Trace Id is missing

Anatomie externí potenciální oblasti útoku

Stáhnout
Sdílet
Pochopení anatomie potenciální externí oblasti útoku

Pět prvků, které by organizace měly sledovat

Svět kybernetické bezpečnosti je stále složitější s tím, jak se organizace přesouvají do cloudu a přecházejí na decentralizovanou práci. Externí potenciální oblast útoku dnes zahrnuje více cloudů, složité digitální dodavatelské řetězce a rozsáhlé ekosystémy třetích stran. Samotný rozsah nyní běžných globálních bezpečnostních problémů proto radikálně změnil naše vnímání komplexního zabezpečení.

Součástí sítě je teď i internet. Navzdory téměř nezměrné velikosti musí týmy zabezpečení chránit přítomnost své organizace na internetu do stejné míry jako vše, co se nachází za jejich branami firewall. Vzhledem k tomu, že stále více organizací přijímá principy nulové důvěry (Zero Trust), stává se ochrana interních i externích potenciálních oblastí útoku výzvou internetového rozsahu. Proto je pro organizace stále důležitější znát celý rozsah své potenciální oblasti útoku.

V roce 2021 získal Microsoft společnost Risk IQ, aby mohl pomáhat organizacím posoudit zabezpečení jejich celého digitálního prostředí. Díky technologii RiskIQ Internet Intelligence Graph můžou organizace odhalovat a zkoumat hrozby napříč komponentami, připojeními, službami, zařízeními připojenými prostřednictvím IP adres a infrastrukturou – to vše tvoří jejich potenciální oblast útoku – a vytvářet tak odolnou a škálovatelnou obranu.

Pro týmy zabezpečení se samotný rozsah toho, co musí chránit, může zdát hrozivý. Jedním ze způsobů, jak si představit rozsah potenciální oblasti útoku organizace v perspektivě, je přemýšlet o internetu z pohledu útočníka. Tento článek se věnuje pěti oblastem, které pomáhají zařadit problémy spojené s efektivní správou externí potenciální oblasti útoku.

Globální potenciální oblast útoku roste spolu s internetem

A roste každým dnem. V roce 2020 dosáhne objem dat na internetu 40 zettabajtů, tedy 40 bilionů gigabajtů.1 Společnost RiskIQ zjistila, že každou minutu přibude 117 298 hostitelů a 613 domén2 , které doplňují mnoho propletených vláken tvořících složitou strukturu globální potenciální oblasti útoku. Každý nový web obsahuje sadu prvků, jako jsou základní operační systémy, architektury, aplikace třetích stran, moduly plug-in a sledovací kód. A s každým z těchto rychle se množících webů obsahujících tyto součásti se exponenciálně zvětšuje rozsah potenciální oblasti útoku.

Globální potenciální oblast útoku roste každou minutou

  • hostitelů vytvořených každou minutu.
  • domén vytvořených každou minutu.
  • 375 nových hrozeb každou minutu.2

Na tomto růstu se podílejí jak legitimní organizace, tak aktéři hrozeb. To znamená, že kybernetické hrozby rostou ve stejném měřítku jako zbytek internetu. Bezpečnost firem ohrožují jak sofistikované rozšířené trvalé hrozby (APT), tak drobní kyberzločinci, kteří se cílí na jejich data, značky, duševní vlastnictví, systémy a lidi.

V prvním čtvrtletí roku 2021 odhalila společnost CISCO 611 877 jedinečných phishingových webů,3 s 32 událostmi porušení domén a celkově 375 novými hrozbami za minutu.2 Tyto hrozby cílí na zaměstnance a zákazníky organizací pomocí podvodných prostředků, které je mají oklamat a přimět je ke kliknutí na škodlivé odkazy a k poskytnutí citlivých údajů. To vše může narušit důvěru ve značku a důvěru spotřebitelů.

