Identiteta je novo bojno polje

Moški in ženska sedita pri mizi in uporabljata prenosni računalnik.

Cyber Signals – 1. izdaja: Pridobite vpogled v razvijajoče se kibernetske grožnje in ukrepe za boljšo zaščito svoje organizacije.

Obstaja nevarno neskladje med varnostnimi protokoli večine organizacij in grožnjami, s katerimi se soočajo. Napadalci sicer poskušajo na silo prodreti v omrežja, vendar je njihova priljubljena taktika preprostejša: ugibanje šibkih gesel za prijavo. Osnovni ukrepi, kot je večkratno preverjanje pristnosti, so učinkoviti proti 98 odstotkom napadov, vendar jih v celoti uporablja le 20 odstotkov organizacij (Poročilo o digitalni obrambi Microsoft, 2021).

V 1. izdaji boste izvedeli več o trenutnih varnostnih trendih in priporočilih Microsoftovih raziskovalcev in strokovnjakov, med drugim:

Kdo se zanaša na napade na gesla in identiteto.
Kako preprečiti napade, vključno s strategijami za končne točke, e-pošto in identiteto.
Kdaj je treba dati prednost različnim varnostnim ukrepom.
Kje v omrežja vstopajo in se širijo sevi izsiljevalske programske opreme ter kako jih zaustaviti.
Zakaj je zaščita identitete še vedno največji razlog za zaskrbljenost – vendar je tudi največja priložnost za izboljšanje vaše varnosti.

Državno podprti akterji krepijo napade, s katerimi bi preprosto prevzeli gradnike identitete

Kibernetski napadi državno podprtih akterjev so vse pogostejši. Kljub velikim sredstvom se ti nasprotniki pogosto zanašajo na preproste taktike za krajo gesel, ki jih je mogoče preprosto uganiti. Tako lahko hitro in enostavno dostopajo do računov strank. V primeru napadov na podjetja vdor v omrežje organizacije državno podprtim akterjem omogoča, da pridobijo oporno točko, ki jo lahko uporabijo za vertikalni premik med podobnimi uporabniki in viri ali lateralni premik, s katerim pridobijo dostop do dragocenejših poverilnic in virov.

Osnovne taktike državnih akterjev za krajo ali ugibanje gesel, ki jih uporabljajo, so napadi s ciljanim lažnim predstavljanjem, napadi s socialnim inženiringom in obsežno razprševanje gesel. Microsoft dobi vpogled v spretnosti in uspehe napadalcev z opazovanjem, v katere taktike in tehnike vlagajo in s katerimi so uspešni. Če so poverilnice uporabnikov slabo upravljane ali ranljive brez ključnih zaščitnih ukrepov, kot sta večkratno preverjanje pristnosti (MFA) in funkcije brez gesla, bodo države še naprej uporabljale iste preproste taktike.

Ni mogoče preveč poudariti potrebe po uvedbi večkratnega preverjanja pristnosti ali prehodu na delo brez gesel, saj so napadi, osredotočeni na identiteto, zaradi preprostosti in nizkih stroškov priročni in učinkoviti za akterje. Čeprav večkratno preverjanje pristnosti ni edino orodje za upravljanje identitete in dostopa, ki bi ga morale uporabljati organizacije, je lahko močno sredstvo za preprečevanje napadov.

Zloraba poverilnic je značilna za organizacijo NOBELIUM, državno podprtega nasprotnika, povezanega z Rusijo. Vendar se tudi drugi nasprotniki, kot je DEV 0343, ki je povezan z Iranom, zanašajo na razprševanje gesel. Dejavnost napadalca DEV-0343 so opazili v obrambnih podjetjih, ki proizvajajo vojaške radarje, tehnologijo dronov, satelitske sisteme in komunikacijske sisteme za odzivanje na nesreče. Nadaljnje dejavnosti so bile usmerjene v regionalna vstopna pristanišča v Perzijskem zalivu ter več podjetij za pomorski in tovorni promet, ki poslujejo na Bližnjem vzhodu.

Razčlenitev kibernetskih napadov na podlagi identitete, ki jih je sprožil Iran

Med julijem 2020 in junijem 2021 so bile države, na katere je Iran najpogosteje usmerjal svoje napade, ZDA (49 %), Izrael (24 %) in Savdska Arabija (15 %). Več o tej sliki najdete na strani 4 v celotnem poročilu

Kaj bi morali narediti kot organizacija:

Omogočite večkratno preverjanje pristnosti: s tem zmanjšate tveganje, da bi gesla prišla v napačne roke. Še bolje pa je, če gesla popolnoma odpravite z uporabo večkratnega preverjanja pristnosti brez gesla.

