Trace Id is missing
Перейти до основного
Security Insider

Анатомія векторів зовнішніх атак

Завантажити
Поділитися
Розуміння анатомії векторів зовнішніх атак

Організації мають відстежувати п’ять елементів

Системи кібербезпеки у світі розвиваються, адже дедалі більше організацій переміщає дані в хмару й переходить на децентралізовані методи роботи. Сьогодні вектори зовнішніх атак включають кілька хмар, складні цифрові ланцюги постачання та великі сторонні екосистеми. Звичайно, новий масштаб глобальних проблем безпеки радикально змінив наше уявлення про комплексний захист.

Інтернет тепер є частиною мережі. Попри його майже неосяжний розмір, команди безпеки повинні захищати свою організацію в Інтернеті так само, як і всі ресурси поза межами її брандмауерів. Оскільки дедалі більше організацій запроваджують принципи нульової довіри, захист від векторів внутрішніх і зовнішніх атак стає непростим завданням на рівні Інтернету. Саме тому дуже важливо знати про всі можливі загрози.

У 2021 р. корпорація Майкрософт придбала компанію  Risk IQ, щоб дати організаціям можливість оцінювати безпеку цифрового середовища. За допомогою Internet Intelligence Graph від компанії RiskIQ організації можуть виявляти й досліджувати загрози для компонентів, підключень, служб, підключених до IP пристроїв й інфраструктури та розробляти надійну й комплексну систему захисту.

Глибина й обшир потрібних захисних заходів, які мають уживати команди безпеки, можуть видатися неосяжними. Проте один зі способів осягнути масштаб векторів атак на організацію – це оцінити можливості Інтернету як зловмисник. У цій статті наведено п’ять галузей, які допомагають краще зрозуміти завдання для ефективного керування векторами зовнішніх загроз.

Глобальні вектори атак зростають разом з Інтернетом

І розширюються кожного дня. У 2020 р. обсяг даних в Інтернеті досяг 40 зетабайтів, або 40 трильйонів гігабайтів.1 Компанія RiskIQ підрахувала, що до заплутаної мережі глобальних векторів атак щохвилини додається 117 298 хостів і 613 доменів2 . Кожен із цих ресурсів містить набір елементів, наприклад операційні системи, інфраструктури, сторонні програми, плагіни й коди для відстеження. З огляду на те, як швидко росте кількість цих сайтів із різними ресурсами, зона ураження для векторів атак розширюється в геометричній прогресії.

Глобальні вектори атаки зростають щохвилини

  • хостів створюють щохвилини.
  • доменів створюють щохвилини.
  • 375 нових загроз виникають щохвилини.2

Свій внесок у цю ситуацію роблять як законослухняні організації, так і зловмисні групи. Це означає, що рівень загроз зростає відповідно до поширення Інтернету. Майстерні виконавці вдосконалених постійних загроз (APT) і дрібні кіберзлочинці загрожують безпеці бізнесу, оскільки націлені на корпоративні дані, бренди, інтелектуальну власність, робочі системи й персонал.

У першому кварталі 2021 р. корпорація CISCO виявила 611 877 унікальних фішингових сайтів,3 водночас щохвилини відбувалося 32 події порушення роботи доменів і виникало 375 нових загроз.2 Хакери націлені на працівників і клієнтів організацій і за допомогою різних обманних прийомів спонукають їх переходити за зловмисними посиланнями, а також полюють на делікатну інформацію. Усе це може зашкодити репутації бренду й підірвати довіру клієнтів.

Кількість уразливостей зростає через віддалений формат роботи

Оскільки різко зросла кількість ресурсів, доступних в Інтернеті, перелік загроз і вразливостей, які впливають на роботу середньостатистичної організації, став набагато довшим. Під час пандемії COVID-19 прискорився розвиток цифрових технологій. Майже кожна організація розширила своє цифрове середовище, щоб організувати віддалені робочі місця за новою гнучкою моделлю ведення бізнесу. У результаті в хакерів з’явилися багато нових точок доступу, які можна уразити.

Використання технологій для віддаленого доступу, як-от RDP (віддалений робочий стіл) або мережа VPN (віртуальна приватна мережа), зросло на 41% і 33% відповідно,4адже в усьому світі почали переходити на формат віддаленої роботи. Ринок програмного забезпечення для технології віддаленого робочого столу, який у 2019 р. становив 1,53 мільярди дол. США, зросте до 4,69 мільярдів дол. США до 2027 року.5

Десятки нових уразливостей у програмах і пристроях для віддаленого доступу надали зловмисникам можливості, яких досі не було. Компанія RiskIQ виявила багато вразливих екземплярів найпопулярніших пристроїв для віддаленого доступу й установлення периметра безпеки. А темпи появи нових уразливостей залишаються на тому ж рівні. Загалом у 2021 р. було повідомлено про 18 378 уразливостей.6

Нова картина вразливостей

  • – приріст використання RDP.
  • – приріст використання мереж VPN.
  • уразливостей виявлено у 2021 р.

