Identita je novým bojiskom

Muž a žena sedia za stolom a používajú prenosný počítač.

Cyber Signals, 1. vydanie: Získajte prehľad o vývoji kybernetických hrozieb a o tom, aké kroky môžete podniknúť na lepšiu ochranu organizácie.

Bezpečnostné protokoly väčšiny organizácií nebezpečne nereagujú na hrozby, ktorým organizácie čelia. Útočníci, ktorí sa snažia dostať do sietí, uprednostňujú jednoduchú taktiku: uhádnuť nedostatočne silné prihlasovacie údaje a heslá. Základné opatrenia, k akým patrí napríklad viacfaktorové overovanie, sú účinné proti 98 percentám útokov, ale len 20 percent organizácií ich má plne zavedených (Microsoft Správa o digitálnej ochrane z roku 2021).

V 1. vydaní sa dozviete, aké sú súčasné trendy v oblasti zabezpečenia a aké odporúčania ponúkajú výskumníci a experti spoločnosti Microsoft v týchto oblastiach:

Kto  využíva útoky na heslá a útoky založené na identite.
Čo  robiť na odrazenie útokov vrátane stratégií týkajúcich sa koncových bodov, e-mailu a identity.
Kedy  uprednostniť jednotlivé opatrenia zabezpečenia.
Kadiaľ  vstupujú vetvy ransomwaru a šíria sa sieťami a ako ich zastaviť.
Prečo  ochrana identity naďalej vyvoláva najväčšie obavy, ale zároveň je aj najlepšou príležitosťou na zlepšenie zabezpečenia.

Národno-štátni činitelia zdvojnásobujú úsilie na jednoduché získanie preddefinovaných blokov identity

Kybernetické útoky národno-štátnych činiteľov pribúdajú. Napriek tomu, že majú obrovské zdroje, títo nepriatelia často využívajú jednoduchú taktiku krádeže jednoducho uhádnuteľných hesiel. Môžu tak získať rýchly a jednoduchý prístup ku kontám zákazníkov. V prípade útokov na podniky umožňuje prienik do siete organizácie národno-štátnym činiteľom získanie základne, ktorú môžu využiť buď na vertikálny pohyb k podobným používateľom a prostriedkom, alebo na horizontálny pohyb k získaniu prístupu k cennejším prihlasovacím údajom a prostriedkom.

K základným taktikám národno-štátnych činiteľov na ukradnutie alebo uhádnutie hesiel patria cielené neoprávnené získavanie údajov,  útoky sociálneho inžinierstva a rozsiahle reverzné útoky hrubou silou. Spoločnosť Microsoft získava prehľad o obchodných postupoch a úspechoch útočníkov tým, že zaznamenáva, aké úspešné taktiky a techniky nasadzujú. Ak sa prihlasovacie údaje používateľa nedostatočne spravujú alebo sa ponechávajú zraniteľné bez mimoriadne dôležitých ochranných prvkov, akým je napríklad viacfaktorové overovanie (MFA) a overovanie bez hesla, národné štáty budú naďalej používať tú istú jednoduchú taktiku.

Potrebu vyžadovania prijatia viacfaktorového overovania alebo overovania bez hesla nie je možné preceňovať, pretože útoky zamerané na identitu sú pre svoju jednoduchosť a nízkonákladovosť pre aktérov pohodlné a účinné. Hoci viacfaktorové overovanie nie je jediným nástrojom na správu identít a prístupu, ktorý by mali organizácie využívať, dokáže mať na útoky silný odrádzajúci účinok.

Zneužívanie prihlasovacích údajov využíva NOBELIUM, národno-štátny nepriateľ napojený na Rusko. Reverzné útoky hrubou silou  však používajú aj iní nepriatelia, napríklad na Irán napojený DEV 0343. Aktivita DEV-0343 bola zaznamenaná v obranných spoločnostiach vyrábajúcich vojenské radary, dronovú technológiu, satelitné systémy a komunikačné systémy pre tiesňové situácie. Ďalšia aktivita bola zameraná na regionálne vstupné prístavy v Perzskom zálive a viaceré námorné a dopravné spoločnosti, ktoré obchodujú na Strednom východe.

Rozbor kybernetických útokov založených na identite, ktoré inicioval Irán

Medzi krajiny, ktoré boli najčastejším terčom Iránu, patrili od júla 2020 do júna 2021 Spojené štáty (49 %), Izrael (24 %) a Saudská Arábia (15 %). Ďalšie informácie o tomto obrázku nájdete na strane 4 celého znenia správy

Organizácia by mala:

Povoliť viacfaktorové overovanie: Tým sa zmierni riziko, že heslá sa dostanú do nepovolaných rúk. Ešte lepšie bude úplne odstrániť heslá tým, že sa začne používať viacfaktorové overovanie bez hesiel.

