Tänapäevase ründepinna anatoomia

Enamiku organisatsioonide jaoks on e-post igapäevase äritegevuse oluline osa. Kahjuks on meiliaadress endiselt suurim ohuallikas. 2022. aastal hõlmas 35% lunavarajuhtumitest meili kasutamist.⁴Ründajad sooritavad rohkem meiliründeid kui kunagi varem – 2022. aastal kasvas andmepüügirünnete määr 2021. aastaga võrreldes 61%^.5

Ründajad kasutavad nüüd ka andmepüügirünnete läbiviimiseks tavaliselt seaduslikke ressursse. See muudab kasutajatel tõeliste ja pahatahtlike meilide eristamise veelgi keerulisemaks, suurendades tõenäosust, et oht läbi lipsab. Andmepüügis on nõusolekuründed üks näide sellest suundumusest, kus küberohustajad kuritarvitavad seaduslikke pilveteenuse pakkujaid, et meelitada kasutajaid andma luba konfidentsiaalsetele andmetele juurdepääsuks.

Kui meilisignaale pole võimalik rünnete visualiseerimiseks laiemateks intsidentideks korreleerida, võib meili teel sisenenud küberohustaja tuvastamine võtta kaua aega. Ja selleks ajaks võib kahju ärahoidmiseks olla juba hilja. Keskmine aeg, mis kulub ründajal organisatsiooni privaatsetele andmetele juurde pääsemiseks, on vaid 72 minutit.⁶ See võib ettevõtte tasandil kaasa tuua tõsiseid kaotusi. Ettevõtete meilipetted (BEC) läksid 2021. aastal maksma hinnanguliselt 2,4 miljardit USA dollarit täpsustatud kahju.⁷

Tänapäeva pilvepõhises maailmas on juurdepääsu kaitsmine muutunud kriitilisemaks kui kunagi varem. Seetõttu on väga oluline omandada sügav arusaam identiteedist kogu teie organisatsioonis – sealhulgas kasutajakontode õigustest, töökoormuse identiteedist ja nende potentsiaalsetest nõrkustest  –, eriti kui ründed sagenevad ja nende loovus suureneb.

Paroolirünnete arv tõusis 2022. aastal hinnanguliselt 921 ründeni sekundis – 74% rohkem kui 2021. aastal.⁸ Samuti oleme Microsoftis näinud, kuidas küberohustajad on loovamad mitmikautentimisest (MFA) möödahiilimisel, kasutades organisatsioonide andmetele juurdepääsu saamiseks selliseid meetodeid nagu andmepüügiründed ja tõendi kuritarvitamine. Andmepüügikomplektid on muutnud küberohustajatel identimisteabe varastamise veelgi lihtsamaks. Microsofti digitaalkuritegude üksus on viimase aasta jooksul täheldanud andmepüügikomplektide keerukuse suurenemist ja turule sisenemise väga madalaid tõkkeid – üks müüja pakub andmepüügikomplekte kõigest 6 USA dollari eest päevas.⁹

Identiteedi ründepinna haldamine on midagi enamat kui kasutajakontode turvamine – see hõlmab nii juurdepääsu pilvele kui ka töökoormuste identiteete. Lahtimurtud identimisteave on võimas tööriist, mida küberohustajad saavad kasutada organisatsiooni pilvtaristus hävingu tekitamiseks.

Arvestades seadmete tohutut arvu tänapäeva hübriidkeskkonnas, on lõpp-punktide turvamine muutunud keerulisemaks. Muutunud ei ole see, et lõpp-punktide – eriti mittehallatavate seadmete – turvamine on tugeva turbeseisundi jaoks ülioluline, kuna isegi üks turbemurre võib anda ohustajatele juurdepääsu teie organisatsiooni.

