Анатомия на повърхността на съвременната атака

За повечето организации имейлът е основна част от ежедневните бизнес операции. За съжаление имейлът остава един от най-важните вектори на заплаха. 35% от инцидентите с рансъмуер през 2022 г. включват използване на имейл.⁴ Атакуващите извършват повече атаки на имейли от всякога – през 2022 г. честотата на фишинг атаките се е увеличила с 61% в сравнение с 2021 г^.5

Сега атакуващите също често използват законни ресурси, за да извършват фишинг атаки. Това още повече затруднява потребителите да правят разлика между истинските и злонамерените имейли, увеличавайки вероятността дадена заплаха да се измъкне. Фишинг атаките за съгласие са един пример за тази тенденция, в която извършителите на заплахи злоупотребяват със законни доставчици на услуги в облака, за да подмамят потребителите да дадат разрешения за достъп до поверителни данни.

Без способността за свързване на имейл сигнали в по-обширни инциденти, за да се визуализират атаките, може да отнеме дълго време да се открие извършител, представляващ заплаха, който е получил достъп през имейл. А дотогава може да е твърде късно, за да предотвратите щетите. Средното време, необходимо на атакуващ да осъществи достъп до личните данни на организация, е само 72 минути.⁶ Това може да завърши със сериозни загуби на корпоративно ниво. Компрометирането на бизнес имейл (BEC) струва приблизително USD$2.4 милиарда в коригирани загуби през 2021 г.⁷

В днешния свят в облака защитата на достъпа става по-важна от всякога. В резултат на това, получаването на задълбочено разбиране за самоличността във вашата организация – включително разрешения за потребителски акаунти, самоличности на работно натоварване и техните потенциални уязвимости – е жизненоважно, особено докато атаките увеличават честотата и креативността си.

Броят на атаките на пароли се е увеличил до около 921 атаки всяка секунда през 2022 г. – увеличение със 74% от 2021 г.⁸ В Microsoft също сме виждали извършителите на атаки да стават по-креативни в заобикалянето на многофакторното удостоверяване (MFA), използвайки техники като фишинг атаки с вътрешна уязвимост и злоупотреба с код, за да получат достъп до данните на организациите. Комплектите за фишинг правят краденето на идентификационни данни още по-лесно за извършителите на заплахи. Отделът за борба с цифровите престъпления на Microsoft наблюдава подобрение в сложността на комплектите за фишинг през последната година заедно с много ниските бариери за влизане – един продавач предлага комплекти за фишинг само за USD$6 на ден.⁹

Управлението на повърхността на атака над самоличността е повече от просто защитаване на потребителските акаунти – това обхваща достъпа до облака, както и самоличностите на работните натоварвания. Компрометираните идентификационни данни могат да бъдат мощен инструмент за извършителите, представляващи заплаха, който да използват за всяване на хаос в облачната инфраструктура на организацията.

Предвид големия брой устройства в днешната хибридна среда, защитаването на крайните точки става по-предизвикателно. Това, което не се е променило, е, че защитаването на крайните точки – особено неуправляваните устройства – е много важно за стабилното положение на защитата, тъй като дори едно компрометиране може да даде на извършителите, представляващи заплаха, достъп до организацията ви.

Тъй като организациите приемат правила за BYOD („Донеси своето устройство“), неуправляваните устройства се разпространяват бързо. В последствие повърхността на атаката на крайна точка сега е по-голяма и по-незащитена. Средно има 3,500 свързани устройства в едно предприятие, които не са защитени от агент на EDR.¹¹

Неуправляваните устройства (които са част от пейзажа на „сенчестите ИТ“) са особено привлекателни за извършителите, представляващи заплаха, тъй като екипите по защита нямат необходимата видимост, за да ги защитят. В Microsoft открихме, че има 71% по-голяма вероятност потребителите да бъда инфектирани на неуправлявано устройство.¹² Тъй като се свързват към мрежите на компанията, неуправляваните устройства също представят възможности за атакуващите да стартират по-обширни атаки над сървъри и друга инфраструктура.

Неуправляваните сървъри също са потенциални вектори за атаки над крайна точка. През 2021 г. Microsoft Security наблюдава атака, при която извършител, представляващ заплаха, се възползва от некоригиран сървър, навигира през директориите и откри папка с пароли, предоставящи достъп до идентификационните данни на акаунти.

Един от най-пренебрегваните вектори на атака над крайна точка е IoT (интернет на нещата), който включва милиарди устройства, както големи, така и малки. Защитата на IoT обхваща физическите устройства, които се свързват с и обменят данни с мрежата, като например рутери, принтери, камери и други подобни устройства. Може също да включва работни устройства и сензори (оперативна технология или „OT“) като интелигентно оборудване в производствените продуктови линии.

