Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Tożsamość to nowe pole bitwy

Pobierz
Udostępnij
Mężczyzna i kobieta siedzący przy stole i korzystający z laptopa.

Cyber Signals, 1. numer: uzyskaj szczegółowe informacje na temat ewoluujących cyberzagrożeń i kroków, które należy podjąć, aby lepiej chronić organizację.

Między protokołami zabezpieczeń większości organizacji a zagrożeniami, z jakimi się one mierzą, istnieje niebezpieczna rozbieżność. Atakujący oczywiście próbują przedostać się do sieci, ale preferowana przez nich taktyka jest prostsza: odgadnięcie słabych haseł logowania. Podstawowe mechanizmy, takie jak uwierzytelnianie wieloskładnikowe, są skuteczne w przypadku 98% ataków, ale tylko 20% organizacji wykorzystuje je w pełni („Raport firmy Microsoft na temat ochrony zasobów cyfrowych” z 2021 roku).

W pierwszym numerze przedstawimy bieżące trendy dotyczące zabezpieczeń i rekomendacje badaczy i ekspertów firmy Microsoft, wyjaśniając między innymi:

  • Kto polega na atakach opartych na hasłach i tożsamości.
  • Co zrobić, aby przeciwdziałać atakom, w tym jakie stosować strategie w zakresie punktów końcowych, poczty e-mail i tożsamości.
  • Kiedy priorytetowo traktować różne mechanizmy zabezpieczeń.
  • Gdzie odmiany oprogramowania wymuszającego okup (ransomware) przedostają się do sieci i rozprzestrzeniają się w nich oraz jak je powstrzymać.
  • Dlaczego ochrona tożsamości pozostaje największym źródłem problemów, a jednocześnie jest też największą szansą na poprawę poziomu zabezpieczeń.

Państwowe grupy hakerskie podwajają wysiłki w celu przejmowania elementów składowych tożsamości

Rośnie liczba cyberataków przeprowadzanych przez państwowe grupy hakerskie. Mimo posiadania ogromnych zasobów ci atakujący często stosują proste taktyki kradzieży łatwych do odgadnięcia haseł. Pozwala im to szybko i łatwo uzyskać dostęp do kont klientów. W przypadku ataków na przedsiębiorstwa penetracja sieci organizacji umożliwia państwowym grupom hakerskim ustanowienie punktu zaczepienia, za pomocą którego mogą przemieszczać się w pionie, między podobnymi użytkownikami i zasobami, lub w poziomie, uzyskując dostęp do cenniejszych poświadczeń i zasobów.

Spersonalizowane wyłudzanie informacji (tzw. spearphishing), ataki z wykorzystaniem inżynierii społecznej i zakrojone na szeroką skalę ataki rozproszone na hasła to podstawowe taktyki stosowane przez państwowe grupy hakerskie w celu kradzieży lub odgadnięcia haseł. Firma Microsoft uzyskuje szczegółowe informacje na temat metod i sukcesów atakujących, obserwując, w jakie taktyki i techniki inwestują oraz które z nich zapewniają im wyniki. Jeśli poświadczenia użytkowników są słabo zarządzane lub pozostawione bez kluczowych zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe (MFA) i funkcje bezhasłowe, państwowe grupy hakerskie będą nadal stosować tę samą prostą taktykę.

Nie da się przecenić konieczności wdrożenia uwierzytelniania wieloskładnikowego lub obsługi bezhasłowej, ponieważ prostota i niskie koszty ataków skoncentrowanych na tożsamości czynią je wygodnymi i skutecznymi metodami dla źródeł zagrożeń. Uwierzytelnianie wieloskładnikowe nie jest jedynym narzędziem do zarządzania tożsamościami i dostępem, z którego organizacje powinny korzystać, ale może ono stanowić skuteczny mechanizm odstraszający przed atakami.

