Ідентичності – це нове поле бою

Чоловік і жінка сидять за столом та користуються ноутбуком.

1-й випуск Cyber Signals: дізнайтеся про кіберзагрози, які розвиваються, і про кроки для надійного захисту організації.

Між протоколами безпеки більшості організацій і загрозами існує небезпечна неузгодженість. У своїх спробах зламати мережі кіберзлочинці зазвичай використовують простий метод – прямий добір паролів. Згідно зі Звітом про цифровий захист Microsoft за 2021 рік базові заходи безпеки, зокрема багатофакторна автентифікація, ефективні проти 98% атак. Однак повністю запровадити їх можуть лише 20% організацій.

У випуску 1 ви отримаєте відомості про сучасні тенденції в галузі кібербезпеки, а також рекомендації від експертів і дослідників корпорації Майкрософт. Зокрема, ви дізнаєтеся:

хто  використовує атаки на основі паролів та ідентичностей;
як  протидіяти цим атакам, використовуючи стратегії для кінцевих точок, електронної пошти й ідентичностей;
коли  пріоритезувати різні заходи безпеки;
як  зловмисні програми з вимогою викупу потрапляють у мережі й поширюються в них, а також як їх зупинити;
чому  захист ідентичностей – це найбільша проблема й водночас джерело оптимізації системи безпеки.

Державні структури активізують свої зусилля для отримання стандартних блоків ідентичностей

Кількість кібератак, здійснених державними структурами, зростає. Попри наявність великої кількості різноманітних ресурсів, зловмисники у своїх спробах викрасти легковгадувані паролі часто використовують прості методи. Ці методи дають змогу легко й швидко отримувати доступ до облікових записів клієнтів. Візьмімо, наприклад, атаки на підприємства. Проникнення в мережу організації дає зловмисникам змогу продовжувати атаку або вертикально (уражаючи схожих користувачів і ресурси), або горизонтально (отримуючи доступ до цінніших облікових даних та активів).

Цільовий фішинг, соціотехніка й масштабні розпорошувальні атаки через типові паролі – це базові методи, які державні структури використовують для викрадення та вгадування паролів. Корпорація Майкрософт відстежує методи й прийоми, у які зловмисники інвестують кошти і які допомагають їм вдало здійснювати атаки. Якщо не захищати облікові дані користувачів за допомогою базових заходів безпеки, зокрема багатофакторної та безпарольної автентифікації, і погано керувати ними, державні структури й далі використовуватимуть ті самі прості методи.

Чому атаки на основі ідентичностей такі зручні й ефективні для зловмисників? Тому що вони не потребують багатьох зусиль і коштів. Ось чому так важливо запроваджувати багатофакторну й безпарольну автентифікацію. БФА – потужний, але далеко не єдиний інструмент, який організації можуть використовувати для керування ідентичностями й доступом, а також захисту від атак.

Порушення безпеки облікових даних і розпорошувальні атаки через типові паролі – методи, які часто застосовують у своїх кампаніях джерело загроз із Росії NOBELIUM та іранське кіберугрупування DEV 0343. Атаки DEV-0343 було націлено на оборонні підприємства з розробки радіолокаційних систем військового призначення, технологій БпЛА, супутникових систем і систем зв’язку для екстреного реагування, регіональні порти ввезення в Перській затоці, а також кілька компаній морських вантажоперевезень на Близькому Сході.

Розбивка даних про кібератаки на основі ідентичностей, здійснені Іраном

Країнами, які зазнали найбільшої кількості кібератак із боку іранських угрупувань у період із липня 2020 року до червня 2021 року, були Сполучені Штати Америки (49%), Ізраїль (24%) і Саудівська Аравія (15%). Дізнайтеся більше про це зображення на сторінці 4 повної версії звіту

Щоб убезпечити себе, організації повинні виконати наведені нижче дії.

Увімкнути багатофакторну автентифікацію. Це допоможе запобігти потраплянню паролів до рук зловмисників. А ще краще – повністю відмовитися від паролів і використовувати безпарольну БФА.

Перевіряти дозволи облікових записів. Облікові записи з привілейованим доступом (якщо їх зламати) – це потужна зброя, яку кіберзлочинці можуть використовувати для отримання подальшого доступу до мереж і ресурсів. Команди з безпеки повинні постійно перевіряти дозволи й застосовувати принцип найменших привілеїв, щоб надавати працівникам доступ до ресурсів, необхідний виключно для виконання певної роботи.

