Trace Id is missing

Välisründepinna anatoomia

Laadige alla
Ühiskasutus
Välisründepinna anatoomia mõistmine

Viis elementi, millel peaks iga organisatsioon silma peal hoidma

Küberturbe maailm muutub järjest keerukamaks, kuna organisatsioonid liiguvad pilvkeskkonda ja lähevad üle detsentraliseeritud tööle. Tänapäeval hõlmab väline ründepind mitut pilve, keerulisi digitaalseid tarneahelaid ja tohutuid kolmandate osapoolte ökosüsteeme. Seetõttu on praegu levinud ülemaailmsete turbeprobleemide mastaap radikaalselt muutnud meie arusaama laiaulatuslikust küberturbest.

Internet on nüüd osa võrgust. Vaatamata Interneti peaaegu mõõtmatule suurusele peavad turbemeeskonnad kaitsma oma organisatsiooni kohalolekut üle kogu Interneti samal määral kui kõike muud oma tulemüüride taga. Kuna üha enam organisatsioone võtab kasutusele täisusaldamatusepõhimõtted, on nii sise- kui ka välispindade kaitsmine muutunud internetitasandi väljakutseks. Seetõttu on organisatsioonidel üha olulisem mõista oma ründepinna kogu ulatust.

Microsoft omandas Risk IQ 2021. aastal, et aidata organisatsioonidel hinnata kogu oma digitaalettevõtte turvalisust.  RiskIQ internetiandmete graafitoel saavad organisatsioonid avastada ja uurida ohte kõigis ründepinda moodustavates komponentides, ühendustes, teenustes, IP-ühendusega seadmetes ja taristutes, et luua vastupidav ja skaleeritav kaitse.

Turbemeeskondade jaoks võib kaitstav sügavus ja laius tunduda hirmutav. Üks viis organisatsiooni ründepinna ulatuse aimamiseks on aga mõelda Internetile ründaja vaatenurgast. Selles artiklis tuuakse esile viis ala, mis aitavad paremini mõista tõhusa välise ründepinna haldamise väljakutseid.

Ülemaailmne ründepind kasvab koos internetiga

Ja see kasvab iga päevaga. 2020. aastal ületas Internetis leiduv andmemaht 40 zettabaiti ehk 40 triljonit gigabaiti.1 RiskIQ andmeil lisandub iga minut 117 298 hosti ja 613 domeeni2 tohutul hulgal põimunud lõimedele, mis moodustavadki keeruka globaalse ründepinna. Iga lõim sisaldab elementide komplekti, milleks on näiteks nende aluseks olevad operatsioonisüsteemid, raamistikud, kolmanda osapoole rakendused, pistikprogrammid ja jälgimiskood. Kuna kõik sellised kiiresti levivad paigad sisaldavad neid n-ö mutreid ja polte, suureneb globaalse ründepinna ulatus plahvatuslikult.

Ülemaailmne ründepind kasvab iga minutiga

  • igas minutis loodavate hostide arv.
  • igas minutis loodavate domeenide arv.
  • 375 uut ohtu igas minutis.2

Sellele kasvule aitavad kaasa nii seaduslikud organisatsioonid kui ka küberohustajad, mis tähendab, et küberohud kasvavad mastaapselt koos ülejäänud Internetiga. Keerukad püsiohud (APT) ning ka pisiküberkurjategijad ohustavad ettevõtete turvalisust, võttes sihikule nende andmed, kaubamärgid, intellektuaalomandi, süsteemid ja inimesed.

2021. aasta esimeses kvartalis tuvastas CISCO 611 877 unikaalset andmepüügisaiti,3 millest kolmel oli 32 domeenirikkumise sündmust ja 375 uut ohtu minutis.2 Need ohud võtavad peturessurssidega sihikule organisatsioonide töötajad ja kliendid, et neid pahatahtlikel linkidel klõpsama tüssata ning delikaatseid andmeid andmepüügiga kätte saada: see kõik võib kahjustada kaubamärgi- ja tarbijausaldust.

Kaugtöötajaskondi mõjutavate nõrkuste kasv

Internetikeskkonnas avalike ressursside kiire kasv on järsult laiendanud keskmist organisatsiooni mõjutavate ohtude ja nõrkuste spektrit. COVID-19 tulekuga kiirenes digitaalne kasv taas ning peaaegu iga organisatsioon laiendas oma digijalajälge, et kohandada seda kaugtöötajaskonna vajaduste ja ärimudeliga. Tulemus: ründajatel on nüüd palju rohkem juurdepääsupunkte, mida tuvastada või ära kasutada.