Złośliwe wykorzystywanie poświadczeń jest stałą taktyką stosowaną przez NOBELIUM, państwową grupę hakerską powiązaną z Rosją. Jednak na atakach rozproszonych na hasła polegają też inni atakujący, jak na przykład powiązana z Iranem grupa DEV 0343. Działania grupy DEV-0343 zaobserwowano w firmach z branży obronnej produkujących przeznaczone dla wojska radary, technologię dronów, systemy satelitarne i systemy komunikacji do reagowania w sytuacjach kryzysowych. Dodatkowe działania są kierowane przeciw regionalnym punktom wjazdu do krajów w Zatoce Perskiej oraz kilku przedsiębiorstwom zajmującym się transportem morskim i towarowym działającym na Bliskim Wschodzie.
Zestawienie cyberataków opartych na tożsamości zainicjowanych przez Iran
W okresie od lipca 2020 r. do czerwca 2021 r. krajami najczęściej atakowanymi przez Iran były Stany Zjednoczone (49%), Izrael (24%) i Arabia Saudyjska (15%). Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 4

Co powinna zrobić organizacja:

Włączenie uwierzytelniania wieloskładnikowego: w ten sposób organizacja może zminimalizować ryzyko przejęcia haseł. Jeszcze lepszym rozwiązaniem jest całkowite wyeliminowanie haseł przez wdrożenie bezhasłowego uwierzytelniania wieloskładnikowego.
Przeprowadzenie inspekcji uprawnień kont: przejęte konta z dostępem uprzywilejowanym stają się potężną bronią, za pomocą której atakujący mogą uzyskać większy dostęp do sieci i zasobów. Zespoły ds. zabezpieczeń powinny często przeprowadzać inspekcję uprawnień dostępu, stosując zasadę przyznawania pracownikom najniższych uprawnień potrzebnych im do wykonywania zadań.
Przeglądanie, wzmacnianie zabezpieczeń i monitorowanie wszystkich kont administratorów dzierżawy: zespoły ds. zabezpieczeń powinny dokładnie przeglądać wszystkich użytkowników będących administratorami dzierżawy lub konta powiązane z delegowanymi uprawnieniami administracyjnymi, aby weryfikować autentyczność użytkowników i działań. Następnie powinny wyłączać lub usuwać wszelkie nieużywane delegowane uprawnienia administracyjne.
Ograniczanie ryzyka przez ustanawianie i egzekwowanie planu bazowego zabezpieczeń: państwowe grupy hakerskie działają z perspektywą długoterminową i mają fundusze, motywację oraz skalę potrzebne do opracowywania nowych strategii i technik ataków. Każde opóźnienie inicjatywy wzmacniania zabezpieczeń sieci spowodowane brakiem zasobów lub biurokracją działa na ich korzyść. Zespoły ds. zabezpieczeń powinny priorytetowo podchodzić do wdrażania rozwiązań Zero Trust, takich jak uaktualnianie systemów do uwierzytelniania wieloskładnikowego i obsługi bezhasłowej. Mogą rozpocząć od kont uprzywilejowanych, aby szybko zapewnić im ochronę, a następnie rozszerzać te wdrożenia w sposób stopniowy i ciągły.

Oprogramowanie ransomware dominuje wyobraźnię, ale liczy się tylko kilka odmian

Dominuje najwyraźniej pogląd, że istnieje ogromna liczba nowych zagrożeń związanych z oprogramowaniem wymuszającym okup (ransomware), które skutecznie neutralizują mechanizmy obronne. Jednak z analizy firmy Microsoft wynika, że to wyobrażenie jest błędne. Panuje też przekonanie, że niektóre grupy wykorzystujące oprogramowania ransomware stanowią jedną monolityczną całość — to również nieprawda. Tak naprawdę mamy do czynienia z gospodarką cyberprzestępstw, w której różni gracze w utowarowionych łańcuchach ataków dokonują świadomych wyborów. Poszczególni atakujący kierują się modelem ekonomicznym w celu zmaksymalizowania zysku na podstawie tego, jak mogą wykorzystać informacje, do których uzyskują dostęp. Poniższa grafika ilustruje, jak różne grupy czerpią zyski z różnych strategii cyberataków i informacji uzyskanych wskutek naruszenia danych.