Перевіряти, убезпечувати й відстежувати облікові записи адміністраторів осередків. Команди з безпеки повинні ретельно перевіряти всі облікові записи адміністраторів осередків із делегованими правами адміністратора, щоб гарантувати автентичність користувачів і дій. Якщо делеговані права адміністратора не використовуються, вимкніть або вилучіть їх.

Упровадити базові параметри безпеки для мінімізації ризиків. Державні структури ведуть стратегічну гру й мають достатнє фінансування, мотивацію та можливості для розробки нових методів і стратегій атак. Що надовше ви відкладаєте впровадження ініціативи з убезпечення мережі через обмеження пропускної здатності або бюрократію, то краще для зловмисників. Перше, що потрібно зробити командам із безпеки, – упровадити практики нульової довіри, зокрема багатофакторну й безпарольну автентифікацію. Спочатку можна вбезпечити лише привілейовані облікові записи, а потім поступово масштабувати відповідну ініціативу.

Помилкові припущення про зловмисні програми з вимогою викупу

Панує думка, що існує велика кількість нових зловмисних програм із вимогою викупу, проти яких фахівці із захисту безсилі. За даними аналізу корпорації Майкрософт, це не так. Крім того, є переконання, що певні угрупування, які здійснюють атаки з використанням зловмисних програм із вимогою викупу, – єдина монолітна структура. Проте й це не так. Насправді існує кіберзлочинний бізнес, у якому кожен учасник ланцюгів атак робить свідомий і обміркований вибір, керуючись тією чи іншою економічною моделлю. Зловмисники збільшують свої прибутки на основі того, як вони використовують отриману інформацію. На графіку нижче показано, який прибуток отримують різні угрупування від стратегій кібератак та інформації, здобутої внаслідок порушення безпеки даних.

Середні ціни різних кіберзлочинних послуг

Середні ціни кіберзлочинних послуг. Послуги зловмисників коштують від 250 USD за завдання. Набори зловмисних програм із вимогою викупу – 66 USD або 30% від прибутку. Ураження пристроїв – від 13 центів за ПК й 82 центів за мобільний пристрій. Цільовий фішинг – від 100 до 1000 USD. Украдені пари імен користувачів і паролів – у середньому від 97 центів за 1000 шт. Дізнайтеся більше про це зображення на сторінці 5 повної версії звіту

Не має значення, скільки видів зловмисних програм із вимогою викупу існує або які ресурси задіяно. Усі атаки з використанням зловмисних програм із вимогою викупу зводяться до трьох основних векторів проникнення: прямого добору пароля для доступу через протокол віддаленого робочого столу (RDP), використання вразливостей систем із доступом через Інтернет і фішингу. Щоб усунути всі ці вектори, убезпечуйте паролі, керуйте ідентичностями, оновлюйте ПЗ та використовуйте набір інструментів для гарантування захисту й відповідності вимогам. Атака з використанням зловмисної програми з вимогою викупу буде ефективною лише в разі, якщо кіберзлочинець отримає доступ до облікових даних і зможе застосувати їх для масштабування своїх дій. Навіть якщо загроза відома, вона все одно може завдати великої шкоди.

Діаграма, на якій показано шлях атаки зловмисника, починаючи з точки початкового доступу до латерального руху

Шлях атаки зловмисника в разі зламу системи, починаючи з точки початкового доступу, крадіжки облікових даних і до латерального руху. Відстеження постійного шляху для збору й отримання корисних даних облікових записів за допомогою зловмисної програми з вимогою викупу. Дізнайтеся більше про це зображення на сторінці 5 повної версії звіту

Нижче наведено рекомендації для команд із безпеки.

Запам’ятайте, що атака з використанням зловмисної програми з вимогою викупу здійснюється на основі стандартних або вражених облікових даних. Команди повинні посилити захист, зокрема впровадити безпарольну БФА для всіх облікових записів користувачів, а також пріоритезувати безпеку привілейованих ролей для керівників, адміністраторів та інших користувачів.

