FortiGuard Labs Threat Landscape Report демонстрирует новые политические и экономические намерения киберпреступников
23 марта 2020
Компания Fortinet мировой лидер в области глобальных интегрированных и автоматизированных решений для обеспечения кибербезопасности представляет выводы исследования FortiGuard Labs Global Threat Landscape Report.
«В гонке кибер вооружений у преступного сообщества зачастую было явное преимущество из-за растущего разрыва в кибер-навыках, расширения поверхности цифровых атак и применения социальной инженерии с эффектом неожиданности, чтобы использовать в своих интересах ничего не подозревающих людей. Чтобы вырваться из цикла все более изощренных и автоматизированных угроз, организациям необходимо использовать те же самые технологии и стратегии для защиты своих сетей, которые преступники используют для атаки на них. Это подразумевает использование интегрированных платформ, которые способны обеспечить защиту и прозрачность всей цифровой инфраструктуры с помощью ресурсов интеллектуального анализа угроз и готовых сценариев реагирования» – Дерек Мэнки, руководитель отдела безопасности и глобальных угроз, FortiGuard Labs.
Не очень уж миленький котенок. Исследования показывают значительный уровень активности в регионах, связанных с Charming Kitten, группой аффилированных с Ираном APT (advanced persistent threat) в 4 квартале. Группировка, действующая с 2014 года, провела многочисленные кампании по кибершпионажу. Недавняя активность свидетельствует о том, что интерес злоумышленников распространился на бизнес по срыву выборов. На это указывает серия атак на целевые учетные записи электронной почты, связанные с президентской предвыборной кампанией. Кроме того, было замечено, что Charming Kitten применяет четыре новые тактики против предполагаемых жертв, которые были разработаны, чтобы обманным путем заставить субъект расстаться с конфиденциальной информацией.
Рост угроз безопасности для устройств IoT. Устройства IoT продолжают сталкиваться с проблемами, связанными с уязвимым программным обеспечением, и это может повлиять на неожиданные гаджеты, такие как беспроводные IP-камеры. Эта ситуация усугубляется, когда компоненты и программное обеспечение встраиваются в различные коммерческие устройства, продаваемые под разными торговыми марками, иногда разными поставщиками. Многие из этих компонентов и услуг часто программируются с использованием битов и кусочков заранее написанного кода из различных общих источников. Такие общие компоненты и заранее написанный код иногда уязвимы для эксплуатации, вот почему иногда одни и те же уязвимости появляются неоднократно в широком диапазоне устройств. Масштаб в сочетании с невозможностью легко исправить эти устройства является значительной проблемой, и подчеркивает трудности обеспечения безопасности цепочки поставок. Недостаточная осведомленность или доступность патчей, распространенность уязвимостей в некоторых устройствах IoT и документально подтвержденные попытки «поработить» эти устройства в бот-сетях IoT – все это способствовало тому, что эти эксплойты заняли третье место по объему среди всех IPS-обнаружений в течение квартала.
Старшие угрозы помогают младшим. В условиях постоянного давления, направленного на то, чтобы идти в ногу с новыми угрозами, организации иногда забывают о том, что у старых эксплойтов и уязвимостей действительно нет срока годности, злоумышленники продолжат использовать их до тех пор, пока они работают. В качестве примера можно привести EternalBlue. Вредоносная программа со временем адаптировалась для использования общих и основных уязвимостей. Она использовалась в многочисленных кампаниях, включая, прежде всего, атаки вымогателей WannaCry и NotPetya. Кроме того, в мае прошлого года был выпущен патч для BlueKeep, уязвимости, которая могла потенциально использоваться компьютерными червями, и которая могла бы распространяться с той же скоростью и в том же масштабе, что и WannaCry и NotPetya. И вот в прошлом квартале появилась новая версия трояна EternalBlue Downloader с возможностью использования уязвимости BlueKeep. К счастью, версия, находящаяся в настоящее время в обращении, не полностью отлажена, и заставляет целевые устройства аварийно завершать работу перед загрузкой. Однако, если посмотреть на традиционный цикл разработки вредоносного ПО, то, скорее всего, в ближайшем будущем у злоумышленников появится функциональная версия этого потенциально разрушительного вредоносного пакета. И хотя с мая был выпущен патч для BlueKeep, слишком многие организации до сих пор не обновили свои уязвимые системы. Продолжающийся и развивающийся интерес акторов угроз к EternalBlue и BlueKeep является напоминанием организациям о том, что их системы должны быть исправлены и как следует защищены от обеих угроз.
