Анатомія сучасних векторів атак

Для більшості організацій електронна пошта є невід’ємною частиною повсякденної діяльності. На жаль, електронна пошта залишається найголовніший вектором загрози. 35% інцидентів зі зловмисними програмами з вимогою викупу у 2022 році пов’язані з використанням електронної пошти⁴. Зловмисники проводять більше атак електронною поштою, ніж будь-коли раніше: у 2022 році частка фішингових атак зросла на 61% порівняно з 2021 роком⁵.

Також зловмисники тепер регулярно використовують законні ресурси для здійснення фішингових атак. Через це користувачам ще складніше відрізнити справжні електронні листи від зловмисних, що збільшує ймовірність проникнення загрози. Фішинг згоди є одним із прикладів цієї тенденції, коли джерела загрози неправомірно використовують постачальників хмарних служб, щоб обманом змусити користувачів надати дозволи на доступ до конфіденційних даних.

Без можливості зіставляти сигнали електронної пошти із ширшими інцидентами для візуалізації атак може знадобитися багато часу, щоб виявити джерело загрози, яке отримало доступ через електронну пошту. І на той час може бути надто пізно, щоб уникнути шкоди. Середній час, за який зловмисник отримує доступ до приватних даних організації, становить лише 72 хвилини⁶. Це може призвести до серйозних збитків на рівні підприємства. У 2021 році порушення безпеки корпоративної електронної пошти нанесли збитків приблизно на 2,4 мільярда доларів США (USD)⁷.

У сучасному хмарному світі захист доступу став важливішим, ніж будь-коли раніше. Таким чином, важливо отримати глибоке розуміння ідентичності у вашій організації, включно з дозволами облікових записів, ідентичностями робочих процесів і їх потенційними вразливостями, зокрема в умовах збільшення частоти та креативності атак.

У 2022 році кількість атак на паролі зросла приблизно до 921 атаки щосекунди, що на 74% більше ніж у 2021 році⁸ . Корпорація Майкрософт також зауважила, що джерела загрози почали креативніше обходити багатофакторну автентифікацію (БФА), використовуючи такі методи, як фішингові атаки зловмисного посередника та неправомірне використання маркерів для доступу до даних організацій. Набори для фішингу спростили крадіжку облікових даних для джерел загрози. Підрозділ корпорації Майкрософт із боротьби з кіберзлочинами відзначив підвищення рівня складності наборів для фішингу за останній рік, а також дуже низькі бар’єри входу – один із продавців пропонує набори для фішингу всього за 6 доларів США (USD) на день⁹.

Керування векторами атаки на ідентичність полягає не лише в захисті облікових записів: воно охоплює доступ до хмари та ідентичності робочих процесів. Уражені облікові дані можуть стати для джерел загрози потужним інструментом, що дає змогу нанести серйозну шкоду хмарній інфраструктурі організації.

З огляду на величезну кількість пристроїв у сучасному гібридному середовищі захист кінцевих точок ускладнився. Що не змінилося, так це факт, що захист кінцевих точок – зокрема, некерованих пристроїв – має вирішальне значення для надійного стану захищеності, оскільки навіть одне порушення безпеки може надати джерелам загрози доступ до організації.

З ухваленням політик BYOD ("Використовуйте власні пристрої") кількість некерованих пристроїв значно зросла. У результаті, вектори атаки на кінцеві точки теж розширились і стали вразливішими. На підприємстві є в середньому 3500 підключених пристроїв, не захищених агентом протидії загрозам у кінцевих точках¹¹.

Некеровані пристрої (які входять у ландшафт тіньових ІТ-ресурсів) викликають особливе зацікавлення в джерел загроз, оскільки в команд безпеки немає достатньої видимості для їх захисту. Ми виявили, що ймовірність ураження некерованих пристроїв на 71% вища¹². Оскільки некеровані пристрої підключаються до корпоративних мереж, вони дають зловмисникам можливість здійснювати масштабніші атаки на сервери й іншу інфраструктуру.

Некеровані сервери також є потенційними векторами атак на кінцеві точки. У 2021 році команда Microsoft Security зафіксувала атаку, де джерело загрози скористалося вразливістю сервера без виправлень, переміщалося каталогами та знайшло папку з паролями, що дали йому доступ до облікових даних.

Одним із найбільш недооцінених векторів атаки на кінцеві точки є Інтернет речей (IoT), що охоплює мільярди великих і малих пристроїв. Безпека IoT охоплює фізичні пристрої, що підключаються до мережі та обмінюються з нею даними (наприклад, маршрутизатори, принтери, камери тощо). Також до нього можуть входити операційні пристрої та датчики (операційні технології або "ОТ"), наприклад розумне обладнання на виробничих лініях.

Зі збільшенням кількості пристроїв IoT зростає й кількість уразливостей. IDC прогнозує, що до 2025 року в корпоративному та споживацькому середовищах працюватиме 41 мільярд пристроїв IoT¹⁵. Оскільки багато організацій удосконалюють захист маршрутизаторів і мереж, щоб джерелам загроз було складніше порушити їх безпеку, пристрої IoT стають простішою та привабливішою ціллю. Ми часто спостерігали, як джерела загрози використовують уразливості, щоб перетворити пристрої IoT на проксі-сервери й проникати в мережу через незахищені пристрої. Отримавши доступ до пристрою IoT, джерело загрози може відстежувати трафік на наявність інших незахищених ресурсів, здійснювати бічне переміщення й проникати в інші частини цільової інфраструктури або проводити інформаційну розвідку для подальших широкомасштабних атак на делікатне обладнання та пристрої. 35% фахівців із безпеки, які брали участь в одному з досліджень, зазначали, що за останні 2 роки пристрої IoT використовувалися для масштабніших атак на їхні організації¹⁶.