З’ясуйте, як швидко виявляти аномалії для їх усунення. Ранні входи в систему, переміщення файлів та інші дії, пов’язані зі зловмисними програмами з вимогою викупу, важко виявити. Однак команди мають навчитися відстежувати їх і швидко реагувати на них.

Створіть план реагування на атаки з використанням зловмисних програм із вимогою викупу й виконуйте відновлення. Ми живемо в епоху хмарних технологій. Однак копії даних відрізняються від цілих IT-систем і відповідних баз. Команди повинні візуалізувати й практикувати всі необхідні дії з відновлення вражених ресурсів.

Керуйте оповіщеннями й усувайте загрози. Усі бояться атак із використанням зловмисних програм із вимогою викупу. Основне завдання команд із безпеки – посилити ненадійні конфігурації захисту, за допомогою яких зловмисники можуть здійснити атаку. Команди повинні керувати цими конфігураціями, щоб гарантувати належне реагування на оповіщення й виявлення загроз.

Крива розподілу заходів безпеки, на якій показано, як дотримання навіть базових принципів кібергігієни допомагає захиститися від 98% атак

Щоб гарантувати захист від 98% атак, використовуйте спеціальні програми, застосовуйте принцип найменш привілейованого доступу, увімкніть багатофакторну автентифікацію, своєчасно оновлюйте ПЗ й убезпечуйте дані. Решту 2% нормального розподілу становлять сторонні атаки. Дізнайтеся більше про це зображення на сторінці 5 повної версії звіту

Отримайте додаткові рекомендації щодо захисту ідентичностей від керівника відділу аналізу загроз Microsoft Крістофера Ґлаєра.

Отримання аналітики й блокування загроз здійснюється на основі понад 24 трильйонів щоденних сигналів

Загрози для кінцевих точок
За допомогою Microsoft Defender для кінцевих точок було заблоковано понад 9,6 мільярда загроз, пов’язаних зі зловмисними програмами, на корпоративних і користувацьких пристроях у період із січня до грудня 2021 року.

Загрози для електронної пошти
За допомогою Microsoft Defender для Office 365 було заблоковано понад 35,7 мільярда фішингових та інших зловмисних електронних листів на корпоративних і користувацьких пристроях у період із січня до грудня 2021 року.

Загрози для ідентичностей
За допомогою Microsoft Azure Active Directory було виявлено й заблоковано понад 25,6 мільярда спроб зламу корпоративних і користувацьких облікових записів через прямий добір викрадених паролів у період із січня до грудня 2021 року.

Методологія: Аналітику на знімку отримано на основі анонімізованих даних щодо небезпечних дій, зокрема спроб входу через прямий добір паролів, фішингу й інших зловмисних електронних листів, а також атак із використанням шкідливого програмного забезпечення, з таких платформ Microsoft, як Defender та Azure Active Directory в період із січня до грудня 2021 року. Додаткову аналітику отримано на основі 24 трильйонів щоденних сигналів безпеки із середовища Microsoft, зокрема хмари, кінцевих точок, а також за допомогою передових технологій. Надійний захист автентифікаційних даних вимагає впровадження безпарольної БФА.

Ідентичності Зловмисні програми з вимогою викупу Загрози національного рівня

Пов’язані статті

Cyber Signals, випуск 2: економіка шантажу

Дізнайтеся від провідних експертів про розвиток зловмисних програм із вимогою викупу як послуги. Від програм і корисних відомостей до доступу до брокерів і партнерів — дізнайтеся більше про інструменти, методи й цілі кіберзлочинців і отримайте допомогу із захистом вашої організації.

Дізнайтеся більше

Захист України: Перші уроки кібервійни

Останні результати аналізу кіберзагроз під час російсько-української війни, а також низка висновків за перші чотири місяці вторгнення свідчать про потребу в безперервних додаткових інвестиціях у технології, обробку даних і партнерські проекти для підтримки урядів, приватних компаній, громадських організацій та університетів.

Дізнайтеся більше

Експерт: Крістофер Ґлаєр

Крістофер Ґлаєр очолює відділ у Центрі Аналізу загроз Microsoft, що спеціалізується на зловмисних програмах із вимогою викупу (MSTIC), і входить до команди, яка вивчає, як більшість джерел загроз отримують доступ до систем та використовують їх.

Дізнайтеся більше