23 марта 2020 г.
Исследование FortiGuard Labs Threat Landscape Report — взгляд на новую перспективу глобальной торговли и возможности срыва выборов.
Компания Fortinet представляет выводы исследования FortiGuard Labs Global Threat Landscape Report.
- Исследования, проведенные в четвертом квартале 2019 года, показывают, что киберпреступники не только продолжают пытаться использовать любую возможность для атаки во всей цифровой инфраструктуре, но и максимизируют глобальные экономические и политические реалии для дальнейшего достижения своих целей.
- Глобальные тренды показывают, что распространенность и обнаружение угроз могут различаться в зависимости от географии, но изощренность и автоматизация атак остаются неизменными повсюду. Кроме того, необходимость уделять первоочередное внимание кибер гигиене остается актуальной во всем мире, так как угрозы растут быстрее, чем когда-либо прежде.
«В гонке кибер вооружений у преступного сообщества зачастую было явное преимущество из-за растущего разрыва в кибер-навыках, расширения поверхности цифровых атак и применения социальной инженерии с эффектом неожиданности, чтобы использовать в своих интересах ничего не подозревающих людей. Чтобы вырваться из цикла все более изощренных и автоматизированных угроз, организациям необходимо использовать те же самые технологии и стратегии для защиты своих сетей, которые преступники используют для атаки на них. Это подразумевает использование интегрированных платформ, которые способны обеспечить защиту и прозрачность всей цифровой инфраструктуры с помощью ресурсов интеллектуального анализа угроз и готовых сценариев реагирования», — Дерек Мэнки, руководитель отдела безопасности и глобальных угроз, FortiGuard Labs.
Не очень уж миленький котенок
Исследования показывают значительный уровень активности в регионах, связанных с Charming Kitten, группой аффилированных с Ираном APT (advanced persistent threat) в 4 квартале. Группировка, действующая с 2014 года, провела многочисленные кампании по кибершпионажу. Недавняя активность свидетельствует о том, что интерес злоумышленников распространился на бизнес по срыву выборов. На это указывает серия атак на целевые учетные записи электронной почты, связанные с президентской предвыборной кампанией. Кроме того, было замечено, что Charming Kitten применяет четыре новые тактики против предполагаемых жертв, которые были разработаны, чтобы обманным путем заставить субъект расстаться с конфиденциальной информацией.
Рост угроз безопасности для устройств IoT
Устройства IoT продолжают сталкиваться с проблемами, связанными с уязвимым программным обеспечением, и это может повлиять на неожиданные гаджеты, такие как беспроводные IP-камеры. Эта ситуация усугубляется, когда компоненты и программное обеспечение встраиваются в различные коммерческие устройства, продаваемые под разными торговыми марками, иногда разными поставщиками. Многие из этих компонентов и услуг часто программируются с использованием битов и кусочков заранее написанного кода из различных общих источников. Такие общие компоненты и заранее написанный код иногда уязвимы для эксплуатации, вот почему иногда одни и те же уязвимости появляются неоднократно в широком диапазоне устройств. Масштаб в сочетании с невозможностью легко исправить эти устройства является значительной проблемой, и подчеркивает трудности обеспечения безопасности цепочки поставок. Недостаточная осведомленность или доступность патчей, распространенность уязвимостей в некоторых устройствах IoT и документально подтвержденные попытки «поработить» эти устройства в бот-сетях IoT — все это способствовало тому, что эти эксплойты заняли третье место по объему среди всех IPS-обнаружений в течение квартала.
