Fortinet - FortiGuard Labs Threat Report: Disruption najważniejszym trendem zagrożeń 2020 r.
5 marca 2021
Bastian Seibel
Fortinet
Fortinet
Kiedy FortiGuard Labs firmy Fortinet analizuje krajobraz zagrożeń w ostatniej połowie 2020 roku, ekspertom ds. bezpieczeństwa IT przychodzi na myśl tylko jedno słowo: zakłócenia. I oznacza to coś więcej niż tylko zakłócenia w działalności biznesowej. Pierwsza połowa 2020 roku wymusiła gwałtowne zmiany w sposobie prowadzenia działalności gospodarczej i angażowania się firm w sprawy klientów. Jednocześnie cyberprzestępcy szybko wykorzystali obawy i lęki związane z pandemią, aby zebrać informacje osobiste lub ukraść dane finansowe.
Podczas gdy wiele z tych działań trwało w drugiej połowie 2020 r., to, co zostało udokumentowane w nowym "Global Threat Landscape Report" FortiGuard Labs, jest raczej rozszerzeniem tego początkowego, zakrojonego na szeroką skalę zakłócenia we wszystkich pionach i regionach geograficznych.
Mniej więcej z dnia na dzień pracownicy działu bezpieczeństwa IT musieli przeformułować swoje strategie bezpieczeństwa, aby bronić sieci korporacyjnych na trzech frontach jednocześnie: Ataki wymierzone w biuro WFH, ataki na cyfrowy łańcuch dostaw oraz wzmożone ataki ransomware na sieci rdzeniowe.
1. domowy oddział firmy pozostaje popularnym celem
Bariera, która istniała między logowaniem do sieci korporacyjnej z biura korporacyjnego i z domu, została złamana w wielu firmach w 2020 roku. Sieci korporacyjne zostały wywrócone do góry nogami, a wielu pracowników uzyskało teraz dostęp do kluczowych zasobów sieciowych i aplikacji ze swoich biur domowych. To przejście nastąpiło tak nagle, że było mało czasu na zaplanowanie skutecznej strategii cyberbezpieczeństwa. Rezultat: kiedy przestarzałe i czasami nieodpowiednio zabezpieczone biuro domowe zostaje "złamane", napastnicy są już o duży krok bliżej do złamania również sieci korporacyjnej.
Niektóre firmy wciąż próbują dowiedzieć się, jak skutecznie rozszerzyć bezpieczeństwo IT swojej firmy na domowe biura pracowników. W szczególności w drugiej połowie 2020 roku, exploity wymierzone w urządzenia Internet-of-Things (IoT), takie jak systemy rozrywki domowej, routery domowe i podłączone urządzenia zabezpieczające, były w czołówce zagrożeń. Każde z tych urządzeń IoT stanowi nową powierzchnię ataku, przed którą należy się bronić.
Tymczasem zasoby, które kiedyś były ukryte za różnymi rozwiązaniami bezpieczeństwa klasy korporacyjnej, w niektórych sytuacjach są chronione niewiele więcej niż szyfrowaniem SSL. Prowadzi to do coraz większych sukcesów cyberprzestępców, którzy atakują sieci domowe za pomocą istniejących exploitów, a następnie wykorzystują je jako przyczółek, z którego przeprowadzają ataki na sieć korporacyjną oraz aplikacje i zasoby oparte na chmurze.
2 Cyfrowe łańcuchy dostaw znajdują się w centrum uwagi
Ataki na łańcuchy dostaw mają długą historię, ale afera SolarWinds podniosła dyskusję na nowy poziom. FortiGuard Labs uważnie śledził ujawnione informacje i wykorzystał je do stworzenia wskaźników kompromisu (Indicators of Compromise - IoC). Identyfikacja ruchu związanego z SUNBURST w grudniu 2020 r. pokazuje, że hak znalazł ofiary na całym świecie, przy czym Five Eyes ujawnia szczególnie wysokie wskaźniki IoCs.
