Studie Microsoft Digital Defense Report 2022“
Přehled z bilionů signálů zabezpečení každý den
Jedinečný úhel pohledu
Cílem studie Microsoft Digital Defense Report, která nyní vychází už třetím rokem (dříve se jmenovala Microsoft Security Intelligence Report a měla více než 22 vydání), je osvětlit vyvíjející se prostředí digitálních hrozeb ve čtyřech klíčových oblastech, kterými jsou kybernetické trestné činy, hrozby ze strany státních aktérů, zařízení a infrastruktura a operace kybernetického ovlivňování, a zároveň poskytnout poznatky a pokyny, jak zlepšit kybernetickou odolnost.
Microsoft poskytuje služby miliardám zákazníků po celém světě. To nám umožňuje shromažďovat data týkající se zabezpečení od širokého a různorodého spektra organizací a uživatelů. Tato studie čerpá z našich rozsáhlých a podrobných analýz signálů z celého Microsoftu včetně cloudu, koncových bodů a inteligentních hraničních zařízení. Tento jedinečný úhel pohledu nám poskytuje vysoce věrný obraz prostředí hrozeb a současného stavu kybernetické bezpečnosti, včetně indikátorů, které nám pomáhají předvídat, co útočníci udělají příště. Transparentnost a sdílení informací považujeme za zásadní pro zvyšování kybernetické odolnosti našich zákazníků a pro ochranu ekosystému.
V tomto přehledném shrnutí této studie získáte informace o stavu kybernetické kriminality, o tom, jak se zařízení Internetu věcí (IoT) stávají stále oblíbenějším cílem, o nových taktikách státních aktérů a vzestupu kybernetických žoldnéřů, o operacích kybernetického ovlivňování a především o tom, jak si v této době zachovat odolnost.
- 43 bilionů signálů syntetizovaných denně pomocí sofistikované analýzy dat a algoritmů umělé inteligence za účelem pochopení a ochrany před digitálními hrozbami a kybernetickou kriminalitou.
- Více než 8 500 inženýrů, výzkumníků, datových vědců, expertů na kybernetickou bezpečnost, lidí zabývajících se proaktivním vyhledáváním hrozeb, geopolitických analytiků, vyšetřovatelů a respondentů z první linie ze 77 zemí.
- Více než 15 000 partnerů v našem ekosystému zabezpečení, kteří zvyšují kybernetickou odolnost našich zákazníků.
Počet kybernetických trestných činů stále roste, a to díky dramatickému nárůstu náhodných i cílených útoků. V souvislosti s vývojem metod kybernetických útoků a zločinecké infrastruktury, které byly použity k posílení kinetické války během ruské invaze na Ukrajinu, jsme pozorovali stále rozmanitější hrozby v digitálním prostředí.
Ransomwarové útoky představují stále větší nebezpečí pro všechny jednotlivce, protože kritická infrastruktura, firmy všech velikostí a orgány státní a místní správy se stávají terčem útoků zločinců využívajících rostoucí kyberzločinecký ekosystém. Ransomwarové útoky jsou stále odvážnější, co se týče velikosti, a jejich dopady jsou stále rozsáhlejší. Udržitelné a úspěšné úsilí v boji proti této hrozbě bude vyžadovat strategii na úrovni celé státní správy, která bude realizována v úzkém partnerství se soukromým sektorem.
Při analýze našeho zapojení v oblasti reakce a obnovy jsme u postižených organizací opakovaně nacházeli nedostatečné kontrolní mechanismy pro identity, neefektivní operace zabezpečení a neúplné strategie ochrany dat.
V letošním roce došlo k výraznému nárůstu počtu nevybíravých útoků phishingu a krádeží přihlašovacích údajů za účelem získání informací, které jsou prodávány a využívány při cílených útocích, jako je ransomware, exfiltrace dat a vydírání a ohrožení zabezpečení firemních e-mailů.
Kybernetické trestné činy jako služba (CaaS) je rostoucí a vyvíjející se hrozbou pro zákazníky po celém světě. Oddělení Digital Crimes Unit (DCU) v Microsoftu pozorovalo pokračující růst ekosystému služeb CaaS s rostoucím počtem online služeb umožňujících kybernetické trestné činy včetně ohrožení zabezpečení firemních e-mailů (BEC) a ransomwaru řízeného lidmi. Prodejci služeb CaaS stále častěji nabízejí ke koupi napadené přihlašovací údaje a stále častěji se setkáváme se službami a produkty CaaS s vylepšenými funkcemi, které mají zabránit jejich odhalení.