Kuna organisatsioonid on omaks võtnud BYOD-i („too oma seade“) poliitikad, on haldamata seadmete levik suurenenud. Järelikult on lõpp-punkti ründepind nüüd suurem ja rohkem rünnetele avatud. Ettevõttes on keskmiselt 3500 ühendatud seadet, mida ei kaitse lõpp-punkti ohutuvastus ja -kõrvalduse agent.¹¹

Haldamata seadmed (mis on osa „varju IT“ maastikust) on küberohustajatele eriti atraktiivsed, kuna turbemeeskondadel puudub nende kaitsmiseks vajalik nähtavus. Oleme Microsoftis avastanud, et kasutajad nakatuvad 71% tõenäolisemalt haldamata seadmes.¹² Kuna nad ühenduvad ettevõtte võrkudega, pakuvad haldamata seadmed ründajatele ka võimaluse käivitada laiemaid ründeid serverite ja muu taristu vastu.

Haldamata serverid on ka potentsiaalsed lõpp-punkti ründevektorid. 2021. aastal avastas Microsofti turbeteenus ründe, mille käigus ohustaja kasutas paikamata serverit, navigeeris kataloogides ja avastas paroolikausta, mis võimaldas juurdepääsu konto identimisteabele.

Üks enim tähelepanuta jäetud lõpp-punktide ründevektoreid on IoT (asjade internet), mis hõlmab miljardeid seadmeid, nii suuri kui ka väikeseid. IoT turvalisus hõlmab füüsilisi seadmeid, mis ühenduvad võrguga ja vahetavad sellega andmeid, nagu ruuterid, printerid, kaamerad ja muud sarnased seadmed. See võib hõlmata ka tootmisseadmeid ja -andureid (tootmistehnoloogia või OT), näiteks tootmisliinide nutikaid seadmeid.

IoT-seadmete arvu kasvades kasvab ka haavatavuste arv. IDC prognoosib, et 2025. aastaks on ettevõtetes ja tarbijakeskkondades saadaval 41 miljardit IoT-seadet.¹⁵ Kuna paljud organisatsioonid karmistavad ruuterite ja võrkude kasutamise eeskirju, et ohustajatel oleks raskem neisse murda, siis IoT-seadmed muutuvad lihtsamaks ja atraktiivsemaks sihtmärgiks. Oleme sageli näinud, kuidas küberohustajad kasutavad turvaauke IoT-seadmete puhverserveriteks muutmiseks – kasutades avatud seadet võrgu tugipostina. Kui küberohustaja on saanud juurdepääsu IoT-seadmele, saab ta jälgida võrguliiklust muude kaitsmata varade osas, liikuda külgsuunas, et tungida oma sihtmärgi taristu teistesse osadesse, või teha luuret, et kavandada ulatuslikke ründeid tundlike seadmete vastu. Ühes uuringus teatas 35% turbetöötajatest, et viimase kahe aasta jooksul on IoT-seadet kasutatud laiema ründe korraldamiseks nende organisatsiooni vastu.¹⁶

Kahjuks on IoT organisatsioonide jaoks sageli nähtavuse mõttes must kast ja paljudel puuduvad korralikud IoT turbemeetmed. 60% turbetöötajatest nimetas IoT ja OT turvet oma IT- ja OT-taristu ühe kõige vähem turvatud aspektina.¹⁷

Tänapäeval hõlmab organisatsioonide väline ründepind mitut pilve, keerulisi digitaalseid tarneahelaid ja tohutuid kolmandate osapoolte ökosüsteeme. Internet on nüüd osa võrgust ja vaatamata selle peaaegu mõõtmatule suurusele peavad turbemeeskonnad kaitsma oma organisatsiooni kohalolekut kogu internetis samal määral kui kõike selle tulemüüride taga. Kuna üha enam organisatsioone võtab kasutusele täisusaldamatuse põhimõtted, on nii sisemiste kui ka väliste ründepindade kaitsmine muutunud internetitasandi väljakutseks.

