«Антивирус мертв»: растущие угрозы безопасности предприятия в 2021 году и способы защиты от них

Источник · Перевод автора

2020 год был беспрецедентным практически во всех отношениях, и кибератаки не стали исключением. В отчете о глобальных угрозах CrowdStrike 2021 от облачной компании CrowdStrike, занимающейся кибербезопасностью, говорится, что это был «возможно, самый активный год в памяти».

В частности, для предприятий отчет раскрывает возрастающие угрозы, за которыми стоит следить в наступающем году. Злоумышленники активизировали свой переход к атакам на особо ценные цели, такие как предприятия, известные как «охота на крупную дичь», которая становится все более популярной в последние годы из-за более прибыльного потенциала получения зарплаты. Злоумышленники также разработали новые инструменты и процедуры и сформировали альянсы, чтобы повысить силу и охват своих атак. Что наиболее важно, они все чаще использовали методы шантажа и вымогательства в операциях с программами-вымогателями.

Как сообщил VentureBeat старший вице-президент CroweStrike Адам Мейерс (Adam Meyers), злоумышленники активизировали свои усилия за последние 18 месяцев. Они хотят «украсть как можно больше данных». Затем они скажут: «Если вы не заплатите нам, мы предоставим все эти конфиденциальные данные», что может иметь репутационные или даже нормативные последствия».

Киберпреступники также воспользовались пандемией COVID-19, используя страхи, нацелившись на сектор здравоохранения и воспользовавшись внезапным переходом на удаленную работу. Согласно отчету, 71% опрошенных экспертов по кибербезопасности заявили, что их больше беспокоят атаки программ-вымогателей в результате COVID-19. Кроме того, в 2020 году произошла, пожалуй, самая изощренная и далеко идущая атака на цепочку поставок в истории.

Лучшая защита для предприятий – это быть в курсе меняющихся угроз, быстро действовать в случае атаки и быть проактивным с помощью передовых решений безопасности. «У вас должно быть решение следующего поколения. Антивирус мертв», – сказал Мейерс.

Результаты 40-страничного отчета, в котором отслеживается и анализируется деятельность основных киберпреступников в мире, были собраны с использованием машинного обучения, непосредственных наблюдений ведущих кибер-аналитиков компании и результатов краудсорсингового измерения угроз. Согласно отчету, вот тенденции, угрозы и лучшие практики безопасности для целевого предприятия.

Киберпреступники используют кризис COVID-19

Сектор здравоохранения обычно сталкивается со значительными угрозами безопасности в течение обычного года, и ставки, связанные с пандемией, только привлекли повышенное внимание, особенно к фармацевтическим компаниям, компаниям биомедицинских исследований и государственным учреждениям.

В то время как ранние цели для субъектов целевого вторжения могли включать получение информации о показателях инфицирования или ответных мерах на уровне страны, цель быстро сместилась в сторону разработки вакцины. По данным CrowdStrike, злоумышленники из Китая, Северной Кореи и России нацелены на исследования вакцин. Всего в 2020 году вымогателями были заражены не менее 104 организаций здравоохранения.

COVID-19 также оказался эффективным в борьбе с фишингом – методом, который обычно наиболее успешен, когда он задействует человеческие эмоции, такие как надежда, страх и любопытство. Фишинговые атаки были нацелены на федеральный план помощи предприятиям в связи с COVID-19 (PPE), финансовую помощь и другие пакеты государственных мер стимулирования. Они также делали вид, что предлагают информацию о тестировании и лечении, а также выдавали себя за медицинские органы, включая Всемирную организацию здравоохранения (ВОЗ) и Центры США по контролю и профилактике заболеваний (CDC).

Наконец, резкий переход к удаленной работе поставил многие предприятия в ситуацию безопасности, к которой они не были готовы. Например, внезапное использование персональных компьютеров для работы означает, что многие люди работают с устройствами, которые, возможно, уже были заражены вредоносным ПО. Другой риск связан с совместным использованием устройств членами семьи, которые могут не знать об угрозах безопасности, с которыми они сталкиваются.

«Самое большое влияние заключается в том, что это увеличило поверхность атаки», – сказал Мейерс, имея в виду сумму точек входа, которые злоумышленник может использовать для получения доступа.

Предприятия, подвергающиеся наибольшему риску: частные и государственные учреждения здравоохранения, недавно удаленные организации.

Национальные государства идут за IP

Помимо разработки вакцин, субъекты национального государства также нацелены на предприятия различных секторов в области интеллектуальной собственности (ИС). В отчете говорится, что они не сдаются и продолжатся в 2021 году, отражая настроения всей отрасли.

В Китае специально есть «список покупок» технологий, которые он хочет развивать, и он использует экономический шпионаж, чтобы обойти существующие технологии, особенно в области искусственного интеллекта и машинного обучения. Некоторые субъекты национального государства также заинтересованы в доступе к собственным инструментам компаний, занимающихся кибербезопасностью, которые могут помочь им в дальнейших атаках, как это произошло в случае с FireEye.

Еще одна угроза исходит от двусторонних соглашений или совместных покупок с компаниями, базирующимися в других странах, на которых национальные государства надеются извлечь выгоду. Помимо интеллектуальной собственности, потенциальными целями компании являются стратегии ведения переговоров, планы расширения и чистая прибыль.

