Trace Id is missing

Anatomija zunanje tarče napada

Prenos
Skupna raba
Razumevanje anatomije napada na zunanjo tarčo

Pet elementov, ki jih morajo organizacije nadzirati

Svet kibernetske varnosti postaja vse bolj zapleten, saj se organizacije selijo v oblak in uvajajo decentralizirano delo. Danes zunanja tarča napada zajema več oblakov, zapletene digitalne dobavne verige in obsežne ekosisteme tretjih oseb. Zaradi obsega pogostih globalnih varnostnih težav se je naše dojemanje celovite varnosti močno spremenilo.

Internet je zdaj del omrežja. Kljub njegovi skoraj nepojmljivi velikosti morajo varnostne ekipe zaščititi prisotnost svoje organizacije v internetu v enaki meri kot vse, kar ščitijo njeni požarnimi zidovi. Ker vse več organizacij uvaja načela Ničelnega zaupanja, je zaščita notranjih in zunanjih tarč napadov postala izziv v celotnem internetu. Zato je izjemno pomembno, da organizacije pridobijo vpogled v celoten obseg tarče napada.

Microsoft je leta 2021 začel sodelovati s podjetjem RiskIQ, da bi organizacije lahko lažje ocenile varnost celotnega digitalnega okolja. S tehnologijo RiskIQ Internet Intelligence Graph lahko organizacije odkrivajo in preiskujejo grožnje v komponentah, povezavah, storitvah, napravah, povezanih z naslovi IP, in infrastrukturi, ki sestavljajo njihovo tarčo napada, za ustvarjanje odporne in prilagodljive obrambe.

Za varnostne ekipe je lahko globina in obseg tega, kar morajo zaščititi, zastrašujoče. Eden od načinov za razumevanje obsega tarče napada organizacije je vpogled v internet z vidika napadalca. V tem članku je predstavljenih pet področij za lažje razumevanje izzivov učinkovitega upravljanja zunanje tarče napada.

Globalna tarča napada se povečuje skupaj z internetom

Povečuje se iz dneva v dan. Leta 2020 je količina podatkov v internetu dosegla 40 zetabajtov oziroma 40 bilijonov gigabajtov.1 Po podatkih raziskave podjetja RiskIQ se vsako minuto 117.298 gostiteljev in 613 domen2 pridruži številnim prepletenim nitim, ki sestavljajo zapleteno strukturo globalne tarče napada. Vsak od njih vsebuje nabor elementov, kot so temeljni operacijski sistemi, ogrodja, aplikacije tretjih oseb, vtičniki in kode za sledenje. Z vsakim od teh hitro razvijajočih se mest, ki vključujejo vse te elemente, se obseg globalne tarče napada eksponentno povečuje.

Globalna tarča napada se povečuje z vsako minuto

  • novih gostiteljev vsako minuto.
  • novih domen vsako minuto.
  • 375 novih groženj vsako minuto.2

K tej rasti prispevajo tako zakonite organizacije kot tudi akterji groženj, kar pomeni, da se kibernetske grožnje povečujejo skupaj s preostalim internetom. Varnost podjetij ogrožajo tako dovršene napredne dolgotrajne grožnje (APT) kot tudi manj spretni kibernetski kriminalci, ki napadajo njihove podatke, blagovne znamke, intelektualno lastnino, sisteme in ljudi.

V prvem četrtletju leta 2021 so pri podjetju CISCO zaznali 611.877 enoličnih spletnih mest z lažnim predstavljanjem,3 z 32 dogodki kršitev domene in 375 novimi grožnjami na minuto.2 Te grožnje ciljajo na zaposlene in stranke organizacij z lažnimi sredstvi in jih želijo pretentati, da kliknejo zlonamerne povezave, ter poskušajo pridobiti občutljive podatke z uporabo lažnega predstavljanja, kar lahko posledično privede do zmanjšanja zanesljivosti blagovne znamke in nezaupanja potrošnikov.

Porast ranljivosti oddaljenih zaposlenih

Hitra rast internetnih sredstev je močno razširila spekter groženj in ranljivosti, ki vplivajo na organizacije. V času pandemije COVID-19 se je digitalna rast znova pospešila, saj je večina organizacij razširila svoje digitalne odtise za prilagoditev oddaljenim, izjemno prilagodljivim zaposlenim in poslovnemu modelu. Rezultat tega je, da imajo napadalci zdaj na voljo veliko več vstopnih točk, ki jih lahko preskušajo ali izkoriščajo.

