Trace Id is missing
Преминаване към основното съдържание
Security Insider

Анатомия на повърхността на външна атака

Изтегляне
Споделяне
Разбиране на анатомията на повърхността на външна атака

Пет елемента, които организациите трябва да наблюдават

Светът на киберсигурността продължава да става по-сложен, тъй като организациите се преместват в облака и преминават към децентрализирана работа. Днес повърхността на външната атака обхваща няколко облака, сложни цифрови вериги за доставки и масивни екосистеми на други разработчици. Вследствие на това самият мащаб на сега често срещаните глобални проблеми на сигурността радикално промени възприятието ни за цялостна сигурност.

Интернет вече е част от мрежата. Въпреки почти необятния му размер екипите по сигурността трябва да защитават присъствието на организацията си в интернет в същата степен, както всичко зад защитните си стени. Тъй като все повече организации възприемат принципите на  Zero Trust, защитата на вътрешните и външните повърхности се превръща в предизвикателство от интернет мащаб. Поради това за организациите е все по-критично да разберат пълния обхват на своята повърхност на атака.

През 2021 г. Microsoft придоби Risk IQ, за да помогне на организациите да оценят сигурността на цялото си цифрово предприятие. Поддържани от  RiskIQ Internet Intelligence Graph, организациите могат да откриват и изследват заплахите в компонентите, връзките, услугите, IP-свързаните устройства и инфраструктурата, които съставляват тяхната повърхност за атаки, за да създадат устойчива, мащабируема защита.

За екипите по защита самата дълбочина и обхват на това, което трябва да защитават, може да изглеждат обезкуражаващи. Въпреки това един от начините да представят обхвата на атакуваната повърхност на своята организация в перспектива е да помислят за интернет от гледна точка на нападателя. В тази статия са подчертани пет области, които помагат да се очертаят по-добре предизвикателствата на ефективното управление на външната повърхност на атака.

Глобалната повърхност на атака расте заедно с интернет

И тя расте всеки ден. През 2020 г. обемът на данните в интернет ще достигне 40 зетабайта, или 40 трилиона гигабайта.1 RiskIQ установи, че всяка минута 117 298 хоста и 613 домейна2 прибавят към многото преплетени нишки, съставляващи сложната тъкан на глобалната повърхност на атака. Всяка от тях съдържа набор от елементи, като например базови операционни системи, рамки, приложения на трети страни, плъгини и код за проследяване. С всеки от тези бързо разпространяващи се сайтове, съдържащи тези гайки и болтове, обхватът на глобалната повърхност на атака се увеличава експоненциално.

Глобалната повърхност на атака се увеличава всяка минута

  • хостове, създавани всяка минута.
  • Домейни, създавани всяка минута.
  • 375 нови заплахи всяка минута.2

За този ръст допринасят както легитимни организации, така и участници в заплахи, което означава, че киберзаплахите се увеличават в мащаба на останалата част от интернет. Както сложните усъвършенствани постоянни заплахи (APT), така и дребните киберпрестъпници застрашават сигурността на предприятията, насочвайки се към техните данни, марка, интелектуална собственост, системи и хора.

През първото тримесечие на 2021 г. CISCO е открила 611 877 уникални фишинг сайтове,3 с 32 събития за нарушаване на домейни и 375 нови общи заплахи, възникващи в минута.2 Тези заплахи са насочени към служителите и клиентите на организациите с нелоялни активи, като се стремят да ги заблудят да кликнат върху злонамерени връзки и да осъществят фишинг за чувствителни данни, като всичко това може да подкопае доверието в марката и потребителите.

Увеличаване на уязвимостите от дистанционна работна сила

Бързото нарастване на активите, изложени на интернет, значително разшири спектъра на заплахите и уязвимостите, засягащи средната организация. С появата на COVID-19 цифровият растеж отново се ускори, като почти всяка организация разшири цифровия си отпечатък, за да се приспособи към отдалечената, изключително гъвкава работна сила и бизнес модел. Резултатът: нападателите вече разполагат с много повече точки за достъп, които да изследват или експлоатират.

Използването на технологии за отдалечен достъп като RDP (Remote Desktop Protocol) и VPN (Virtual Private Network) скочи съответно с 41% и 33%4, като по-голямата част от света възприе политика на работа от вкъщи. Размерът на световния пазар на софтуер за отдалечен работен плот, който през 2019 г. възлиза на 1,53 млрд. щатски долара, ще достигне 4,69 млрд. щатски долара до 2027 г.5

Десетки нови уязвимости в софтуера и устройствата за отдалечен достъп дадоха на нападателите опорни точки, каквито никога преди не са имали. RiskIQ разкри много уязвими екземпляри на най-популярните устройства за отдалечен достъп и периметър, като темпото на нарастване на уязвимостите не се е забавило. Като цяло през 2021 г. са докладвани 18 378 уязвимости.6

Нов пейзаж на уязвимостите

  • ръст в използването на RDP.
  • ръст в използването на VPN.
  • докладвани уязвимости през 2021 г.

