В этой статье представлены аналитические данные и глобальные прогнозы Trend Micro в области кибербезопасности на 2022 год.
Скорее всего, читатели уже слышали о том, что пандемия коронавируса ускорила цифровую трансформацию общества. И, похоже, нет никаких признаков замедления данного процесса. Однако не совсем понятно, что несет в себе более гибкий и взаимосвязанный мир для безопасности организаций? В своем исследовании Trend Micro постарались выяснить самые большие угрозы и проблемы в сфере кибербезопасности в 2022 году. Компания также хочет понять, как единая платформа кибербезопасности, такая как Trend Micro One, может обеспечить более устойчивую и дальновидную стратегию безопасности для управления киберрисками в организации.
Киберпреступления в облаке
Хотя киберпреступники все еще продолжают использовать только проверенные методы, такие как фишинговые электронные письма, незащищенные секреты и уязвимости системы, в 2022 году они также будут изучать новые технологии, такие как Java, Adobe Flash и WebLogic, чтобы с легкостью получить доступ.
Киберпреступники также будут использовать DevSecOps с помощью «shift left», обращаясь к источнику инфраструктуры предприятия. Уже есть тенденция к тому, как все больше и больше злоумышленников начинают компрометировать инструменты и конвейеры DevOps, нацеливаясь на цепочки поставок программного обеспечения, среды Kubernetes и развертывание инфраструктуры в виде кода (IaC).
Нацеливание на цепочку поставок программного обеспечения – это эффективный способ расширить круг жертв и ускорить процесс выполнения атаки. Существует множество возможностей для атаки в течение жизненного цикла разработки программного обеспечения: от фиксации открытого исходного кода до его сборки и тестирования; от развертывания и промежуточного размещения в других предпроизводственных средах и до развертывания в производственной среде. На протяжении всего жизненного цикла разработчики используют различные инструменты и сервисы, расширяя возможности для осуществления атаки. Кроме того, конвейеры DevOps являются ключевым элементом, поэтому злоумышленники с большей вероятностью будут нацелены на популярное программное обеспечение для разработки, такое как Kubernetes, чтобы оставаться незамеченными, проникая сразу на несколько уровней корпоративной сети.
Всплеск атак на цепочки поставок
Атаки на цепочки поставок будут особенно популярны в 2022 году, поскольку продолжающийся экономический кризис и сбои в поставках предоставляют злоумышленникам возможности атаковать «крупных игроков» для получения немаленьких выплат. Рост спроса на доступ как услугу (access—as—a—service, AaaS) говорит о том, что брокеры доступа будут продавать украденные учётные данные и находить надёжных клиентов в лице разработчиков вымогательского ПО.
Стоит также обратить внимание на стремительный рост практики вымогательства (в 4 раза). К данным киберпреступлениям относятся хранение критически важных данных жертвы, утечка и обнародование секретной информации, нацеливание на клиентов фирмы и атака ее цепочки поставок или поставщиков-партнеров.
Остерегайтесь новейших программ-вымогателей
Учитывая увеличение количества программ-вымогателей вдвое, Trend Micro понимает, почему 92% респондентов ее глобального опроса о рисках заявили, что они крайне обеспокоены данной проблемой и видят в ней реальную угрозу для безопасности компаний. Стоит отметить, что в 2021 году Trend Micro заблокировала более 94 миллиардов угроз, что на 42% больше по сравнению с 2020 годом. В 2021 году все мы были свидетелями того, как крупные корпорации становились мишенью для получения выгодных выплат, в то время как данные малых и средних предприятий (SMB) использовались в своих целях брокерами доступа.
К сожалению, программы-вымогатели продолжают быстро развиваться и остаются крайне популярными среди киберпреступников. Trend Micro прогнозирует появление следующих двух тенденций:
- Новейшие программы-вымогатели будут становиться более точными и мощными, имитируя традиционные APT-атаки государств.
- Киберпреступники, использующие программы-вымогатели, будут задействовать более сложные практики вымогательства, такие как извлечение данных для их использования в качестве давления на организации.