Útočníci nacházejí nové způsoby, jak implementovat techniky a hostovat svou provozní infrastrukturu. To může například zahrnovat napadení firem za účelem hostování phishingových kampaní, malwaru nebo využívání jejich výpočetního výkonu k těžbě kryptoměn. Zařízení Internetu věcí (IoT) se stávají stále oblíbenějším cílem kyberzločinců, kteří využívají široce rozšířené botnety. Pokud nemají směrovače nainstalované aktuální opravy a jsou přímo vystavené do internetu, můžou je aktéři hrozeb zneužít k získání přístupu do sítí, provádění škodlivých útoků a dokonce i k podpoře svých operací.
V uplynulém roce byl na vzestupu hacktivismus, kdy soukromé osoby prováděly kybernetické útoky na podporu společenských nebo politických cílů. V rámci rusko-ukrajinské války byly k provádění útoků mobilizovány tisíce jednotlivců. Ačkoli se teprve ukáže, jestli bude tento trend pokračovat, technologický průmysl se musí spojit a společně navrhnout komplexní reakci na tuto novou hrozbu.
Zrychlující se digitální transformace zvýšila kyberbezpečnostní rizika u kritické infrastruktury a fyzických kybernetických systémů. S tím, jak organizace využívají nové možnosti ve výpočetní oblasti a subjekty se digitalizují za účelem zlepšení svého fungování, se exponenciálně zvětšuje potenciální oblast útoku v rámci digitálního světa.
Rychlé zavádění řešení Internetu věcí (IoT) zvýšilo počet vektorů útoků a riziko ohrožení organizací. Tato migrace předstihla schopnost většiny organizací udržovat s ní krok, protože malware jako služba se přesunul do rozsáhlých operací proti civilní infrastruktuře a podnikovým sítím.
Pozorovali jsme zvýšený výskyt hrozeb zneužívajících zařízení ve všech částech organizací, od tradičních IT zařízení až po řídicí jednotky provozních technologií (OT) nebo jednoduché senzory IoT. Byli jsme svědky útoků na energetické sítě, ransomwarových útoků narušující fungování provozních technologií (OT) a využívání směrovačů IoT ke zvýšené perzistenci v prostředí. Současně se stále častěji objevuje cílení na zranitelnosti firmwaru – softwaru integrovaného do hardwaru nebo desky s plošnými spoji zařízení – za účelem spouštění devastujících útoků.
Aby čelily těmto a dalším hrozbám, vlády po celém světě vytvářejí a rozvíjejí zásady pro řízení rizik kybernetické bezpečnosti u kritické infrastruktury. Mnoho z nich také zavádí zásady pro zlepšení zabezpečení zařízení IoT a OT. Rostoucí celosvětová vlna iniciativ týkajících se zásad vytváří obrovské příležitosti ke zvýšení kybernetické bezpečnosti, ale zároveň představuje výzvu pro zúčastněné strany v celém ekosystému. Vzhledem k tomu, že aktivity týkající se zásad jsou prováděny současně v různých zeměpisných oblastech, odvětvích, technologiích a oblastech řízení provozních rizik, vytváří to potenciál k překrývání a nekonzistenci v rozsahu, požadavcích a složitosti požadavků. Organizace veřejného a soukromého sektoru musí využít tuto příležitost ke zvýšení kybernetické bezpečnosti dalším zapojením a úsilím o konzistenci.
- 68 % respondentů věří, že zavedení IoT/OT je pro jejich strategickou digitální transformaci klíčové.
- 60 % uznává, že zabezpečení IoT/OT je jedním z nejméně zabezpečených aspektů jejich infrastruktury.
V uplynulém roce došlo k posunu u kybernetických hrozeb ze strany státních aktérů od zneužívání dodavatelských řetězců softwaru ke zneužívání dodavatelských řetězců IT služeb. Tito aktéři nyní cílí na cloudová řešení a poskytovatele spravovaných služeb, aby se dostali k souvisejícím zákazníkům v sektorech státní správy, politiky a kritické infrastruktury.
S tím, jak organizace posilují stav své kybernetické bezpečnosti, reagují státní aktéři novými a jedinečnými taktikami, jak provádět útoky a vyhýbat se jejich odhalení. Klíčovou taktikou v tomto úsilí je identifikace a využívání ohrožení zabezpečení nultého dne. Počet veřejně odhalených ohrožení zabezpečení nultého dne za uplynulý rok je stejný jako v předchozím v roce, který byl rekordní. Mnoho organizací předpokládá, že pokud je správa ohrožení zabezpečení nedílnou součástí zabezpečení jejich sítě, je menší pravděpodobnost, že se stanou obětí útoků nultého dne. Komoditizace programů pro zneužívání ohrožení zabezpečení však vede k tomu, že se tyto útoky objevují mnohem rychleji. Útoky nultého dne jsou často objeveny ostatními aktéry a v krátké době opětovně využívány, takže systémy bez nainstalovaných oprav jsou ohroženy.
