Raport firmy Microsoft na temat ochrony zasobów cyfrowych za 2022 r.
Wyniki analiz na podstawie bilionów sygnałów dotyczących zabezpieczeń dziennie
Wyjątkowa perspektywa
Celem wydawanego już trzeci rok z rzędu Raportu firmy Microsoft na temat ochrony zasobów cyfrowych (znanego wcześniej jako Raport firmy Microsoft dotyczący analizy zabezpieczeń z 22 zarchiwizowanymi wydaniami) jest naświetlenie ewoluującego krajobrazu cyfrowych zagrożeń w czterech kluczowych obszarach: cyberprzestępczości, państwowych grup hakerskich, urządzeń i infrastruktury oraz cyberoperacji w zakresie wywierania wpływu informacyjnego. Jednocześnie ma też zapewnić szczegółowe informacje i wskazówki, jak poprawić cyberochronę.
Firma Microsoft obsługuje miliardy klientów na całym świecie, co umożliwia zbieranie danych dotyczących zabezpieczeń w ramach szerokiego i zróżnicowanego spektrum organizacji i klientów. Ten raport czerpie z dużego zakresu i stopnia szczegółowości analizy sygnałów z całej firmy Microsoft, w tym chmury, punktów końcowych i inteligentnych urządzeń brzegowych. Dzięki tej wyjątkowej perspektywie zyskujemy wierny obraz krajobrazu zagrożeń i obecnego stanu cyberbezpieczeństwa, w tym wskaźniki umożliwiające przewidywanie kolejnych kroków atakujących. Uważamy, że transparentność i udostępnianie informacji są niezbędne, aby pomagać naszym klientom w zwiększaniu cyberochrony i aby chronić ekosystem.
W tym ogólnym podsumowaniu raportu uwzględniono stan cyberprzestępczości, rosnącą popularność urządzeń infrastruktury IoT jako cel, nowe taktyki podmiotów państwowych oraz rosnącą liczbę cybernajemników i cyberoperacji w zakresie wywierania wpływu operacyjnego, a przede wszystkim sposoby na zachowanie odporności w tych czasach.
- 43 miliardy sygnałów syntetyzowanych codziennie przy użyciu zaawansowanej analizy danych i algorytmów sztucznej inteligencji, aby zrozumieć zagrożenia cyfrowe i aktywność cyberprzestępców oraz umożliwić ochronę przed nimi
- Ponad 8 500 inżynierów, naukowców, badaczy danych, specjalistów ds. wyszukiwania zagrożeń, analityków geopolitycznych i pracowników pierwszego kontaktu odpowiadających na zagrożenia z 77 krajów
- Ponad 15 000 partnerów w naszym ekosystemie bezpieczeństwa, którzy zwiększają cyberochronę naszych klientów
Cyberprzestępczość stale rośnie, napędzana coraz większą liczbą ataków — zarówno przypadkowych, jak i ukierunkowanych. Wraz z rozwojem metod cyberataków i infrastruktury używanej przez przestępców do rozszerzania wojny z użyciem broni kinetycznej podczas inwazji Rosji na Ukrainę zaobserwowaliśmy rosnące zróżnicowanie zagrożeń w krajobrazie cyfrowym.
Ataki z użyciem oprogramowania wymuszającego okup stwarzają zwiększone zagrożenie dla wszystkich osób, ponieważ krytyczna infrastruktura, firmy każdej wielkości oraz władze lokalne i państwowe stają się celami przestępców korzystających z rosnącego systemu cyberprzestępczości. Coraz bardziej zuchwałe ataki z użyciem oprogramowania ransomware mają coraz większy zasięg. Aby wysiłki przeciw temu zagrożeniu przyniosły rezultat i miały trwały skutek, wymagają realizowanie strategii obejmującej cały rząd w ścisłym partnerstwie z sektorem prywatnym.
Analizując naszą odpowiedź i udział w odzyskiwaniu, wśród organizacji dotkniętych atakiem zauważaliśmy stale słabe mechanizmy kontroli tożsamości, nieskuteczne operacje zabezpieczeń i niekompletne strategie ochrony danych.
