăturile și educația. App Annie arată că, în 2021, cheltuielile cu dispozitivele mobile au crescut la un nivel impresionant de 170 de miliarde USD, ceea ce reprezintă o creștere de 19% de la un an la altul.12

Această cerere pentru mobilitate generează o proliferare masivă a aplicațiilor mobile. Utilizatorii au descărcat 218 miliarde de aplicații în 2020. Totodată, RiskIQ a remarcat o creștere globală de 33% a numărului de aplicații mobile disponibile în 2020, cu 23 de aplicații apărute în fiecare minut.2

Magazinele de aplicații reprezintă o suprafață de atac în creștere

  • creștere a numărului de aplicații mobile.
  • aplicații mobile apărute în fiecare minut.
  • aplicații blocate la fiecare cinci minute.2

Pentru organizații, aceste aplicații stimulează rezultatele de afaceri. Totuși, acestea pot reprezenta o sabie cu două tăișuri. Peisajul aplicațiilor reprezintă o parte semnificativă a suprafeței de atac globale a unei întreprinderi, care există dincolo de firewall, unde echipele de securitate se confruntă adesea cu o lipsă critică de vizibilitate. Actorii de amenințare și-au câștigat existența profitând de această lipsă de vizibilitate pentru a produce aplicații frauduloase care imită mărci bine cunoscute sau care pretind a fi ceva ce nu sunt, create special pentru a păcăli clienții să le descarce. Când un utilizator neavizat descarcă aceste aplicații rău intenționate, actorii de amenințare pot face ce doresc și pot obține informații confidențiale prin phishing sau pot încărca malware pe dispozitive. RiskIQ pune pe liste de blocări câte o aplicație mobilă rău intenționată la fiecare cinci minute.

Aceste aplicații frauduloase apar în magazinele oficiale uneori, reușind chiar să treacă de mecanismele solide de apărare ale principalelor magazine de aplicații. Totuși, sutele de magazine de aplicații cu o reputație îndoielnică constituie o lume interlopă a dispozitivelor mobile, aflată dincolo de zona de siguranță relativă oferită de magazinele consacrate. Aplicațiile din aceste magazine sunt mult mai puțin reglementate decât cele din magazinele oficiale de aplicații, iar unele sunt atât de invadate de aplicații rău intenționate încât sunt mai numeroase decât ofertele sigure.

Suprafața de atac globală constituie și ea o parte a suprafeței de atac a unei organizații

În prezent, suprafața de atac globală de pe internet s-a transformat în mod spectaculos într-un ecosistem dinamic, atotcuprinzător și complet interconectat, din care facem cu toții parte. Dacă dețineți o prezență pe internet, vă interconectați cu toate celelalte persoane, inclusiv cu cei care vor să vă facă rău. Din acest motiv, urmărirea infrastructurii amenințărilor este la fel de importantă ca și urmărirea propriei infrastructuri.

Suprafața de atac globală constituie o parte a suprafeței de atac a unei organizații

  • de noi programe malware sunt detectate în fiecare zi.2
  • mai multe variante de malware.13
  • Serverul Cobalt Strike la fiecare 49 de minute.2

Grupările de amenințare diferite apelează la reciclarea și partajarea infrastructurii – adrese IP, domenii, certificate – și utilizează instrumente comune open-source, precum malware, kituri de phishing și componente C2, pentru a preveni o atribuire directă simplă, personalizându-le și perfecționându-le pentru a corespunde necesităților specifice.

Peste 560.000 de noi programe malware sunt detectate în fiecare zi, iar numărul de kituri de phishing anunțate pe piețele clandestine de infracțiuni cibernetice s-a dublat între 2018 și 2019. În 2020, numărul de variante de malware detectate a crescut cu 74%.14 RiskIQ detectează acum un server C2 Cobalt Strike la fiecare 49 de minute.

În mod tradițional, strategia de securitate a majorității organizațiilor se baza pe o abordare de apărare în profunzime, care începea la perimetru și ajungea la activele care trebuiau protejate. Cu toate acestea, există neconcordanțe între acest tip de strategie și suprafața de atac, conform celor prezentate în acest raport. În lumea actuală a implicării digitale, utilizatorii se află în afara perimetrului, la fel ca și numărul tot mai mare de active digitale corporative expuse și o mare parte dintre actorii rău intenționați. Aplicarea principiilor Zero Trust în cazul resurselor corporative poate contribui la securizarea forței de muncă actuale – protejând persoanele, dispozitivele, aplicațiile și datele, indiferent de locația acestora sau de amploarea amenințărilor cu care se confruntă. Microsoft Security oferă o serie de instrumente de evaluare specifice pentru a vă ajuta să evaluați stadiul de maturitate Zero Trust al organizației dvs..

Articole asociate

Minutul de Amenințare cibernetică

În timpul unui atac cibernetic, fiecare secundă contează. Pentru a ilustra amploarea și domeniul de aplicare a infracțiunilor cibernetice la nivel mondial, am sintetizat cercetările în materie de securitate cibernetică pe parcursul unui an într-un interval de 60 de secunde.
Aflați mai multe

Ransomware ca serviciu

Cel mai nou model de business din domeniul infracțiunilor cibernetice, atacurile operate de oameni, încurajează infractorii cu grade diferite ale abilităților.
Aflați mai multe

Creșterea IoT și riscul impus tehnologiei operaționale (OT)

Circulația tot mai intensă a IoT pune în pericol sistemele OT, cu o serie de vulnerabilități potențiale și expunerea la actorii de amenințare. Aflați cum vă puteți proteja organizația.
Aflați mai multe