Anatomia unei suprafețe de atac moderne

Pentru majoritatea organizațiilor, e-mailul este o parte esențială a operațiunilor de business zilnice. Din păcate, e-mailul rămâne un vector de amenințare principal. 35% dintre incidentele ransomware din 2022 au implicat utilizarea e-mailului.⁴ Atacatorii execută mai multe atacuri prin e-mail ca niciodată – în 2022, rata atacurilor de phishing a crescut cu 61% față de 2021^.5

De asemenea, atacatorii valorifică deseori resurse legitime pentru a executa atacuri de phishing. Acest lucru face mai dificil pentru utilizatori să diferențieze între e-mailurile reale și cele rău intenționate, crescând probabilitatea strecurării unei amenințări. Atacurile de phishing de consimțământ sunt un exemplu al acestei tendințe, în care actorii de amenințare abuzează furnizorii de servicii cloud legitimi pentru a păcăli utilizatorii să acorde permisiuni pentru accesarea datelor confidențiale.

Fără capacitatea de a corela semnalele e-mail în incidente mai ample pentru a vizualiza atacurile, poate dura mult până să se detecteze un actor de amenințare care a obținut acces prin intermediul e-mailului. Atunci ar putea fi prea târziu pentru a mai preveni daunele. Timpul mediu necesar pentru ca un atacator să acceseze datele private ale unei organizații este de numai 72 de minute.⁶ Acest lucru poate duce la pierderi serioase la nivel de întreprindere. Se estimează că, în 2021, compromiterea e-mailului de business (BEC) a costat 2,4 miliarde USD în pierderi ajustate.⁷

În lumea activată în cloud de astăzi, securizarea accesului a devenit mai esențială ca oricând. Drept urmare, este vital să înțelegeți profund identitatea în cadrul organizației, inclusiv permisiunile conturilor de utilizator, identitățile sarcinilor de lucru și vulnerabilitățile lor potențiale , mai ales că atacurile devin tot mai dese și mai creative.

Numărul de atacuri de parole a crescut la 921 de atacuri estimate în fiecare secundă în 2022, o creștere cu 74% față de 2021.⁸ Și la Microsoft am văzut cum actorii de amenințare devin mai creativi în eludarea autentificării multifactor (MFA), folosind tehnici precum atacurile de phishing cu interceptor și abuzul de tokenuri pentru a obține acces la datele organizațiilor. Kiturile de phishing au ușurat și mai mult furtul informațiilor de conectare pentru actorii de amenințare. Unitatea Microsoft pentru investigarea infracțiunilor digitale a observat o creștere a sofisticării kiturilor de phishing în ultimul an, împreună cu reducerea investițiilor necesare, unul dintre vânzători oferind kituri de phishing pentru nu mai mult de 6 USD pe zi.⁹

Gestionarea suprafeței de atac a identității presupune mai mult decât securizarea conturilor de utilizator. Aceasta se extinde la accesul în cloud și la identitățile sarcinilor de lucru. Acreditările compromise pot fi un instrument puternic pentru actorii de amenințare, care le pot folosi pentru a face ravagii prin infrastructura cloud a unei organizații.

Dat fiind numărul uriaș de dispozitive din mediul hibrid al zilelor noastre, securizarea punctelor finale a devenit mai dificilă. Ce nu s-a schimbat este faptul că securizarea punctelor finale, mai ales a dispozitivelor negestionate, este vitală pentru o postură de securitate solidă, întrucât până și o singură compromitere poate oferi acces actorilor de amenințare în organizația dvs.