Preglejte dovoljenja računov: če so uporabljeni računi z dovoljenji za dostop, postanejo močno orožje, s katerim lahko napadalci pridobijo večji dostop do omrežij in virov. Varnostne ekipe morajo pogosto preverjati pravice dostopa in pri tem uporabljati načelo najmanjših dodeljenih pravic, da bi zaposlenim omogočili opravljanje dela.

Preglejte, utrdite in spremljajte vse skrbniške račune najemnikov: varnostne ekipe morajo temeljito pregledati vse skrbniške račune najemnikov ali račune, povezane z dodeljenimi skrbniškimi pravicami, da preverijo pristnost uporabnikov in dejavnosti. Nato morajo onemogočiti ali odstraniti vse neuporabljene dodeljene skrbniške pravice.

Vzpostavite in uveljavite varnostno osnovo za zmanjšanje tveganja: države igrajo dolgoročno igro in imajo sredstva, voljo in obseg za razvoj novih strategij in tehnik napadov. Vsaka pobuda za krepitev omrežja, ki se zavleče zaradi pasovne širine ali birokracije, deluje v njihovo korist. Varnostne ekipe morajo dati prednost uvajanju praks ničelnega zaupanja, kot so nadgradnje večkratnega preverjanja pristnosti in uporabe brez gesla . Začeti je mogoče z računi s pravicami. Na tak način je mogoče hitro pridobiti zaščito, to pa nato razširiti v postopnih in neprekinjenih fazah.

V mnenju javnosti prevladuje izsiljevalska programska oprema, vendar prevladuje le nekaj sevov

Zdi se, da prevladuje mnenje, da je število novih groženj z izsiljevalsko programsko opremo veliko večje od zmogljivosti obrambe. Vendar Microsoftova analiza kaže, da to ni res. Obstaja tudi prepričanje, da so nekatere skupine izsiljevalske programske opreme ena sama monolitna enota, kar prav tako ni res. Gre za kibernetsko kriminalno gospodarstvo, v katerem različni akterji v verigah napadov sprejemajo zavestne odločitve. Vodi jih ekonomski model za maksimiranje dobička, ki temelji na tem, kako vsak od njih izkorišča informacije, do katerih ima dostop. Spodnja grafika prikazuje, kako različne skupine izkoriščajo različne strategije kibernetskih napadov in informacije iz kršitev varnosti podatkov.

Povprečne cene različnih storitev kibernetskega kriminala

Povprečne cene storitev kibernetskega kriminala za prodajo. Cena za najem napadalcev se začne pri 250 ameriških dolarjih na nalogo. Cena kompletov izsiljevalske programske opreme je 66 ameriških dolarjev ali 30 % dobička. Cena ogroženih naprav se začne pri 13 centih na osebni računalnik in 82 centih na mobilno napravo. Cena najema za ciljano lažno ribarjenje znaša od 100 do 1000 ameriških dolarjev. Pari ukradenih uporabniških imen in gesel v povprečju stanejo 97 centov na 1000. Več o tej sliki najdete na strani 5 v celotnem poročilu

Ne glede na to, koliko izsiljevalske programske opreme je na voljo in za katere seve gre, gre v resnici za tri vstopne vektorje: groba sila protokola RDP (remote desktop protocol), ranljivi sistemi, povezani z internetom, in lažno predstavljanje. Vse te vektorje je mogoče zmanjšati z ustrezno zaščito gesel, upravljanjem identitet in posodobitvami programske opreme ter celovitim naborom orodij za varnost in skladnost. Vrsta izsiljevalske programske opreme se lahko razširi šele, ko pridobi dostop do poverilnic in možnost širjenja. Tudi če gre za znan sev, lahko povzroči veliko škode.

Prikazovanje akterjev groženj od začetnega dostopa do lateralnega gibanja po sistemu.

Pot delovanja napadalca po vdoru v sistem od začetne točke dostopa do kraje pooblastil in bočnega gibanja po sistemu. Sledi trajni poti za zajemanje računov in pridobivanje plena izsiljevalske programske opreme. Več o tej sliki najdete na strani 5 v celotnem poročilu

Naloge ekip za varnost:

Zavedati se je treba, da izsiljevalska programska oprema najbolje uspeva na podlagi privzetih ali ogroženih poverilnic: zato morajo ekipe za varnost pospešiti zaščitne ukrepe, kot je izvajanje večkratnega preverjanja pristnosti brez gesla za vse uporabniške račune in dajanje prednosti vodstvenim, skrbniškim in drugim privilegiranim vlogam.

