Trace Id is missing
Přeskočit na hlavní obsah
Security Insider

Novým bojištěm je identita

Stáhnout
Sdílet
Muž a žena, kteří sedí u stolu a používají notebook.

Cyber Signals číslo 1: Získejte přehled o vývoji kybernetických hrozeb a o krocích, které je třeba podniknout k lepší ochraně vaší organizace.

Mezi protokoly zabezpečení u většiny organizací a hrozbami, kterým tyto organizace čelí, je nebezpečný nesoulad. Útočníci se sice snaží do sítí proniknout silou, ale jejich preferovaná taktika je jednodušší – snaží se uhodnout slabá přihlašovací hesla. Základní opatření, jako je vícefaktorové ověřování, jsou účinná proti 98 % útoků, ale plně je využívá pouze 20 % organizací (Microsoft Digital Defense Report, 2021).

V čísle 1 najdete informace o aktuálních trendech v oblasti zabezpečení a doporučení výzkumníků a expertů společnosti Microsoft. Dozvíte se například:

  • Kdo se spoléhá na útoky založené na heslech a identitách.
  • Co dělat, abyste dokázali útokům čelit – včetně strategií pro koncové body, e-maily a identity.
  • Kdy prioritizovat různá opatření v rámci zabezpečení.
  • Kde se do sítí dostává a šíří ransomware a jak ho zastavit.
  • Proč zůstává ochrana identit i nadále největším důvodem k obavám, ale také největší příležitostí ke zlepšení zabezpečení.

Státní aktéři zdvojnásobují úsilí, aby se jednoduše zmocnili stavebních kamenů identit

Počet kybernetických útoků ze strany státních aktérů stoupá. Navzdory rozsáhlým zdrojům, které mají, se tyto nežádoucí osoby často spoléhají na jednoduchou taktiku krádeže hesel, která lze snadno uhodnout. Díky tomu můžou získat rychlý a snadný přístup k účtům zákazníků. V případě útoků na podniky umožňuje proniknutí do sítě organizace státním aktérům získat oporu, kterou pak můžou využívat buď k vertikálnímu pohybu mezi podobnými uživateli a zdroji, nebo k horizontálnímu pohybu, kdy získají přístup k cennějším přihlašovacím údajům a zdrojům.

Cílený phishing, útoky využívající sociální inženýrství a rozsáhlé útoky typu password spray jsou základními taktikami státních aktérů, které se používají ke krádežím nebo hádání hesel. Microsoft získává přehled o postupech a úspěších útočníků tak, že sleduje, do jakých taktik a technik investují a jestli jsou s nimi úspěšní. Pokud jsou přihlašovací údaje uživatelů špatně spravovány nebo jsou ponechány ve zranitelném stavu bez zásadních prostředků ochrany, jako je vícefaktorové ověřování a bezheslové funkce, budou státní aktéři používat stále stejné jednoduché taktiky.

Potřeba vynucování vícefaktorového ověřování nebo přechodu na bezheslové ověřování může být stěží důležitější, protože útoky zaměřené na identity jsou díky své jednoduchosti a nízkým nákladům pro aktéry výhodné a efektivní. Přestože vícefaktorové ověřování není jediným nástrojem pro správu identit a přístupu, který by organizace měly používat, může být účinným nástrojem odrazujícím od útoků.

Zneužívání přihlašovacích údajů je typické pro NOBELIUM, státního aktéra spojeného s Ruskem. Na útoky typu password spray však spoléhají i další nežádoucí osoby, jako je například skupina DEV 0343 spojená s Íránem. Aktivita skupiny DEV-0343 byla pozorována ve společnostech ze sektoru obrany, které vyrábějí vojenské radary, technologie pro drony, satelitní systémy a nouzové komunikační systémy. Další aktivity cílily na přístavy v oblasti Perského zálivu a na několik společností zabývajících se námořní a lodní nákladní dopravou s obchodním zaměřením na Střední východ.
Rozdělení kybernetických útoků založených na identitách iniciovaných Íránem
Nejčastějšími zeměmi, na které cílil Írán v období od července 2020 do června 2021, byly Spojené státy (49 %), Izrael (24 %) a Saúdská Arábie (15 %). Další informace o tomto obrázku najdete na straně 4 v úplné studii.