Nárůst ohrožení zabezpečení související se vzdálenými pracovníky

Rychlý nárůst prostředků vystavených internetu dramaticky rozšířil spektrum hrozeb a ohrožení zabezpečení, které se týkají průměrné organizace. S příchodem onemocnění COVID-19 se znovu urychlil digitální růst a téměř každá organizace rozšířila svou digitální působnost, aby se přizpůsobila vzdálené, vysoce flexibilní pracovní síle a obchodnímu modelu. Výsledkem je, že útočníci mají nyní k dispozici mnohem více přístupových bodů, které můžou prozkoumat nebo zneužít.

Používání technologií vzdáleného přístupu, jako je protokol RDP (Remote Desktop Protocol) a síť VPN (virtuální privátní síť), prudce vzrostlo o 41 % (u RDP) a 33 % (u VPN).4 Většina světa si osvojila zásady práce z domova. Velikost globálního trhu se softwarem pro používání vzdálené plochy, která v roce 2019 činila 1,53 miliardy USD, dosáhne do roku 2027 4,69 miliardy USD.5

Desítky nových ohrožení zabezpečení v softwaru a zařízeních pro vzdálený přístup daly útočníkům možnosti, které nikdy předtím neměli. Společnost RiskIQ odhalila mnoho zranitelných instancí nejoblíbenějších zařízení pro vzdálený přístup a perimetrických zařízení a příval ohrožení zabezpečení se nezpomalil. Celkem bylo v roce 2021 nahlášeno 18 378 ohrožení zabezpečení.6

Nové prostředí ohrožení zabezpečení

  • nárůst používání protokolu RDP.
  • nárůst používání sítě VPN.
  • ohrožení zabezpečení nahlášených v roce 2021.

S nárůstem útoků globálního rozsahu organizovaných různými skupinami hrozeb a uzpůsobených na míru digitálním podnikům musí týmy zabezpečení zmírňovat ohrožení zabezpečení u sebe, třetích stran, partnerů, kontrolovaných i nekontrolovaných aplikací a také služeb v rámci vztahů v digitálním dodavatelském řetězci.

Digitální dodavatelské řetězce, fúze a akvizice a stínové IT vytvářejí skrytou potenciální oblast útoku

Většina kybernetických útoků vzniká velmi daleko od sítě. Webové aplikace představují kategorii vektorů nejčastěji zneužívaných při porušeních zabezpečení souvisejících s hackerskými útoky. Většina organizací bohužel nemá úplný přehled o svých internetových prostředcích a o tom, jak jsou tyto prostředky propojeny s globální potenciální oblastí útoku. Tři významné faktory, které přispívají k této nedostatečné viditelnosti, jsou stínové IT, fúze a akvizice a digitální dodavatelské řetězce.

Ohrožené závislosti

  • služeb s prošlou platností každou minutu.2
  • smluv obsahuje odpovídající předinvestiční prověrku týkající se kybernetické bezpečnosti.7
  • organizací zaznamenalo alespoň jeden únik dat způsobený třetí stranou.8

Stínové IT

 

Pokud IT oddělení nedokáže držet krok s firemními požadavky, hledá firma podporu pro vývoj a nasazování nových webových prostředků jinde. Tým zabezpečení nemá často o těchto stínových aktivitách stínového IT přehled a v důsledku toho nemůže zahrnout tyto vytvořené prostředky do svého programu zabezpečení. Nespravované a osamocené prostředky se můžou časem stát nevýhodou v potenciální oblasti útoku organizace.

Toto rychlé šíření digitálních prostředků za branami firewall je nyní normou. Noví zákazníci využívající RiskIQ obvykle najdou přibližně o 30 % více prostředků, než si mysleli, že mají, a RiskIQ každou minutu odhalí 15 služeb s prošlou platností (náchylných k převzetí subdomény) a 143 otevřených portů.2

Fúze a akvizice

 

Každodenní provoz a důležité obchodní iniciativy, jako jsou fúze a akvizice, strategická partnerství a outsourcing, vytvářejí a rozšiřují externí potenciální oblasti útoku. V současnosti méně než 10 % smluv na celém světě obsahuje odpovídající předinvestiční prověrku týkající se kybernetické bezpečnosti.

