Anatomija sodobne tarče napada

Za večino organizacij je e-pošta bistven del vsakodnevnega poslovanja. Žal je e-pošta še vedno glavni vir groženj. 35 % napadov z izsiljevalsko programsko opremo je bilo leta 2022 povezanih z uporabo e-pošte.⁴ Napadalci izvajajo več e-poštnih napadov kot kdaj koli prej – leta 2022 se je stopnja napadov z lažnim predstavljanjem v primerjavi z letom 2021 povečala za 61 %^.5

Napadalci zdaj pogosto uporabljajo tudi legitimne vire za izvajanje napadov z lažnim predstavljanjem. Zaradi tega uporabniki še težje razlikujejo med pravimi in zlonamernimi e-poštnimi sporočili, kar povečuje verjetnost, da jim grožnja uide. Eden od primerov tega trenda so napadi lažnega pridobivanja soglasij, pri katerih akterji zlorabljajo legitimne ponudnike storitev v oblaku, da bi uporabnike prepričali v odobritev dovoljenj za dostop do zaupnih podatkov.

Brez možnosti povezovanja e-poštnih signalov s širšimi dogodki za vizualizacijo napadov lahko traja dlje časa, da odkrijemo napadalca, ki je vstopil prek e-pošte. Takrat je lahko že prepozno, da bi preprečili škodo. Mediana časa, ki ga napadalec potrebuje za dostop do zasebnih podatkov organizacije, je le 72 minut.⁶ To lahko povzroči resne izgube na ravni podjetja. Ogrožanje poslovne e-pošte (BEC) je v letu 2021 povzročilo za 2,4 milijarde USD izgube.⁷

V današnjem svetu, ki temelji na oblaku, je varovanje dostopa še pomembnejše kot kdaj koli prej. Zato je poglobljeno razumevanje identitete v organizaciji, vključno z dovoljenji uporabniških računov, identitetami delovnih obremenitev in njihovimi morebitnimi ranljivostmi , ključnega pomena, zlasti ker so napadi vse pogostejši in ustvarjalnejši.

Število napadov na gesla se je leta 2022 povečalo na 921 napadov vsako sekundo, kar je 74-odstotno povečanje v primerjavi z letom 2021.⁸ Pri Microsoftu smo opazili tudi, da so akterji groženj vse bolj ustvarjalni pri izogibanju večkratnemu preverjanju pristnosti (MFA), pri čemer uporabljajo tehnike, kot so napadi z lažnim predstavljanjem »adversary-in-the-middle« in zloraba žetonov, da bi pridobili dostop do podatkov organizacij. Akterji groženj s kompleti za lažno predstavljanje še lažje ukradejo poverilnice. Microsoftova enota za digitalne zločine je v zadnjem letu opazila, da se je povečala izpopolnjenost kompletov za lažno predstavljanje, ovir za zlorabo pa skorajda ni – eden od prodajalcev ponuja komplete za lažno predstavljanje že za 6 USD na dan.⁹

Upravljanje tarče napadov na identitete je več kot le varovanje uporabniških računov – zajema tako dostop do oblaka kot tudi identitete delovnih obremenitev. Ogrožene poverilnice so lahko močno orodje, ki ga lahko napadalci uporabijo za opustošenje infrastrukture v oblaku v organizaciji.

Zaradi velikega števila naprav v današnjem hibridnem okolju je varovanje končnih točk še večji izziv. Zaščita končnih točk – zlasti neupravljanih naprav – je še vedno ključnega pomena za dobro varnostno držo, saj lahko že ena napaka napadalcem omogoči vstop v vašo organizacijo.