Kontrolovať oprávnenia kont: Napadnuté kontá s oprávneným prístupom sa stávajú mocnou zbraňou, ktorú môžu útočníci využiť na získanie lepšieho prístupu do sietí a k prostriedkom. Tímy zabezpečenia by mali často kontrolovať prístupové oprávnenia na základe zásady udeľovania najmenších oprávnení, ktoré zamestnanci potrebujú na vykonanie práce.

Skúmať, posilňovať a monitorovať kontá správcov nájomníkov: Tímy zabezpečenia by mali dôkladne skúmať všetkých používateľov alebo všetky kontá správcov nájomníkov spojené s delegovanými oprávneniami správcu, aby overili pravosť používateľov a aktivít. Všetky nepoužívané delegované oprávnenia správcu by potom mali zakázať alebo odstrániť.

Zaviesť a presadzovať základnú úroveň zabezpečenia na zníženie rizika: Národné štáty sú trpezlivé a majú dostatok financií, vôle a sily na vývoj nových útočných stratégií a techník. Každá iniciatíva posilnenia siete, ktorá sa odloží v dôsledku šírky pásma alebo byrokracie im hrá do karát. Tímy zabezpečenia by mali uprednostňovať postupy nulovej dôvery, akými sú napríklad inovácie viacfaktorového overovania a overovania bez hesla . Môžu začať s oprávnenými kontami, čím rýchlo zabezpečia ochranu, a potom postupovať po jednotlivých krokoch do ďalších fáz.

Ransomware púta pozornosť, ale len niekoľkými vetvami

Prevládajúcou predstavou je, že existuje obrovské množstvo nových hrozieb ransomwaru, ktoré prekonávajú schopnosti ochrancov. Z analýzy spoločnosti Microsoft však vyplýva, že to tak nie je. Takisto existuje predstava, že niektoré skupiny ransomwaru tvoria jeden jednoliaty útvar, čo tiež nie je pravda. Existuje ekonomika počítačového zločinu, v rámci ktorej jednotliví hráči v komoditizovaných reťazcoch útokov prijímajú zámerné rozhodnutia. Motivuje ich ekonomický model maximalizovania zisku z využívania informácií, ku ktorým majú prístup. Na obrázku nižšie sa uvádza, ako jednotlivé skupiny profitujú z rôznych stratégií kybernetických útokov a informácií získaných z narušenia údajov.

Priemerné ceny rôznych služieb zameraných na počítačové zločiny

Priemerné ceny predaja služieb zameraných na počítačové zločiny. Nájomní útočníci začínajú na sume 250 USD za úlohu. Súpravy ransomwaru stoja 66 USD alebo predstavujú 30 % zisku. Ceny za zneužitie zariadení sa pohybujú od 13 centov za počítač a 82 centov za mobilné zariadenie. Cielené neoprávnené získavanie údajov na objednávku sa pohybuje v rozsahu od 100 USD do 1 000 USD. Ceny za odcudzenie párov používateľského mena a hesla sa pohybujú priemerne od 97 centov za 1 000 jednotiek. Ďalšie informácie o tomto obrázku nájdete na strane 5 celého znenia správy

Vzhľadom na to nie je podstatné, koľko ransomwaru existuje, ani aké jeho vetvy sa využívajú, pretože v skutočnosti ide len o tri vstupné vektory: hrubú silu v protokole RDP (Remote Desktop Protocol), zraniteľné systémy pripojené na internet a phishing. Všetky tieto vektory možno zmierniť riadnou ochranou heslom, riadením identít a aktualizáciami softvéru, ktoré dopĺňajú komplexný súbor nástrojov na zabezpečenie a dodržiavanie súladu. Druh ransomwaru sa môže rozšíriť len vtedy, ak získa prístup k prihlasovacím údajom a schopnosť šíriť sa. Vtedy môže narobiť veľa škody, aj keď ide o známu vetvu.

Graf modelu správania aktérov hrozieb od počiatočného prístupu k laterálnemu pohybu cez systém

Model správania aktéra hrozieb po narušení systému od počiatočného prístupového bodu ku krádeži prihlasovacích údajov a laterálnemu pohybu cez systém. Sleduje trvalú cestu, aby zachytil kontá a získal údajovú časť ransomwaru. Ďalšie informácie o tomto obrázku nájdete na strane 5 celého znenia správy

Tímy zabezpečenia by mali:

Pochopiť, že ransomware využíva predvolené alebo zneužité prihlasovacie údaje: preto by mali tímy zabezpečenia zrýchliť zavádzanie ochranných prvkov ako viacfaktorového overovania bez hesiel vo všetkých používateľských kontách a uprednostňovanie výkonných, správcovských a iných oprávnených rolí.