Selliste kaugjuurdepääsu tehnoloogiate nagu RDP (kaugtöölaud) ja VPN (virtuaalne privaatvõrk) kasutamine kasvas hüppeliselt vastavalt 41 protsenti ja 33 protsenti4 ning enamik maailmast on seejuures võtnud kasutusele kodust töötamise poliitika. Ülemaailmne kaugtöölaua tarkvara turu suurus, mis oli 2019. aastal 1,53 miljardit USA dollarit, kasvab 2027. aastaks 4,69 miljardi USA dollarini.5

Kümned uued kaugjuurdepääsu tarkvaras ja seadmetes leiduvad nõrkused on andnud ründajatele kindla jalgealuse, mida neil sellisel moel kunagi varem olnud pole. RiskIQ tõi esile mitmeid kõige populaarsemate kaugjuurdepääsu- ja perimeetriseadmete haavatavaid eksemplare ning nõrkuste kasvu tohutu tempo pole hetkekski aeglustunud. Kokku teatati 2021. aastal 18 378 nõrkusest.6

Uus nõrkuste maastik

  • kasv kaugtöölaua kasutuses.
  • kasv virtuaalse privaatvõrgu kasutamises.
  • 2021. aastal teatatud nõrkused.

Seoses mitmete ohurühmade korraldatud ja digitaalsete ettevõtete jaoks kohandatud ülemaailmsete rünnete levikuga peavad turbemeeskonnad vähendama enda, kolmandate osapoolte, partnerite, kontrollitud ja kontrollimata rakenduste ning teenuste nõrkuste hulka digitaalse tarneahela sees ja digisuhetes.

Digitaalsed tarneahelad, liitmised ja ülevõtmised (M&A ) ning vari-IT loovad varjatud ründepinna

Enamik küberründeid saab alguse võrgust kilomeetrite kaugusel; veebirakendused hõlmasid häkkimisega seotud rikkumiste puhul kõige sagedamini ekspluateeritud vektorkategooriat. Kahjuks puudub enamikul organisatsioonidel täielik ülevaade oma Interneti-ressurssidest ja sellest, kuidas need ressursid globaalse ründepinnaga seotud on. Selle nähtavuse puudumise kolm olulist tegurit on vari-IT, liitmised ja ülevõtmised (M&A) ning digitaalsed tarneahelad.

Riskisõltuvused

  • aegunud teenuste arv minutis.2
  • tehingute osakaal, mis sisaldab küberturbe nõuetekohast hoolsust.7
  • organisatsioonide osakaal, mis koges vähemalt üht kolmanda osapoole põhjustatud andmerikkumist.8

Vari-IT

 

Kui IT ei suuda ettevõtte nõuetega sammu pidada, otsib ettevõte uute veebiressursside arendamiseks ja juurutamiseks tuge mujalt. Turbemeeskond on nende vari-IT tegevuste osas sageli teadmatuses ega saa seetõttu loodud ressursse oma turbeprogrammi kohaldamisalasse viia. Haldamata ja omapäi jäänud ressursid võivad aja jooksul muutuda organisatsiooni ründepinnal potentsiaalseks valupunktiks.

Digiressursside kiire levik väljaspool tulemüüri on nüüdseks saanud normiks. Uued RiskIQ kliendid leiavad tavaliselt üles umbes 30 protsenti rohkem ressursse, kui neil nende arvates olemas oli; RiskIQ tuvastab iga minut 15 aegunud teenust (mis on alamdomeeni kaaperdamise suhtes vastuvõtlikud) ja 143 avatud porti.2

Liitjad ja ülevõtjad

 

Igapäevased toimingud ja kriitilise tähtsusega ettevõttealgatused (nt liitmised ja ülevõtmised (M&A), strateegiline partnerlus ja allhange) loovad ning laiendavad välisründepindu. Tänapäeval sisaldab vähem kui 10 protsenti ülemaailmsetest tehingutest küberturbe nõuetekohast hoolsust.