W tym roku byliśmy świadkami znaczącego wzrostu masowego wyłudzania informacji i przejmowania poświadczeń w celu uzyskania informacji, które są następnie sprzedawane i wykorzystywane w ukierunkowanych atakach, takich jak oprogramowanie ransomware, eksfiltracja danych i wymuszenia oraz naruszenia biznesowej poczty e-mail.
Cyberprzestępstwo jako usługa (CaaS) jest rosnącym i ewoluującym zagrożeniem dla klientów na całym świecie. Jednostka firmy Microsoft ds. przestępstw cyfrowych (DCU) obserwuje nieustanny rozwój ekosystemu z rosnącą liczbą usług online, które ułatwiają dokonywanie cyberprzestępstw, w tym naruszeń biznesowej poczty e-mail (BEC) i ataków z użyciem oprogramowania ransomware obsługiwanego przez człowieka. Sprzedawcy usługi CaaS oferują coraz więcej poświadczeń z naruszonymi zabezpieczeniami. Widzimy też więcej usług i produktów modelu CaaS z poprawionymi funkcjami, które pomagają uniknąć wykrycia.
Atakujący znajdują nowe sposoby na wdrażanie technik i hostowanie swojej infrastruktury operacyjnej. Na przykład naruszają zabezpieczenia firm, aby hostować kampanie wyłudzania informacji, złośliwe oprogramowanie lub używać mocy obliczeniowej do kopania kryptowalut. Urządzenia infrastruktury Internetu rzeczy (IoT) stają się coraz popularniejszym celem cyberprzestępców używających rozpowszechnionych botnetów. Jeśli routery nie mają wprowadzonych poprawek i są wystawione bezpośrednio na kontakt z Internetem, źródła zagrożeń mogą je wykorzystywać, aby uzyskać dostęp do sieci, przeprowadzać złośliwe ataki, a nawet aby obsługiwały ich operacje.
Haktywizm rósł w siłę w minionym roku za sprawą osób prywatnych, które przeprowadzały ataki, aby osiągać dalsze społeczne i polityczne cele. Tysiące osób zostały zmobilizowane do przypuszczenia ataków w ramach wojny Rosji z Ukrainą. Chociaż musimy zaczekać, aby zobaczyć, czy ten trend się utrzyma, przemysł technologiczny musi połączyć siły, aby opracować kompleksową odpowiedź na to nowe zagrożenie.
Przyspieszająca transformacja cyfrowa podniosła ryzyko w zakresie cyberbezpieczeństwa dla krytycznej infrastruktury i systemów cyberfizycznych. W miarę jak organizacje wykorzystują postępy w możliwościach obliczeniowych, a cyfryzacja napędza rozwój podmiotów, obszar podatny na ataki w świecie cyfrowym rośnie wykładniczo.
Szybkie wdrożenie rozwiązań IoT spowodowało zwiększenie liczby ataków wektorowych i stopnia zagrożenia organizacji. Ta migracja przekroczyła możliwości większości organizacji w dotrzymaniu jej kroku — złośliwe oprogramowanie jako usługa zaczęło działać na dużą skalę, atakując infrastrukturę publiczną i sieci korporacyjne.
Obserwujemy wzrost zagrożeń wykorzystujących luki urządzeń we wszystkich działach organizacji: od tradycyjnego sprzętu IT po kontrolery technologii operacyjnej (OT) lub proste czujniki infrastruktury IoT. Widzimy ataki na sieci energetyczne, ataki z użyciem oprogramowania ransomware zakłócające działania technologii operacyjnych i wykorzystywanie routerów IoT na potrzeby zwiększonej trwałości. Jednocześnie ataki są coraz częściej wymierzone w luki w zabezpieczeniach oprogramowania układowego — za pomocą oprogramowania osadzonego w sprzęcie urządzenia lub płytce drukowanej — aby przypuszczać wyniszczające ataki.