Uporaba tehnologij oddaljenega dostopa, kot sta RDP (protokol oddaljenega namizja) in VPN (navidezno zasebno omrežje), se je povečala za 41 oziroma 33 odstotkov 4, saj večina uporabnikov uvaja pravilnike o delu od doma. Velikost globalnega trga programske opreme za oddaljeno namizje, ki je leta 2019 znašala 1,53 milijarde USD, bo do leta 2027 dosegla 4,69 milijarde USD.5

Več deset novih ranljivosti v programski opremi in napravah za oddaljeni dostop je napadalcem zagotovilo izhodišča, ki jim doslej niso bila na voljo. Pri podjetju RiskIQ so odkrili številne ranljivosti najbolj priljubljenih naprav z omogočenim oddaljenim dostopom in varnostnim območjem, pri čemer se hitrost porasta ranljivosti še ni upočasnila. V letu 2021 je bilo prijavljenih skupaj 18.378 ranljivosti.6

Novo okolje ranljivosti

  • porast uporabe protokola RDP.
  • porast uporabe omrežja VPN.
  • prijavljenih ranljivosti v letu 2021.

Zaradi porasta napadov globalnega obsega, ki jih izvajajo številni viri groženj in so prilagojeni digitalnim podjetjem, morajo varnostne ekipe ublažiti ranljivosti v lastnem okolju, okolju tretjih oseb in partnerjev, nadzorovanih in nenadzorovanih aplikacijah ter storitvah znotraj odnosov in med odnosi v digitalni dobavni verigi.

Digitalne dobavne verige, združitve in pripojitve (M&A) ter senčni IT ustvarjajo skrito tarčo napada

Večina kibernetskih napadov izvira več kilometrov stran od omrežja; spletne aplikacije so kategorija vektorjev, ki je najpogosteje uporabljena pri kršitvah, povezanih s hekerskimi napadi. Večina organizacij pa nima popolnega pregleda nad svojimi internetnimi sredstvi in nad tem, kako so ta sredstva povezana z globalno tarčo napada. Trije pomembni dejavniki, ki zmanjšujejo raven preglednosti, so senčni IT, združitve in pripojitve (M&A) ter digitalne dobavne verige.

Ogrožene odvisnosti

  • storitev, katerih veljavnost je potekla, na minuto.2
  • poslov vključuje skrbni pregled kibernetske varnosti.7
  • organizacij je doživelo vsaj eno kršitev varnosti podatkov, ki jo je povzročila tretja oseba.8

Senčni IT

 

Kadar IT ne more slediti zahtevam podjetja, podjetje išče podporo pri razvoju in uvajanju novih spletnih sredstev drugje. Varnostna ekipa pogosto ni seznanjena s temi dejavnostmi senčnega IT-ja, zato ustvarjenih sredstev ne more vključiti v svoj varnostni program. Neupravljana in zapuščena sredstva lahko sčasoma postanejo odgovornost v tarči napada organizacije.

Takšno hitro širjenje digitalnih sredstev zunaj požarnega zidu je zdaj postalo stalnica. Nove stranke podjetja RiskIQ običajno najdejo približno 30 odstotkov več sredstev, kot so mislile, da jih imajo, RiskIQ pa vsako minuto zazna 15 storitev, katerih veljavnost je potekla (dovzetnih za prevzem poddomene), in 143 odprtih vrat.2

Združitve in pripojitve

 

Vsakodnevni postopki in pomembne poslovne pobude, kot so združitve in pripojitve (M&A), strateška partnerstva ter zunanja izvajanja, ustvarjajo in razširjajo zunanje tarče napadov. Danes manj kot 10 odstotkov globalnih poslov vključuje skrbni pregled kibernetske varnosti.

