Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Išorinės atakos pažeidžiamos srities anatomija

Atsisiųsti
Bendrinti
Supraskite išorinės atakos pažeidžiamos srities anatomiją

Penki elementai, kuriuos turėtų stebėti organizacijos

Kibernetinės saugos pasaulis vis sudėtingėja, nes organizacijos keliasi į debesį ir persiorientuoja į decentralizuotą darbo pobūdį. Šiandien išorinė atakų pažeidžiama sritis apima įvairius debesis, sudėtingas skaitmeninio tiekimo grandines ir milžiniškas trečiųjų šalių ekosistemas. Todėl dėl dabar paplitusių pasaulinių saugos problemų masto iš esmės pasikeitė mūsų suvokimas apie visapusišką saugą.

Dabar internetas yra tinklo dalis. Nepaisant beveik nesuvokiamo jo dydžio, saugos komandos turi ginti savo organizacijos buvimą internete tokiu pat mastu, kaip ir viską, kas yra už jų užkardų. Kadangi vis daugiau organizacijų taiko nulinio pasitikėjimo principus, vidinės ir išorinės atakos pažeidžiamų sričių apsauga tapo interneto masto iššūkiu. Todėl organizacijoms itin svarbu suprasti visą jų atakos pažeidžiamos srities aprėptį.

2021 m. „Microsoft“ įsigijo „Risk IQ“, kad padėtų organizacijoms įvertinti visos savo skaitmeninės įmonės saugumą. Naudodamos „RiskIQ Internet Intelligence Graph“, organizacijos gali aptikti ir ištirti grėsmes visuose komponentuose, jungtyse, paslaugose, prie IP prijungtuose įrenginiuose ir infrastruktūroje, kurie sudaro jų atakos pažeidžiamą sritį, ir sukurti atsparią, išplečiamą apsaugą.

Saugos komandas gali bauginti gylis ir mastas to, ką reikia apsaugoti. Tačiau vienas iš būdų įvertinti savo organizacijos atakos pažeidžiamos srities mastą – galvoti apie internetą iš įsilaužėlio požiūrio taško. Šiame straipsnyje išskirtos penkios sritys, padedančios geriau apibrėžti veiksmingo išorinės atakos pažeidžiamos srities valdymo iššūkius.

Visuotinė atakos pažeidžiama sritis plečiasi kartu su internetu

Ir ji plečiasi kiekvieną dieną. 2020 m. duomenų kiekis internete pasiekė 40 zetabaitų, arba 40 trilijonų gigabaitų.1 „RiskIQ“ nustatė, kad kiekvieną minutę 117 298 kompiuterių prieglobsčio serveriai ir 613 domenų2 papildo daugybę susipynusių gijų, sudarančių sudėtingą pasaulinės atakos pažeidžiamos srities audinį. Kiekvieną iš jų sudaro elementų rinkinys, pavyzdžiui, pagrindinės operacinės sistemos, sistemos, trečiųjų šalių programos, priedai ir sekimo kodas. Kiekvienoje iš šių sparčiai plintančių vietų pasaulinė atakos pažeidžiama sritis didėja eksponentiškai.

Visuotinė atakos pažeidžiama sritis plečiasi kiekvieną minutę

  • pagrindiniai kompiuteriai sukuriami kiekvieną minutę.
  • domenų sukuriama kiekvieną minutę.
  • 375 naujos grėsmės kiekvieną minutę.2

Prie šio augimo prisideda ir teisėtos organizacijos, ir grėsmės sukėlėjai, todėl kibernetinių grėsmių mastas didėja kartu su visu internetu. Sudėtingos pažangios nuolatinės grėsmės (APT) ir smulkūs kibernetiniai nusikaltėliai kelia grėsmę įmonių saugumui, kėsindamiesi į jų duomenis, prekės ženklą, intelektinę nuosavybę, sistemas ir žmones.

2021 m. pirmąjį ketvirtį CISCO aptiko 611 877 unikalias sukčiavimo apsimetant svetaines,3 32 domenų pažeidimo įvykius ir 375 naujas grėsmes per minutę.2 Šios grėsmės nukreiptos į organizacijų darbuotojus ir klientus su kenkėjiškais ištekliais, siekiant juos suklaidinti ir priversti spustelėti kenkėjiškas nuorodas bei apgaulės būdu išvilioti slaptus duomenis, o visa tai gali pakirsti pasitikėjimą prekės ženklu ir apskritai vartotojų pasitikėjimą.

