Identitet je novo bojno polje

Muškarac i žena sede za stolom i koriste laptop.

Cyber Signals, 1. izdanje: Steknite uvid u razvoj kibernetičkih pretnji i korake koje treba preduzeti za bolju zaštitu organizacije.

Postoji opasna neusklađenost između bezbednosnih protokola većine organizacija i pretnji sa kojima se suočavaju. Dok napadači pokušavaju da se probiju u mreže, njihova poželjna taktika je jednostavnija: pogađanje slabih lozinki za prijavu. Osnovne mere poput višestruke potvrde identiteta efikasne su protiv 98 procenata napada, ali samo 20 procenata organizacija ih u potpunosti primenjuje (Microsoft izveštaj o digitalnoj bezbednosti, 2021).

U broju 1 saznaćete više o aktuelnim bezbednosnim trendovima i preporukama od Microsoft istraživača i stručnjaka, uključujući:

Ko  se oslanja na napade zasnovane na lozinkama i identitetu.
Šta učiniti da biste se suprotstavili napadima, uključujući strategije krajnje tačke, e-pošte i identiteta.
Kada  dati prioritet različitim bezbednosnim merama.
Gde sojevi ransomvera ulaze i šire se unutar mreža i kako ih zaustaviti.
Zašto  zaštita identiteta ostaje najveći razlog za zabrinutost – ali i najveća prilika da poboljšate svoju bezbednost.

Akteri nacionalnih država udvostručuju napore da jednostavno preuzmu blokove za građenje identiteta

Kibernetički napadi aktera nacionalnih država su u porastu. Uprkos svojim ogromnim resursima, ti protivnici se često oslanjaju na jednostavne taktike da bi ukrali lozinke koje se lako pogađaju. Na taj način mogu dobiti brz i lak pristup nalozima klijenata. U slučaju napada na preduzeća, prodor u mrežu organizacije omogućava akterima iz nacionalne države da steknu uporište koje mogu koristiti za kretanje bilo vertikalno, preko sličnih korisnika i resursa, ili horizontalno, dobijajući pristup vrednijim akreditivima i resursima.

Ciljani phishing, napadi putem društvenog inženjeringa i širenje lozinki osnovne su taktike aktera nacionalne države koje se koriste za krađu ili pogađanje lozinki. Microsoft stiče uvid u zanat i uspehe napadača posmatrajući u koje taktike i tehnike ulažu i sa kojima postižu uspeh. Ako se korisničkim akreditivima loše upravlja ili ostanu ranjivi bez ključnih mera zaštite kao što su višestruka potvrda identiteta (MFA) i funkcije bez lozinke, nacionalne države će nastaviti da koriste iste jednostavne taktike.

Ne može se preceniti potreba da se sprovede usvajanje MFA ili da se koriste metode bez lozinke, jer jednostavnost i niska cena napada usmerenih na identitet čine takve napade pogodnim i efikasnim za aktere. Iako MFA nije jedini alat za upravljanje identitetom i pristupom koji organizacije treba da koriste, on može pružiti moćno sredstvo odvraćanja od napada.

Zloupotreba akreditiva je stalni pristup organizacije NOBELIUM, protivnika iz nacionalne države koji je povezan sa Rusijom. Međutim, i drugi protivnici, kao što je DEV 0343 povezan sa Iranom, takođe se oslanjaju na napade putem lozinki. Aktivnost organizacije DEV-0343 primećena je u odbrambenim kompanijama koje proizvode vojne radare, tehnologiju za dronove, satelitske sisteme i komunikacione sisteme za hitne slučajeve. Dalje aktivnosti su bile usmerene na regionalne ulazne luke u Persijskom zalivu i nekoliko kompanija za pomorski i teretni transport sa poslovnim fokusom na Bliskom istoku.

Razbijanje kibernetičkih napada zasnovanih na identitetu koje je pokrenuo Iran

Zemlje koje je Iran najviše ciljao između jula 2020. i juna 2021. bile su SAD (49%), Izrael (24%) i Saudijska Arabija (15%). Saznajte više o ovoj slici na stranici 4 u kompletnom izveštaju

Organizacija treba da uradi sledeće:

Omogućavanje višestruke potvrde identiteta: Na taj način se smanjuje rizik da lozinke dospeju u pogrešne ruke. Još bolje je potpuno eliminisati lozinke korišćenjem MFA bez lozinke.