3. kontynuacja ataku oprogramowania ransomware
Aktywność oprogramowania Ransomware wzrosła siedmiokrotnie w drugiej połowie 2020 r. w porównaniu z pierwszą połową roku. Trwający rozwój Ransomware-as-a-Service, nacisk na "polowanie na dużą zwierzynę" (duże okupy od dużych celów) oraz groźba ujawnienia skompromitowanych danych w przypadku niespełnienia żądań stworzyły rynek cieni o ogromnym wzroście. Do końca roku praktyki te były wykorzystywane jako dodatkowa dźwignia w kampaniach ransomware w dużej części ataków.
Najbardziej aktywne spośród kampanii ransomware śledzonych w okresie od lipca do grudnia 2020 r. były "Egregor", "Ryuk", "Conti", "Thanos", "Ragnar", "WastedLocker", "Phobos/EKING" i "BazarLoader". Sektory będące celem ataków ransomware były zróżnicowane i obejmowały opiekę zdrowotną, firmy świadczące usługi profesjonalne, organizacje sektora publicznego i dostawców usług finansowych.
Aby skutecznie przeciwdziałać szybko rozwijającemu się i rosnącemu ryzyku związanemu z oprogramowaniem ransomware, organizacje muszą dokonać fundamentalnych zmian w zakresie bezpieczeństwa swoich danych. W połączeniu z kompromisem cyfrowego łańcucha dostaw i siłą roboczą, która teleportuje się do sieci korporacyjnej, istnieje realne ryzyko, że ataki mogą nadejść z dowolnego miejsca. Rozwiązania zabezpieczające oparte na chmurze, takie jak SASE, chroniące urządzenia poza siecią, zaawansowane rozwiązania zabezpieczające punkty końcowe, takie jak EDR (Endpoint Detection and Response), które mogą unieszkodliwić złośliwe oprogramowanie w trakcie ataku, oraz strategie dostępu zero-trust i segmentacji sieci, które ograniczają dostęp do aplikacji i zasobów w oparciu o politykę, muszą zostać wdrożone w celu zmniejszenia ryzyka i wpływu udanego ataku ransomware.
Trendy w rozprzestrzenianiu się exploitów na luki w zabezpieczeniach
Łatanie jest stałym priorytetem dla organizacji w celu zamknięcia luk w zabezpieczeniach i podatności w sieci przedsiębiorstwa. Konkretnie jednak, wyzwaniem jest często "jakie łatki?" i "kiedy powinny być rozwijane?". Na te pytania trudno jest odpowiedzieć, ponieważ niewiele firm dysponuje skalą danych potrzebnych do udzielenia odpowiedniej odpowiedzi. Niemniej jednak Fortinet, korzystając z wiedzy FortiGuard Labs, chciałby spróbować rzucić nieco światła na tę kwestię:
Śledząc ewolucję 1500 exploitów w ciągu ostatnich dwóch lat, FortiGuard Labs był w stanie określić, jak szybko i jak szeroko rozprzestrzeniają się exploity. Okazuje się, że większość exploitów w rzeczywistości nie rozprzestrzenia się szybko i szeroko. Konkretnie, spośród wszystkich exploitów śledzonych w ciągu ostatnich dwóch lat, tylko około 5% zostało odkrytych przez więcej niż 10% organizacji. Jeżeli luka jest wybierana losowo, dane pokazują, że szansa zaatakowania organizacji wynosi około 1 na 1000. Około 6% exploitów trafia w ciągu pierwszego miesiąca do około 1% organizacji, a nawet po roku 91% exploitów nie przekroczyło tego 1% progu.
Niezależnie od tego, nadal warto skupić się na podatnościach ze znanymi exploitami i nadać priorytet wśród tych podatności tym, które najszybciej rozprzestrzeniają się w środowisku naturalnym. Pomóc w tym mogą specjalistyczne rozwiązania, takie jak Greenbone.
Oryginalny artykuł autorstwa Dereka Manky, FortinetTłumaczenie z języka angielskiego: DeepL
Skrócony i poprawiony przez Simona Schmischke