Trace Id is missing
Prejsť na hlavný obsah
Security Insider

Anatómia externých možných miest útokov

Stiahnuť
Zdieľať
Objasnenie anatómie externých možných miest útokov

Päť prvkov, ktoré by organizácie mali monitorovať

Svet kybernetickej bezpečnosti sa stále viac komplikuje, keďže organizácie prechádzajú do cloudu a na decentralizovanú prácu. V súčasnosti sa možnými externými miestami útokov stávajú viaceré cloudy, zložité digitálne dodávateľské reťazce a masívne ekosystémy tretích strán. Celkový rozsah dnešných globálnych problémov so zabezpečením preto radikálne zmenil naše vnímanie komplexného zabezpečenia.

Internet je teraz súčasťou siete. Napriek takmer bezmedznej veľkosti internetu musia tímy zabezpečenia na ňom chrániť prítomnosť svojej organizácie v rovnakej miere ako všetko, čo sa nachádza za hranicami ich brán firewall. Keďže rastie počet organizácií prijímajúcich princípy modelu nulovej dôvery (Zero Trust), ochrana interných aj externých možných miest útokov sa stáva výzvou na úrovni celého internetu. Preto je pre organizácie čoraz kritickejšie, aby pochopili celkový rozsah ich možných miest útokov.

Spoločnosť Microsoft získala v roku 2021 spoločnosť Risk IQ s cieľom pomáhať organizáciám pri vyhodnocovaní zabezpečenia ich celého digitálneho podniku. Organizácie môžu s využitím nástroja RiskIQ Internet Intelligence Graph zisťovať a preskúmať hrozby v rámci súčastí, pripojení, služieb, zariadení pripojených cez IP a infraštruktúry, ktoré predstavujú ich možné miesta útokov, a vytvoriť odolnú, škálovateľnú ochranu.

Tímom zabezpečenia môže ochrana sféry s takouto veľkou hĺbkou a rozsahom pripadať ako ťažký oriešok. Jedným zo spôsobov, ako pochopiť rozsah možných miest útokov v organizácii v širšej súvislosti, je zamýšľať sa nad internetom z pohľadu útočníka. Tento článok poskytuje prehľad piatich oblastí, ktoré umožňujú lepšie vymedziť výzvy efektívneho spravovania externých možných miest útokov.

Globálne možné miesta útokov rastú spolu s internetom

A sú každým dňom čoraz väčšie. V roku 2020 dosiahol objem údajov na internete 40 zettabajtov, čo je 40 biliónov gigabajtov.1 Spoločnosť RiskIQ zistila, že k tomuto množstvu vzájomne pretkaných vlákien tvoriacich spletitú štruktúru globálnych možných miest útokov sa každú minútu pridá 117 298 hostiteľov a 613 domén2 . Všetky z nich obsahujú množinu prvkov, ako sú napríklad základné operačné systémy, architektúry, aplikácie tretích strán, doplnky a kód sledovania. S každou s týchto rýchlo sa rozširujúcich lokalít obsahujúcich tieto základné prvky exponenciálne rastú globálne možné miesta útokov.

Globálne možné miesta útokov rastú každú minútu

  • vytvorených hostiteľov každú minútu.
  • vytvorených domén každú minútu.
  • 375 nových hrozieb každú minútu.2

K tomuto rastu prispievajú ako legitímne organizácie, tak aj aktéri hrozieb, čo znamená, že kybernetické hrozby sa zväčšujú v rovnakej miere ako zvyšok internetu. Bezpečnosť podnikov ohrozujú sofistikované rozšírené trvalé hrozby (APT) i drobní počítačoví zločinci, ktorí cielia na ich údaje, značku, duševné vlastníctvo, systémy a ľudí.

V prvom štvrťroku 2021 spoločnosť CISCO zistila 611 877 jedinečných lokalít na neoprávnené získavanie údajov,3 pričom došlo k 32 udalostiam porušenia práv týkajúcich sa domén a každú minútu vzniklo celkovo 375 nových hrozieb.2 Tieto hrozby útočia na zamestnancov a zákazníkov organizácií s využitím falošných prostriedkov, ktorých cieľom je podvodne ich naviesť na kliknutie na škodlivé prepojenia a neoprávnene získavať citlivé údaje, čo môže negatívne ovplyvniť dôveryhodnosť značky a dôveru spotrebiteľov.