Nadzor privilegija naloga: Nalozi sa privilegovanim pristupom, ako su otmu, postaju moćno oružje koje napadači mogu da koriste da bi dobili veći pristup mrežama i resursima. Bezbednosni timovi bi trebalo da često revidiraju privilegije pristupa, koristeći princip najmanje dodeljenih privilegija kako bi zaposlenima omogućili da obave posao.

Pregled, ojačanje i nadgledanje svih naloga administratora zakupca: Timovi za bezbednost bi trebalo da temeljno pregledaju sve korisnike administratora zakupca ili naloge vezane za delegirane administrativne privilegije da bi proverili autentičnost korisnika i aktivnosti. Zatim bi trebalo da onemoguće ili uklone sve neiskorišćene delegirane administrativne privilegije.

Uspostavljanje i primena bezbednosne osnove za smanjenje rizika: Nacionalne države igraju dugu igru i imaju finansijska sredstva, volju i obim da razviju nove strategije i tehnike napada. Svaka inicijativa za jačanje mreže koja je odložena zbog propusnog opsega ili birokratije ide u njihovu korist. Bezbednosni timovi bi trebalo da daju prioritet primeni praksi nultog poverenja kao što su MFA i nadogradnja na metode bez lozinke . Mogu da počnu sa privilegovanim nalozima da bi brzo dobili zaštitu, a zatim se proširuju u postepenim i kontinuiranim fazama.

Ransomver dominira umovima, ali samo nekoliko sojeva

Čini se da je dominantna priča da postoji ogroman broj novih pretnji ransomverom koje prevazilaze mogućnosti branilaca. Međutim, Microsoft analiza pokazuje da to nije tačno. Takođe postoji percepcija da su određene grupe ransomvera jedan monolitni entitet, što je takođe netačno. Ono što postoji jeste kibernetička kriminalna ekonomija u kojoj različiti igrači u lancima napada na robu donose namerne izbore. Oni su vođeni ekonomskim modelom da maksimizuju profit na osnovu toga kako svaki od njih koristi informacije kojima imaju pristup. Grafikon u nastavku pokazuje kako različite grupe profitiraju od različitih strategija kibernetičkih napada i informacija od proboja podataka.

Prosečne cene različitih usluga kibernetičkog kriminala

Prosečne cene usluga kibernetičkog kriminala koje se prodaju. Najmanja cena iznajmljenih napadača je 250 USD po poslu. Kompleti ransomvera su 66 USD ili 30 procenata profita. Najmanja cena za ugrožene uređaje je 13 centi po računaru i 82 centa po mobilnom uređaju. Cena iznajmljivanja ciljanog phishinga kreće se od 100 USD do 1000 USD. Najmanja cena za ukradene parove korisničkih imena i lozinki u proseku je 97 centi za 1000. Saznajte više o ovoj slici na stranici 5 u kompletnom izveštaju

Međutim, bez obzira na to koliko je ransomvera aktivno ili koji su sojevi uključeni, to se zaista svodi na tri ulazna vektora: grubu silu protokola udaljene radne površine (RDP), ranjive sisteme okrenute internetu i phishing. Svi ovi vektori se mogu ublažiti odgovarajućom zaštitom lozinkom, upravljanjem identitetom i ažuriranjem softvera, pored sveobuhvatnog skupa alatki za bezbednost i usklađenost. Vrsta ransomvera može postati isplativa samo kad dobije pristup akreditivima i mogućnost širenja. Odatle, čak i ako se radi o poznatom soju, može da napravi veliku štetu.

Prikaz aktera pretnji od početnog pristupa do lateralnog kretanja kroz sistem

Putanja ponašanja aktera pretnje kada se sistem probije od početne pristupne tačke do krađe akreditiva i lateralnog kretanja kroz sistem. Prati upornu putanju za hvatanje naloga i preuzimanje korisnog tereta ransomvera. Saznajte više o ovoj slici na stranici 5 u kompletnom izveštaju

Timovi za bezbednost bi trebalo da urade sledeće:

Razumeju da ransomver napreduje na podrazumevanim ili kompromitovanim akreditivima: Kao rezultat toga, bezbednosni timovi bi trebalo da ubrzaju mere zaštite kao što je implementacija MFA bez lozinke na sve korisničke naloge uz davanje prioriteta izvršnim, administratorskim i drugim privilegovanim ulogama.

