Microsoft Správa o digitálnej ochrane z roku 2022
Prehľady z biliónov každodenných bezpečnostných signálov
Jedinečné výhodné postavenie
Cieľom Microsoft Správy o digitálnej ochrane, ktorá sa vydáva už tretí rok (predtým sa nazývala Microsoft Security Intelligence Report a má 22 archivovaných vydaní), je objasniť vyvíjajúce sa prostredie digitálnych hrozieb v štyroch kľúčových oblastiach záujmu: počítačový zločin, hrozby na celoštátnej úrovni, infraštruktúra zariadení & a operácie ovplyvňujúce kybernetickú bezpečnosť, ako aj poskytnúť prehľad a pokyny v oblasti zlepšovania kybernetickej odolnosti.
Spoločnosť Microsoft má na celom svete miliardy zákazníkov, čo jej umožňuje agregovať najrozmanitejšie údaje o bezpečnosti z najširšieho spektra organizácií a zákazníkov. Táto správa vychádza zo šírky a hĺbky analýzy signálov z celého prostredia spoločnosti Microsoft vrátane cloudu, koncových bodov a funkcií analýzy. Vďaka tomuto jedinečnému výhodnému postaveniu získavame verný obraz o prostredí hrozieb a súčasnom stave kybernetickej bezpečnosti, ako aj ukazovatele, ktoré nám umožňujú predvídať, čo urobia útočníci ďalej. Transparentnosť a výmenu informácií považujeme za mimoriadne dôležitú na zabezpečenie väčšej kybernetickej odolnosti zákazníkov a na ochranu ekosystému.
Z tohto podrobného súhrnu správy sa dozviete, aký je stav počítačového zločinu, ako sa čoraz populárnejším cieľom útokov stávajú zariadenia Internetu vecí, aké sú nové taktiky na celoštátnej úrovni a ako zažívame nástup kybernetických žoldnierov, aké sú operácie ovplyvňujúce kybernetickú bezpečnosť, a čo najdôležitejšie, ako si v týchto časoch zachovať odolnosť.
- 43 biliónov signálov denne, syntetizovaných pomocou sofistikovaných analýz údajov a algoritmov umelej inteligencie na pochopenie a ochranu pred digitálnymi hrozbami a kybernetickou aktivitou zločincov.
- Viac ako 8 500 inžinierov, výskumných pracovníkov, dátových vedcov, odborníkov na kybernetickú bezpečnosť, vyhľadávačov hrozieb, geopolitických analytikov, vyšetrovateľov, riešiteľov útokov nasadených v prvej línii v 77 krajinách.
- Viac ako 15 000 partnerov v našom ekosystéme zabezpečenia, ktorí zvyšujú kybernetickú odolnosť našich zákazníkov.
Počítačový zločin naďalej rastie, keďže ho stimuluje dramatické zvýšenie náhodných aj cielených útokov. V digitálnom prostredí zaznamenávame čoraz rozmanitejšie útoky charakterizované vývojom metód kybernetických útokov a používaním zločineckej infraštruktúry na prehĺbenie kinetickej vojny počas ruskej invázie na Ukrajine.
Útoky ransomwaru predstavujú zvýšené nebezpečenstvo pre všetkých jednotlivcov, pretože kritická infraštruktúra, podniky všetkých veľkostí, ako aj štátna správa a miestne samosprávy, sa stávajú terčom útokov zločincov, ktorí využívajú rastúci ekosystém počítačových zločincov. Keďže útoky ransomwaru sú čoraz opovážlivejšie, majú oveľa väčšie dôsledky. Udržateľné a úspešné úsilie o potlačenie tejto hrozby si bude vyžadovať celoštátnu stratégiu, ktorá sa bude uskutočňovať v úzkom partnerstve so súkromným sektorom.