Часто используемые векторы атак, такие как VPN, фишинговые электронные письма и открытые порты RDP, останутся популярными среди киберпреступников, однако Trend Micro прогнозируют, что облако станет более распространённой мишенью, поскольку все больше компаний продолжают переносить туда свои данные. В частности, рабочие нагрузки в облаке и центрах обработки данных станут основной площадкой для атаки программ-вымогателей из-за увеличения числа угроз, исходящих из менее безопасных домашних рабочих сред.
Атаки нулевого дня и уже известные уязвимости
Повышенное внимание средств массовой информации и возможные крупные выплаты спровоцируют киберпреступников использовать беспрецедентное количество эксплойтов нулевого дня (англ. «zero-day exploits»), превысив их рекордное число в 2021 году.
Однако специалистам в сфере ИБ по-прежнему не стоит забывать о старых, уже известных уязвимостях. Информация о «дырах» в безопасности продается и покупается на черном рынке, поскольку предприятия часто сталкиваются с подобного рода проблемами. Таким образом, в 2022 году злоумышленники продолжат пользоваться уязвимостями, связанными с незаполненными «пробелами» в защите компаний.
Компрометация современных авто
Автомобильная промышленность также столкнется с ростом числа целенаправленных атак, поскольку киберпреступники уже выходят за рамки кражи гаджетов Интернета вещей и наживаются на золотой жиле данных, передаваемых автомобилями с помощью камер, лазеров и других датчиков. По прогнозам Forbes, к 2030 году спрос на данные c интеллектуальных автомобилей составит от 450 до 750 миллиардов долларов США. Очевидно, злоумышленники готовятся извлечь выгоду из бурно развивающейся индустрии интеллектуальных автомобилей.
Стратегии укрепления безопасности в 2022 году
Понимание современных тенденций в сфере кибербезопасности является первым шагом к разработке надежной стратегии защиты своей организации. Нужна стратегия безопасности, которая сможет эффективно противостоять постоянно меняющимся тенденциям угроз и киберрискам. В рамках выбранной стратегии использование единой платформы кибербезопасности с применением широкого спектра сторонних инструментов, которые вписываются в существующий стек безопасности, может быть даже очень эффективным. Стоит искать платформу, которая поможет снизить следующие киберриски.
1. Управление поверхностью атаки (Attack surface management или ASM)
Атаки на цепочки поставок программного обеспечения могут казаться особенно пугающими с учетом того, что большинство проприетарного ПО включает в себя открытый исходный код, которым, как известно, трудно управлять и который несет в себе значительный потенциальный риск. Это напрямую связано с управлением поверхностью атаки (ASM).
Согласно Tech Target, «Attack surface management» – это непрерывный анализ, инвентаризация, классификация и мониторинг ИТ-инфраструктуры организации. Разница между ASM и мониторингом активов заключается в том, что ASM выявляет «пробелы» безопасности и видит их с точки зрения злоумышленника.
Рассматривая уязвимости безопасности с точки зрения злоумышленника, организации получают возможность лучше расставить приоритеты защиты и значительно сократить область атаки. Поскольку атаки постоянно совершенствуются, крайне важно непрерывно следить за своей системой, чтобы ни одна уязвимость не осталась незамеченной. Регулярное тестирование позволит устранить любые потенциальные риски, такие как ненадежные пароли, устаревшее программное обеспечение, проблемы с шифрованием, некорректные настройки и наличие Shadow Cloud в течение жизненного цикла разработки.
В идеале стоит выбрать платформу, которая сможет определить и выявить риски, связанные с поверхностью атаки, а также предоставит всестороннюю видимость по мере постоянного ее изменения. Это особенно важно, если компания работает в мульти- или гибридной облачной среде с ресурсами, расположенными в разных средах. С помощью автоматизации рабочих процессов ASM обеспечит безопасность любой организации и не будет замедлять выполнение поставленных целей, позволяя разработчикам решать задачи в срок.
