Trace Id is missing

Identiteet on uus võitlusväli

Mees ja naine istuvad laua taga ja kasutavad sülearvutit.

„Cyber Signals“, 1. number: Saate ülevaate arenevatest küberohtudest ja sellest, milliseid samme oma organisatsiooni paremaks kaitsmiseks ette võtta.

Enamiku asutuste turbeprotokollide ja reaalsete ohtude vahel on ohtlikult lai lõhe. Ehkki ründajad püüavad võrkudesse ka jõuga sisse murda, on nende eelistatud taktika lihtsam: nõrkade sisselogimisparoolide äraarvamine. Elementaarsed meetmed, näiteks mitmikautentimine, on tõhusad 98% rünnete vastu, kuid need on täielikult kasutusele võetud üksnes viiendikus ettevõtetes (Microsofti digikaitsearuanne, 2021).

1. numbrist saate ülevaate praegustest turbetrendidest ning Microsofti uurijate ja ekspertide soovitusi, näiteks:

  • kes  sõltuvad parooli- ja identiteedipõhistest rünnetest;
  • mida  teha rünnete tõrjumiseks (sh lõpp-punktide, meilikontode ja kasutajaidentiteetidega seotud strateegiad);
  • millal  prioriseerida erinevaid turbemeetmeid;
  • kus  lunavaratüved võrku sisenevad ja levivad ning kuidas neid peatada;
  • miks  on identiteedikaitse endiselt suurim murekoht, kuid üksiti ka suurim võimalus teie turvet täiustada.

Riiklikult mahitatud küberohustajad kahekordistavad jõupingutust haarata enda käsutusse kasutajaidentiteedi alustalad

Riiklikult mahitatud küberohustajate ründed on tõusuteel. Ehkki nende vaenlaste käsutuses on hiiglaslikud ressursid, kasutavad nad hõlpsasti äraarvatavate paroolide varastamiseks sageli lihtsaid taktikaid. Sel viisil pääsevad nad kliendikontodele juurde kiiresti ja kerge vaevaga. Suurettevõtete vastu suunatud rünnete korral võimaldab organisatsiooni võrku sissetungimine riiklikult mahitatud küberründajatel luua omamoodi sillapea, mida nad saavad seejärel kasutada edasi liikumiseks nii vertikaalselt, sarnaste kasutajate ja ressursside kaudu, või horisontaalselt, luues juurdepääsu väärtuslikumale identimisteabele ja ressurssidele.

Andmepüük, manipuleerimisründed ja ulatuslikud paroolisimultaanid on peamised taktikad, mida riiklikult mahitatud küberohustajad kasutavad paroolide varastamiseks või äraarvamiseks. Microsoft saab ründajate oskustest ja edusammudest aimu, jälgides, millistesse taktikatesse ja tehnikatesse nad investeerivad ja mida saadab edu. Kui kasutaja identimisteave on kehvasti hallatud või jäetud haavatavaks, ilma oluliste turbemeetmeteta (nt pole kasutusel mitmikautentimine (MFA) või paroolita sisselogimismeetodid), jätkavad vaenulikud riigid samade lihtsate võtete kasutamist.

Vajadust minna üle mitmikautentimise või paroolita sisselogimise kasutamisele ei saa üle hinnata, kuna identiteedile keskenduvate rünnete lihtsus ja madal hind muudavad need ründajatele mugavaks ja tõhusaks. Ehkki MFA pole ainus identiteedi- ja juurdepääsuhalduse tööriist, mida asutused peaksid kasutama, võib see osutuda tõhusaks heidutuseks.

Identimisteabe kuritarvitamisega tegeleb NOBELIUM – Venemaaga seostatud riiklikult mahitatud ründaja. Paroolisimultaane kasutavad aga teisedki ründajad, näiteks Iraaniga seostatud DEV 0343. DEV-0343 tegevust on täheldatud mitmes kaitsevaldkonna ettevõttes, kus toodetakse sõjaväele sobivaid radareid, droonitehnikat, satelliidisüsteeme ja hädaabiteenuste sidesüsteeme. Lisaks on sihikule võetud ka Pärsia lahe regionaalselt olulisi sadamaid ning mitmesuguseid merendus- ja transpordifirmasid, mille tegevuse keskmes on Lähis-Ida.
Iraani algatatud identiteedipõhiste küberrünnete jaotus
Iraani poolt kõige sagedamini sihitud riigid ajavahemikus 2020. aasta juulist kuni 2021. aasta juunini olid Ameerika Ühendriigid (49%), Iisrael (24%) ja Saudi Araabia (15%). Lisateavet selle pildi kohta leiatetäieliku aruande 4. leheküljelt

Organisatsioonid peaksid tegema järgmist.