С нарастването на атаките от глобален мащаб, организирани от множество групи за заплахи и пригодени за цифровите предприятия, екипите по защита трябва да намалят уязвимостите за себе си, трети страни, партньори, контролирани и неконтролирани приложения и услуги в рамките на и между връзките в цифровата верига за доставки.

Цифровите вериги за доставки, M&A и ИТ в сянка създават скрита повърхност на атака

Повечето кибератаки възникват на километри от мрежата; уеб приложенията съставляват категорията вектори, които най-често се използват при нарушения, свързани с хакерски атаки. За съжаление, повечето организации нямат пълна представа за своите интернет активи и за това как тези активи се свързват с глобалната повърхност за атаки. Три съществени фактора, които допринасят за тази липса на видимост, са сенчестите ИТ, сливанията и придобиванията (M&A) и цифровите вериги за доставки.

Рискови зависимости

  • изтекли услуги в минута.2
  • от сделките съдържат надлежна проверка на киберсигурността.7
  • от организациите са имали поне едно нарушение на сигурността на данните, причинено от трета страна.8

Сенчести ИТ

 

Когато ИТ не могат да се справят с бизнес изискванията, бизнесът търси подкрепа за разработване и внедряване на нови уеб активи другаде. Екипът по сигурността често е в неведение относно тези дейности на сенчестите ИТ и в резултат на това не може да включи създадените активи в обхвата на своята програма за сигурност. Неуправляемите и осиротели активи могат да се превърнат в отговорност за повърхността на атака на организацията с течение на времето.

Това бързо разпространение на цифрови активи извън защитната стена вече е норма. Новите клиенти на RiskIQ обикновено откриват приблизително 30 % повече активи, отколкото са смятали, че имат, а RiskIQ открива 15 услуги с изтекъл срок (податливи на превземане на поддомейни) и 143 отворени порта всяка минута.2

Сливания и придобивания

 

Ежедневните операции и критичните бизнес инициативи, като М&А, стратегически партньорства и аутсорсинг, създават и разширяват повърхностите на външна атака. Днес по-малко от 10 % от сделките в световен мащаб съдържат надлежна проверка на киберсигурността.

Съществуват няколко общи причини, поради които организациите не получават пълна представа за потенциалните киберрискове по време на процеса на надлежна проверка. Първата е самият мащаб на цифровото присъствие на компанията, която придобиват. Не е необичайно за голяма организация да има хиляди – или дори десетки хиляди – активни уебсайтове и други публично изложени активи. Макар че екипите по ИТ и защита в придобиваната компания ще разполагат с регистър на активите на уебсайтовете, той почти винаги е само частична представа за това, което съществува. Колкото по-децентрализирани са ИТ дейностите на една организация, толкова по-значителен е този пропуск.

Вериги за доставки

 

Предприятието е все по-зависимо от цифровите съюзи, които формират съвременната верига за доставки. Макар че тези зависимости са от съществено значение за работата в 21-ви век, те също така създават претрупана, многопластова и изключително сложна мрежа от взаимоотношения с трети страни, много от които са извън компетенциите на екипите по сигурността и риска, които трябва да ги защитават и предпазват проактивно. В резултат на това бързото идентифициране на уязвими цифрови активи, които сигнализират за риск, е огромно предизвикателство.

Липсата на разбиране и видимост на тези зависимости превърнаха атаките от трети страни в един от най-честите и ефективни вектори за участниците в заплахите. Значителна част от атаките сега преминават през цифровата верига за доставки. Днес 70 % от ИТ специалистите посочват умерено до високо ниво на зависимост от външни субекти, които могат да включват трети, четвърти или пети страни.9 В същото време 53% от организациите са преживели поне едно нарушение на сигурността на данните, причинено от трета страна.10

Докато мащабните атаки по веригата за доставки стават все по-чести, организациите ежедневно се сблъскват с по-малки атаки. Злонамерен софтуер за скимиране на цифрови кредитни карти като Magecart засяга плъгини за електронна търговия на трети страни. През февруари 2022 г. RiskIQ откри повече от 300 домейна, засегнати от зловреден софтуер за скимиране на цифрови кредитни карти Magecart.11

Всяка година предприятията инвестират все повече в мобилни устройства, тъй като начинът на живот на средния потребител става все по-мобилно ориентиран. Американците вече прекарват повече време на мобилни устройства, отколкото гледайки телевизия на живо, а социалното отдалечаване ги накара да прехвърлят повече от физическите си нужди към мобилните устройства, като например пазаруване и образование. Приложението Annie показва, че разходите за мобилни устройства са нараснали до зашеметяващите 170 млрд. USD$ през 2021 г., което представлява годишен ръст от 19%.12