Nárast rizík v dôsledku vzdialených pracovníkov

Rapídny rast prostriedkov s prístupom na internet dramaticky rozšíril spektrum hrozieb a rizík vzťahujúcich sa na priemernú organizáciu. S príchodom ochorenia COVID-19 sa znova urýchlil digitálny rast a takmer každá organizácia rozšírila svoju digitálnu stopu, aby mohla využívať vysoko flexibilných vzdialených pracovníkov a obchodný model. Výsledkom je, že útočníci teraz majú oveľa viac prístupových bodov, ktoré môžu sondovať alebo zneužiť.

Väčšina sveta si osvojila politiku práce z domu, v dôsledku čoho zaznamenali raketový nárast používania technológie vzdialeného prístupu ako RDP (protokol vzdialenej pracovnej plochy) a VPN (virtuálna súkromná sieť) – o 41 percent, resp. 33 percent4. Veľkosť globálneho trhu so softvérom pre vzdialenú pracovnú plochu, ktorá v roku 2019 predstavovala 1,53 miliardy USD, dosiahne do roku 2027 hodnotu 4,69 miliardy USD.5

Desiatky nových rizík v softvéri pre vzdialený prístup a zariadeniach poskytujú útočníkom záchytné body, ktoré nikdy predtým nemali. Spoločnosť RiskIQ objavila mnoho rizikových inštancií najpopulárnejších zariadení pre vzdialený prístup a perimetrových zariadení, pričom prudké tempo nárastu rizík sa nespomaľuje. V roku 2021 bolo celkovo nahlásených 18 378 rizík.6

Prostredie s novými rizikami

  • rast používania RDP.
  • rast používania VPN.
  • nahlásených rizík v roku 2021.

Rast globálnych útokov organizovaných viacerými kyberskupinami a prispôsobených pre digitálne podniky znamená, že tímy zabezpečenia musia zmierňovať riziká pre seba, tretie strany, partnerov, riadené a neriadené aplikácie a služby, a to v rámci vzťahov v digitálnom dodávateľskom reťazci.

Digitálne dodávateľské reťazce, fúzie a akvizície a tieňové IT vytvárajú skryté možné miesta útokov

Väčšina kybernetických útokov pochádza z miest ďaleko od siete: najbežnejšie zneužívaným vektorom kategórie pri narušeniach súvisiacich s haknutím predstavovali webové aplikácie. Väčšina organizácií žiaľ nemá úplný prehľad o svojich internetových prostriedkoch a o tom, ako sa tieto prostriedky pripájajú ku globálnym možným miestam útokov. K tejto nedostatočnej viditeľnosti výrazne prispievajú tri faktory: tieňové IT, fúzie a akvizície a digitálne dodávateľské reťazce.

Ohrozené závislosti

  • služieb s uplynutou platnosťou za minútu.2
  • obchodov zahŕňa hĺbkovú analýzu kybernetickej bezpečnosti.7
  • organizácií zaznamenalo aspoň jeden únik údajov spôsobený treťou stranou.8

Tieňové IT

 

V oblastiach, v ktorých IT nedokážu držať tempo s podnikovými požiadavkami, hľadá podnik podporu pri vývoji a nasadení nových webových prostriedkov inde. Aktivity týchto tieňových IT sú často neznámou pre tím zabezpečenia, ktorý v dôsledku toho nevie vytvorené prostriedky zaradiť do rozsahu svojho programu zabezpečenia. Nespravované a osamotené prostriedky sa časom môžu stať príťažou z hľadiska možných miest útokov v organizácii.

Toto rapídne rozširovanie digitálnych prostriedkov mimo hraníc brány firewall je teraz štandardom. Noví zákazníci spoločnosti RiskIQ zvyčajne zistia, že majú približne o 30 percent viac prostriedkov, ako si mysleli, pričom RiskIQ deteguje každú minútu 15 služieb s uplynutou platnosťou (náchylných na prevzatie subdomény) a 143 otvorených portov.2

Fúzie a akvizície

 

Každodenné operácie a dôležité obchodné iniciatívy ako fúzie a akvizície, strategické partnerstvá a outsourcing vytvárajú a zväčšujú externé možné miesta útokov. Menej ako 10 percent obchodov na celom svete v súčasnosti zahŕňa hĺbkovú analýzu kybernetickej bezpečnosti.