Existuje několik běžných důvodů, proč organizace během procesu předinvestiční prověrky nezískají úplný přehled o potenciálních kybernetických rizicích. Prvním je samotný rozsah digitální přítomnosti společnosti, kterou chtějí získat v rámci akvizice. Není neobvyklé, že velká organizace má tisíce – nebo i desetitisíce – aktivních webů a dalších veřejně vystavených prostředků. Týmy IT a zabezpečení ve společnosti, která je předmětem chystané akvizice, sice budou mít k dispozici registr webových prostředků, ale téměř vždy se jedná pouze o částečný přehled toho, co existuje. Čím více jsou činnosti organizace v oblasti IT decentralizované, tím významnější nedostatky může tento přehled mít.

Dodavatelské řetězce

 

Podniky jsou stále více závislé na digitálních spojenectvích, která tvoří moderní dodavatelské řetězce. Tyto závislosti jsou sice pro provoz firem v 21. století nezbytné, ale zároveň vytvářejí nepřehlednou, vrstevnatou a velmi komplikovanou síť vztahů se třetími stranami, přičemž mnoho z nichž není v kompetenci týmů pro zabezpečení a rizika, aby mohly zajistit proaktivní ochranu a obranu. Rychlá identifikace zranitelných digitálních prostředků signalizujících možná rizika je proto obrovskou výzvou.

Nedostatečné porozumění a přehled o těchto závislostech způsobily, že útoky prostřednictvím třetích stran jsou pro aktéry hrozeb jedním z nejčastějších a nejúčinnějších vektorů. Významná část útoků nyní probíhá prostřednictvím digitálních dodavatelských řetězců. V současnosti 70 % IT specialistů uvádí střední až vysokou míru závislosti na externích subjektech, které můžou zahrnovat třetí, čtvrté nebo páté strany.9 Zároveň se 53 % organizací setkalo alespoň s jedním únikem dat způsobeným třetí stranou.10

Zatímco rozsáhlé útoky na dodavatelské řetězce jsou častější, organizace se denně potýkají s menšími útoky. Škodlivý software pro podvodné kopírování (skimming) digitálních platebních karet, jako je Magecart, ovlivňuje moduly plug-in třetích stran pro elektronické obchodování. V únoru 2022 společnost RiskIQ detekovala více než 300 domén napadených malwarem Magecart pro podvodné kopírování (skimming) digitálních platebních karet.11

Firmy každoročně investují více do mobilních technologií, protože životní styl průměrného uživatele se více orientuje na mobilní zařízení. Američané nyní tráví více času na mobilních zařízeních než sledováním televizního vysílání. Vyžadování sociálního odstupu způsobilo, že více svých fyzických potřeb, jako je nakupování a vzdělávání, přesunuli na mobilní zařízení. App Annie ukazuje, že útraty za mobilní zařízení vzrostly v roce 2021 na ohromujících 170 miliard USD, což představuje meziroční nárůst o 19 %.12

Tato poptávka po mobilních zařízeních vede k masivnímu rozšiřování mobilních aplikací. V roce 2020 si uživatelé stáhli 218 miliard aplikací. Společnost RiskIQ v roce 2020 zaznamenala 33% celkový nárůst počtu dostupných mobilních aplikací, přičemž každou minutu se jich objeví 23.2

Obchody s aplikacemi jsou potenciální oblastí útoku

  • nárůst počtu mobilních aplikací.
  • mobilních aplikací se objevuje každou minutu.
  • aplikace je zablokována každých pět minut.2

Pro organizace jsou tyto aplikace hnací silou obchodních výsledků. Může to však být dvousečná zbraň. Prostředí aplikací představuje významnou část celkové potenciální oblasti útoku v podniku, která je za bránou firewall, kde týmy zabezpečení často trpí kritickým nedostatkem viditelnosti. Aktéři hrozeb se živí tím, že využívají této krátkozrakosti a vytvářejí „podvodné aplikace“, které napodobují známé značky nebo se jinak vydávají za něco, co nejsou, a jsou vytvořeny s cílem oklamat zákazníky, aby si je stáhli. Jakmile si nic netušící uživatel stáhne tyto škodlivé aplikace, aktéři hrozeb můžou začít pracovat. Pomocí útoků phishing můžou získat citlivé informace nebo můžou nahrávat malware do zařízení. RiskIQ zablokuje nějakou škodlivou mobilní aplikaci každých pět minut.