Pažeidžiamumų skaičiaus didėjimas dėl nuotolinių darbuotojų

Sparčiai augant internete naudojamam turtui, labai išsiplėtė vidutinei organizacijai kylančių grėsmių ir pažeidžiamumų spektras. Prasidėjus COVID-19, skaitmeninis augimas vėl paspartėjo – beveik kiekviena organizacija išplėtė savo skaitmeninį pėdsaką, kad prisitaikytų prie nuotolinės, itin lanksčios darbo jėgos ir verslo modelio. Rezultatas: įsilaužėliai dabar turi kur kas daugiau prieigos taškų, kuriuos gali ištirti arba išnaudoti.

Nuotolinės prieigos technologijų, tokių kaip RDP (nuotolinio darbalaukio protokolas) ir VPN (virtualus privatusis tinklas), naudojimas išaugo atitinkamai 41 proc. ir 33 proc.4, o daug kur pasaulyje paplito darbas iš namų. Pasaulinės nuotolinio darbalaukio programinės įrangos rinkos dydis 2019 m. buvo 1,53 milijardo JAV dolerių, o iki 2027 m. pasieks 4,69 milijardo JAV dolerių.5

Dešimtys naujų nuotolinės prieigos programinės įrangos ir įrenginių pažeidžiamumų suteikė įsilaužėliams galimybių, kurių jie anksčiau neturėjo. „RiskIQ“ atskleidė daugybę pažeidžiamų populiariausių nuotolinės prieigos ir perimetro įrenginių egzempliorių, ir pažeidžiamumų srautas nemažėja. Iš viso 2021 m. pranešta apie 18 378 pažeidžiamumus.6

Nauja pažeidžiamumų aplinka

  • išaugo RPD naudojimas.
  • išaugo VPN naudojimas.
  • 2021 m. pranešta apie tiek pažeidžiamumų.

Daugėjant pasaulinio masto atakų, kurias organizuoja įvairios grėsmės sukėlėjų grupės ir kurios pritaikytos skaitmeninėms įmonėms, saugos komandos turi sumažinti savo, trečiųjų šalių, partnerių, kontroliuojamų ir nekontroliuojamų programų bei paslaugų pažeidžiamumą skaitmeninėje tiekimo grandinėje.

Skaitmeninės tiekimo grandinės, M&A ir šešėlinė IT sukuria paslėptą atakos pažeidžiamą sritį

Dauguma kibernetinių atakų kyla už daugybės kilometrų nuo tinklo; žiniatinklio programos buvo dažniausiai su įsilaužimais susijusių pažeidimų vektorių kategorija. Deja, dauguma organizacijų neturi išsamaus vaizdo apie savo interneto išteklius ir jų ryšį su pasauline atakos pažeidžiama sritimi. Trys svarbūs veiksniai, lemiantys šį matomumo trūkumą, yra šešėlinė IT, susijungimai ir įsigijimai (M&A) bei skaitmeninės tiekimo grandinės.

Priklausomybės, kurioms gresia rizika

  • nebegaliojančių tarnybų per minutę.2
  • sandorių apima kibernetinės saugos išsamų patikrinimą.7
  • organizacijų patyrė bent vieną duomenų saugos pažeidimą, sukeltą trečiosios šalies.8

Šešėlinė IT

 

Kai IT nespėja atitikti verslo reikalavimų, įmonės ieško pagalbos kuriant ir diegiant naujus žiniatinklio išteklius kitur. Saugos komanda dažnai nežino apie šią šešėlinės IT veiklą ir todėl negali įtraukti sukurto turto į savo saugos programos aprėptį. Laikui bėgant nevaldomi ir palikti ištekliai gali kliuviniu organizacijos atakos pažeidžiamoje srityje.

Toks spartus skaitmeninio turto plitimas už užkardos ribų dabar yra tapęs norma. Nauji „RiskIQ“ klientai paprastai randa maždaug 30 proc. daugiau išteklių, nei manė turį, o „RiskIQ“ kas minutę aptinka 15 paslaugų, kurių galiojimas baigėsi (galima perimti jų trečio lygio domeną), ir 143 atvirus prievadus.2

Įmonių susijungimai ir įsigijimai

 

Kasdienės operacijos ir itin svarbios verslo iniciatyvos, tokios kaip įmonių susijungimai ir įsigijimai, strateginės partnerystės ir užsakomosios paslaugos, sukuria ir išplečia išorines atakos pažeidžiamas sritis. Šiuo metu mažiau nei 10 proc. sandorių visame pasaulyje apima kibernetinės saugos išsamų patikrinimą.