Pe măsură ce organizațiile au adoptat politici BYOD („Aduceți propriile dispozitive”), dispozitivele negestionate s-au înmulțit considerabil. În consecință, suprafața de atac a punctelor finale este acum mai mare și mai expusă. În medie, există 3.500 de dispozitive conectate într-o întreprindere care nu sunt protejate de un agent de detectare a punctelor finale și răspuns.¹¹

Dispozitivele negestionate (care fac parte din peisajul „IT din zona gri”) sunt în mod special atrăgătoare pentru actorii de amenințare, întrucât echipele de securitate nu au vizibilitatea necesară pentru a le securiza. La Microsoft, am constatat că utilizatorii sunt cu 71% mai probabil să fie infectați pe un dispozitiv negestionat.¹² Întrucât se conectează la rețelele firmei, dispozitivele negestionate prezintă oportunități ca atacatorii să lanseze atacuri mai ample pe servere și alte elemente de infrastructură.

Serverele negestionate sunt și ele vectori potențiali pentru atacurile asupra punctelor finale. În 2021, Microsoft Security a observat un atac în care un actor de amenințare a profitat de un server fără corecții aplicate, a navigat prin directoare și a descoperit un folder de parole care oferea acces la informațiile de conectare ale conturilor.

Unul dintre cei mai subestimați vectori de atac în punctele finale este IoT (Internet of Things), care include miliarde de dispozitive, mari și mici. Securitatea IoT acoperă dispozitivele fizice care se conectează și efectuează schimburi de date în rețea, cum ar fi routerele, camerele și alte dispozitive similare. De asemenea, poate include dispozitive operaționale și senzori (tehnologie operațională sau „OT”), cum ar fi echipamentul inteligent din liniile de producție.

Pe măsură ce numărul dispozitivelor IoT crește, crește și cel al vulnerabilităților. Până în 2025, IDC anticipează că vor exista 41 de miliarde de dispozitive IoT în mediile consumatorilor și de întreprindere.¹⁵ Întrucât multe organizații își fortifică routerele și rețelele pentru a îngreuna munca actorilor de amenințare de creare a unor breșe, dispozitivele IoT devin o țintă mai ușoară și mai atrăgătoare. Am văzut deseori cum actorii de amenințare exploatează vulnerabilitățile pentru a transforma dispozitivele IoT în proxy-uri, folosind un dispozitiv expus pentru a se stabili în rețea. Odată ce un actor de amenințare obține accesul la un dispozitiv IoT, acesta poate monitoriza traficul în rețea pentru a descoperi alte active neprotejate, se poate mișca lateral pentru a se infiltra în alte părți ale infrastructurii victimei sau poate să efectueze o misiune de recunoaștere pentru a planifica atacuri de amploare asupra dispozitivelor și echipamentelor confidențiale. Într-un studiu, 35% dintre participanții în domeniul securității au raportat că în ultimii doi ani, un dispozitiv IoT a fost folosit pentru a desfășura un atac mai amplu asupra organizației lor.¹⁶

Din păcate, IoT este deseori o cutie neagră pentru organizații în ceea ce privește vizibilitatea și multora le lipsesc măsurile de securitate IoT potrivite. 60% dintre participanții în domeniul securității au menționat securitatea IoT și OT ca fiind unul dintre cele mai securizate aspecte ale infrastructurii lor IT și OT.¹⁷

Astăzi, suprafața de atac externă a unei organizații acoperă mai multe medii cloud, lanțuri complexe de aprovizionare digitală și ecosisteme uriașe ale părților terțe. Internetul face acum parte din rețea și, deși are o dimensiune inimaginabilă, echipele de securitate trebuie să apere prezența organizației lor pe internet în aceeași măsură ca pe tot ce au pus în spatele soluțiilor firewall. Și, pe măsură ce tot mai multe organizații adoptă principiile Zero Trust, protejarea suprafețelor de atac interne și externe a devenit o provocare de amploarea internetului.