Това търсене на мобилни устройства създава масово разпространение на мобилни приложения. Потребителите са изтеглили 218 милиарда приложения през 2020 г.. Същевременно RiskIQ отбеляза 33-процентен общ ръст на наличните мобилни приложения през 2020 г., като всяка минута ще се появяват по 23.2

Магазините за приложения са нарастваща повърхност на атака

  • Ръст на мобилните приложения.
  • мобилни приложения се появяват всяка минута.
  • приложение, блокирано на всеки пет минути.2

За организациите тези приложения водят до бизнес резултати. Те обаче могат да бъдат нож с две остриета. Пазарът на приложения е значителна част от общата повърхност на атака на предприятието, която съществува отвъд защитната стена, където екипите по сигурността често страдат от критична липса на видимост. Участниците в заплахите се издържат, като се възползват от това късогледство, за да създават „измамни приложения“, които имитират добре познати марки или по друг начин претендират, че са нещо, което не са, създадени с цел да заблудят клиентите да ги изтеглят. След като нищо неподозиращ потребител изтегли тези злонамерени приложения, участниците в заплахите могат да си послужат с фишинг за чувствителна информация или да качат злонамерен софтуер на устройствата. RiskIQ блокира злонамерени мобилни приложения на всеки пет минути.

Тези измамни приложения се появяват в официалните магазини в редки случаи, като дори пробиват стабилните защити на големите магазини за приложения. Въпреки това стотици по-малко реномирани магазини за приложения представляват мрачен мобилен подземен свят извън относителната безопасност на реномираните магазини. Приложенията в тези магазини са много по-слабо регулирани от официалните магазини за приложения, а някои от тях са толкова препълнени със злонамерени приложения, че броят им надвишава броя на безопасните предложения.

Глобалната повърхност на атака също е част от повърхността на атака на организацията

Днешната глобална интернет повърхност на атака се е трансформирала драматично в динамична, всеобхватна и напълно преплетена екосистема, от която всички сме част. Ако имате присъствие в интернет, вие се свързвате с всички останали, включително и с тези, които искат да ви навредят. Поради тази причина проследяването на инфраструктурата на заплахите е също толкова важно, колкото и проследяването на собствената ви инфраструктура.

Глобалната повърхност на атака е част от повърхността на атака на организацията

  • всеки ден се откриват нови части от злонамерен софтуер.2
  • увеличаване на броя на вариантите на злонамерен софтуер.13
  • Сървър на Cobalt Strike на всеки 49 минути.2

Различните групи за заплахи ще рециклират и споделят инфраструктура – IP адреси, домейни и сертификати – и ще използват стокови инструменти с отворен код, като зловреден софтуер, фишинг комплекти и C2 компоненти, за да избегнат лесно приписване, като ги настройват и подобряват, за да отговарят на техните уникални нужди.

Всеки ден се откриват повече от 560 000 нови злонамерени програми, а броят на фишинг комплектите, рекламирани на подземните пазари за киберпрестъпления, се е удвоил между 2018 и 2019 г. През 2020 г. броят на откритите варианти на злонамерен софтуер се е увеличил със 74%.14 RiskIQ вече открива C2 сървър на Cobalt Strike на всеки 49 минути.

Традиционно стратегията за сигурност на повечето организации е подходът „защита в дълбочина“, който започва от периметъра и се наслоява обратно към активите, които трябва да бъдат защитени. Съществува обаче разминаване между този вид стратегия и повърхността на атаката, както е представено в този доклад. В днешния свят на цифрово ангажиране потребителите се намират извън периметъра – както и все по-голям брой изложени на риск корпоративни цифрови активи и много от злонамерените участници. Прилагането на принципите на Zero Trust в корпоративните ресурси може да помогне за сигурността на днешната работна сила – защита на хората, устройствата, приложенията и данните, независимо от тяхното местоположение или мащаба на заплахите, пред които са изправени. Microsoft Security предлага серия от целеви инструменти за оценка, които да ви помогнат да оцените етапа на зрялост на Zero Trust във вашата организация.

Сродни статии

Минута за киберзаплахите

По време на кибератака всяка секунда е от значение. За да илюстрираме мащаба и обхвата на киберпрестъпността в световен мащаб, събрахме годишно проучване на киберсигурността в един 60-секунден прозорец.
Научете повече

Рансъмуерът като услуга

Най-новият бизнес модел на киберпрестъпността – атаките, управлявани от хора, окуражава престъпници с различни способности.
Научете повече

Нарастващият IoT и рискът за OT

Все по-широкото разпространение на интернет на нещата излага на риск технологиите за информационно осигуряване с редица потенциални уязвимости и излагане на заплахи. Разберете как да защитите организацията си.
Научете повече