Egzistuoja kelios bendros priežastys, dėl kurių organizacijos išsamaus patikrinimo metu negauna išsamaus galimų kibernetinių rizikų vaizdo. Pirmoji – tai įsigyjamos įmonės skaitmeninės veiklos mastas. Didelės organizacijos neretai turi tūkstančius ar net dešimtis tūkstančių aktyvių svetainių ir kito viešai prieinamo turto. Nors įsigyjamos įmonės IT ir saugos komandos turės interneto svetainių turto registrą, tai beveik visada yra tik dalinis esamo turto vaizdas. Kuo labiau decentralizuota organizacijos IT veikla, tuo didesnis atotrūkis.

Tiekimo grandinės

 

Įmonė vis labiau priklauso nuo skaitmeninių aljansų, sudarančių šiuolaikinę tiekimo grandinę. Nors šios priklausomybės yra būtinos norint užsiimti veikla XXI amžiuje, jos taip pat sukuria netvarkingą, daugiasluoksnį ir labai sudėtingą ryšių su trečiosiomis šalimis tinklą, iš kurių daugelis nepriklauso saugos ir rizikos komandų kompetencijai, kad būtų aktyviai saugomi ir ginami. Todėl greitai identifikuoti pažeidžiamą skaitmeninį turtą, kuris signalizuoja apie riziką, yra didžiulis iššūkis.

Dėl nepakankamo šių priklausomybių supratimo ir matomumo trūkumo trečiųjų šalių atakos tapo vienu dažniausių ir veiksmingiausių grėsmių sukėlėjų vektorių. Didelė dalis atakų dabar vyksta per skaitmeninę tiekimo grandinę. Šiandien 70 proc. IT specialistų nurodė, kad jų priklausomybė nuo išorės subjektų, tarp kurių gali būti trečiosios, ketvirtosios ar penktosios šalys, yra vidutinio ar didelio lygio.9 Tuo pat metu 53 proc. organizacijų patyrė bent vieną duomenų saugumo pažeidimą, kurį sukėlė trečioji šalis.10

Nors vis dažniau pasitaiko didelio masto tiekimo grandinės atakų, organizacijos kasdien susiduria su mažesnėmis atakomis. Skaitmeninių kredito kortelių nuskaitymo kenkėjiškos programos, tokios kaip „Magecart“, veikia trečiųjų šalių el. parduotuvių įskiepius. 2022 m. vasarį „RiskIQ“ aptiko daugiau nei 300 domenų, paveiktų „Magecart“ skaitmeninių kredito kortelių nuskaitymo kenkėjiškos programos.11

Kasmet įmonės vis daugiau investuoja į mobiliuosius įrenginius, nes vidutinio vartotojo gyvenimo būdas tampa vis labiau į juos orientuotas. Šiuo metu amerikiečiai mobiliajame telefone praleidžia daugiau laiko nei žiūrėdami televiziją, o dėl socialinio nutolimo daugiau fizinių poreikių, pavyzdžiui, apsipirkti ir mokytis, perkelia į mobilųjį telefoną. Programėlė „Annie“ rodo, kad 2021 m. išlaidos mobiliesiems įrenginiams išaugo iki stulbinančių 170 mlrd. JAV dolerių, t. y. 19 proc. per metus.12

Dėl šios mobiliųjų įrenginių paklausos masiškai daugėja mobiliųjų įrenginių programėlių. 2020 m. vartotojai atsisiuntė 218 mlrd. programėlių. Tuo tarpu „RiskIQ“ pastebėjo, kad 2020 m. mobiliųjų įrenginių programėlių iš viso padaugėjo 33 proc., o kas minutę jų atsirado po 23.2

Programėlių parduotuvės tampa vis didesne atakos pažeidžiama sritimi

  • padaugėjo mobiliųjų įrenginių programėlių.
  • mobiliųjų įrenginių programėlės pasirodo kas minutę.
  • programėlė užblokuojama kas penkias minutes.2

Organizacijoms šios programėlės lemia verslo rezultatus. Tačiau jos gali būti dviašmenis kardas. Programėlių aplinka yra didelė dalis visos įmonės atakos pažeidžiamos srities, esančios už užkardos, kur saugos komandoms dažnai labai trūksta matomumo. Grėsmės sukėlėjai, pasinaudodami šiuo nematymu, užsidirbo pragyvenimui, kurdami kenkėjiškas programėles, kurios imituoja žinomus prekių ženklus arba kitaip apsimeta tuo, kuo nėra, kad apgautų klientus ir priverstų jas atsisiųsti. Kai nieko neįtariantis vartotojas atsisiunčia šias kenkėjiškas programėles, grėsmių sukėlėjai gali imtis veiksmų ir apgaulės būdu išvilioti slaptą informaciją arba į įrenginius įkelti kenkėjišką programinę įrangą. „RiskIQ“ kas penkias minutes į blokuojamųjų sąrašą įtraukia kenkėjišką mobiliųjų įrenginių programėlę.