Lubage mitmikautentimine: see aitab maandada paroolide valedesse kätesse sattumise riski. Veelgi parem oleks üle minna paroolita mitmikautentimisele ja paroolid täiesti elimineerida.
Auditeerige kontoõigusi: eelispääsukontod muutuvad kaaperdamise korral võimsaks relvaks, mida ründajad saavad kasutada võrkudele ja ressurssidele ulatuslikumaks juurdepääsuks. Turbemeeskonnad peaksid juurdepääsuõigusi regulaarselt auditeerima, kasutades töötajatele vajalike tööülesannete täitmiseks õiguste andmisel minimaalõiguste printsiipi.
Vaadake üle kõik rentnikuadministraatori kontod, tugevdage ja jälgige neid: turbemeeskonnad peaksid põhjalikult üle vaatama kõik rentnikuadministraatori õigustega kasutajad või delegeeritud haldusõigustega seotud kontod ning kasutajate ja tegevuste autentsust kontrollima. Seejärel peaksid nad kasutamata delegeeritud haldusõigused keelama või eemaldama.
Panema riskide vähendamiseks paika turbe etaloni ja seda jõustama: vaenulikud riigid on valmis mängima pikka mängu ning neil on olemas nii rahalised vahendid, tahtmine kui ka haare, et töötada välja uusi ründestrateegiaid ja -tehnikaid. Iga võrgutugevdusalgatus, mis lükkub edasi läbilaskevõime või bürokraatia tõttu, täidab ründajate huvi. Turbemeeskonnad peaksid prioriseerima täisusaldamatusel põhinevate tavade, näiteks mitmikautentimise ja paroolita sisselogimise täienduste juurutamist. Alustada võib eelispääsuga kontodest, et esialgne kaitse kiiresti paika saada; seejärel saab kaitsemeetmeid järkjärgult, kuid pidevalt laiendada.

Mõttevahetuses domineerib lunavara, kuid edu saadab üksnes mõnda tüve

Üks põhilisi narratiive näib praegu olevat, et liikvel on tohutu hulk uhiuusi lunavaraohte, millega kaitsjad ei suuda sammu pidada. Microsofti analüüsi andmetel on see aga vale. Samuti on levinud arusaam, et teatud lunavararühmitused moodustavad ühe monoliitse organisatsiooni, ent seegi pole õige. Tegelikult on moodustunud küberkuritegevuslik majandus, kus erinevad kaubanduslikes ründeahelates osalejad teevad teadlikke valikuid. Neid innustava majandusmudeli põhimõte on lihtne: kasumit tuleb maksimeerida sõltuvalt sellest, millisele teabele neil on juurdepääs ja mida nad saavad ära kasutada. Allpool kujutatud skeem näitab, kuidas eri rühmitused kasutavad raha teenimiseks ära erinevaid küberrünnete strateegiaid ja andmeturbemurrete kaudu saadud teavet.

Mitmesuguste küberkuritegevusteenuste keskmised hinnad
Müügiks olevate küberkuritegevusteenuste keskmised hinnad. Ründaja saab palgata juba 250 USA dollari eest tööotsa kohta. Lunavarakomplektid maksavad alates 66 USA dollarist või 30% ründega teenitud kasumist. Juurdepääsu turberikkega seadmetele pakutakse alates 13 USA sendist PC-arvuti ja 82 sendist nutiseadme kohta. Andmepüügi rendihind kõigub vahemikus 100–1000 USA dollarit. Varastatud kasutajanimede ja paroolide paaride hind algab keskmiselt 97 sendist 1000 identimisteabepaari kohta. Lisateavet selle pildi kohta leiatetäieliku aruande 5. leheküljelt  

Olenemata sellest, kui palju lunavara ringi liigub või millised tüved on kasutusel, sõltub lõpuks ikkagi kõik kolmest sisenemisvektorist: kaugtöölauaprotokolli (RDP) jõuründed, haavatavad Interneti-ühendusega süsteemid ja andmepüük. Kõiki neid vektoreid saab lisaks mitmekülgsele turbe ja nõuetelevastavuse tööriistakomplektile leevendada õige paroolkaitse, identiteedihalduse ja tarkvaravärskendustega. Teatud tüüpi lunavara saab laialt levida üksnes juhul, kui see saab juurdepääsu identimisteabele ja sellel lubatakse levida. Nende tingimuste täitmisel saab see palju pahandust põhjustada ka siis, kui tegemist on tuntud tüvega.

Küberohustajate kaardistamine esialgsest juurdepääsust alustades ja süsteemis külgliikumisega lõpetades
Küberohustaja käitumistee alates süsteemi esialgse juurdepääsupunkti kaudu sissetungimisest kuni identimisteabevarguse ja külgliikumiseni läbi süsteemi. Jälgib püsiteed kontode hõivamiseks ja lunavaralasti hankimiseks. Lisateavet selle pildi kohta leiatetäieliku aruande 5. leheküljelt

Turbemeeskonnad peaksid silmas pidama järgmist.