Existuje niekoľko spoločných dôvodov, prečo organizácie počas procesu hĺbkovej analýzy nezískavajú úplný prehľad o možných kybernetických rizikách. Prvým je samotný rozsah digitálnej prítomnosti spoločnosti, ktorá je predmetom akvizície. Je úplne bežné, že veľká organizácia má tisíce či dokonca desaťtisíce aktívnych webových lokalít alebo iných verejne dostupných prostriedkov. Hoci IT a tímy zabezpečenia nadobúdanej spoločnosti majú register prostriedkov webových lokalít, takmer vždy ide len o čiastočný prehľad toho, čo existuje. Čím viac sú aktivity IT organizácie decentralizované, tým väčšia je medzera.

Dodávateľské reťazce

 

Podnik je stále viac závislý od digitálnych spojenectiev, ktoré tvoria moderný dodávateľský reťazec. Hoci sú tieto závislosti nevyhnutné na prevádzku v 21. storočí, zároveň vytvárajú neprehľadnú, mnohovrstvovú a mimoriadne komplikovanú sieť vzťahov s tretími stranami, z ktorých mnohé sú mimo poľa pôsobnosti tímov zabezpečenia a riadenia rizík, a teda nie pod ich proaktívnou ochranou. V dôsledku toho predstavuje obrovskú výzvu identifikovanie zraniteľných digitálnych prostriedkov, ktoré signalizujú riziko.

Vzhľadom na nedostatočné pochopenie a viditeľnosť týchto závislostí sa jedným z najčastejších a najefektívnejších vektorov pre zdroje hrozby stali útoky na tretie strany. Významné množstvo útokov dnes prichádza cez digitálny dodávateľský reťazec. 70 percent IT profesionálov dnes uvádza strednú až vysokú úroveň závislosti od externých subjektov, ktoré môžu zahŕňať tretie, štvrté alebo piate strany.9 Zároveň platí, že 53 percent organizácií zaznamenalo aspoň jeden únik údajov spôsobený treťou stranou.10

Popri stále častejších rozsiahlych útokoch na dodávateľské reťazce organizácie každodenne riešia aj menšie útoky. Škodlivý softvér na digitálny skimming kreditných kariet, ako je napríklad Magecart, zasahuje doplnky elektronického obchodu tretích strán. Vo februári 2022 zaznamenala spoločnosť RiskIQ vyše 300 domén zasiahnutých škodlivým softvérom Magecart na digitálny skimming kreditných kariet.11

Keďže životný štýl priemerného spotrebiteľa je čoraz viac sústredený okolo mobilného zariadenia, podniky každoročne investujú do mobilného sektora viac prostriedkov. Američania dnes trávia viac času používaním mobilu ako sledovaním živého televízneho vysielania a v dôsledku obmedzenia sociálnych kontaktov začali viac zo svojich fyzických potrieb (napríklad nakupovanie a vzdelávanie) uspokojovať prostredníctvom mobilu. App Annie ukazuje nárast výdavkov v mobilnom sektore na ohromujúcich 170 miliárd USD v roku 2021, čo predstavuje medziročný rast o 19 percent.12

Tento dopyt v rámci mobilného sektora so sebou prináša obrovský rozmach mobilných aplikácií. V roku 2020 si používatelia stiahli 218 miliárd aplikácií. Spoločnosť RiskIQ medzitým zaznamenala celkovo 33-percentný rast mobilných aplikácií dostupných v roku 2020, pričom každú minútu pribudlo 23 nových aplikácií.2

Obchody s aplikáciami ako rastúce možné miesta útokov

  • rast mobilných aplikácií.
  • nových mobilných aplikácií každú minútu.
  • zablokovaná aplikácia každých päť minút.2

Pre organizácie tieto aplikácie predstavujú zdroj obchodných výsledkov. Zároveň však môžu byť dvojsečnou zbraňou. Prostredie aplikácií tvorí významnú časť súboru možných miest útokov v podniku, ktorý existuje za hranicami brány firewall a pre tímy zabezpečenia je často ťažko viditeľný. Tento zle viditeľný priestor využívajú aktéri hrozieb na vytváranie falošných aplikácií, ktoré napodobňujú známe značky alebo iným spôsobom navodzujú falošný dojem s cieľom oklamať zákazníkov a dosiahnuť, aby si ich stiahli. Keď si nič netušiaci používateľ tieto škodlivé aplikácie stiahne, aktérom hrozieb sa otvára voľná cesta k neoprávnenému získavaniu citlivých údajov alebo nahrávaniu škodlivého softvéru do zariadení. RiskIQ každých päť minút zablokuje jednu škodlivú mobilnú aplikáciu.