На жаль, з точки зору видимості IoT часто є чорним ящиком для організацій, і багато пристроїв не мають достатніх заходів безпеки. 60% фахівців зазначили, що безпека IoT та ОТ – одна з найуразливіших сторін їхньої ІТ- й ОТ-інфраструктури¹⁷.

Сьогодні зовнішні вектори атаки організації охоплюють кілька хмар, складні цифрові ланцюги постачання та великі сторонні екосистеми. Інтернет тепер є частиною мережі, і, незважаючи на його майже неосяжний розмір, команди безпеки повинні захищати присутність організації в Інтернеті так само, як і все, що перебуває за їхніми брандмауерами. Оскільки все більше організацій приймають принципи нульової довіри, захист внутрішніх і зовнішніх векторів атаки став непростим завданням для всього Інтернету.

Глобальні вектори атаки зростають разом з Інтернетом і розширюються щодня. У корпорації Майкрософт ми бачили докази збільшення кількості різних типів загроз, наприклад фішингових атак. У 2021 році підрозділ корпорації Майкрософт із боротьби з кіберзлочинами очолив вилучення понад 96 000 унікальних фішингових URL-адрес і 7700 наборів для фішингу, що призвело до виявлення й закриття понад 2200 зловмисних облікових записів електронної пошти, які використовувалися для збору вкрадених облікових даних клієнтів²⁴.

Зовнішні вектори атаки виходять далеко за межі власних ресурсів організації. Часто вони охоплюють постачальників, партнерів, некеровані пристрої працівників, підключені до корпоративних мереж чи ресурсів, а також нещодавно придбані організації. Тому важливо знати про зовнішні зв’язки та вразливість, щоб керувати потенційними загрозами. У звіті Ponemon за 2020 рік було виявлено, що за останні 2 роки 53% організацій стикнулися принаймні з одним порушенням безпеки даних, спричиненим третьою стороною, усунення якого коштувало в середньому 7,5 мільйона доларів США (USD)²⁵.

Оскільки інфраструктура, що стоїть за кібератаками, розвивається, отримання інформації про інфраструктуру загроз та інвентаризація ресурсів, доступних через Інтернет, стають актуальнішими, ніж будь-коли. Ми виявили, що організаціям часто важко зрозуміти масштаби вразливості ззовні, що призводить до появи значних сліпих зон. Ці сліпі зони можуть спричинити руйнівні наслідки. У 2021 році 61% компаній стикалися з атакою зловмисних програм із вимогою викупу, що призвело до щонайменше часткових збоїв їх діяльності²⁶.

Під час оцінки захищеності спеціалісти корпорації Майкрософт часто радять клієнтам подивитися на свою організацію з точки зору зовнішнього спостерігача. Окрім VAPT (оцінювання вразливості та перевірка на проникнення) важливо отримати детальну інформацію про зовнішні вектори атаки, щоб визначити вразливості в усьому середовищі та розширеній екосистемі. Якщо б ви були зловмисником, чим би ви змогли скористатися? Розуміння повного масштабу зовнішніх векторів атаки організації є фундаментальним для її захисту.

Як корпорація Майкрософт може допомогти

Сучасний ландшафт загроз постійно змінюється, і організаціям потрібна стратегія безпеки, яка може йти в ногу з цими змінами. Підвищена організаційна складність і вразливість, а також велика кількість загроз і низький бар’єр входу в економіку кіберзлочинності роблять нагальнішим, ніж будь-коли, захист кожної вразливості в кожному векторі атаки й між ними.

Командам безпеки потрібний потужний аналіз кіберзагроз, щоб захиститися від безлічі сучасних загроз, що постійно розвиваються. Належний аналіз кіберзагроз співвідносить сигнали з різних джерел, надаючи своєчасну й актуальну інформацію про поточну поведінку та тенденції атак, щоб команди безпеки могли виявляти вразливості, визначати пріоритетність оповіщень і переривати атаки. А якщо безпеку все ж порушено, аналіз кіберзагроз має вирішальне значення для запобігання подальшій шкоді та покращення захисту для уникнення схожих атак. Таким чином, організації, які ви використовують більше даних аналізу кіберзагроз, матимуть кращий захист і будуть успішніші.

Корпорація Майкрософт має безпрецедентну розуміння ландшафту загроз, що розвиваються, аналізуючи 65 трильйонів сигналів щодня. Співвідносячи ці сигнали в режимі реального часу між векторами атаки, аналіз кіберзагроз, вбудований у рішення Захисного комплексу Microsoft, надає інформацію про розвиток зловмисних програм із вимогою викупу та середовище загроз, щоб ви могли виявляти та зупиняти більше атак. Завдяки розширеним можливостям штучного інтелекту, таким як  Захисний комплекс Microsoft Copilot, ви можете випереджати загрози, що розвиваються, і захищати свою організацію зі швидкістю комп’ютера, даючи команді безпеки можливість спростити складні завдання, уловлювати те, що інші не помічають, і захистити всі ресурси.