Určiť, ako včas rozpoznať prezrádzajúce anomálie, aby bolo možné konať: včasné prihlásenia, presun súborov a iné správanie, ktorým sa zavádza ransomware, sa môžu javiť nenápadne. Tímy však musia odhaľovať anomálie a rýchlo ich riešiť.

Mať vypracovaný plán reakcie na ransomware a vykonávať obnovu po incidente: žijeme v ére cloudovej synchronizácie a zdieľania, ale kópie údajov sa líšia od celých IT systémov a databáz. Tímy by mali vizualizovať postupy úplnej obnovy po incidente a naskúšať si ich.

Spravovať upozornenia a rýchlo pristúpiť k zmierňovaniu: hoci útokov ransomwaru sa boja všetci, tímy zabezpečenia by sa mali v prvom rade zameriavať na posilňovanie nedostatočnej konfigurácie zabezpečenia, ktorá umožňuje úspešný útok. Mali by spravovať konfiguráciu zabezpečenia, aby bolo možné riadne reagovať na upozornenia a odhalenia.

Krivka rozvrhnutia ochrany zobrazujúca, ako základné postupy v oblasti zabezpečenia chránia pred 98 % útokov

Chráňte sa pred 98 % útokov pomocou antimalvéru, s použitím prístupu s najmenšími oprávneniami, vďaka povoleniu viacfaktorového overovania, udržiavaním aktuálnosti verzií a pomocou ochrany údajov. Zostávajúce 2 % zvonovej (Gaussovej) krivky zahŕňajú útoky týkajúce sa odchýlok. Ďalšie informácie o tomto obrázku nájdete na strane 5 celého znenia správy

Získajte ďalšie pokyny na zabezpečenie identity od hlavného analytika hrozieb z oddelenia Microsoft Analýza hrozieb Christophera Glyera .

Na základe viac ako 24 biliónov signálov denne sa získavajú prehľady a blokujú hrozby

Hrozby pre koncové body:
Microsoft Defender pre koncové body zablokoval od januára do decembra 2021 viac ako 9,6 miliardy hrozieb v podobe škodlivého softvéru, ktoré boli zamerané na podniky a zariadenia zákazníkov.

E-mailové hrozby:
Microsoft Defender pre Office 365 zablokoval od januára do decembra 2021 viac ako 35,7 miliardy phishingových a iných škodlivých e-mailov, ktoré boli zamerané na podniky a zákazníkov.

Hrozby pre identitu:
Microsoft (Azure Active Directory) odhalil a zablokoval od januára do decembra 2021 viac ako 25,6 miliardy pokusov o napadnutie kont podnikových zákazníkov pomocou hesiel ukradnutých hrubou silou, ktoré boli zamerané na podniky a zákazníkov.

Metodika: Pokiaľ ide o snímkové údaje, platformy vrátane služieb Defender a Azure Active Directory poskytli anonymizované údaje o aktivitách hrozieb, ako sú pokusy o získanie prihlasovacích údajov hrubou silou, phishingové a iné škodlivé e-maily zamerané na podniky a zákazníkov a útoky škodlivým softvérom, ku ktorým došlo od januára do decembra 2021. Ďalšie prehľady pochádzajú zo 24 biliónov denných bezpečnostných signálov získaných v rámci spoločnosti Microsoft vrátane cloudu, koncových bodov a inteligentných hraničných zariadení. Údaje o silnom overovaní sú kombináciou viacfaktorového overovania a ochrany bez hesla.

Identita Ransomware Národný štát

Súvisiace články

Cyber Signals, 2. číslo: Ekonomika vydierania

Vypočujte si informácie popredných expertov o vývoji ransomwaru ako služby. Získajte informácie o nástrojoch, taktikách a cieľoch, ktoré kybernetickí zločinci obľubujú, a to od programov a kódov až po prístup k sprostredkovateľom a partnerom, ako aj pokyny na ochranu svojej organizácie.

Ďalšie informácie

Obrana Ukrajiny: Prvotné poznatky z kybernetickej vojny

Najnovšie zistenia nášho pokračujúceho úsilia analýzy hrozieb vo vojne medzi Ruskom a Ukrajinou a séria záverov z prvých štyroch mesiacov posilňujú potrebu pokračujúcich a nových investícií do technológií, údajov a partnerstiev na podporu vlád, spoločností, mimovládnych organizácií a univerzít.

Ďalšie informácie

Profil experta: Christopher Glyer

Ako hlavný analytik hrozieb so zameraním na ransomware v Microsoft Threat Intelligence Center je Christopher Glyer súčasťou tímu, ktorý zisťuje, ako môžu najpokročilejší aktéri hrozieb získať prístup do systémov a využívať ich.

Ďalšie informácie