Organizace by měly:

Povolit vícefaktorové ověřování: Tím snižují riziko, že se hesla dostanou do nesprávných rukou. Ještě lepší je hesla eliminovat úplně a používat bezheslové vícefaktorové ověřování.
Auditovat oprávnění účtů: Pokud se útočníci zmocní účtů s privilegovaným přístupem, stávají se tyto účty mocnou zbraní, kterou můžou útočníci využít k získání většího přístupu k sítím a prostředkům. Týmy zabezpečení by měly provádět časté audity přístupových oprávnění a používat principy přístupu s nejnižší možnou úrovní oprávnění, aby zaměstnanci mohli vykonávat svou práci.
Zkontrolovat všechny účty správců tenantů, posílit jejich zabezpečení a monitorovat je: Týmy zabezpečení by měly důkladně zkontrolovat všechny uživatele s rolí správců tenantů nebo účty spojené s delegovanými oprávněními pro správu a ověřit pravost uživatelů a aktivit. Pak by měli zakázat nebo odebrat všechna nepoužívaná delegovaná oprávnění pro správu.
Zřídit a vynucovat základní úroveň zabezpečení za účelem snížení rizik: Státní aktéři mají dlouhodobé cíle a mají finanční prostředky, vůli a možnosti přizpůsobovat rozsah aktivit, aby mohli vyvíjet nové strategie a techniky útoků. Každá iniciativa na posílení zabezpečení sítě, která se zpozdí z kapacitních důvodů nebo kvůli byrokracii, pracuje v jejich prospěch. Týmy zabezpečení by měly jako prioritu implementovat postupy nulové důvěry (Zero Trust), jako je vícefaktorové ověřování a přechod na bezheslové ověřování. Můžou začít u privilegovaných účtů, aby rychle získali základní ochranu, a pak ji v postupně v jednotlivých krocích průběžně rozšiřovat.

Ransomware má dominantní vliv na povědomí, ale dominuje jen několik typů

Podle dominantních narativů se může zdát, že existuje obrovské množství nových ransomwarových hrozeb, které předčí schopnosti obránců. Analýza Microsoftu však ukazuje, že tomu tak není. Panuje také názor, že některé skupiny používající ransomware tvoří jeden monolitický celek. To také není pravda. Ve skutečnosti existuje kyberzločinecká ekonomika, ve které samostatně působí různí hráči v komoditizovaných řetězcích hrozeb. Řídí se ekonomickým modelem k dosažení maximálního zisku na základě toho, jak každý z nich dokáže zneužít informace, ke kterým má přístup. Následující obrázek znázorňuje, jak různé skupiny profitují z různých strategií kybernetických útoků a informací z úniků dat.

Průměrné ceny služeb v oblasti kybernetických trestných činů
Průměrné ceny prodávaných služeb v oblasti kybernetických trestných činů. Cena za najmutí útočníků začíná na 250 USD za zakázku. Ransomwarové sady stojí 66 USD nebo 30 % podílu na zisku. Cena za napadená zařízení začíná na 13 centech za jeden osobní počítač a 82 centech za jedno mobilní zařízení. Cílený phishing si lze najmou za ceny od 100 USD do 1 000 USD. Cena ukradených párů uživatelských jmen a hesel začíná v průměru na 97 centech za 1 000 položek. Další informace o tomto obrázku najdete na straně 5 v úplné studii.  

Bez ohledu na to, kolik ransomwaru existuje nebo o jaké typy jsou použity, jedná se ve skutečnosti o tři vstupní vektory: útoky hrubou silou pomocí protokolu RDP (Remote Desktop Protocol), systémy využívající internet a útoky phishing. Všechny tyto vektory lze zmírnit pomocí správné ochrany hesel, správy identit a aktualizováním softwaru spolu s komplexní sadou nástrojů pro zabezpečení a dodržování předpisů. Určitý typ ransomwaru se může rozšířit pouze tehdy, když získá přístup k přihlašovacím údajům a schopnost šířit se. I když se jedná o známý typ, může způsobit velké škody.

Znázornění cest aktérů hrozeb od počátečního přístupu k systému až po laterální pohyb systémem
Cesta chování aktéra hrozby po porušení zabezpečení systému od počátečního místa přístupu po krádež přihlašovacích údajů a laterální pohyb systémem. Sleduje perzistentní cestu k zachytávání účtů a zajištění škodlivé činnosti viru. Další informace o tomto obrázku najdete na straně 5 v úplné studii.