Obstaja več pogostih razlogov, zakaj organizacije med skrbnim pregledom ne pridobijo popolnega vpogleda v morebitna kibernetska tveganja. Prvi je obseg digitalne prisotnosti podjetja, ki ga pridobijo s pripojitvijo. Velika organizacija ima pogosto več tisoč ali celo deset tisoče aktivnih spletnih mest in drugih javno izpostavljenih sredstev. Ekipe za IT in varnost v podjetju, ki bo pripojeno, sicer imajo na voljo register sredstev spletnih mest, vendar je to skoraj vedno le delni pregled obstoječih sredstev. Bolj ko so dejavnosti IT v organizaciji decentralizirane, večja je vrzel.

Dobavne verige

 

Podjetja so vse bolj odvisna od digitalnih zavezništev, ki tvorijo sodobno dobavno verigo. Čeprav so te odvisnosti bistvene za izvajanje delovnih postopkov v 21. stoletju, pa hkrati ustvarjajo tudi nepregledno, večplastno in izjemno zapleteno mrežo odnosov s tretjimi osebami, od katerih jih veliko ni v okviru pristojnosti ekip za varnost in tveganja, da bi jih proaktivno zaščitile in varovale. Zato je hitro prepoznavanje ranljivih digitalnih sredstev, ki pomenijo tveganje, velik izziv.

Zaradi pomanjkanja razumevanja in vidljivosti teh odvisnosti so napadi tretjih oseb postali eden najpogostejših in najučinkovitejših vektorjev za akterje groženj. Velik del napadov je zdaj izvedenih prek digitalne dobavne verige. 70 odstotkov strokovnjakov za IT danes navaja zmerno do visoko stopnjo odvisnosti od zunanjih entitet, ki lahko vključujejo tretje, četrte ali pete osebe.9 Hkrati je 53 odstotkov organizacij doživelo najmanj eno kršitev varnosti podatkov, ki jo je povzročila tretja oseba.10

Medtem ko so obsežni napadi na dobavno verigo čedalje bolj pogosti, pa se organizacije vsakodnevno soočajo z manjšimi napadi. Zlonamerna programska oprema za digitalno posnemanje kreditnih kartic, kot je Magecart, vpliva na vtičnike tretjih oseb za elektronsko poslovanje. Podjetje RiskIQ je februarja 2022 zaznalo več kot 300 domen, v katerih je bila uporabljena zlonamerna programska oprema Magecart za digitalno posnemanje kreditnih kartic.11

Podjetja vsako leto vlagajo več sredstev v prenosne naprave, saj je življenjski slog povprečnega potrošnika čedalje bolj usmerjen v prenosne naprave. Američani zdaj namenijo več časa uporabi prenosnih naprav kot pa gledanju televizije v živo, zaradi socialne oddaljenosti pa so v prenosne naprave prenesli več svojih fizičnih potreb, kot sta nakupovanje in izobraževanje. Raziskava, ki jo je izvedlo podjetje App Annie, je pokazala, da je mobilna poraba leta 2021 narasla na neverjetnih 170 milijard USD, kar pomeni 19-odstotno letno rast.12

To povpraševanje po mobilnih storitvah povzroča množično širjenje mobilnih aplikacij. Uporabniki so leta 2020 prenesli 218 milijard aplikacij. Pri podjetju RiskIQ so medtem zabeležili 33-odstotno splošno rast razpoložljivih mobilnih aplikacij v letu 2020, vsako minuto pa jih je na voljo dodatnih 23.2

Trgovine z aplikacijami postajajo čedalje večja tarča napada

  • porast mobilnih aplikacij.
  • dodatnih mobilnih aplikacij vsako minuto.
  • blokirana aplikacija vsakih pet minut.2

V organizacijah te aplikacije spodbujajo poslovne rezultate. Hkrati pa imajo lahko tudi negativne vplive. Okolje aplikacij je pomemben del celotne tarče napada podjetja, ki obstaja zunaj požarnega zidu, kjer varnostne ekipe pogosto nimajo ustrezne pomembne vidljivosti. Akterji groženj so izkoristili to kratkovidnost za ustvarjanje »prevarantskih aplikacij«, ki posnemajo znane blagovne znamke ali kako drugače prikrivajo svojo pravo identiteto z namenom, da bi jih uporabniki prenesli. Ko nič hudega sluteči uporabnik prenese te zlonamerne aplikacije, lahko akterji groženj začnejo z uporabo lažnega predstavljanja pridobivati občutljive podatke ali nalagati zlonamerno programsko opremo v naprave. RiskIQ vsakih pet minut blokira zlonamerno mobilno aplikacijo.