Z analýzy zapojení odozvy na incidenty a obnovenia po incidentoch v zasiahnutých organizáciách vždy vyplynú nedostatočné kontrolné mechanizmy identít, neúčinné operácie zabezpečenia a neúplné stratégie ochrany údajov.
V tomto roku bol zaznamenaný nárast náhodného phishingu a krádeží prihlasovacích údajov s cieľom získať informácie, ktoré sa predajú a využijú pri cielených útokoch, napríklad ransomwaru, pri exfiltrácii údajov, vydieraní a ohrození zabezpečenia firemného e-mailu.
Počítačový zločin ako služba (CaaS) predstavuje čoraz častejšiu a rozvíjajúcu sa hrozbu pre zákazníkov na celom svete. Jednotka spoločnosti Microsoft na boj proti digitálnym zločinom (DCU) zaznamenala ďalší rozvoj ekosystému CaaS, ktorý obsahuje čoraz viac online služieb uľahčujúcich kybernetické zločiny vrátane ohrozovania zabezpečenia firemného e-mailu a ransomwaru ovládaného človekom. Predajcovia služieb CaaS čoraz častejšie ponúkajú na predaj zneužité prihlasovacie údaje, pričom sa stretávame s čoraz väčším počtom služieb a produktov CaaS s vylepšenými funkciami na zabránenie odhaleniu.
Útočníci nachádzajú nové spôsoby implementovania techník a hosťovania svojich prevádzkových infraštruktúr, napríklad ohrozenie zabezpečenia podnikov na hosťovanie phishingových kampaní alebo škodlivého softvéru, prípadne využitie ich výpočtovej techniky na ťažbu kryptomien. Zariadenia Internetu vecí sa stávajú čoraz populárnejším cieľom počítačových zločincov, ktorí využívajú rozsiahle botnety. Ak sú smerovače neopravené a vystavené priamemu prístupu na internet, aktéri hrozieb ich môžu zneužiť na získanie prístupu do sietí, vykonanie škodlivých útokov, a dokonca aj na podporu svojich operácií.
V minulom roku bol hacktivizmus na vzostupe, keďže súkromné osoby vykonávali kyberútoky s cieľom presadzovať spoločenské alebo politické ciele. Tisícky jednotlivcov sa vyzývali na vykonávanie útokov v rámci rusko-ukrajinskej vojny. Hoci sa ešte len uvidí, či tento trend pretrvá, technologické odvetvie sa musí spojiť a navrhnúť komplexnú odpoveď na túto novú hrozbu.
Zrýchlenie digitálnej transformácie prinieslo zvýšenie rizika kybernetickej bezpečnosti v prípade kritickej infraštruktúry a kyberneticko-fyzických systémov. Keďže organizácie aplikujú v oblasti výpočtovej techniky pokrokové technológie a dochádza k digitalizácii činností s cieľom ich rozvoja, počet možných miest útokov exponenciálne rastie.
Rýchle prijatie riešení IoT prinieslo zvýšenie počtu vektorov útoku a rizika expozície organizácií. Migrácia predstihla schopnosť väčšiny organizácií držať krok, pretože škodlivý softvér ako služba sa začal využívať na rozsiahlejšie operácie proti civilnej infraštruktúre a podnikovým sieťam.
Zaznamenali sme nárast hrozieb, pri ktorých sa využívajú zariadenia v každej časti organizácie, a to od bežných IT zariadení až po ovládače prevádzkovej technológie alebo jednoducho senzory IoT. Boli sme svedkami útokov na elektrizačné sústavy, útokov ransomwaru narúšajúcich činnosť prevádzkovej technológie a zneužívania smerovačov IoT na zabezpečenie trvalej prítomnosti. Zároveň čoraz viac dochádzalo k zneužívaniu zraniteľných miest firmvéru, čiže softvéru vloženého do hardvéru alebo obvodovej dosky zariadenia, na spúšťanie ničivých útokov.