Naučiti se je treba, kako pravočasno prepoznati opozorilne anomalije in ukrepati: zgodnje prijave, premikanje datotek in drugo vedenje, ki uvaja izsiljevalsko programsko opremo, je lahko videti nepomembno. Kljub temu morajo ekipe spremljati nepravilnosti in hitro ukrepati.

Pripraviti je treba načrt odziva na izsiljevalsko programsko opremo in izvajati vaje za obnovitev: Živimo v dobi sinhronizacije in souporabe v oblaku, vendar se kopije podatkov razlikujejo od celotnih sistemov IT in podatkovnih zbirk. Ekipe si morajo predstavljati in vaditi, kako so videti popolne obnove.

Treba je upravljati opozorila in hitro ukrepati za ublažitev posledic: Čeprav se vsi bojijo napadov z izsiljevalsko programsko opremo, se morajo varnostne ekipe osredotočiti predvsem na krepitev šibkih varnostnih konfiguracij, ki omogočajo uspeh napada. Upravljati morajo varnostne konfiguracije, da se bodo lahko pravilno odzivale na opozorila in zaznave.

Krivulja porazdelitve zaščite, ki prikazuje, kako osnovna varnostna higiena nudi zaščito pred 98 % napadov

Zaščitite se pred 98 % napadov z uporabo protivirusne programske opreme, uporabo dostopa z najmanjšimi dovoljenji, večkratnim preverjanjem pristnosti, posodabljanjem različic in zaščito podatkov. Preostala 2 % krivulje vključuje izstopajoče napade. Več o tej sliki najdete na strani 5 v celotnem poročilu

Pridobite dodatne napotke Christopherja Glyerja, glavnega vodje Microsoftove ekipe za obveščanje o grožnjah, o tem, kako zaščititi identiteto.

Več kot 24 bilijonov signalov na dan uporabljamo za pridobivanje vpogledov in blokiranje groženj.

Grožnje prek končne točke:
Microsoft Defender za končno točko je med januarjem in decembrom 2021 blokiral več kot 9,6 milijarde groženj z zlonamerno programsko opremo, namenjenih napravam podjetij in potrošnikov.

Grožnje prek e-pošte:
Microsoft Defender za Office 365 je med januarjem in decembrom 2021 blokiral več kot 35,7 milijarde lažnih in drugih zlonamernih e-poštnih sporočil, namenjenih podjetjem in uporabnikom.

Grožnje za identitete:
Microsoft (Azure Active Directory) je med januarjem in decembrom 2021 odkril in blokiral več kot 25,6 milijarde poskusov ugrabitve računov poslovnih strank z grobo uporabo ukradenih gesel.

Metodologija: Microsoftove platforme, vključno s programom Defender in Azure Active Directory, so za posnetek podatkov zagotovile anonimizirane podatke o dejavnostih groženj, kot so poskusi prijave z grobo silo, lažno predstavljanje in druga zlonamerna e-pošta, namenjena podjetjem in potrošnikom, ter napadi zlonamerne programske opreme med januarjem in decembrom 2021. Dodatni vpogledi so bili pridobljeni iz 24 bilijonov varnostnih signalov, ki jih Microsoft pridobi na dan, vključno z oblakom, končnimi točkami in inteligentnim robom. Podatki za močno preverjanje pristnosti združujejo večkratno preverjanje pristnosti in zaščito brez gesla.

Identiteta Izsiljevalska programska oprema Državna raven

Sorodni članki

Cyber Signals – 2. izdaja: Ekonomija izsiljevanja

Prisluhnite strokovnjakom, ki so del prve obrambne linije, o razvoju izsiljevalske programske opreme kot storitve. Spoznajte orodja, taktike in cilje kibernetskih kriminalcev, od programov in koristnih vsebin do posrednikov dostopa in pridruženih podjetij, ter pridobite navodila za zaščito svoje organizacije.

Več informacij

Obramba Ukrajine: Začetne lekcije iz kibernetske vojne

Najnovejše ugotovitve naših stalnih prizadevanj na področju obveščanja o grožnjah v vojni med Rusijo in Ukrajino ter vrsta zaključkov iz prvih štirih mesecev krepijo potrebo po stalnih in novih naložbah v tehnologijo, podatke ter partnerstva za podporo vladam, podjetjem, nevladnim organizacijam in univerzam.

Več informacij

Profil izvedenca: Christopher Glyer

Christopher Glyer je glavni vodja oddelka za obveščanje o grožnjah, ki se osredotoča na izsiljevalsko programsko opremo v centru za obveščanje o grožnjah Microsoft (MSTIC), in je del ekipe, ki raziskuje, kako najnaprednejši akterji groženj dostopajo do sistemov in jih izkoriščajo.

Več informacij