Предприятия, подвергающиеся наибольшему риску: чистая энергия, медицинские технологии, цифровое сельское хозяйство, кибербезопасность, добыча полезных ископаемых / ресурсы с ограниченным предложением и новые технологии.

Атаки на цепочки поставок достигают новых высот

Хотя в атаках на цепочки поставок нет ничего нового, в 2020 году произошла атака, которую некоторые эксперты по кибербезопасности называют «взломом десятилетия». Государственный субъект взломал сеть поставщика ИТ-программного обеспечения SolarWinds, поддерживая доступ в течение 264 дней и атакуя клиентов с помощью скрытого вредоносного ПО, скрытого в нескольких обновлениях программного обеспечения. Комиссия по ценным бумагам и биржам идентифицировала не менее 18 000 потенциальных жертв атаки, в том числе ведущие компании и правительства. Актер даже изучил и загрузил исходный код Microsoft для аутентификации клиентов.

Атаки цепочки поставок наносят уникальный урон из-за своего эффекта домино, при котором одно вторжение может привести к дальнейшим нарушениям нескольких нижестоящих целей.

«Масштабы, глубина и продолжительность этого, я бы сказал, беспрецедентны», – сказал Мейерс, добавив, что атаки на цепочки поставок, особенно на программное обеспечение, не дают ему спать по ночам.

Программа-вымогатель встречает вымогательство

Среди возросшей активности программ-вымогателей в 2020 году также была отмечена ускоренная интеграция методов вымогательства данных и шантажа, и эта практика, как предупреждает отчет, скорее всего, будет расти в этом году. Это перекликается с другим недавним отчетом специалиста по защите данных Acronis, в котором говорится, что «2021 год будет годом вымогательства».

Большая часть этого была введена в действие специальных сайтов утечек (DLS), которые представляют собой сообщения в темной сети, где злоумышленники подробно описывают – с доказательствами – точные данные, которые они украли, с целью усилить давление на цели для удовлетворения требований выкупа. Ярким примером является нападение на юридическую фирму Grubman Shire Meiselas & Sacks из Нью-Йорка. Ответственная преступная группа опубликовала сообщения, намекающие, что у нее есть файлы компаний и знаменитостей, включая Мадонну, Брюса Спрингстина, Facebook и других, в конечном итоге выпустив архив размером 2,4 ГБ, содержащий юридические документы Леди Гаги. В целом в 2020 году этот подход был принят как минимум 23 крупными операторами программ-вымогателей. Средняя сумма выплаченного выкупа составила 1,1 миллиона долларов.

Злоумышленники применили новые методы вымогательства данных. Это включает в себя преследование нетрадиционных целей в организациях, таких как гипервизоры, такие как VMware ESXi. Они также замедляют раскрытие украденных данных, что в случае предприятий с высоким уровнем узнаваемости бренда может вызвать ажиотаж в новостях и социальных сетях, что усугубит необходимость переговоров о выкупе. Злоумышленники также сотрудничали в кампаниях по вымогательству, создавая союзы, такие как самопровозглашенный Картель Лабиринта. Это может перерасти в размещение данных о жертвах друг друга, что повысит риск того, что они будут переданы или проданы, и затруднит переговоры о полном удалении или уничтожении украденных данных.

Также были представлены новые варианты и семейства программ-вымогателей, и один из участников запустил программу-вымогатель как услугу (RaaS). В отчете также подробно рассказывается о росте использования брокеров доступа, при которых хакеры, которые получают доступ к внутренним серверам предприятий, просто продают его напрямую злоумышленникам. Это сокращает время, затрачиваемое на определение целей и получение доступа, позволяя им быстрее развертывать больше вредоносных программ.

Предприятия, подвергающиеся наибольшему риску. Хотя большинство операций с программами-вымогателями носят оппортунистический характер, в 2020 году особо нацелены на промышленный, инженерный и производственный секторы. Технологический и розничный секторы также подвержены высокому риску.

Как предприятия могут защититься от угроз

По словам Мейерса, это пять вещей, которые должны делать предприятия.

  1. Защитите предприятие. Это означает следование передовым практикам и наличие нескольких мер защиты, включая надежное управление уязвимостями, согласованные циклы исправлений и «принцип наименьших привилегий».
  2. Готовьтесь защищаться. CrowdStrike рекомендует правило 1-10-60: выявить атаку в течение одной минуты, отреагировать на нее в течение 10 минут, расследовать ее и не дать злоумышленнику выполнить свою задачу в течение одного часа. По словам Мейерса, должно существовать либо межуровневое обнаружение (XDR), либо обнаружение конечной точки и ответ (EDR).
  3. Получите решение следующего поколения. Антивирус должен был замечать угрозу раньше, но решения на основе машинного обучения могут расшифровывать угрозы, даже не замечая их. Эта разница имеет решающее значение в связи с ростом количества программ-вымогателей сегодня.
  4. Обучение и практика. Соберите вместе руководителей, директоров и членов правления и разработайте план реагирования. Знайте всех, кому вам нужно позвонить, и не ждите, чтобы справиться с атаками на ходу.
  5. Интеллект. Знайте об угрозах, их методах и инструментах, а также о конкретных угрозах, нацеленных на вашу отрасль и географическое положение.