S cieľom bojovať proti týmto a ďalším hrozbám vlády na celom svete vyvíjajú a rozvíjajú politiky na spravovanie rizík v oblasti kybernetickej bezpečnosti kritickej infraštruktúry. Mnohé z nich takisto zavádzajú politiky na zlepšenie zabezpečenia Internetu vecí a prevádzkových technológií. Silnejúca globálna vlna politických iniciatív vytvára obrovskú príležitosť na posilnenie kybernetickej bezpečnosti, ale pre zainteresované strany v celom ekosystéme predstavuje aj výzvy. Keďže politické aktivity sa realizujú súčasne v regiónoch, sektoroch, technológiách a riadení prevádzkových rizík, môže dochádzať k prekrývaniu a rozsahovej a požiadavkovej nejednotnosti, ako aj k zložitým požiadavkám. Organizácie verejného a súkromného sektora musia využiť príležitosť na posilnenie kybernetickej bezpečnosti prijatím ďalších záväzkov a vyvinutím ďalšieho úsilia v oblasti dosahovania jednotnosti.
- 68 % respondentov sa domnieva, že prijatie Internetu vecí/prevádzkových technológií je pre ich strategickú digitálnu transformáciu kriticky dôležité.
- 60 % uznáva, že zabezpečenie Internetu vecí/prevádzkových technológií patrí k najmenej riešeným aspektom ich infraštruktúr.
V minulom roku došlo v prípade skupín kybernetických hrozieb na celoštátnej úrovni k posunu od využívania dodávateľského reťazca softvéru k využívaniu dodávateľského reťazca IT služieb, teda k zameraniu na cloudové riešenia a poskytovateľov spravovaných služieb s cieľom dostať sa k následným zákazníkom v sektoroch štátnej správy, politiky a kritickej infraštruktúry.
Na posilňovanie celkovej úrovne kybernetického zabezpečenia v organizáciách národno-štátni činitelia reagujú zavádzaním nových a jedinečných taktík na vykonávanie útokov a zabránenie odhaleniu. Pri tomto úsilí je kľúčovou taktikou identifikácia a využívanie zraniteľností typu zero-day. Počet verejne odhalených zraniteľností typu zero-day za posledný rok je podobný ako v predchádzajúcom roku, v ktorom sa zaznamenal historický rekord. Mnohé organizácie sa domnievajú, že znížia pravdepodobnosť útokov, pri ktorých sa využije zraniteľnosť typu zero-day, ak sa správa rizík stane súčasťou zabezpečenia siete. Komoditizácia zneužití ich však núti postupovať oveľa rýchlejším tempom. Zneužitia zraniteľností typu zero-day často odhalia iní aktéri a v krátkom čase ich znovu využijú, takže neopravené systémy predstavujú naďalej riziko.
Zaznamenali sme nárast počtu útočníkov v súkromnom sektore, takzvaných kybernetických žoldnierov, ktorí vyvíjajú a predávajú klientom, ktorými sú často vlády, nástroje, techniky a služby na prelomenie zabezpečenia sietí, počítačov, telefónov a zariadení pripojených na internet. Hoci pre národno-štátnych činiteľov predstavujú tieto subjekty aktívum, často ohrozujú disidentov, obhajcov ľudských práv, novinárov, obhajcov občianskej spoločnosti a ďalšie súkromné osoby. Títo kybernetickí žoldnieri poskytujú vyspelé funkcie „dohľadu ako služby“, ktoré by mnohé národné štáty nedokázali vyvinúť samé.
Demokracia potrebuje na svoje riadne fungovanie dôveryhodné informácie. Kľúčovou oblasťou záujmu spoločnosti Microsoft je vývoj vplyvových operácií a ich predsadzovanie národnými štátmi. Tieto kampane narúšajú dôveru, zvyšujú polarizáciu a ohrozujú demokratické procesy.