Докато броят на IoT устройствата се увеличава, нараства и броят на уязвимостите. Инструментът за връзка с интернет бази данни предвижда, че до 2025 г. 41 милиарда IoT устройства ще бъдат налични в предприятията и потребителските среди.¹⁵ Тъй като много организации укрепват рутерите и мрежите, за да ги направят по-трудни за пробив от извършителите, представляващи заплаха, IoT устройствата стават по-лесна и привлекателна цел. Често сме виждали извършителите, представляващи заплаха, да използват уязвимости, за да превърнат IoT устройства в проксита, използвайки незащитени устройства като опора в мрежата. След като извършител, представляващ заплаха, е получил достъп до IoT устройство, той може да наблюдава трафика в мрежата за други незащитени активи, да се придвижва странично, за да нахлуе в други части на целевата инфраструктура, или да извърши разузнаване, за да планира широкомащабни атаки срещу чувствителни оборудване и устройства. В едно проучване 35% от специалистите по защита съобщават, че през последните 2 години е използвано IoT устройство за извършване на по-обширна атака срещу организацията им.¹⁶

За съжаление, IoT често е черна кутия за организациите по отношение на видимостта и много от тях нямат подходящи мерки за защита на IoT. 60% от специалистите по защита посочват защитата на IoT и OT като един от най-малко защитените аспекти на тяхната ИТ и ОТ инфраструктура.¹⁷

Днес външната повърхност на атака на организация обхваща няколко облака, сложни цифрови вериги за доставки и масивни екосистеми на други разработчици. Сега интернет е част от мрежата и въпреки почти необятния му размер екипите по сигурността трябва да защитават присъствието на организацията си в интернет в същата степен, както всичко зад защитните си стени. И тъй като все повече организации приемат принципите на Zero Trust, защитата на вътрешните и външните повърхности на атака се е превърнало в предизвикателство от огромен мащаб.

Повърхността на глобална атака расте заедно с интернет, а той се разраства всеки ден. В Microsoft сме виждали доказателства за това разрастване в много видове заплахи, като например фишинг атаки. През 2021 г. Отделът за борба с цифровите престъпления на Microsoft ръководи премахването на повече от 96,000 уникални URL адрес за фишинг и 7,700 комплекта за фишинг, което доведе до идентифицирането и затварянето на над 2,200 злонамерени имейл акаунта, използвани за събиране на откраднати идентификационни данни на клиенти.²⁴

Външната повърхност на атаката се разпростира далеч отвъд собствените активи на организацията. Често включва доставчици, партньори, неуправлявани лични устройства на служители, свързани към мрежите или активите на компанията, и новопридобити организации. Следователно е изключително важно да сте наясно с външните връзки и нивото на уязвимост, за да смекчите потенциалните заплахи. Отчет на Понмон от 2020 г. разкрива, че 53% от организациите са претърпели най-малко един пробив в данните, причинен от трето лице, през последните 2 години, което е струвало средно USD$7.5 милиона за отстраняване.²⁵

Тъй като инфраструктурата зад кибератаките се увеличава, придобиването на видимост в инфраструктурата на заплахите и извършването на инвентаризация на изложените в интернет активи става по-спешно от всякога. Открихме, че организациите често изпитват трудности да разберат обхвата на външното им ниво на уязвимост, което води до значителни слепи точки. Тези слепи точки могат да имат опустошителни последици. През 2021 г. 61% от бизнесите са претърпели атака с рансъмуер, която е довела до поне частично прекъсване на бизнес операциите.²⁶

В Microsoft често казваме на клиентите да гледат на организацията си отвън навътре, когато оценяват положението на защитата. Освен VAPT (оценка на уязвимостта и тестване за проникване), важно е да получите дълбока видимост във външната повърхност на атака, за да можете да идентифицирате уязвимостите в цялата ви среда и разширена екосистема. Ако бяхте атакуващ, който се опитва да проникне, какво бихте използвали? Разбирането на пълния обхват на външната повърхност на атака на вашата организация е основополагащо за нейната защита.

Как Microsoft може да помогне

Днешният пейзаж на заплахите непрекъснато се променя и организациите се нуждаят от стратегия за защита, която да бъде в крак. Повишените организационна сложност и ниво на уязвимост заедно с големия обем от заплахи и ниската бариера за влизане в икономиката на киберпрестъпността правят защитата на всеки процеп в и между всяка повърхност на атака по-спешна от всякога.

Екипите по защита се нуждаят от мощен набор от ресурси срещу заплахи, за да се защитават срещу днешните безбройни и развиващи се заплахи. Правилният набор от ресурси срещу заплахи свързва сигнали от различни места – предоставяйки навременен и уместен контекст за поведението и тенденциите на текущата заплаха, така че екипите по защита могат успешно да идентифицират уязвимостите, да приоритизират известяванията и да прекъснат атаките. И ако се случи пробив, наборът от ресурси срещу заплахи е много важен за предпазването от по-нататъшна вреда и подобряването на защитите, така че подобна атака да не се случи отново. Просто казано, организациите, които използват повече набори от ресурси срещу заплахи, ще бъдат по-защитени и успешни.

Microsoft има несравним поглед върху развиващия се пейзаж на заплахите, с 65 трилиона сигнала, анализирани ежедневно. Чрез съпоставяне на тези сигнали в реално време между повърхностите на атака, наборът от ресурси срещу заплахи, вграден в решенията на Microsoft Security, предоставя прозрения за разрастващата се среда на рансъмуер и заплахи, така че да можете да видите и спрете повече атаки. И с разширените възможности на ИИ, като например Microsoft Security Copilot, можете да бъдете пред еволюиращите заплахи и да защитавате вашата организация със скоростта на машина – давайки възможност на екипа ви по защита да опрости сложното, да хване това, което другите пропускат, и да защити всичко.