Średnie ceny różnych usług cyberprzestępstw
Średnie ceny sprzedawanych usług cyberprzestępstw. Ceny zatrudnienia atakujących zaczynają się od 250 USD za zlecenie. Koszt zestawów oprogramowania ransomware to 66 USD lub 30% zysku. Ceny naruszenia zabezpieczeń urządzeń zaczynają się od 13 centów za komputer PC i 82 centów za urządzenie mobilne. Cena ataku na zlecenie ze spersonalizowanym wyłudzaniem informacji (spearphishing) waha się od 100 USD do 1000 USD. Średnia cena skradzionych par nazw użytkowników i haseł zaczyna się od 97 centów za 1000 pozycji. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 5  

Jednak bez względu na to wszystko, bez względu na liczbę wystąpień oprogramowania ransomware w użyciu i na to, o jakie odmiany chodzi, tak naprawdę wszystko sprowadza się do trzech wektorów wejścia: ataków siłowych z użyciem protokołu pulpitu zdalnego (RDP), podatnych na ataki systemów połączonych z Internetem i wyłudzania informacji. Ryzyko związane ze wszystkimi tymi wektorami można ograniczyć, stosując odpowiednią ochronę hasłami, zarządzanie tożsamościami i aktualizacje oprogramowania oraz kompleksowy zestaw narzędzi zabezpieczeń i zapewniania zgodności. Dowolnego typu oprogramowanie ransomware może być skuteczne tylko w przypadku uzyskania dostępu do poświadczeń i nabycia zdolności rozprzestrzeniania się. Gdy uda mu się to osiągnąć, to nawet jeśli jest to znana odmiana, jest w stanie wyrządzić wiele szkód.

Diagram ilustrujący ścieżkę źródeł zagrożeń od początkowego dostępu do przemieszczania się bocznego w systemie
Ścieżka zachowania źródła zagrożenia po włamaniu się do systemu — od początkowego punktu dostępu do kradzieży poświadczeń i przemieszczania się bocznego w systemie. Na diagramie prześledzono skuteczną ścieżkę do przechwycenia kont i pozyskania ładunku oprogramowania ransomware. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 5

Co powinny zrobić zespoły ds. zabezpieczeń:

Uwzględnienie tego, że oprogramowanie wymuszające okup (ransomware) wykorzystuje przede wszystkim domyślne lub naruszone poświadczenia: w związku z tym zespoły ds. zabezpieczeń powinny przyspieszyć wdrażanie mechanizmów zabezpieczeń, takich jak bezhasłowe uwierzytelnianie wieloskładnikowe dla wszystkich kont użytkowników z priorytetowym traktowaniem kont kierowników, administratorów i innych ról uprzywilejowanych.
Ustalenie metod wykrywania charakterystycznych anomalii dostatecznie szybko, aby można było skutecznie zadziałać: wczesne logowania, przenoszenie plików i inne zachowania powodujące wprowadzenie do systemu oprogramowania ransomware mogą się pozornie niczym nie wyróżniać. Jednak zespoły muszą monitorować anomalie i szybko na nie reagować.
Przygotowanie planu reagowania na atak z użyciem oprogramowania ransomware i ćwiczenie odzyskiwania danych: żyjemy w epoce synchronizowania i udostępniania w chmurze, ale kopie danych różnią się od całych systemów informatycznych i baz danych. Zespoły powinny wizualizować i ćwiczyć przebieg pełnego odzyskiwania.
Zarządzanie alertami i szybkie ograniczanie ryzyka: mimo że wszyscy obawiają się ataków z użyciem oprogramowania ransomware, zespoły ds. zabezpieczeń powinny skupiać się przede wszystkim na wzmacnianiu słabych konfiguracji zabezpieczeń, które umożliwiają skuteczne przeprowadzenie ataku. Powinny zarządzać konfiguracjami zabezpieczeń w celu zapewnienia właściwych reakcji na alerty i wykrycia.
Krzywa rozkładu ochrony ilustrująca to, jak przestrzeganie podstawowych zasad higieny zabezpieczeń chroni przed 98% ataków
Zapewnij ochronę przed 98% ataków, wykorzystując oprogramowanie chroniące przed złośliwym kodem, stosując zasadę przyznawania najniższych uprawnień dostępu, wdrażając uwierzytelnianie wieloskładnikowe, dbając o aktualność wersji i chroniąc dane. Pozostałe 2% w krzywej dzwonowej obejmuje ataki odstające. Więcej informacji o tym obrazie znajdziesz w pełnym raporcie na stronie 5
Dodatkowe wskazówki dotyczące zabezpieczania tożsamości można uzyskać od Christophera Glyera, głównego specjalisty ds. analizy zagrożeń w firmie Microsoft.