Ker so organizacije sprejele pravilnik BYOD (»Prinesi svojo napravo«), se je povečalo število nenadzorovanih naprav. Zato je tarča napadov na končne točke zdaj večja in bolj izpostavljena. V povprečju je v podjetju 3500 povezanih naprav, ki niso zaščitene z rešitvijo za zaznavanje končnih točk in odzivanje nanje.¹¹

Neupravljane naprave (ki so del okolja senčnega IT) so še posebej privlačne za akterje groženj, saj varnostne ekipe nimajo potrebne preglednosti, da bi jih zavarovale. Pri Microsoftu smo ugotovili, da je verjetnost okužbe uporabnikov v nenadzorovani napravi za 71 % večja.¹² Ker se naprave, ki niso upravljane, povezujejo s podjetniškimi omrežji, predstavljajo za napadalce tudi priložnost za širše napade na strežnike in drugo infrastrukturo.

Neupravljani strežniki so tudi potencialni cilji napadov na končne točke. Ekipa Microsoftova varnost je leta 2021 opazila napad, pri katerem je napadalec izkoristil nezaščiten strežnik, brskal po imenikih in odkril mapo z gesli, ki je omogočala dostop do poverilnic računa.

Eden od najbolj spregledanih vektorjev napadov na končne točke je internet stvari IoT), ki vključuje milijarde velikih in majhnih naprav. Varnost interneta stvari zajema fizične naprave, ki se povezujejo z omrežjem in z njim izmenjujejo podatke, kot so usmerjevalniki, tiskalniki, kamere in druge podobne naprave. Vključuje lahko tudi operativne naprave in senzorje (operativna tehnologija), kot je pametna oprema na proizvodnih linijah.

Z naraščanjem števila naprav interneta stvari narašča tudi število ranljivosti. IDC napoveduje, da bo do leta 2025 v podjetjih in potrošniških okoljih prisotnih 41 milijard naprav IoT.¹⁵ Ker številne organizacije utrjujejo usmerjevalnike in omrežja, da bi otežile vdor vanje, postajajo naprave IoT lažja in privlačnejša tarča. Pogosto smo opazili, da akterji groženj izkoriščajo ranljivosti in naprave IoT spremenijo v posrednike in izpostavljeno napravo uporabijo kot oporno točko v omrežju. Ko akter grožnje pridobi dostop do naprave IoT, lahko spremlja omrežni promet in išče druge nezaščitene vire, se premakne lateralno in vdre v druge dele ciljne infrastrukture ali izvede izvidnico za načrtovanje obsežnih napadov na občutljivo opremo in naprave. V eni od raziskav je 35 % varnostnih strokovnjakov poročalo, da je bila v zadnjih 2 letih naprava IoT uporabljena za širši napad na njihovo organizacijo.¹⁶

Žal je internet stvari za organizacije pogosto črna skrinjica v smislu vidljivosti, zato mnoge nimajo ustreznih varnostnih ukrepov za internet stvari. 60 % varnostnih strokovnjakov je varnost interneta stvari in operativne tehnologije navedlo kot enega od najslabše zavarovanih vidikov infrastrukture IT in OT.¹⁷

Zunanja tarča napada organizacije danes zajema več oblakov, zapletene digitalne dobavne verige in obsežne ekosisteme tretjih oseb. Internet je zdaj del omrežja in kljub njegovi skoraj nepojmljivi velikosti morajo varnostne ekipe prisotnost svoje organizacije v internetu braniti v enaki meri kot vse, kar je za njihovimi požarnimi zidovi. Ker vse več organizacij sprejema načelo Ničelno zaupanje, je zaščita notranjih in zunanjih površin za napade postala izziv v celotnem internetu.