Aby przeciwdziałać tym i innym zagrożeniom, administracje państwowe na całym świecie opracowują i rozwijają zasady zarządzania ryzykiem związanym z cyberbezpieczeństwem infrastruktury krytycznej. Wiele z nich wprowadza również zasady, które mają poprawić zabezpieczenia urządzeń infrastruktury IoT i OT. Rosnąca globalne fala inicjatyw dotyczących zasad stwarza ogromną szansę na poprawę cyberbezpieczeństwa, ale stawia też wyzwania przed zaangażowanymi stronami całego ekosystemu. Ponieważ działania związane z zasadami są prowadzone w tym samym czasie we wszystkich regionach, sektorach, technologiach i obszarach zarządzania ryzykiem operacyjnym, istnieje możliwość nakładania się zasad i niespójności w kwestii zakresu, wymagań i złożoności wymagań. Organizacje sektora publicznego i prywatnego powinny wykorzystać okazję do poprawy cyberbezpieczeństwa, dokładając szczególnych starań, aby zachować spójność.
- 68% respondentów wierzy, że wdrożenie infrastruktury IoT/OT jest kluczowe dla strategicznej transformacji cyfrowej
- 60% uważa, że zabezpieczenia infrastruktury IoT/OT są jednym z najsłabiej chronionych elementów infrastruktury
W minionym roku nastąpiła zmiana: państwowe grupy hakerskie przeszły od wykorzystywania luk łańcucha dostaw oprogramowania do wykorzystywania luk łańcucha dostaw usług IT, obierając za cel rozwiązania w chmurze i dostawców usług zarządzanych, aby dotrzeć do klientów niższego poziomu w rządzie, policji i krytycznych sektorach infrastruktury.
Wraz ze wzmacnianiem stanu cyberbezpieczeństwa przez organizacje, podmioty państwowe odpowiadają stosowaniem nowych, unikatowych taktyk, aby przeprowadzać ataki i uniknąć wykrycia. Identyfikacja i wykorzystywanie luk w zabezpieczeniach zero-day jest kluczową taktyką tych starań. Liczba luk w zabezpieczeniach zero-day ujawnionych publicznie w ubiegłym roku jest porównywalna z liczbą z poprzedzającego go roku, która była najwyższa w historii. Wiele organizacji zakłada, że jeśli zarządzanie lukami w zabezpieczeniach jest integralną częścią zabezpieczeń sieci, jest mniej prawdopodobne, że staną się ofiarami ataków z wykorzystaniem luk w zabezpieczeniach zero-day. Jednak komercjalizacja wykorzystywania luk prowadzi do tego, że następują jeszcze szybciej. Wykorzystywanie luk w zabezpieczeniach zero-day jest często odkrywane przez inne źródła zagrożenia i stosowane ponownie na dużą skalę w krótkim okresie czasu, pozostawiając systemy bez wprowadzonych poprawek narażone na ryzyko.
Obserwujemy rosnącą branżę ofensywnych źródeł zagrożeń z sektora prywatnego — cybernajemników, którzy tworzą narzędzia, techniki i usługi i sprzedają je klientom (często organizacjom rządowym), aby włamywać się do ich sieci, komputerów, telefonów i urządzeń podłączonych do internetu. Dla państwowych grup hakerskich jest to tylko zasób, ale te podmioty często stanowią zagrożenie dla dysydentów, obrońców praw człowieka, dziennikarzy, zwolenników społeczeństwa obywatelskiego i innych osób prywatnych. Cybernajemnicy zapewniają zaawansowane możliwości inwigilacji jako usługi, których wiele podmiotów państwowych nie mogłoby rozwinąć samodzielnie.
Demokracja, aby mogła się rozwijać, potrzebuje wiarygodnych informacji. Kluczowym obszarem dla firmy Microsoft są operacje w zakresie wywierania wpływu informacyjnego opracowywane i utrwalane przez podmioty państwowe. Takie kampanie podważają zaufanie, zwiększają polaryzację i szkodzą procesom demokratycznym.
Widzimy zwłaszcza pewne autorytarne reżimy, które współpracują, aby wpłynąć na ekosystem informacyjny dla własnych korzyści. Przykładem mogą być kampanie, które próbowały ukryć pochodzenie wirusa, który wywołał pandemię COVID-19. Od początku pandemii rosyjska, irańska i chińska propaganda dotycząca COVID-19 zwiększyła liczbę relacji, aby wzmacniać te centralne tematy.