Uzyskiwanie szczegółowych informacji i blokowanie zagrożeń dzięki ponad 24 bilionom sygnałów dziennie

Zagrożenia dla punktów końcowych:
W okresie od stycznia do grudnia 2021 r. usługa Ochrona punktu końcowego w usłudze Microsoft Defender zablokowała ponad 9,6 miliarda zagrożeń ze strony złośliwego oprogramowania skierowanych przeciwko urządzeniom klientów korporacyjnych i indywidualnych.
Zagrożenia dla poczty e-mail:
W okresie od stycznia do grudnia 2021 r. usługa Ochrona usługi Office 365 w usłudze Microsoft Defender zablokowała ponad 35,7 miliarda wiadomości e-mail wyłudzających informacje i innych złośliwych wiadomości e-mail skierowanych przeciwko klientom korporacyjnym i indywidualnym.
Zagrożenia dla tożsamości:
W okresie od stycznia do grudnia 2021 r. firma Microsoft (usługa Azure Active Directory) wykryła i zablokowała ponad 25,6 miliarda prób przejęcia kont klientów korporacyjnych metodą siłowego wymuszenia skradzionych haseł.

Metodologia: Na potrzeby danych migawki platformy firmy Microsoft, w tym usługi Defender i Azure Active Directory, udostępniły zanonimizowane dane dotyczące aktywności zagrożeń, takich jak próby zalogowania się metodą siłową oraz wiadomości wyłudzające informacje i inne złośliwe wiadomości e-mail, skierowane przeciwko przedsiębiorstwom i klientom indywidualnym oraz ataki z użyciem złośliwego oprogramowania z okresu od stycznia do grudnia 2021 roku. Dodatkowe szczegółowe informacje uzyskano na podstawie 24 bilionów codziennych sygnałów dotyczących zabezpieczeń zebranych w całej firmie Microsoft, obejmujących chmurę, punkty końcowe oraz inteligentne urządzenia brzegowe. Silne dane uwierzytelniające uzyskuje się przez połączenie uwierzytelniania wieloskładnikowego i ochrony bezhasłowej.

Tożsamość Oprogramowanie wymuszające okup (ransomware) Podmiot państwowy

Artykuły pokrewne

Cyber Signals, wydanie 2: Zarabianie na wymuszeniach

Dowiedz się więcej o tworzeniu oprogramowania ransomware jako usługi od ekspertów pierwszej linii. Od programów i ładunków po brokerów dostępu i powiązane podmioty — zapoznaj się z preferowanymi narzędziami, taktykami i celami cyberprzestępców oraz uzyskaj wskazówki, które ułatwią ochronę Twojej organizacji.
Dowiedz się więcej

Obrona Ukrainy: Wczesne wnioski z wojny cybernetycznej

Najnowsze ustalenia z naszych bieżących analiz zagrożeń związanych z wojną między Rosją a Ukrainą oraz szereg wniosków z pierwszych czterech miesięcy tej wojny podkreślają potrzebę ciągłych i nowych inwestycji w technologię, dane i partnerstwa służące wspieraniu rządów, przedsiębiorstw, organizacji pozarządowych i uniwersytetów.
Dowiedz się więcej

Profil eksperta: Christopher Glyer

Jako główny specjalista ds. analizy zagrożeń skupiający się na oprogramowaniu ransomware w Centrum analizy zagrożeń Microsoft (MSTIC) Christopher Glyer należy do zespołu, który bada, w jaki sposób zaawansowane źródła zagrożeń uzyskują dostęp do systemów i wykorzystują ich luki.
Dowiedz się więcej