Globalna tarča napadov raste skupaj z internetom in se vsak dan povečuje. Pri Microsoftu opažamo, da se to povečuje pri številnih vrstah groženj, na primer pri napadih z lažnim predstavljanjem. Leta 2021 je Microsoftova enota za digitalne zločine poskrbela za odstranitev več kot 96.000 edinstvenih naslovov URL za lažno predstavljanje in 7700 kompletov za lažno predstavljanje, kar je privedlo do identifikacije in zaprtja več kot 2200 zlonamernih e-poštnih računov za zbiranje ukradenih poverilnic strank.²⁴

Površina tarče napadov se razteza veliko dlje od lastnih virov organizacije. Pogosto vključuje dobavitelje, partnerje, nenadzorovane osebne naprave zaposlenih, ki so povezane z omrežji ali sredstvi podjetja, in novo prevzete organizacije. Zato se je treba zavedati zunanjih povezav in izpostavljenosti, da bi ublažili morebitne grožnje. Poročilo agencije Ponemon za leto 2020 je pokazalo, da je 53 % organizacij v zadnjih 2 letih doživelo vsaj eno kršitev varnosti podatkov, ki jo je povzročila tretja oseba, sanacija pa je v povprečju stala 7,5 milijona USD.²⁵

Ker se infrastruktura za kibernetskimi napadi povečuje, je pridobivanje vpogleda v infrastrukturo groženj in popis sredstev, izpostavljenih internetu, postalo bolj nujno kot kdaj koli prej. Ugotovili smo, da organizacije pogosto težko razumejo obseg svoje zunanje izpostavljenosti, kar ima za posledico obsežne »slepe pege«. Te slepe pege imajo lahko uničujoče posledice. Leta 2021 je 61 % podjetij doživelo napad z izsiljevalsko programsko opremo, ki je povzročil vsaj delno prekinitev poslovanja.²⁶

Pri Microsoftu strankam pogosto svetujemo, naj pri ocenjevanju varnostnega položaja gledajo na svojo organizacijo od zunaj navznoter. Poleg ocene VAPT (ocena ranljivosti in testiranje prodiranja) je pomembno pridobiti poglobljen vpogled v zunanjo tarčo napada, da lahko prepoznate ranljivosti v celotnem okolju in razširjenem ekosistemu. Kaj bi lahko izkoristili, če bi bili napadalec, ki bi želel vstopiti? Razumevanje celotnega obsega zunanje tarče napada v organizaciji je temeljnega pomena za njeno zaščito.

Kako vam lahko pomaga Microsoft

Današnje okolje groženj se nenehno spreminja, zato organizacije potrebujejo varnostno strategijo, ki je v koraku z najsodobnejšimi spoznanji. Zaradi vse večje zapletenosti in izpostavljenosti organizacije ter velikega števila groženj in nizkih vstopnih ovir v gospodarstvu kibernetskega kriminala je bolj kot kdaj koli prej nujno zavarovati vsak šiv znotraj vsake napadalne površine in med njimi.

Varnostne ekipe potrebujejo zmogljive podatke o grožnjah za obrambo pred današnjimi neštetimi in razvijajočimi se grožnjami. Pravi podatki o grožnjah povezujejo signale z različnih mest in zagotavljajo pravočasen in ustrezen kontekst trenutnega vedenja in trendov napadov, tako da lahko varnostne ekipe uspešno prepoznavajo ranljivosti, določajo prioritete opozoril in preprečujejo napade. Če do kršitve vendarle pride, je obveščanje o grožnjah ključnega pomena za preprečevanje nadaljnje škode in izboljšanje obrambe, da se podoben napad ne bi več ponovil. Preprosto povedano, organizacije, ki uporabljajo več podatkov o grožnjah, bodo varnejše in uspešnejše.

Microsoft ima neprimerljiv pregled nad razvijajočim se področjem groženj, saj dnevno analizira 65 bilijonov signalov. S korelacijo teh signalov v realnem času na tarčah napada obveščanje o grožnjah, vgrajeno v rešitve Microsoftove varnosti, zagotavlja vpogled v naraščajočo izsiljevalsko programsko opremo in okolje groženj, tako da lahko opazite in zaustavite več napadov. Z naprednimi zmogljivostmi umetne inteligence, kot je Microsoft Copilot za varnost, pa lahko prehitite nove grožnje in branite svojo organizacijo z računalniško hitrostjo, kar omogoča varnostni ekipi, da poenostavi zapleteno, ujame, kar drugi spregledajo, in zaščiti vse.