Suprafața de atac globală crește odată cu internetul, care se extinde în fiecare zi. La Microsoft, am văzut dovezi ale acestei creșteri pentru mai multe tipuri de amenințări, cum ar fi atacurile de phishing. În 2021, Unitatea Microsoft pentru investigarea infracțiunilor digitale a dirijat eliminarea a peste 96.000 de URL-uri de phishing unice și 7.700 de kituri de phishing, ceea ce a dus la identificarea și închiderea a peste 2.200 de conturi de e-mail rău intenționate, folosite pentru a colecta informațiile de conectare furate ale clienților.²⁴

Suprafața de atac externă se extinde mult dincolo de activele unei organizații. Adesea, include furnizorii, partenerii, dispozitivele negestionate personale ale angajaților conectate la activele sau rețelele firmei și organizațiile proaspăt achiziționate. În consecință, este esențial să conștientizați expunerea și conexiunile externe pentru a putea atenua amenințările potențiale. Un raport Ponemon din 2020 a dezvăluit că 53% dintre organizații au avut cel puțin o breșă în date din cauza unei terțe părți în ultimii doi ani, costul mediu de remediere fiind de 7,5 milioane USD.²⁵

Pe măsură ce infrastructura atacurilor cibernetice crește, obținerea vizibilității asupra infrastructurii amenințărilor și inventarierea activelor expuse la internet au devenit mai urgente ca niciodată. Am constatat că organizațiilor le este deseori dificil să înțeleagă întinderea expunerii lor externe, ceea ce duce la unghiuri moarte semnificative. Aceste unghiuri moarte pot avea consecințe devastatoare. În 2021, 61% dintre firme au avut un atac ransomware care a dus la o întrerupere cel puțin parțială a operațiunilor de business.²⁶

La Microsoft, le spunem deseori clienților să-și privească organizația din exterior spre interior atunci când evaluează postura de securitate. Dincolo de VAPT (Evaluarea vulnerabilităților și teste de penetrare), este important să obțineți o vizibilitate profundă a suprafeței de atac externe pentru a putea identifica vulnerabilitățile în întreg mediul dvs. și în ecosistemul extins. Dacă ați fi un atacator care încearcă să se infiltreze, ce ați putea exploata? Este esențial să înțelegeți extinderea completă a suprafeței de atac externe a organizației pentru a o putea securiza.

Cum poate ajuta Microsoft

Peisajul amenințărilor de astăzi este în continuă schimbare, iar organizațiile au nevoie de o strategie de securitate care poate să țină pasul. Expunerea și complexitatea tot mai mare a organizațiilor, împreună cu volumul ridicat al amenințărilor și investițiile reduse necesare pentru a intra în industria infracțiunilor cibernetice, fac și mai urgentă securizarea fiecărei muchii dinăuntrul fiecărei suprafețe de atac, precum și dintre acestea.

Echipele de securitate au nevoie de capacități puternice de investigare a amenințărilor pentru a apăra împotriva multitudinii de amenințări în continuă evoluție astăzi. Investigarea corectă a amenințărilor corelează semnale din diverse locuri, oferind context relevant și prompt pentru comportamentul de atac și tendințele actuale, astfel încât echipele de securitate să poată identifica vulnerabilitățile, să stabilească priorități pentru avertizări și să întrerupă atacurile. Iar dacă se creează o breșă, investigarea amenințărilor este esențială pentru a preveni daunele ulterioare, îmbunătățind apărarea astfel încât să nu mai poată avea loc un atac similar. Pe scurt, organizațiile care valorifică mai mult investigarea amenințărilor vor fi mai securizate și vor avea mai mult succes.

Microsoft are o vedere de neegalat asupra peisajului amenințărilor în continuă evoluție, cu 65.000 de miliarde de semnale analizate zilnic. Corelând aceste semnale în timp real între suprafețele de atac, investigarea amenințărilor înglobată în soluțiile Microsoft Security oferă detalii despre mediul în creștere al amenințărilor și ransomware-ului, astfel încât să puteți vedea și opri mai multe atacuri. Iar cu funcțiile de inteligență artificială avansate, precum Microsoft Copilot pentru securitate, puteți să rămâneți cu un pas în fața amenințărilor în continuă evoluție și să vă apărați organizația cu viteza mașinii, abilitându-vă echipa de securitate să simplifice lucrurile prea complexe, să prindă ce ratează alții și să protejeze tot.