Identifikuju kako da uoče izdajničke anomalije na vreme da bi delovali: Rane prijave, kretanje datoteka i druga ponašanja koja uvode ransomver mogu izgledati neodređeno. Bez obzira na to, timovi moraju da prate anomalije i da brzo reaguju na njih.

Da imaju plan odgovora na ransomver i sprovedu vežbe oporavka: Živimo u eri sinhronizacije i deljenja u oblaku, ali kopije podataka se razlikuju od čitavih IT sistema i baza podataka. Timovi treba da vizuelizuju i uvežbaju kako izgledaju pune restauracije.

Upravljaju upozorenjima i brzo prelaze na ublažavanje: Iako se svi plaše napada ransomverom, primarni fokus bezbednosnih timova treba da bude na jačanju slabih bezbednosnih konfiguracija koje omogućavaju da napad uspe. Oni treba da upravljaju bezbednosnim konfiguracijama kako bi se na upozorenja i detekcije pravilno reagovalo.

Kriva distribucije zaštite koja pokazuje kako osnovna bezbednosna higijena štiti od 98% napada

Zaštitite se od 98% napada pomoću antimalvera, primenom pristupa sa najnižim nivoom privilegija, omogućavanjem višestruke potvrde identiteta, ažuriranim verzijama i zaštitom podataka. Preostalih 2% zvonaste krive uključuje napade van granica. Saznajte više o ovoj slici na stranici 5 u kompletnom izveštaju

Dobijte dodatne smernice od glavnog rukovodioca obaveštajnim podacima o pretnjama u korporaciji Microsoft Kristofera Glijera o tome kako da obezbedite identitet.

Uvidi se stiču i pretnje se blokiraju korišćenjem preko 24 triliona signala dnevno

Pretnje u krajnjim tačkama:
Microsoft Defender za krajnju tačku blokirao je više od 9,6 milijardi pretnji zlonamernog softvera usmerenih na uređaje preduzeća i potrošača između januara i decembra 2021.

Pretnje e-poštom:
Microsoft Defender za Office 365 je između januara i decembra 2021. blokirao više od 35,7 milijardi phishing i drugih zlonamernih e-poruka usmerenih na poslovne korisnike i potrošače.

Pretnje po identitet:
Microsoft (Azure Active Directory) otkrio je i blokirao više od 25,6 milijardi pokušaja otmice korisničkih naloga preduzeća brutalnim korišćenjem ukradenih lozinki, između januara i decembra 2021.

Metodologija: Za podatke snimka, Microsoft platforme, uključujući Defender i Azure Active Directory, obezbedile su anonimizovane podatke o aktivnostima pretnji, kao što su pokušaji prijavljivanja grubom silom, phishing i druge zlonamerne e-poruke usmerene na preduzeća i potrošače, kao i napadi malvera između januara i decembra 2021. Dodatni uvidi proističu iz 24 triliona dnevnih bezbednosnih signala dobijenih širom korporacije Microsoft, uključujući oblak, krajnje tačke i inteligentnu lokaciju. Jaki podaci za potvrdu identiteta kombinuju MFA i zaštitu bez lozinke.

Identitet Ransomver Nacionalna država

Srodni članci

Drugo izdanje izveštaja „Cyber Signals“: Ekonomija iznude

Čujte šta stručnjaci u praktičnom radu imaju da kažu o razvoju ransomvera kao usluge. Od programa i korisnih podataka do posrednika i povezanih lica koji prodaju pristup – saznajte više o alatkama, taktikama i metama koje kibernetički kriminalci preferiraju i nađite smernice koje će vam pomoći da zaštitite organizaciju.

Saznajte više

Odbrana Ukrajine: Prve spoznaje iz kibernetičkog rata

Najnovija otkrića u našim neprekidnim naporima u vezi sa informacijama o pretnjama u ratu između Rusije i Ukrajine, kao i niz zaključaka iz prva četiri meseca rata, doveli su do jačanja potrebe za stalnim i novim ulaganjima u tehnologiju, podatke i partnerstva radi pružanja podrške vladama, preduzećima, nevladinim organizacijama i univerzitetima.

Saznajte više

Profil stručnjaka: Kristofer Glajer

Kao glavni vođa informacija o pretnjama, sa fokusom na ransomver u Microsoft centru za informacije o pretnjama (MSTIC), Kristofer Glajer je deo tima koji istražuje kako najnapredniji zlonamerni akteri pristupaju sistemima i zloupotrebljavaju ih.

Saznajte više