Týmy zabezpečení by měly:

Pochopit, že ransomwaru se dobře daří s výchozími nebo napadenými uživatelskými údaji: Proto by týmy zabezpečení měly urychlit zavádění ochranných opatření, jako je implementace bezheslového vícefaktorového ověřování u všech uživatelských účtů a prioritní zaměření se na role výkonných manažerů, správců a další privilegované role.
Identifikovat, jak včas zpozorovat varovné anomálie, aby bylo možné podniknout příslušné akce: Časná přihlášení, přesuny souborů a další chování související s přítomností ransomwaru – to vše se může zdát jako nepopsatelné. Týmy však musí monitorovat anomálie a rychle na ně reagovat.
Mít plán reakce na ransomware a nacvičovat obnovení: Žijeme v éře synchronizace a sdílení v cloudu, ale kopie dat se liší od celých IT systémů a databází. Týmy by si měly představit, jak vypadá úplné obnovení, a procvičovat ho.
Spravovat upozornění a rychle provádět zmírňování ohrožení zabezpečení: Zatímco se všichni bojí ransomwarových útoků, týmy zabezpečení by se měly zaměřit především na posilování konfigurací s nedostatečným zabezpečením, díky kterým může případný útok uspět. Konfigurace zabezpečení by měly spravovat tak, aby mohli odpovídajícím způsobem reagovat na upozornění a detekce.
Křivka rozložení ochrany znázorňuje, jak základní bezpečnostní hygiena pomáhá chránit se před 98 % útoků
Před 98 % útoků se můžete ochránit používáním antimalwaru, uplatňováním přístupu s nejnižší možnou úrovní oprávnění, zavedením vícefaktorového ověřování, aktualizováním softwaru na aktuální verze a ochranou dat. Zbývající 2 % této zvonové křivky zahrnují odlišující se útoky. Další informace o tomto obrázku najdete na straně 5 v úplné studii.
Další rady, jak zabezpečit identity, vám prozradí Christopher Glyer – Principal Lead z oddělení Analýzy hrozeb Microsoft.

Získávání přehledů a blokování hrozeb s využitím více než 24 bilionů signálů denně

Hrozby pro koncové body:
Služba Microsoft Defender for Endpoint zablokovala od ledna do prosince 2021 více než 9,6 miliardy malwarových hrozeb, které cílily na zařízení zákazníků z řad firem a běžných uživatelů.
E-mailové hrozby:
Služba Microsoft Defender pro Office 365 zablokovala od ledna do prosince 2021 více než 35,7 miliard phishingový a další škodlivých e-mailů, které cílily na zařízení zákazníků z řad firem a běžných uživatelů.
Ohrožení identity:
Microsoft (Azure Active Directory) v období od ledna do prosince 2021 detekoval a zablokoval více než 25,6 miliardy pokusů o zneužití účtů podnikových zákazníků prostřednictvím útoků hrubou silou s využitím odcizených hesel.

Metodologie: U uváděných dat o zabezpečení poskytly platformy Microsoftu včetně služeb Defender a Azure Active Directory anonymizovaná data o aktivitě hrozeb, jako jsou pokusy o přihlášení prostřednictvím útoků hrubou silou, phishingové a jiné škodlivé e-maily, které cílily na podniky a běžné uživatele, a útoky malwaru, v období od ledna do prosince 2021. Další poznatky vycházejí z 24 bilionů denních signálů zabezpečení získaných v rámci celého Microsoftu, včetně cloudu, koncových bodů a inteligentního hraničního prostředí. Data o silné autorizaci kombinují vícefaktorové ověřování a bezheslovou ochranu.

Identity Ransomware Státní aktéři

Související články

2. číslo Cyber Signals: Ekonomika vydírání

Poslechněte si, co o vývoji ransomwaru jako služby říkají odborníci z první linie. Seznamte se s nástroji, taktikami a cíli kyberzločinců, od programů a škodlivé činnosti virů až po zprostředkovatele přístupu a partnery, a získejte pokyny, které vám pomohou ochránit vaši organizaci.
Další informace

Obrana Ukrajiny: První lekce z kybernetické války

Nejnovější poznatky v rámci naší přetrvávající snahy o analýzu hrozeb ve válce mezi Ruskem a Ukrajinou spolu se závěry z prvních čtyř měsíců války posilují potřebu nových investic do technologie, dat a spolupráce s cílem podpořit vlády, firmy, nestátní neziskové organizace a univerzity.
Další informace

Profil experta: Christopher Glyer

Christopher Glyer, který v centru MSTIC (Microsoft Threat Intelligence Center) působí jako hlavní vedoucí oddělení analýzy hrozeb se zaměřením na ransomware, je členem týmu, který zkoumá, jak nejpokročilejší aktéři hrozeb přistupují k systémům a jak je zneužívají.
Další informace