Sledujeme, že najmä niektoré autoritárske režimy spolupracujú na znečisťovaní informačného ekosystému vo svoj prospech. Príkladom môžu byť kampane, ktorých cieľom bolo utajiť pôvod vírusu ochorenia COVID-19. Od začiatku pandémie ruská, iránska a čínska propaganda týkajúca sa vírusu ochorenia COVID-19 posilňovali svoje mediálne kampane s cieľom zamerať sa na tieto ústredné témy.
900 % medziročný nárast šírenia deepfakov od roku 2019
Vstupujeme do obdobia, ktoré sa podľa nás stane zlatou érou tvorby a manipulácie médií pomocou umelej inteligencie, a to v dôsledku rozšírenia nástrojov a služieb na umelé vytváranie vysokorealistických syntetických obrázkov, videí, zvuku a textu a schopnosťou rýchlo šíriť obsah optimalizovaný pre konkrétne publikum. Dlhodobejšia a ešte zákernejšia hrozba sa týka nášho chápania toho, čo je pravda, ak už nemôžeme dôverovať tomu, čo vidíme a počujeme.
Rýchlo sa meniaca povaha informačného ekosystému si v spojení s vplyvovými operáciami národných štátov, ku ktorým patrí aj zlúčenie bežných kybernetických útokov s vplyvovými operáciami a zasahovaním do demokratických volieb, vyžaduje celospoločenský prístup. Na zvýšenie transparentnosti a odhalenie a narušenie týchto vplyvových kampaní je potrebná väčšia koordinácia a výmena informácií medzi vládou, súkromným sektorom a občianskou spoločnosťou.
Potreba reagovať na zvyšujúci sa počet hrozieb v digitálnom ekosystéme je čoraz naliehavejšia. Geopolitická motivácia aktérov hrozieb preukazuje, že štáty čoraz častejšie využívajú útočné kybernetické operácie na destabilizáciu vlád a ovplyvnenie globálnych obchodných operácií. S rastúcim počtom a zintenzívňujúcim sa vývojom týchto hrozieb je mimoriadne dôležité začleňovať kybernetickú odolnosť do štruktúry organizácie.
Ako sme videli, mnoho kybernetických útokov je úspešných len preto, že neboli dodržané základné pravidlá zabezpečenia. Minimálne štandardy, ktoré by mala prijať každá organizácia:
Zvonová (Gaussova) krivka kybernetickej odolnosti: 98 % základných postupov v oblasti zabezpečenia stále chráni pred 98 % všetkých útokov. Získajte ďalšie informácie o tomto obrázku na strane 109 Microsoft Správy o digitálnej ochrane z roku 2022
- Explicitne overujte: pred povolením prístupu k zdrojom explicitne overte, či sú používatelia a zariadenia v dobrom stave.
- Používajte prístup s najmenšími oprávneniami: povoľte iba oprávnenie, ktoré je potrebné na prístup k zdroju, a žiadne ďalšie.
- Predpokladajte narušenie: predpokladajte, že obrana systému bola narušená a systémy môžu byť zneužité. To znamená neustále monitorovanie prostredia, či nedochádza k možnému útoku.
Používajte modernú ochranu proti škodlivému softvéru
Implementujte softvér, ktorý bude zisťovať a automaticky blokovať útoky a poskytovať prehľady o operáciách zabezpečenia. Monitorovanie prehľadov zo systémov detekcie hrozieb je nevyhnutné, aby bolo možné včas reagovať na hrozby.
Udržiavajte systémy aktuálne
Neopravované a zastarané systémy sú kľúčovým dôvodom, prečo sa mnohé organizácie stali obeťou útoku. Zaistite, aby všetky systémy boli aktuálne (vrátane firmvéru, operačného systému a aplikácií).
Chráňte údaje
Znalosť dôležitých údajov, ich umiestnenie a implementácia správnych systémov je kľúčová na implementáciu vhodnej ochrany.
Zdroj: Microsoft Správa o digitálnej ochrane, november 2022