Šios kenkėjiškos programėlės retais atvejais pasirodo oficialiose parduotuvėse ir net įveikia tvirtas pagrindinių programėlių parduotuvių apsaugas. Tačiau šimtai mažiau geros reputacijos programėlių parduotuvių yra neaiškus mobiliųjų technologijų nusikalstamas pasaulis už santykinai saugių patikimų parduotuvių ribų. Šiose parduotuvėse esančios programėlės yra kur kas mažiau reguliuojamos nei oficialiose programėlių parduotuvėse, o kai kuriose jų kenkėjiškų programėlių yra daugiau nei saugių.

Pasaulinės atakos pažeidžiama sritis taip pat yra organizacijos atakos pažeidžiamos srities dalis

Šiuolaikinė pasaulinio interneto atakos pažeidžiama sritis smarkiai transformavosi į dinamišką, visa apimančią ir visiškai susipynusią ekosistemą, kurios dalis esame mes visi. Jei naudojatės internetu, turite ryšį su visais kitais, įskaitant tuos, kurie nori jums pakenkti. Todėl stebėti grėsmių infrastruktūrą taip pat svarbu, kaip ir savo infrastruktūrą.

Pasaulinė atakos pažeidžiama sritis yra organizacijos atakos pažeidžiamos srities dalis

  • naujų kenkėjiškų programų aptinkama kiekvieną dieną.2
  • padaugėjo kenkėjiškų programų variantų.13
  • „Cobalt Strike“ serverį kas 49 minutes.2

Skirtingos grėsmių grupės pakartotinai naudoja ir dalijasi infrastruktūra – IP adresais, domenais ir sertifikatais – ir, siekdamos išvengti lengvo priskyrimo, naudoja atvirojo kodo priemones, pavyzdžiui, kenkėjiškas programas, sukčiavimo apsimetant rinkinius ir C2 komponentus, keisdamos ir tobulindamos juos pagal savo unikalius poreikius.

Kasdien aptinkama daugiau kaip 560 000 naujų kenkėjiškų programų, o 2018–2019 m. pogrindinėse kibernetinių nusikaltimų parduotuvėse reklamuojamų sukčiavimo apsimetant rinkinių skaičius padvigubėjo. 2020 m. aptiktų kenkėjiškų programų variantų skaičius išaugo 74 proc.14 Dabar „RiskIQ“ kas 49 minutes aptinka po „Cobalt Strike C2“ serverį.

Tradiciškai daugumos organizacijų saugos strategija yra gynyba į gylį, kuri prasideda nuo perimetro ir sluoksniuojasi iki išteklių, kuriuos reikia apsaugoti. Tačiau, kaip nurodyta šioje ataskaitoje, tokia strategija nesuderinama su atakos pažeidžiama sritimi. Šiuolaikiniame skaitmeninės įtraukties pasaulyje vartotojai yra už perimetro ribų, kaip ir vis daugiau prieinamų įmonių skaitmeninių išteklių bei daugelis kenkėjiškų veikėjų. Nulinio pasitikėjimo principų taikymas įmonės ištekliuose gali padėti apsaugoti šiuolaikinius darbuotojus – apsaugoti žmones, įrenginius, programas ir duomenis, nepaisant vietos ar grėsmių apimties. „Microsoft“ sauga siūlo tikslinių vertinimo įrankių, galinčių padėti įvertinti jūsų organizacijos nulinio pasitikėjimo brandumo etapą.

Susiję straipsniai

Kibernetinės grėsmės minutė

Kibernetinės atakos metu svarbi kiekviena sekundė. Norėdami parodyti pasaulinių kibernetinių nusikaltimų mastą ir apimtį, sutraukėme metų kibernetinės saugos tyrimų duomenis į vieną 60 sekundžių trukmės langą.
Sužinokite daugiau

Išpirkos reikalaujančios programos kaip paslauga

Naujausias kibernetinių nusikaltimų modelis – žmogaus valdomos atakos – suteikia galimybių įvairių gebėjimų nusikaltėliams.
Sužinokite daugiau

Augantis IoT tinklas ir OT rizika

Dėl didėjančio internetu sąveikaujančių įrenginių paplitimo kyla pavojus operacinėms technologijoms, nes atsiranda daugybė galimų pažeidžiamumų ir didėja grėsmių sukėlėjų poveikis. Sužinokite, kaip apsaugoti savo organizaciją.
Sužinokite daugiau