Оскільки численні джерела загроз проводять усе більше глобальних атак на технологічні компанії, команди безпеки мають усувати вразливості самих організацій, сторонніх компаній, партнерів, контрольованого й незалежного ПЗ, а також служб у рамках відносин у цифрових ланцюгах постачання організації.

Через використання цифрових ланцюгів постачання та тіньових ІТ-ресурсів, об’єднання та придбання компаній виникають приховані вектори атак

Більшість атак здійснюються з великої відстані до мережі. Окремим вектором атак можна вважати використання веб-версій програм для хакерських зламів. На жаль, більшість організацій не бачать повної картини своїх ресурсів в Інтернеті й того, як ці ресурси пов’язанні з глобальними векторами атак. Відсутність цілісного бачення виникає також через три важливі фактори: тіньові ІТ-ресурси, об’єднання та придбання компаній, цифрові ланцюги постачання.

Залежні елементи під ризиком

  • служб припиняють діяти щохвилини2
  • угод передбачають аналіз потенційних ризиків для кібербезпеки.7
  • організацій стикалися принаймні з одним порушенням безпеки даних, спричиненим третьою стороною.8

Тіньові ІТ-ресурси

 

Коли ІТ-команда не може задовольнити всі вимоги бізнесу, компанії звертаються до третіх сторін по допомогу з розробкою та розгортанням нових веб-ресурсів. Зазвичай команді безпеки не відомо про залучення тіньових ІТ-ресурсів, тому вона не може врахувати створені за допомогою цих ресурсів елементи в стратегії захисту. Некеровані й залишені без нагляду ресурси з часом можуть перетворитися на загрози для безпеки організації.

Стрімке розростання цифрових ресурсів поза межами брандмауерів стало нормою. Нові клієнти компанії RiskIQ зазвичай знаходять у себе на 30% більше ресурсів, ніж вони очікували, а RiskIQ щохвилини виявляє 15 служб, термін дії яких минув, (уразливі до крадіжок третинного домену) та 143 відкритих порти.2

Об’єднання та придбання компаній

 

Щоденна діяльність, важливі бізнес-рішення (наприклад про об’єднання чи придбання компаній), а також залучення сторонніх виконавців створюють нові вектори зовнішніх атак і розширюють наявні. Зараз менше 10% угод передбачають аналіз потенційних ризиків для кібербезпеки.

Є кілька поширених причин, з яких організації не бачать повної картини потенційних ризиків для кібербезпеки, коли проводять згаданий аналіз. Перша – масштаб цифрової присутності компанії, яку вони придбавають. Нерідко великі організації мають тисячі, навіть десятки тисяч активних веб-сайтів та інших загальнодоступних ресурсів в Інтернеті. Хоча ІТ-відділ і команда безпеки компанії, яку мають придбати, ведуть реєстри веб-сайтів, зазвичай вони відображають лише частину наявних веб-ресурсів. Що менше централізована робота ІТ-відділу організації, то більші прогалини у відомостях.

Ланцюги постачання

 

Компанії все більше залежать від цифрових угод, які формують сучасні ланцюги постачань. Така залежність є невід’ємною складовою бізнесу в ХХІ столітті, але вона призводить до появи заплутаної багаторівневої мережі відносин з третіми сторонами, які часто знаходяться поза межами компетенції команд безпеки й оцінки ризиків компанії. Отже, неможливо подбати про захист заздалегідь. У результаті проблематично швидко виявляти вразливі цифрові ресурси під ризиком.

Через брак розуміння цих залежних відносин атаки на треті сторони стали вектором, до якого найчастіше вдаються джерела загроз, і досить успішно. Значна частина атак тепер здійснюється через цифрові ланцюги постачання. 70% ІТ-фахівців говорять про середній або високий рівень залежності від зовнішніх сторін – третіх, четвертих або п’ятих.9Водночас 53% організацій стикалися принаймні з одним порушенням безпеки даних, спричиненим третьою стороною.10

Масштабні атаки на ланцюги постачання стають поширенішими, а менші атаки на організації – щоденними. Зловмисні програми для крадіжки даних цифрових кредитних карток, наприклад суб’єкта Magecart, упливають на роботу сторонніх плагінів для електронної комерції. У лютому 2022 р. компанія RiskIQ виявила понад 300 доменів, уражених шкідливим програмним забезпеченням Magecart для крадіжки даних цифрових кредитних карток.11

Щороку приватні компанії все більше інвестують у рішення для мобільних пристроїв, оскільки вони займають дедалі помітніше місце в житті середньостатистичного споживача. Американці тепер більше часу проводять за переглядом вмісту на мобільних пристроях, ніж на телевізорі. Соціальне дистанціювання змусило їх перенести багато повсякденних справ у цифрову площину, наприклад покупки або навчання. Дані компанії App Annie показують, що витрати на рішення для мобільних пристроїв зросли до приголомшливих 170 мільярдів дол. США у 2021 р. із щорічним приростом у 19%.12