Mõistke, et lunavararünnete tugisambaks on vaikeolekus või ründe ohvriks langenud identimisteave: seetõttu peaksid turbemeeskonnad kiiremini kasutusele võtma mitmesugused turbemeetmed, näiteks paroolita mitmikautentimise kõigi kasutajakontode jaoks, prioriseerides juhtkonda, administraatoreid ja muid õigustega rolle.
Tehke kindlaks, kuidas ründest märku andvaid anomaaliaid märgata piisavalt aegsasti, et jõuaksite neile reageerida: esialgsed sisselogimised, failide liigutamine ja muud lunavara sisse toovad käitumised ei pruugi millegagi silma torgata. Siiski peavad meeskonnad anomaaliatel silma peal hoidma ja vajaduse korral kiiresti tegutsema.
Koostage lunavarale reageerimise plaan ja korraldage taasteharjutusi: elame ajastul, kus kõik sünkroonitakse ja jagatakse pilve, ent andmetest koopiate tegemine pole päris sama mis tervete IT-süsteemide ja andmebaaside varundamine. Meeskonnad peaksid täieliku taasteprotsessi visualiseerima ja seda harjutama.
Hallake teateid ja tegelge leevendusega aega kaotamata: ehkki lunavararünded tekitavad kõigile muret, peaksid turbemeeskonnad keskenduma eeskätt selliste nõrkade turbekonfiguratsioonide tugevdamisele, mis lubavad rünnetel edu saavutada. Turbekonfiguratsioone tuleks hallata nii, et teadetele ja tuvastustele reageeritakse õigesti.
Kaitse jaotuskõver näitab, kuidas elementaarne turbehügieen aitab asutust või ettevõtet kaitsta 98% rünnete eest
Organisatsiooni kaitsmiseks 98% rünnete eest võtke kasutusele ründevaratõrje, rakendage juurdepääsuks minimaalõiguste printsiipi, lubage mitmikautentimine, hoidke tarkvaraversioonid ajakohased ja kaitske andmeid. Ülejäänud 2% rünnetest hõlmab tavapärastest erinevaid ründeid. Lisateavet selle pildi kohta leiatetäieliku aruande 5. leheküljelt
Kasutajaidentiteetide kaitse kohta saate täiendavaid suuniseid Microsofti ohuanalüüsi juhilt Christopher Glyerilt

Analüüside koostamiseks ja ohtude blokeerimiseks kasutatakse iga päev enam kui 24 triljonit signaali

Lõpp-punktide ohud:
Microsoft Defender for Endpoint blokeeris 2021. aasta jaanuarist detsembrini üle 9,6 miljardi ründevaraohu, mis sihtisid nii suurettevõtete kui ka tavatarbijatest klientide seadmeid.
Meiliohud:
Microsoft Defender for Office 365 blokeeris 2021. aasta jaanuarist detsembrini üle 35,7 miljardi andmepüügi- ja muu ründemeili, mis sihtisid nii suurettevõtete kui ka tavatarbijatest klientide seadmeid.
Identiteediohud:
Microsoft (Azure Active Directory) tuvastas ja blokeeris 2021. aasta jaanuarist detsembrini üle 25,6 miljardi katse kaaperdada suurettevõtteklientide kontosid varastatud paroole kasutavate jõurünnete abil.

Metoodika: Hetktõmmiste andmete jaoks esitasid Microsofti platvormid (sh Defender ja Azure Active Directory) anonüümsele kujule viidud andmed ohutegevuste (nt jõurünnetel põhinevate sisselogimiskatsete, andmepüügi- jm ettevõtteid ja tavatarbijaid sihtivate ründemeilide ning ründevararünnete) kohta ajavahemikus 2021. aasta jaanuarist detsembrini. Täiendavad andmed pärinevad 24 triljonist igapäevasest turbesignaalist, mida Microsoft kogub pilvkeskkondadest, lõppseadmetest ja tehisintelligentsest servast. Tugeva autentimise andmed hõlmavad nii mitmikautentimist kui ka paroolita kaitset.

Seotud artiklid

Ajakirja „Cyber Signals“ 2. väljaanne: Väljapressimisel põhinev majandus

Meie eesliinieksperdid annavad ülevaate arengutest teenusena pakutava lunavara valdkonnas. Täpsemat teavet saate kõikvõimalike tööriistade, taktikate ja sihtmärkide kohta, mida küberkurjategijad eelistavad, programmidest ja lastidest alustades ning juurdepääsumaaklerite ja vahendajatega lõpetades. Samuti leiate siit juhiseid oma asutuse või ettevõtte kaitsmiseks.

Ukraina kaitsmine: kübersõja esimesed õppetunnid

Meie jätkuva ohuanalüüsi uusimad leiud Venemaa ja Ukraina vahelisest sõjast ning sõja esimesest neljast kuust tehtud järeldused kinnitavad, kui oluline on järjekindlalt investeerida tehnoloogiasse, andmetesse ja partnerlustesse, et toetada riigiasutusi, ettevõtteid, valitsusväliseid organisatsioone ja ülikoole.

Eksperdi profiil: Christopher Glyer

Christopher Glyer on Microsofti ohuanalüüsikeskuse (MSTIC) peamine ohuteabe juht, kes keskendub lunavarale, ning on osa meeskonnast, kes uurib, kuidas kõige arenenumad ohustajad pääsevad süsteemidele juurde ja neid ära kasutavad.