900% wzrost rok do roku w zakresie rozpowszechniania treści deep fake od 2019 r.
Wchodzimy teraz w erę, która jak się spodziewamy będzie złotą erą dla tworzenia multimediów z obsługą AI i manipulowania nimi, napędzaną przez rozpowszechnianie się narzędzi i usług do tworzenia wysoce realistycznych syntetycznych obrazów, filmów, materiałów audio i tekstów oraz możliwości szybkiego rozprzestrzeniania treści optymalnie dopasowanych do preferencji odbiorców docelowych. Długoterminowym i jeszcze bardziej zdradliwym zagrożeniem dla naszej zdolności rozróżniania prawdy od fikcji jest poczucie, że nie możemy już ufać temu, co widzimy i słyszymy.
Zmieniająca się szybko natura ekosystemu informacyjnego w połączeniu z operacjami podmiotów państwowych w zakresie wywierania wpływu — w tym łącząc tradycyjne cyberataki z operacjami wywierania wpływu oraz ingerencją w demokratyczne wybory — wymaga podejścia, które będzie dotyczyło całego społeczeństwa. Konieczna jest zwiększona koordynacja i wymiana informacji między rządami oraz sektorem prywatnym a społeczeństwem obywatelskim, aby zwiększać transparentność tych kampanii wpływu oraz ujawniać kampanie i zakłócać ich przebieg.
Odczuwalna jest coraz większa potrzeba reagowania na rosnący poziom zagrożeń w ekosystemie cyfrowym. Motywacje geopolityczne źródeł zagrożeń wykazują, że państwa nasiliły użycie ofensywnych cyberoperacji, aby destabilizować władzę i wpływać na globalne operacje handlowe. W obliczu rosnącej liczby zagrożeń i ich rozwoju istotne jest, aby cyberochrona była wbudowana w tkankę organizacji.
Jak wiemy, wiele udanych cyberataków ma miejsce tylko dlatego, że nie jest przestrzegana podstawowa higiena cyberbezpieczeństwa. Minimalne standardy, które powinna stosować każda organizacja:
Krzywa dzwonowa cyberochrony: 98% podstawowych środków higieny zabezpieczeń nadal chroni przed 98% ataków. Więcej informacji o tym obrazie znajdziesz na stronie 109 Raportu firmy Microsoft na temat ochrony zasobów cyfrowych z 2022 r.
- Jawna weryfikacja: Upewnij się, że użytkownicy i urządzenia są w dobrym stanie, zanim zezwolisz na dostęp zasobów.
- Korzystanie z dostępu z najniższym poziomem uprawnień: Zezwalaj tylko na uprawnienia niezbędne do uzyskania dostępu do zasobu i niczego więcej.
- Zakładanie naruszenia zabezpieczeń: Zakładaj, że mechanizmy obrony systemu zostały naruszone, a systemy mogą mieć naruszone zabezpieczenia. Oznacza to ciągłe monitorowanie środowiska pod kątem ewentualnego ataku.
Używanie nowoczesnego oprogramowania chroniącego przed złośliwym kodem
Wdrażaj oprogramowanie ułatwiające wykrywanie i automatyczne blokowanie ataków oraz udostępniające szczegółowe informacje o operacjach zabezpieczeń. Monitorowanie szczegółowych informacji z systemów wykrywania zagrożeń ma zasadnicze znaczenie dla reagowania na zagrożenia w odpowiednim czasie.
Aktualizowanie
Wiele organizacji pada ofiarą ataków przede wszystkim z powodu przestarzałych systemów lub systemów, w których nie wprowadzono poprawek. Upewnij się, że wszystkie systemy są aktualizowane na bieżąco, łącznie z oprogramowaniem układowym, systemem operacyjnym i aplikacjami.
Ochrona danych
Wiedza o istotnych danych, ich lokalizacji i wdrożeniu właściwych systemów ma kluczowe znaczenie dla wdrożenia odpowiedniej ochrony.
Źródło: Raport firmy Microsoft na temat ochrony zasobów cyfrowych, listopad 2022 r.