Levinud põhjuseid on mitu, miks organisatsioonid ei saa nõuetekohase hoolsuse käigus võimalikest küberriskidest täielikku ülevaadet. Esimeseks põhjuseks on ettevõtte omandatav digitaalse kohaloleku suur ulatus. Pole just kuigi haruldane, et suurel organisatsioonil on tuhandeid või isegi kümneid tuhandeid aktiivseid veebisaite ja muid avalikult kättesaadavaid ressursse. Kuigi omandatava ettevõtte IT- ja turbemeeskondadel on veebisaitide ressursiregister, on see peaaegu alati vaid osaline ülevaade olemasolevatest ressurssidest. Mida detsentraliseeritum on organisatsiooni IT-tegevus, seda suurem on lõhe.

Tarneahelad

 

Suurettevõtted sõltuvad üha enam digitaalsetest liitudest, mis moodustavad kaasaegse tarneahela. Kuigi need sõltuvused on 21. sajandil tegutsemiseks hädavajalikud, loovad need ka segamini, kihilise ja väga keerulise kolmandatest osapoolest koosneva suhtevõrgustiku, millest paljud suhteseosed ei kuulu turbe- ja riskimeeskondade pädevusse ennetava kaitse tagamiseks. Seetõttu on nõrkustega digiressursside kiire tuvastamine tohutu väljakutse.

Nende sõltuvuste mittemõistmine ja nähtavuse puudumine on muutnud kolmandate osapoolte ründed küberohustajate jaoks üheks kõige sagedasemaks ning tõhusamaks vektoriks. Märkimisväärne hulk ründeid liigub tänapäeval läbi digitaalse tarneahela. Tänasel päeval on 70 protsenti IT-spetsialistidest märku andnud keskmise kuni kõrge tasemega sõltuvusest välistest üksustest, mis võivad hõlmata kolmandat, neljandat või viiendat osapoolt.9 Samal ajal on 53 protsenti organisatsioonidest kogenud vähemalt ühel korral kolmanda osapoole põhjustatud andmerikkumist.10

Suuremahulised tarneahela ründed muutuvad üha tavalisemaks ning nii seisavad organisatsioonid väiksemate rünnetega silmitsi iga päev. Digitaalseid krediitkaarte koorida üritav pahavara (nt Magecart) mõjutab kolmandate osapoolte e-kaubanduse lisandmooduleid. 2022. aasta veebruaris tuvastas RiskIQ enam kui 300 domeeni, mida mõjutas Magecarti digitaalseid krediitkaarte koorida püüdev pahavara.11

Igal aastal investeerivad ettevõtted mobiilseadmetesse aina rohkem, kuna keskmise tarbija elustiil muutub mobiilikesksemaks. Ameeriklased veedavad praegu rohkem aega mobiilseadmetes kui telesaadete otseülekandeid vaadates ning sotsiaalse distantseerumisega liikus suurem osa füüsilistest vajadustest (nt ostlemine ja haridus) mobiilseadmetesse. Rakendus Annie näitab, et mobiilikulutused kasvasid 2021. aastal lausa 170 miljardi dollarini, mis on 19 protsendiline kasv aastas.12

See nõudlus mobiilseadmeteenuste järele põhjustab mobiilirakenduste tohutu leviku. 2020. aastal laadisid kasutajad alla 218 miljardit rakendust. Samal ajal märkis RiskIQ 2020. aastal saadaolevate mobiilirakenduste üldiseks kasvuks 33 protsenti, kusjuures igas minutis tekib juurde 23 rakendust.2

Rakenduste poed on kasvavaks ründepinnaks

  • mobiilirakenduste arvu kasv.
  • igas minutis juurdetekkivate rakenduste arv.
  • iga viie minuti järel blokeeritavate rakenduste arv.2

Organisatsioonidele toovad teatud rakendused kaasa häid äritulemusi. Ent nendest abilistest võivad saada kahe teraga mõõgad. Rakenduste maastik on üsna suur osa ettevõtte üldisest ründepinnast, mis jääb väljaspoole tulemüüri. See on ala, kus turbemeeskondade võimekus on sageli pärsitud kriitilise tähtsusega nähtavuse puudumise tõttu. Küberohustajad on seda varjatud nähtavust ära kasutades oma tegevusele hoogu juurde saanud, tootes peturakendusi, mis jäljendavad tuntud kaubamärke või väidavad end muul viisil olevat midagi, mida need tegelikult pole ja mis on loodud selleks, et meelitada kliente neid rakendusi alla laadima. Kui heausklik kasutaja need petturlikud rakendused alla laadib, avab see küberohustajatele tee delikaatse teabe andmepüügini või seadmetesse ründevara üleslaadimiseni. RiskIQ blokeerib iga viie minuti järel ühe petturliku rakenduse.