Tyto podvodné aplikace se ve výjimečných případech objevují v oficiálních obchodech a dokážou porušit zabezpečení i v robustní ochraně hlavních obchodů s aplikacemi. Stovky méně renomovaných obchodů s aplikacemi však představují temné mobilní podsvětí mimo relativní bezpečí renomovaných obchodů. Aplikace v těchto obchodech jsou mnohem méně regulované než v oficiálních obchodech s aplikacemi a některé z těchto obchodů jsou tak zaplavené škodlivými aplikacemi, že jich mají v nabídce více než těch bezpečných.

Součástí potenciální oblasti útoku organizace je i globální potenciální oblast útoku

Dnešní globální potenciální oblast útoku se dramaticky transformovala na dynamický, všeobjímající a zcela provázaný ekosystém, jehož jsme všichni součástí. Pokud jste přítomní na internetu, jste propojeni se všemi ostatními – včetně těch, kdo vám chtějí uškodit. Z tohoto důvodu je sledování infrastruktury hrozeb stejně důležité jako sledování vlastní infrastruktury.

Globální potenciální oblast útoku je součástí potenciální oblasti útoku organizace

  • nových odhalených „kusů“ malwaru.2
  • nárůst počtu variant malwaru.13
  • server Cobalt Strike každých 49 minut.2

Různé skupiny hrozeb budou recyklovat a sdílet infrastrukturu – IP adresy, domény a certifikáty – a používat open-sourcové komoditní nástroje, jako je malware, phishingové sady a součásti pro ovládání a řízení (C2), aby se vyhnuly snadnému připisování útoků, a budou je upravovat a vylepšovat podle svých jedinečných potřeb.

Každý den je odhaleno více než 560 000 nových „kusů“ malwaru a počet phishingových sad inzerovaných na nelegálních tržištích využívaných kybernetickými zločinci se mezi lety 2018 a 2019 zdvojnásobil. V roce 2020 vzrostl počet zjištěných variant malwaru o 74 %.14 RiskIQ nyní detekuje server Cobalt Strike umožňující pro ovládání a řízení (C2) každých 49 minut.

Tradiční strategií zabezpečení většiny organizací je přístup hloubkové obrany, který začíná na perimetru a využívá vrstvy zabezpečení směrem k prostředkům, které by měly být chráněny. Mezi takovou strategií a potenciální oblastí útoku jsou však mezery, jak je uvedeno v této studii. V dnešním světě digitální angažovanosti se uživatelé nacházejí mimo perimetr – stejně jako rostoucí počet vystavených firemních digitálních prostředků a mnoho škodlivých aktérů. Používání principů nulové důvěry (Zero Trust) u všech podnikových zdrojů může pomoct zabezpečit dnešní pracovníky a chránit lidi, zařízení, aplikace a data bez ohledu na to, kde se nacházejí, nebo na rozsah hrozeb, kterým čelí. Zabezpečení od Microsoftu nabízí řadu cílených hodnotících nástrojů, které vám pomůžou posoudit vyspělost modelu nulové důvěry (Zero Trust) ve vaší organizaci.

Související články

Minuta kybernetických hrozeb

Během kybernetického útoku hraje roli každá sekunda. Abychom ilustrovali rozsah a dosah celosvětových kybernetických trestných činů, shrnuli jsme celoroční výzkum kybernetického zabezpečení na prostoru 60 sekund.
Další informace

Ransomware jako služba

Nejnovější obchodní model počítačových trestních činů, útoky řízené lidmi, dodává odvahu zločincům s různými schopnostmi.
Další informace

Rostoucí IoT a riziko pro OT

Čím dál tím víc se rozšiřující IoT představuje riziko pro OT, a to řadou potenciálních zranitelností a vystavením se aktérům hrozeb. Podívejte se, jak můžete svoji organizaci chránit.
Další informace