Jsme svědky rostoucího odvětví aktérů útoků ze soukromého sektoru neboli kybernetických žoldnéřů, kteří vyvíjejí a prodávají klientům, kterými jsou často vlády, nástroje, techniky a služby k pronikání do sítí, počítačů, telefonů a zařízení připojených k internetu. Tyto subjekty jsou sice cenné pro státní aktéry, ale často ohrožují disidenty, obránce lidských práv, novináře, obhájce občanské společnosti a další soukromé osoby. Tito kybernetičtí žoldnéři poskytují pokročilé schopnosti „sledování jako služby“, které by mnozí státní aktéři nedokázali vyvinout sami.
Demokracie potřebuje ke své prosperitě důvěryhodné informace. Klíčovou oblastí, na kterou se Microsoft zaměřuje, jsou operace ovlivňování vyvíjené a udržované státními aktéry. Tyto kampaně narušují důvěru, zvyšují polarizaci společnosti a ohrožují demokratické procesy.
Zejména jsme svědky toho, že některé autoritářské režimy spolupracují na tom, aby informační ekosystém „znečišťovali“ pro svůj vzájemný prospěch. Příkladem můžou být kampaně, které se snažily zamlžit původ viru COVID-19. Od začátku pandemie ruská, íránská a čínská propaganda týkající se COVIDu-19 intenzivně využívala zpravodajství, aby zesilovala tato ústřední témata.
900% meziroční nárůst šíření deepfake obsahu od roku 2019
Vstupujeme také do pravděpodobně zlaté éry mediální tvorby a manipulace s využitím umělé inteligence, která bude podpořena rozšiřováním nástrojů a služeb pro umělé vytváření vysoce realistických syntetických obrázků, videí, zvuků a textů a možností rychle šířit obsah optimalizovaný pro konkrétní cílové skupiny. Dlouhodobější a ještě zákeřnější hrozbou je to pro naše porozumění tomu, co je pravda, pokud už nemůžeme věřit tomu, co vidíme a slyšíme.
Rychle se měnící povaha informačního ekosystému spolu s operacemi ovlivňování ze strany státních aktérů, včetně prolínání tradičních kybernetických útoků s operacemi ovlivňování a zasahování do demokratických voleb – vyžaduje celospolečenský přístup. Ke zvýšení transparentnosti těchto kampaní ovlivňování a k odhalování a narušování kampaní je potřeba zvýšená míra koordinace a sdílení informací mezi vládami, soukromým sektorem a občanskou společností.
Na rostoucí úroveň hrozeb v digitálním ekosystému je třeba stále naléhavěji reagovat. Geopolitické motivace aktérů hrozeb dokazují, že státy stále častěji využívají útočné kybernetické operace k destabilizaci vlád a ovlivňování globálních obchodních operací. Protože počet těchto hrozeb roste a vyvíjejí se, je nezbytné zabudovat kybernetickou odolnost do struktury organizace.
Jak jsme viděli, mnoho kybernetických útoků je úspěšných jen proto, že nebyla dodržena základní hygiena zabezpečení. Minimální standardy, které by měla přijmout každá organizace:
Zvonová křivka kybernetické odolnosti: 98 % základní hygieny zabezpečení stále chrání před 98 % všech útoků. Další informace o tomto obrázku najdete na straně 109 ve studii 2022 Microsoft Digital Defense Report.
- Provádějte explicitní ověřování: Před povolením přístupu k prostředkům explicitně ověřte, jestli jsou uživatelé a zařízení v dobrém stavu.
- Využívejte přístup s nejnižší možnou úrovní oprávnění: Povolujte pouze oprávnění potřebná pro přístup k určitému prostředku, a žádná další.
- Předpokládejte porušení zabezpečení: Předpokládejte, že obrana systému byla narušena a systémy můžou být ohroženy. To znamená neustálé monitorování prostředí kvůli možným útokům.
Používejte moderní ochranu před malwarem
Implementujte software, který pomůže detekovat a automaticky blokovat útoky a poskytovat přehledy o operacích zabezpečení. Monitorování přehledů ze systémů detekce hrozeb je nezbytné k tomu, aby bylo možné včas reagovat na hrozby.
Udržujte aktualizovaný stav
Neopravované a zastaralé systémy jsou klíčovým důvodem, proč se mnoho organizací stává obětí útoků. Zajistěte, aby všechny systémy byly aktuální, a to včetně firmwaru, operačního systému a aplikací.
Chraňte data
Znalost důležitých dat, jejich umístění a implementace správných systémů je klíčová pro implementaci vhodné ochrany.
Zdroj: Studie Microsoft Digital Defense Report, listopad 2022