Te prevarantske aplikacije lahko v redkih primerih odkrijemo tudi v uradnih trgovinah in lahko celo vdrejo v zmogljivo zaščito večjih trgovin z aplikacijami. Vendar pa so prevarantske mobilne aplikacije večinoma pojavljajo v več sto manj uglednih trgovinah z aplikacijami, ki delujejo zunaj relativno varnih, zanesljivih trgovin. Aplikacije v teh trgovinah so nadzorovane v veliko manjši meri kot v uradnih trgovinah z aplikacijami – v nekaterih od teh trgovin je na voljo več zlonamernih kot varnih aplikacij.

Del tarče napada organizacije je tudi globalna tarča napada

Današnja globalna internetna tarča napada se je preoblikovala v dinamičen, vseobsegajoč in popolnoma prepleten ekosistem, katerega del smo vsi. Če uporabljate internet, se povezujete z različnimi ljudmi, tudi s tistimi, ki vam želijo škodovati. Zato je sledenje infrastrukturi groženj enako pomembno kot sledenje lastni infrastrukturi.

Globalna tarča napada je del tarče napada organizacije

  • novih primerkov zlonamerne programske opreme, zaznanih vsak dan.2
  • porast različic zlonamerne programske opreme.13
  • strežnik Cobalt Strike vsakih 49 minut.2

Različne skupine groženj reciklirajo in delijo infrastrukturo z drugimi – naslove IP, domene in potrdila – ter uporabljajo odprtokodna avtomatizirana orodja, kot so zlonamerna programska oprema, kompleti za lažno predstavljanje in komponente C2, da bi se izognile preprosti dodelitvi, ter jo izboljšujejo in prilagajajo lastnim enoličnim potrebam.

Vsak dan je zaznanih več kot 560.000 novih primerkov zlonamerne programske opreme – število kompletov za lažno predstavljanje, oglaševanih v nenadzorovanih tržnicah kibernetskega kriminala, se je med letoma 2018 in 2019 podvojilo. V letu 2020 se je število zaznanih različic zlonamerne programske opreme povečalo za 74 odstotkov.14 RiskIQ zdaj zazna strežnik Cobalt Strike C2 vsakih 49 minut.

Tradicionalna varnostna strategija večine organizacij je vključevala pristop obrambe v globino, ki se je začel na varnostnem območju in segal nivojsko do sredstev, ki jih je bilo treba zaščititi. Vendar pa obstaja razkorak med tovrstno strategijo in tarčo napada, kot je predstavljena v tem poročilu. V današnjem svetu digitalne vključenosti pa uporabniki delujejo zunaj varnostnega območja – tako kot vse več izpostavljenih digitalnih sredstev podjetij in številni zlonamerni akterji. Z uvedbo načel Ničelnega zaupanja v vseh virih podjetja lahko zaščitite današnje zaposlene – zaščitite ljudi, naprave, aplikacije in podatke ne glede na njihovo lokacijo ali obseg morebitnih groženj. Microsoftova varnost ponuja vrsto ciljanih orodij za ocenjevanje, s katerimi lahko ocenite stopnjo zrelosti Ničelnega zaupanja organizacije.

Sorodni članki

Cyberthreat Minute

Med kibernetskim napadom je pomembna vsaka sekunda. Ker vam želimo predstaviti obseg in razsežnost svetovnega kibernetskega kriminala, smo strnili podatke enoletne raziskave kibernetske varnosti v eno 60-sekundno okno.
Več informacij

Izsiljevalska programska oprema kot storitev

Najnovejši poslovni model na področju kibernetskega kriminala – napadi, ki jih upravlja človek – privablja napadalce z različnimi sposobnostmi.
Več informacij

Razvijajoči se internet stvari in tveganje za operativno tehnologijo

Zaradi vse večjega kroženja interneta stvari je operativna tehnologija ogrožena, saj je izpostavljena številnim potencialnim ranljivostim in akterjem groženj. Oglejte si, kako lahko zaščitite svojo organizacijo.
Več informacij