Старшие угрозы помогают младшим
В условиях постоянного давления, направленного на то, чтобы идти в ногу с новыми угрозами, организации иногда забывают о том, что у старых эксплойтов и уязвимостей действительно нет срока годности, злоумышленники продолжат использовать их до тех пор, пока они работают. В качестве примера можно привести EternalBlue. Вредоносная программа со временем адаптировалась для использования общих и основных уязвимостей. Она использовалась в многочисленных кампаниях, включая, прежде всего, атаки вымогателей WannaCry и NotPetya. Кроме того, в мае прошлого года был выпущен патч для BlueKeep, уязвимости, которая могла потенциально использоваться компьютерными червями, и которая могла бы распространяться с той же скоростью и в том же масштабе, что и WannaCry и NotPetya. И вот в прошлом квартале появилась новая версия трояна EternalBlue Downloader с возможностью использования уязвимости BlueKeep. К счастью, версия, находящаяся в настоящее время в обращении, не полностью отлажена, и заставляет целевые устройства аварийно завершать работу перед загрузкой. Однако, если посмотреть на традиционный цикл разработки вредоносного ПО, то, скорее всего, в ближайшем будущем у злоумышленников появится функциональная версия этого потенциально разрушительного вредоносного пакета. И хотя с мая был выпущен патч для BlueKeep, слишком многие организации до сих пор не обновили свои уязвимые системы. Продолжающийся и развивающийся интерес акторов угроз к EternalBlue и BlueKeep является напоминанием организациям о том, что их системы должны быть исправлены и как следует защищены от обеих угроз.
Среди трендов — новый взгляд на глобальную торговлю спамом
Спам остается одной из главных проблем, с которой сталкиваются организации и частные лица. Наш отчет объединяет объем спамового потока между странами с данными, показывающими соотношение отправленного и полученного спама, наглядно демонстрируя новый взгляд на старую проблему. Большая его часть, по-видимому, следует экономическим и политическим тенденциям. Например, к самым крупным «торговым партнерам» США относятся Польша, Россия, Германия, Япония и Бразилия. Кроме того, по объему экспортируемого спама из географических регионов Восточная Европа является крупнейшим нетто-производителем спама в мире. Большая часть крупных спамеров за пределами этого региона — выходцы из азиатских субрегионов. Остальные европейские субрегионы лидируют по чистым отрицательным показателям спама, получая больше, чем отправляют, за ними следуют страны Северной и Южной Америки и Африки.
Отслеживание следов киберпреступников с целью узнать их дальнейшие действия
Просмотр обнаруженных в регионе IPS-триггеров не только показывает, на какие ресурсы нацелены атаки, но и может указать на то, на чем киберпреступники могут сосредоточиться в будущем, либо потому, что в конечном итоге достаточное количество таких атак было успешным, либо просто потому, что в некоторых регионах развернуто больше технологий определенного типа. Но это не всегда так. Например, подавляющее большинство внедрений ThinkPHP происходит в Китае, где, по данным shodan.io, их почти в 10 раз больше, чем в США. Предполагая, что компании исправляют свое программное обеспечение примерно с одинаковой скоростью в каждом регионе, если ботнет просто проверял уязвимые экземпляры ThinkPHP перед развертыванием эксплойта, число обнаруженных триггеров должно быть намного выше в Азиатско-Тихоокеанском регионе. Однако там было обнаружено только на 6% больше триггеров IPS из недавнего эксплойта, чем в Северной Америке, что указывает на то, что эти бот-сети просто разворачивают эксплойт на любой найденный ими экземпляр ThinkPHP. Кроме того, при аналогичном взгляде на обнаружение вредоносного ПО, большинство угроз, нацеленных на организации, представляют собой макросы Visual Basic for Applications (VBA). Скорее всего, так происходит потому, что они все еще эффективны и дают результаты. В общем, частота обнаружения вещей, которые не работают, не будет оставаться высокой в течение долгого времени, и если есть значительное количество обнаружений чего-то, кто-то становится жертвой этих атак.
Потребность в глобальной интегрированной и автоматизированной кибербезопасности
По мере распространения приложений и увеличения количества подключенных устройств по периметру, создаются миллиарды новых поверхностей атак, которыми необходимо управлять и защищать. Кроме того, организации сталкиваются со все более изощренными атаками, направленными на расширяющуюся цифровую инфраструктуру, в том числе некоторые из них вызваны искусственным интеллектом и компьютерным обучением. Для эффективной защиты своих распределенных сетей организациям приходится переходить от защиты только периметра безопасности к защите данных, распространяемых по новым границам сети, пользователям, системам, устройствам и критически важным приложениям. Только платформа кибербезопасности, разработанная для обеспечения комплексной видимости и защиты всей поверхности атак, включая устройства, пользователей, мобильные конечные точки, многооблачные среды и SaaS-инфраструктуры, способна обеспечить защиту современных быстро развивающихся сетей, основанных на цифровых инновациях.
Источник: Пресс-служба компании Fortinet