В последние годы наблюдается тенденция к тому, что ландшафт киберугроз становится все более враждебным: в 2023 году наблюдался значительный уровень активности групп Advanced Persistent Threat (APT).
От самых высокоорганизованных преступных группировок до спонсируемых государством субъектов, APT представляют собой одну из самых сложных и опасных киберугроз, с которыми сегодня сталкиваются организации. У них есть доступ к самым передовым наступательным знаниям и инструментам, а также средствам, позволяющим упорно добиваться своих целей, пока они не добьются успеха.
Эти группы будут столь же продуктивными в 2024 году и далее. Таким образом, организации должны ознакомиться с наиболее заметными тенденциями атак и укрепить свою безопасность против этих продвинутых и развивающихся угроз. Как APT достигают своих целей?
Только за первую половину 2023 года Rapid7 отследил 79 различных атак, организованных лицами, поддерживаемыми государством. Почти четверть (24%) проанализированных нами атак использовали эксплойты против общедоступных приложений. Атаки распространяются на правительства, критически важную инфраструктуру и корпоративные сети, часто служа воротами для более масштабных и разрушительных атак.
Целевой фишинг вложений также является основным вектором атаки для групп APT. Обманчиво простой, но эффективный метод использовался в 23% этих атак, а 22% включали неправомерное использование действительных учетных записей.
Существуют также многочисленные мотивы, движущие этими спонсируемыми государством группами. Кибервойна в последнее время становится все более распространенной, особенно в связи с продолжающимся конфликтом в Украине, когда кибератаки на критически важную инфраструктуру повторяют физические военные атаки.
Активность кибершпионажа также возросла: агенты стремятся получить ценную информацию или интеллектуальную собственность для получения политической или экономической власти. В связи с этим многие атаки преследуют финансовые цели и нацелены на частный сектор с целью обойти экономические санкции или финансировать государственные режимы. Кристиан Бик
Навигация по социальным ссылкам
Старший директор по аналитике угроз Rapid7.
Эксплуатация старых и новых уязвимостей
APT-группы часто ассоциируются с атаками нулевого дня. Уязвимости нулевого дня являются чрезвычайно ценным активом в киберпреступной экономике, и мы обнаружили, что удаленное выполнение кода (RCE) для сетевых устройств, таких как Juniper и Cisco, продается в темной сети по цене более 75 000 долларов США.
Зачастую превосходящие ресурсы и опыт групп APT повышают вероятность того, что они обнаружат или приобретут новые уязвимости и в первую очередь интегрируют их в свои атаки. К середине 2023 года примерно треть всех распространенных уязвимостей использовалась в нулевых днях.
Тем не менее, ошибочно думать, что эти элитные группы ограничиваются использованием элитных инструментов. APT столь же оппортунистичны, как и любая другая преступная группировка, и с готовностью будут использовать старые и известные уязвимости, если их цель не закрыла их.
Среди старых уязвимостей, которые широко использовались в 2023 году, — CVE-2021-20038, уязвимость, обнаруженная Rapid7 в устройствах серии SonicWall SMA 100, и CVE-2017-1000367, уязвимость в команде sudo, которая раскрывает информацию и выполнение. заданий. . APT даже воспользовался уязвимостью 2013 года (CVE-2013-3900) – десятилетней давности и успешной.
Популярность этих старых уязвимостей требует критического внимания ко многим стратегиям кибербезопасности. Существует тенденция сосредотачиваться на возникающих угрозах, что часто приводит к игнорированию существующих, но все же уязвимых мест.
В целом, Rapid7 увидел широкий спектр тактик со стороны групп APT в отношении обычных корпоративных технологий, с заметным акцентом на сетевую периферию. Маршрутизаторы, оборудование безопасности, программное обеспечение для управления печатью и решения Voice Over IP (VOIP) стали основными целями, что подчеркивает стратегический сдвиг в сторону использования часто упускаемых из виду уязвимостей на границе сети. Защита от сложных угроз начинается с основ
Защита от решительного APT-противника, вооруженного ранее невидимым «нулевым днем», является непростой задачей. Тем не менее, организации, предпринявшие шаги по укреплению своего периметра, представляют собой трудную цель, которая часто может заставить эти группы броситься в бой в поисках более легкой добычи.
Как уже упоминалось, существует тенденция уделять слишком много внимания расширенным мерам безопасности, что может непреднамеренно оставить открытыми более очевидные пути атак. Здесь особенно важно постоянное внимание к фундаментальным аспектам управления уязвимостями. Установление четких, измеримых циклов исправлений и определение приоритетности активно эксплуатируемых уязвимостей снизят риск получения легкого доступа APT через старые уязвимости и сузят окно угроз для вновь обнаруженных эксплойтов.
Аналогично, здесь очень важна безопасность на основе идентификации, особенно многофакторная аутентификация (MFA). Почти 40% всех инцидентов безопасности, проанализированных Rapid7 в первой половине 2023 года, были связаны с неадекватной реализацией MFA, особенно в VPN, инфраструктурах виртуальных рабочих столов и продуктах SaaS.. MFA — это важнейшая линия защиты, особенно против APT, использующих общедоступные приложения. Хотя его могут подорвать достаточно решительные враги, надежный процесс MFA значительно усложнит жизнь злоумышленникам. Уклонение было любимой тактикой APT.
При рассмотрении более продвинутых мер безопасности приоритетом должна стать защита от кражи данных. Это особенно важно, поскольку шпионаж становится все более распространенной мотивацией среди поддерживаемых государством APT.
Ключевые меры здесь включают предупреждение или ограничение загрузки необычно больших файлов и мониторинг больших объемов трафика на один IP-адрес или домен. Также важна бдительность при отслеживании необычного доступа к платформам облачного хранения, таким как Google Drive, SharePoint и ShareFile. Кроме того, внедрение исходящей фильтрации, ограничение прав локального администратора на хостах, а также мониторинг наличия или использования инструментов передачи и архивирования данных являются важными шагами в усилении кибербезопасности организации.
Rapid7 также обнаружил широко распространенное злоупотребление Microsoft OneNote для распространения вредоносного ПО, в основном через фишинговые электронные письма. Блокировка файлов .one на периметре или на шлюзе электронной почты поможет обуздать эту угрозу.
Еще одной важной стратегией является уделение приоритетного внимания безопасности сетевых периферийных устройств. Такие устройства, как VPN, маршрутизаторы и устройства передачи файлов, должны пройти цикл срочного обновления. Зачастую эти технологии являются первой линией защиты. Они являются основной целью злоумышленников и требуют немедленного внимания в случае выявления уязвимостей. Подготовка к тому, что должно произойти
Поскольку APT и программы-вымогатели становятся все более изощренными, организациям необходимо срочно укрепить свою безопасность, уделяя приоритетное внимание таким основополагающим практикам, как MFA, бдительное управление исправлениями и упреждающая оценка уязвимостей. Компании, которые укрепляют свою защиту и следуют последним тенденциям, будут иметь больше шансов отразить эти группы угроз или уменьшить их влияние. Мы порекомендовали лучшее средство удаления вредоносных программ.
Эта статья была подготовлена в рамках канала Expert Insights от Ny BreakingPro, где мы рассказываем о лучших и ярких умах современной технологической индустрии. Мнения, выраженные здесь, принадлежат автору и не обязательно совпадают с мнением Ny BreakingPro или Future plc. Если вы заинтересованы в участии, вы можете прочитать больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro.
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/