Компания Fortinet объявила о результатах нового полугодового исследования FortiGuard Labs Global Threat Landscape Report. Аналитика угроз второй половины 2020 года демонстрирует беспрецедентные изменения ландшафта киберугроз: злоумышленники максимально увеличивают площадь атак, чтобы масштабировать угрозы по всему миру. Противники оказались очень гибкими, создавая волны разрушительных и изощренных атак. Они нацелены на большое количество удаленных сотрудников или учащихся за пределами традиционной сети. Кроме того, они продемонстрировали впечатляющую гибкость в попытках нацеливаться на цифровые цепочки поставок и даже базовую сеть. Главное из отчета за II полугодие 2020 года:

  • натиск программ-вымогателей продолжается: данные FortiGuard Labs показывают семикратное увеличение общей активности программ-вымогателей по сравнению с первым полугодием 2020 года, причем рост активности обусловлен несколькими тенденциями. Условия для такого интенсивного роста создают следующие факторы: развитие RaaS (программа-вымогатель как услуга), упор на большие выкупы за крупные цели и угроза раскрытия украденных данных в случае невыполнения требований. Кроме того, с разной степенью распространенности наиболее активными из отслеживаемых типов вымогателей были Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING и BazarLoader. Секторы экономики, которые подвергались серьезным атакам программ-вымогателей, включают здравоохранение, сфера услуг, госсектор, финансовые организации. Чтобы эффективно бороться с растущим рисками, связанными с данным типом вредоносов, необходимо обеспечить своевременное, полное и безопасное резервное копирование данных за пределами корпоративной сети. Также, чтобы минимизировать риск, следует изучить стратегии доступа с нулевым доверием и сегментации, чтобы минимизировать риск;
  • цепочка поставок в центре внимания: атаки на цепочки поставок имеют долгую историю, но случай с SolarWinds поднял дискуссию на новый уровень. По мере развития атаки затронутые организации обменивались значительным объемом информации. FortiGuard Labs внимательно следила за этой новой информацией, используя ее для создания IoCs для обнаружения связанной активности. Обнаружение связи с интернет-инфраструктурой, аффилированной с SUNBURST в декабре 2020 года, демонстрирует, что кампания была действительно глобальной по своему характеру, а «Five Eyes» демонстрировала особенно высокие показатели трафика, соответствующего вредоносным IoCs. Есть также свидетельства возможных вторичных целей, которые подчеркивают взаимосвязанный масштаб современных атак на цепочки поставок и важность управления рисками в цепочке поставок;
  • злоумышленники нацелены на ваши действия в интернете: изучение наиболее распространенных категорий вредоносных программ позволяет выявить самые популярные методы, используемые киберпреступниками для закрепления своих позиций в организациях. Главной целью атак были платформы Microsoft, связанные с документами, которые большинство людей используют в течение обычного рабочего дня. Веб-браузеры продолжали оставаться еще одним фронтом. В эту категорию HTML входили фишинговые сайты и скрипты, содержащие вредоносные программы, которые вводят скрытый код или перенаправляют пользователей на вредоносные сайты. Эти типы угроз неизбежно растут во время глобальных проблем или периодов интенсивной онлайн-торговли. Сотрудники, которые обычно пользуются услугами веб-фильтрации при просмотре из корпоративной сети, продолжают оставаться более уязвимыми, когда делают это за пределами такого защитного фильтра;
  • домашний офис остается под прицелом: барьеры между домом и офисом значительно разрушились в 2020 году, а это означает, что нацеливание на дом приближает злоумышленников на один шаг к корпоративной сети. Во второй половине 2020 года эксплойты, направленные на устройства Интернета вещей (IoT), такие как те, которые существуют во многих домах, были в верхней части списка распространенных вредоносов. Каждое устройство IoT представляет собой новую «границу» сети, которую необходимо защищать и мониторить;
  • злоумышленники выходят на глобальный уровень: группы Advanced Persistent Threat (APT) продолжают различными способами использовать пандемию COVID-19. Наиболее распространенными среди них были атаки, направленные на массовый сбор личной информации, кражу интеллектуальной собственности и сбор разведданных, соответствующих национальным приоритетам APT-группы. По мере приближения конца 2020 года наблюдался рост активности APT, нацеленной на организации, участвующие в работе, связанной с COVID-19, включая исследования вакцин и разработку внутренней или международной политики здравоохранения в отношении пандемии. Целевые организации включали правительственные учреждения, фармацевтические фирмы, университеты и медицинские исследовательские фирмы;
  • сглаживание кривой эксплойтов уязвимостей: патчи и исправления являются постоянными приоритетами для организаций, поскольку киберпреступники продолжают попытки использовать уязвимости в своих интересах. Данные демонстрируют, насколько быстро и насколько далеко распространяются эксплойты (на основе анализа развития 1500 эксплойтов за последние два года). Хотя это не всегда так, похоже, что большинство эксплойтов не распространяются очень быстро. Среди всех, отслеживаемых за последние два года, только 5% были обнаружены более чем в 10% организаций. При прочих равных условиях, если уязвимость выбрана случайным образом, данные показывают, что вероятность того, что организация подвергнется атаке, составляет примерно 1 из 1000. Около 6% эксплойтов поразили более 1% фирм в течение первого месяца, и даже через год 91% эксплойтов не преодолели этот порог в 1%. Тем не менее, по-прежнему разумно сосредоточить усилия по исправлению уязвимостей с известными эксплойтами, и среди них отдать приоритет тем, которые наиболее быстро распространяются в свободных условиях.

Организации сталкиваются с атаками со всех сторон. Аналитика угроз остается центральной мерой для понимания этих угроз и способов защиты от меняющихся векторов нападения. Видимость также важна, особенно когда значительное количество пользователей находится за пределами типичного сетевого сценария. Каждое устройство создает новую границу сети, которую необходимо контролировать и защищать. Использование искусственного интеллекта (ИИ) и автоматического обнаружения угроз позволит организациям реагировать на атаки немедленно, что крайне важно для снижения скорости атак и их масштабирования на всех уровнях. Обучение пользователей в области кибербезопасности также должно оставаться приоритетом, поскольку кибергигиена — это не только сфера деятельности ИТ-специалистов и команд по обеспечению безопасности. Каждому необходимо регулярное обучение и инструктаж по передовым методам для обеспечения безопасности отдельных сотрудников и все организации в целом.