Tieto falošné aplikácie objavujú v oficiálnych obchodoch v ojedinelých prípadoch, keď sa im podarí narušiť robustnú ochranu najväčších obchodov s aplikáciami. Existujú však stovky menej známych obchodov s aplikáciami, ktoré predstavujú temné mobilné podsvetie nachádzajúce sa mimo relatívnej bezpečnosti renomovaných obchodov. Aplikácie v nich podliehajú omnoho menšej regulácii ako v prípade oficiálnych obchodov s aplikáciami, pričom niektoré z týchto obchodov ponúkajú viac škodlivých ako bezpečných aplikácií.

Globálne možné miesta útokov sú aj možnými miestami útokov v jednotlivej organizácii

Možné miesta útokov v dnešnom globálnom internete sa premenili na dynamický, komplexný a úplne prepletený ekosystém, ktorého sme všetci súčasťou. Ak ste prítomní na internete, prepájate sa so všetkými vrátane tých, ktorí vám chcú uškodiť. Preto je sledovanie infraštruktúry hrozieb rovnako dôležité ako sledovanie svojej vlastnej infraštruktúry.

Globálne možné miesta útokov sú aj možnými miestami útokov v jednotlivej organizácii

  • nových škodlivých softvérových programov zistených každý deň.2
  • nárast počtu variantov škodlivého softvéru.13
  • server nástroja Cobalt Strike každých 49 minút.2

Rôzne kyberskupiny recyklujú a zdieľajú infraštruktúru – IP adresy, domény a certifikáty – a používajú opensourcové komoditné nástroje ako škodlivý softvér, súpravy na neoprávnené získavanie údajov a súčasti C2 na to, aby sa vyhli ľahkej atribúcii, pričom si ich prispôsobujú a zdokonaľujú podľa svojich individuálnych potrieb.

Každý deň je zistených vyše 560 000 nových škodlivých softvérových programov a počet súprav na neoprávnené získavanie údajov ponúkaných nelegálnom trhu s nástrojmi pre počítačový zločin sa v období rokov 2018 až 2019 zdvojnásobil. V roku 2020 stúpol počet zistených variantov škodlivého softvéru o 74 percent.14 RiskIQ v súčasnosti každých 49 minút zistí jeden nový server nástroja Cobalt Strike C2.

Stratégia zabezpečenia väčšiny organizácií sa tradične vyznačuje hĺbkovým prístupom k ochrane, začínajúcim na obvode a po jednotlivých vrstvách smerujúcim späť k prostriedkom, ktoré musia byť chránené. Táto správa však ukazuje, že medzi týmto druhom stratégie a možnými miestami útokov existujú určité disparity. V dnešnom svete digitálnej interakcie sa používatelia nachádzajú mimo tohto obvodu, pričom to isté platí aj pre stále väčší počet nechránených podnikových digitálnych prostriedkov a mnohých škodlivých aktéroch. Uplatňovanie princípov modelu nulovej dôvery (Zero Trust) naprieč podnikovými zdrojmi môže prispieť k zabezpečeniu dnešných pracovných síl a ochrane ľudí, zariadení, aplikácií a údajov bez ohľadu na ich umiestnenie a rozsah hrozieb, ktorým čelia. Zabezpečenie od spoločnosti Microsoft ponúka sériu cielených hodnotiacich nástrojov, ktoré vám pomôžu posúdiť pokročilosť vašej organizácie z hľadiska nulovej dôvery (Zero Trust).

Súvisiace články

Minúta kybernetických hrozieb

Počas kybernetického útoku sa počíta každá sekunda. Na ilustráciu veľkosti a rozsahu celosvetovej počítačovej kriminality sme zhutnili ročný výskum kybernetickej bezpečnosti do jedného 60-sekundového intervalu.
Ďalšie informácie

Ransomware ako služba

Najnovší obchodný model počítačového zločinu, útoky riadené ľuďmi, povzbudzuje zločincov rôznych schopností.
Ďalšie informácie

Nárast IoT a riziká pre OT

Čím ďalej tým viac sa rozširujúci internet vecí ohrozuje prevádzkové technológie (OT), vytvára veľké množstvo potenciálne zraniteľných miest a vystavuje ich hrozbám zo strany aktérov. Zistite, ako udržiavať svoju organizáciu chránenú.
Ďalšie informácie