Fortinet

Компания Fortinet объявила о результатах нового полугодового исследования FortiGuard Labs Global Threat Landscape Report.

Аналитика угроз второй половины 2020 г. демонстрирует беспрецедентные изменения ландшафта киберугроз: злоумышленники максимально увеличивают площадь атак, создают волны разрушительных и изощренных атак, нацеливаются на большое количество удаленных сотрудников или учащихся за пределами традиционной сети. Кроме того, они продемонстрировали впечатляющую гибкость в атаках на цифровые цепочки поставок и даже базовую сеть.

Главное тенденции II полугодия 2020 г.:

Натиск программ-вымогателей продолжается

Данные FortiGuard Labs показывают семикратное увеличение общей активности программ-вымогателей по сравнению с первым полугодием 2020 г. Условия для такого интенсивного роста создают следующие факторы: развитие RaaS (программа-вымогатель как услуга), упор на большие выкупы за крупные цели и угроза раскрытия украденных данных в случае невыполнения требований. Наиболее активными из отслеживаемых типов вымогателей были Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING и BazarLoader. Секторы экономики, которые подвергались серьезным атакам программ-вымогателей, включают здравоохранение, сферу услуг, госсектор, финансовые организации. Чтобы эффективно противостоять данному типу вредоносов, необходимо обеспечить своевременное, полное и безопасное резервное копирование данных за пределами корпоративной сети. Также следует изучить стратегии доступа с нулевым доверием и сегментации;

В центре внимания цепочка поставок

Атаки в этой сфере имеют долгую историю, но случай с SolarWinds поднял проблему на новый уровень. По мере развития этой атаки, затронутые организации обменивались значительным объемом информации, и FortiGuard Labs внимательно следила за этой новой информацией, используя ее для создания IoCs для обнаружения связанной активности. Обнаружение связи с интернет-инфраструктурой, аффилированной с SUNBURST в декабре 2020 г., демонстрирует, что кампания была действительно глобальной по своему характеру, а «Five Eyes» демонстрировала особенно высокие показатели трафика, соответствующего вредоносным IoCs. Есть также свидетельства возможных вторичных целей, которые подчеркивают взаимосвязанный масштаб современных атак на цепочки поставок и важность управления рисками в цепочке поставок.

Атаки на массового пользователя в Интернете

Главной целью атак были платформы Microsoft, связанные с документами, которые большинство людей используют в течение обычного рабочего дня. Веб-браузеры продолжали оставаться еще одним фронтом атак. В эту категорию входили фишинговые сайты и скрипты, содержащие вредоносные программы, которые вводят скрытый код или перенаправляют пользователей на вредоносные сайты. Эти типы угроз неизбежно растут во время глобальных проблем или периодов интенсивной онлайн-торговли. Сотрудники, которые обычно пользуются услугами веб-фильтрации при просмотре из корпоративной сети, более уязвимы когда делают это за пределами такого защитного фильтра.

Под прицелом домашний офис

В 2020 г. из-за перехода на удаленку барьеры между домом и офисом значительно разрушились, а это означает, что нацеливание на дом приближает злоумышленников на один шаг к корпоративной сети. Во второй половине 2020 г. были очень популярны эксплойты, направленные на домашние IoT- устройства. Каждое IoT-устройство представляет собой новую «границу» сети, которую необходимо защищать и мониторить;

Злоумышленники выходят на глобальный уровень

Угрозы APT (Advanced Persistent Threat) продолжают различными способами использовать пандемию COVID-19. Наиболее распространенными среди них были атаки, направленные на массовый сбор личной информации, кражу интеллектуальной собственности и сбор разведданных, соответствующих национальным приоритетам APT-группы. По мере приближения конца года наблюдался рост активности APT, нацеленной на организации, участвующие в работе, связанной с COVID-19, включая исследования вакцин и разработку внутренней или международной политики здравоохранения в отношении пандемии. Это правительственные учреждения, фармацевтические фирмы, университеты и медицинские исследовательские фирмы;

Сглаживание кривой эксплойтов уязвимостей

Киберпреступники продолжают попытки использовать уязвимости ПО. Анализ развития 1500 эксплойтов за последние два года демонстрирует скорость и широту их распространения. Хотя, к счастью, похоже, что большинство эксплойтов распространяются не очень быстро. Среди всех, отслеживаемых за последние два года, только 5% были обнаружены более чем в 10% организаций. Около 6% эксплойтов поразили более 1% фирм в течение первого месяца, и даже через год 91% эксплойтов не преодолели этот порог в 1%. Тем не менее по-прежнему разумно сосредоточить усилия по исправлению уязвимостей с известными эксплойтами, и среди них отдать приоритет тем, которые распространяются наиболее быстро.

Общие рекомендации по профилактике угроз

Организации сталкиваются с самыми разнообразными атаками со всех сторон. Поэтому аналитика угроз остается центральной мерой для понимания способов защиты от меняющихся векторов нападения. Особенно когда значительное количество пользователей находится за пределами типичного сетевого сценария. Каждое устройство создает новую границу сети, которую необходимо контролировать и защищать.

Использование ИИ и автоматического обнаружения угроз позволит организациям быстрее реагировать на атаки, что крайне важно для снижения скорости атак и их масштабирования на всех уровнях.

Обучение пользователей в области кибербезопасности должно стать одной из приоритетных задач, поскольку кибергигиена — это сфера деятельности не только ИТ-специалистов и команд по обеспечению безопасности.