Need peturakendused ilmuvad ametlikesse poodidesse siiski üsna harva, sest neil peab olema võimekus läbi murda kõige suuremate rakenduste poodide tugevast kaitsest. Sajade vähem mainekamate rakenduste poodide näol on aga tegu hägusa mobiilse allilmaga väljaspool mainekate poodide heal tasemel turvalisust. Sellistes väikepoodides olevad rakendused on palju vähem reguleeritud kui ametlikes rakenduste poes ja mõnes neist on petturlikke rakendusi lausa nii palju, et nende arv ületab ohutute pakkumiste hulga.

Globaalne ründepind on samuti osa organisatsiooni ründepinnast

Tänapäeva globaalne Interneti-ründepind on drastiliselt muutunud dünaamiliseks, kõikehõlmavaks ja täielikult põimunud ökosüsteemiks, mille hulka me kõik kuulume. Kui teil on Interneti-ühendus, olete automaatselt seotud kõigi teistega, sealhulgas ka nendega, kelle kavatsused on kurjad. Sel põhjusel on ohutaristu jälgimine sama oluline kui teie enda taristu jälgimine.

Globaalne ründepind on osa organisatsiooni ründepinnast

  • igas päevas avastatavate uute ründevaraelementide arv.2
  • ründevaravariantide arvukuse kasv.13
  • Cobalt Strike’i ründe arv iga 49 minuti tagant.2

Erinevad ohurühmad töötlevad ümber ja jagavad seejärel muudetud taristut – IP-sid, domeene ja serte – ning kasutavad avatud lähtekoodiga tavatööriistu (nt ründevara, andmepüügikomplektid ja C2-komponendid), et vältida ilmselgete ründetunnuste silmatorkamist; elemente kohandatakse ja täiustatakse vastavalt oma ainulaadsetele vajadustele.

Iga päev tuvastatakse enam kui 560 000 uut ründevara, põrandaalustel küberkuritegevuse turgudel reklaamitavate andmepüügikomplektide arv kahekordistus aastatel 2018–2019. 2020. aastal kasvas tuvastatud ründevara variantide arv 74 protsenti.14 RiskIQ tuvastab nüüdseks uue Cobalt Strike C2 serverite tegevuse iga 49 minuti järel.

Traditsiooniliselt on enamiku organisatsioonide turbestrateegia olnud kaitse süvendamist edendav lähenemine, mis algab perimeetrist ja ulatub tagasi kaitset vajavate ressurssideni. Seda tüüpi strateegia ja ründepinna vahel on aga lahknevusi, nagu on esitatud käesolevas aruandes. Tänapäeva digitaalkaasatuse maailmas paiknevad kasutajad väljaspool perimeetrit – nagu ka üha suurem hulk ohtudele avatud ettevõtte digiressursse üheskoos tohutul hulgal küberohustajatega. Täisusaldamatuse põhimõtete rakendamine kõigis ettevõtte ressurssides aitab kindlustada tänapäeva töötajaskonna turvalisuse. Eesmärgiks on kaitsta inimesi, seadmeid, rakendusi ja andmeid olenemata nende asukohast või ohtude ulatusest. Microsofti turbeteenus pakub mitmeid sihipäraseid hindamistööriistu, mis aitavad teil hinnata organisatsiooni täisusaldamatuse küpsusstaadiumit.

Seotud artiklid

Küberohud ühe minutiga

Küberründe ajal loeb iga sekund. Ülemaailmse küberkuritegevuse ulatuse ja skaala ilmestamiseks oleme koondanud aastapikkuse küberturbealase uurimistöö ühte 60-sekundisse aknasse.
Lisateave

Lunavara teenusena

Küberkuritegevuse uusim ärimudel – inimeste juhitavad ründed – innustab tegevusele igasuguste võimetega kurjategijaid.
Lisateave

Arenev IoT ja risk OT-le

IoT üha suurem levik tähendab suuremat ohtu OT-le – potentsiaalseid nõrkusi on väga palju ja seadmed on ohustajatele avatud. Uurige järele, kuidas oma organisatsiooni kaitsta.
Lisateave