Ülemaailmne ründepind kasvab koos internetiga ja see laieneb iga päevaga. Oleme Microsoftis näinud tõendeid selle suurenemise kohta mitut tüüpi ohtude, näiteks andmepüügirünnete puhul. 2021. aastal otsustas Microsofti digitaalkuritegude üksus eemaldada enam kui 96 000 unikaalset andmepüügi URL-i ja 7700 andmepüügikomplekti, mille tulemusel tuvastati ja suleti üle 2200 pahatahtliku meiliaadressi konto, mida kasutati klientide varastatud identimisteabe kogumiseks.²⁴

Väline ründepind ulatub organisatsiooni enda varadest palju kaugemale. See hõlmab sageli tarnijaid, partnereid, haldamata isiklikke töötajate seadmeid, mis on ühendatud ettevõtte võrkude või varadega, ja äsja omandatud organisatsioone. Sellest tulenevalt on võimalike ohtude maandamiseks ülioluline olla teadlik välistest seostest ja kokkupuudetest. 2020. aasta Ponemoni aruanne näitas, et 53% organisatsioonidest oli viimase kahe aasta jooksul kogenud vähemalt ühte kolmanda osapoole põhjustatud andmeleket, mille parandamine läks maksma keskmiselt 7,5 miljonit USA dollarit.²⁵

Kuna küberrünnete taga olev taristu suureneb, on ohutaristu nähtavuse suurendamine ja internetis avatud varade inventuuri tegemine muutunud kiireloomulisemaks kui kunagi varem. Oleme avastanud, et organisatsioonidel on sageli raske mõista oma välise avatuse ulatust, mille tulemuseks on märkimisväärsed pimealad. Nendel pimealadel võivad olla laastavad tagajärjed. 2021. aastal koges 61% ettevõtetest lunavararünnakut, mis põhjustas vähemalt osalise äritegevuse katkemise.²⁶

Microsoftis käsime klientidel sageli turbeseisundi hindamisel vaadata oma organisatsiooni väljastpoolt. Lisaks VAPT-ile (haavatavuse hindamine ja läbitungimise testimine) on oluline saada sügav nähtavus oma välisele ründepinnale, et saaksite tuvastada haavatavused kogu oma keskkonnas ja laiendatud ökosüsteemis. Kui oleksite ründaja, kes üritaks sisse pääseda, mida saaksite ära kasutada? Organisatsiooni välise ründepinna täieliku ulatuse mõistmine on selle kaitsmise aluseks.

Kuidas Microsoft saab aidata

Tänapäeva ohumaastik muutub pidevalt ja organisatsioonid vajavad turbestrateegiat, mis suudab sammu pidada. Organisatsiooni suurem keerukus ja avatus koos suur hulga ohtude ja küberkuritegevuse majandusse sisenemise madalate tõketega muudavad ründepindade sees ja nende vahel olevate õmbluste kaitsmise kiireloomulisemaks kui kunagi varem.

Turbemeeskonnad vajavad võimsat ohuteavet, et kaitsta end tänapäeva arvukate ja arenevate ohtude eest. Õige ohuteave korreleerib erinevatest kohtadest pärit signaale – pakkudes õigeaegset ja asjakohast konteksti praegusele ründekäitumisele ja -trendidele, et turbemeeskonnad saaksid edukalt turvaauke tuvastada, hoiatusi tähtsuse järjekorda seada ja ründeid katkestada. Ja kui turbemurre juhtub, on ohuteave ülioluline edasise kahju ärahoidmiseks ja kaitsevõime parandamiseks, et sarnane rünne ei korduks. Lihtsamalt öeldes on organisatsioonid, mis kasutavad rohkem ohuteavet, turvalisemad ja edukamad.

Microsoftil on arenevast ohumaastikust suurepärane ülevaade – iga päev analüüsitakse 65 triljonit signaali. Korreleerides neid signaale reaalajas ründepindade vahel, annab Microsofti turbelahendustesse sisseehitatud ohuteave ülevaate kasvavast lunavara- ja ohukeskkonnast, et saaksite näha ja peatada rohkem ründeid. Täiustatud tehisintellekti võimalustega, nagu Microsoft Security Copilot, saate olla arenevatest ohtudest ees ja kaitsta oma organisatsiooni masinakiirusel – andes oma turbemeeskonnale võimaluse kompleksi lihtsustada, tabada seda, mida teised tähele ei pane, ja kaitsta kõike.