2. Митигация распространения программ-вымогателей
Перед многими компаниями часто встает вопрос: «Нужно ли нам платить мошенникам за украденные данные?». Конечно, в идеальном мире, ответ: «Нет». Выкуп данных только увековечивает преступление и подтверждает тот факт, что компания – это жертва, которая готова заплатить сейчас, чтобы получить свои данные обратно, и будет так делать в дальнейшем. Однако во время экономического кризиса непросто постоянно платить киберпреступникам. Таким образом, как киберпреступники планируют свои атаки, так и предприятиям следует планировать ответные действия.
Крайне важно разработать план действий по борьбе с вымогателями. Он должен охватывать все возможные последствия для заинтересованных сторон, способы снижения операционных рисков и обеспечения непрерывности работы бизнеса, а также включать в себя стратегии ведения переговоров с вымогателями. Помимо этого, в план обязательно входит киберстрахование, которое сейчас требует использования расширенных возможностей обнаружения и реагирования на инциденты.
Еще один популярный вопрос звучит так: «Каковы ранние признаки атаки программ-вымогателей?». Стоит отметить, что программы-вымогатели действуют после фактического взлома, поэтому прекращение первоначального доступа является приоритетом для специалистов ИБ. Критически важно также иметь возможность видеть, что происходит на поверхности атаки, быстро обнаруживать и реагировать на инциденты.
Использование стратегии «zero trust» – это отличный способ защитить себя от вымогателей. Следуйте лозунгу: «Никому не доверяй и всегда проверяй». Прежде чем предоставлять пользователям, устройствам и приложениям доступ к сети, нужно их проверить. После проверки не стоит забывать постоянно отслеживать действия пользователей, устройств и приложений, анализировать их на предмет наличия тактик, методов и процедур (TTP), используемых при традиционных атаках, таких как попытки входа в систему из нескольких мест одновременно.
Нельзя остановить то, чего не видишь. Чтобы успешно использовать стратегию «zero trust», стоит подобрать единую платформу кибербезопасности, которая обеспечивает всестороннюю встроенную видимость для конечных точек, электронной почты, сети, серверов и облака. Нужно выбирать платформу с возможностями XDR для сбора и сопоставления данных с собственных датчиков и всей ИТ-экосистемы для более глубокого анализа и уменьшения количества ложных срабатываний. Это позволит специалистам в сфере ИБ не тратить свое драгоценное время на решение мелких проблем.
3. Управление уязвимостями и патчи
2021 год стал рекордным – при осуществлении атак было использовано более 80 уязвимостей типа «zero day». Эффективное управление уязвимостями начинается с укрепления защиты учетных записей администраторов, критически важных приложений и баз данных с помощью MFA; исправлений и внедрения передовых технологий обнаружения, таких как машинное обучение, искусственный интеллект и мониторинг поведения.
Исправлять уязвимости – очень важно, поскольку зачастую организациям сложно ими управлять. Огромное количество патчей утомляет — кажется, что каждый вторник появляется 100 новых патчей. И это всего лишь исправления уязвимостей от Microsoft. Если компания использует несколько поставщиков ПО, порой может казаться почти невозможным понять, какие исправления стоит вносить в первую очередь.
Поскольку сейчас киберпреступники постоянно работают над сокращением времени эксплойтов, своевременные патчи имеют огромное значение. Ранее, в среднем требовалось 30-45 дней, чтобы выявить уязвимость и создать доказательство концепции (англ. «Proof of concept» или «PoC»). Сегодня все это происходит в течение нескольких часов, что дает организациям меньше времени на реагирование.
Подготовка к нападению – это ключ к успеху. Как и в случае с программами-вымогателями, крайне важно разработать план действий по исправлению уязвимостей, чтобы компания могла быстро среагировать и уменьшить масштаб атаки.
Не стоит следовать тенденции: «Защищай все или ничего». Нужно понять, атака какой области может нанести наибольший вред в случае проникновения в систему. Необходимо расставить приоритеты в защите и определить уязвимости, связанные с критически важными данными, системами и оборудованием. Помимо этого, стоит найти варианты снижения рисков, такие как виртуальный патчинг, который поможет защитить уязвимые системы от атак до тех пор, пока исправление уязвимостей не будет осуществлено.
Автор переведенной статьи: Trend Micro.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