Такий попит на мобільні рішення спричинює значне розповсюдження мобільних програм. У 2020 р. користувачі завантажили 218 мільярдів програм. Компанія RiskIQ повідомила, що у 2020 р. кількість доступних мобільних програм зросла на 33%, і щохвилини з’являлося 23 нових програми.2

Магазини програм частіше використовуються як вектори атак

  • – зростання кількості мобільних програм.
  • мобільних програми з’являються щохвилини.
  • програми блокуються що п’ять хвилин.2

Мобільні програми допомагають компаніям досягати кращих результатів. Однак це палиця з двома кінцями. Програми часто використовують як вектори атак, що існують поза межами брандмауерів приватних компаній, а командам безпеки критично бракує можливостей для відстеження таких атак. Джерела загроз успішно користуються вимушеною короткозорістю команд безпеки, щоб створювати шахрайські програми, які видають, наприклад, за продукти відомих брендів, і обманом спонукати користувачів їх завантажувати. Щойно користувач, який не підозрює про небезпеку, завантажує зловмисну програму, джерела загроз отримують зелене світло для фішингу делікатної інформації або інсталювання шкідливих програм на пристрої. Компанія RiskIQ кожні п’ять хвилин вносить зловмисну мобільну програму до списку заблокованих осіб і сайтів.

Шахрайські програми можуть з’являтися в офіційних магазинах програм. Іноді хакерам удається порушити безпеку навіть великих магазинів із надійним захистом. Однак сотні менших ресурсів із сумнівною репутацією пропонують величезний спектр підозрілих мобільних продуктів поза межами відносної безпеки надійних магазинів. На відміну від офіційних продавців, такі ресурси заледве контролюють якість програм, а кількість зловмисних програм може перевищувати обсяг безпечних пропозицій.

Глобальні вектори є частиною векторів атак на організацію

Сучасні глобальні вектори Інтернет-атак дуже змінилися, перетворившись на динамічну, всеосяжну й заплутану екосистему – і ми всі є її частиною. Якщо ви присутні в Інтернеті, то взаємодієте з усіма іншими користувачами, включно зі зловмисниками. Саме тому відстеження інфраструктури загроз таке ж важливе, як і моніторинг власного цифрового середовища.

Глобальні вектори є частиною векторів атак на організацію

  • нових елементів зловмисних програм виявляють щодня.2
  • – приріст варіантів шкідливого програмного забезпечення.13
  • сервер Cobalt Strike з’являється кожні 49 хвилин.2

Різні джерела загроз спільно використовують інфраструктуру – IP-адреси, домени, сертифікати – і застосовують інструменти з відкритим кодом, як-от зловмисні програми, комплекти для фішингу, компоненти атак з керівним центром, щоб їх було важче виявити. Зловмисники вдосконалюють і видозмінюють засоби відповідно до конкретних потреб.

Фахівці щодня виявляють понад 560 000 елементів зловмисних програм, а кількість комплектів для фішингу, які зловмисники рекламують на підпільних комерційних ринках, виросла вдвічі з 2018 по 2019 роки. У 2020 р. кількість виявлених варіантів зловмисних програм зросла на 74%.14 Тепер компанія RiskIQ кожні 49 хвилин виявляє сервер Cobalt Strike для атак з керівним центром.

Традиційно стратегія безпеки будувалася за принципом захисту вглиб організації, коли заходи починалися по периметру безпеки й спрямовувалися всередину організації до ресурсів, які потрібно захистити. Однак зараз у цій стратегії є прогалини, які не покривають усіх векторів атак, як свідчать дані цього звіту. У сучасному світі цифрової взаємодії користувачі знаходяться за периметром безпеки, як і значна частина корпоративних ресурсів, і численні суб’єкти загроз. Застосувавши принципи нульової довіри до різних корпоративних ресурсів можна захистити працівників, а також їхні пристрої, програми й дані, незалежно від їх розташування чи масштабу загрози. Захисний комплекс Microsoft включає цілу низку інструментів, які допоможуть вамвизначити, на якому етапі впровадження нульової довіри перебуває ваша організація.

Пов’язані статті

Хвилина кіберзагроз

Під час кібератак важлива кожна секунда. Щоб продемонструвати оцінювання масштабу й наслідків глобальних кіберзлочинів, ми зібрали річні дослідження з питань кібербезпеки у підсумку, на ознайомлення з яким вас знадобиться лише одна хвилина.
Дізнайтеся більше

Зловмисна програма з вимогою викупу як послуга

Керовані атаки – нова модель, яка розширює та врізноманітнює можливості кіберзлочинців.
Дізнайтеся більше

Розвиток IoT й ризик для OT

Частіше використання Інтернету речей створює загрозу для операційних технологій через безліч потенційних вразливостей і доступність для зловмисників. Дізнайтеся, як захистити свою організацію.
Дізнайтеся більше