Среди трендов – новый взгляд на глобальную торговлю спамом. Спам остается одной из главных проблем, с которой сталкиваются организации и частные лица. Наш отчет объединяет объем спамового потока между странами с данными, показывающими соотношение отправленного и полученного спама, наглядно демонстрируя новый взгляд на старую проблему. Большая его часть, по-видимому, следует экономическим и политическим тенденциям. Например, к самым крупным «торговым партнерам» США относятся Польша, Россия, Германия, Япония и Бразилия. Кроме того, по объему экспортируемого спама из географических регионов Восточная Европа является крупнейшим нетто-производителем спама в мире. Большая часть крупных спамеров за пределами этого региона – выходцы из азиатских субрегионов. Остальные европейские субрегионы лидируют по чистым отрицательным показателям спама, получая больше, чем отправляют, за ними следуют страны Северной и Южной Америки и Африки.
Отслеживание следов киберпреступников с целью узнать их дальнейшие действия. Просмотр обнаруженных в регионе IPS-триггеров не только показывает, на какие ресурсы нацелены атаки, но и может указать на то, на чем киберпреступники могут сосредоточиться в будущем, либо потому, что в конечном итоге достаточное количество таких атак было успешным, либо просто потому, что в некоторых регионах развернуто больше технологий определенного типа. Но это не всегда так. Например, подавляющее большинство внедрений ThinkPHP происходит в Китае, где, по данным shodan.io, их почти в 10 раз больше, чем в США. Предполагая, что компании исправляют свое программное обеспечение примерно с одинаковой скоростью в каждом регионе, если ботнет просто проверял уязвимые экземпляры ThinkPHP перед развертыванием эксплойта, число обнаруженных триггеров должно быть намного выше в Азиатско-Тихоокеанском регионе. Однако там было обнаружено только на 6% больше триггеров IPS из недавнего эксплойта, чем в Северной Америке, что указывает на то, что эти бот-сети просто разворачивают эксплойт на любой найденный ими экземпляр ThinkPHP. Кроме того, при аналогичном взгляде на обнаружение вредоносного ПО, большинство угроз, нацеленных на организации, представляют собой макросы Visual Basic for Applications (VBA). Скорее всего, так происходит потому, что они все еще эффективны и дают результаты. В общем, частота обнаружения вещей, которые не работают, не будет оставаться высокой в течение долгого времени, и если есть значительное количество обнаружений чего-то, кто-то становится жертвой этих атак.
Потребность в глобальной интегрированной и автоматизированной кибербезопасности
По мере распространения приложений и увеличения количества подключенных устройств по периметру, создаются миллиарды новых поверхностей атак, которыми необходимо управлять и защищать. Кроме того, организации сталкиваются со все более изощренными атаками, направленными на расширяющуюся цифровую инфраструктуру, в том числе некоторые из них вызваны искусственным интеллектом и компьютерным обучением. Для эффективной защиты своих распределенных сетей организациям приходится переходить от защиты только периметра безопасности к защите данных, распространяемых по новым границам сети, пользователям, системам, устройствам и критически важным приложениям. Только платформа кибербезопасности, разработанная для обеспечения комплексной видимости и защиты всей поверхности атак, включая устройства, пользователей, мобильные конечные точки, многооблачные среды и SaaS-инфраструктуры, способна обеспечить защиту современных быстро развивающихся сетей, основанных на цифровых инновациях.
Об исследовании
Последний Threat Landscape Report представляет собой ежеквартальный обзор, подготовленный исследователями FortiGuard Labs, созданный на основе обширного набора датчиков Fortinet, собирающих миллиарды угроз, которые наблюдались во всем мире в четвертом квартале 2019 года. Он охватывает глобальные и региональные перспективы, а также исследование трех центральных и дополнительных аспектов ландшафта киберугроз: эксплойтов, вредоносные программ и бот-сетей.
Продолжая использовать наш сайт nbprice.ru, вы соглашаетесь на использование файлов cookie. Более подробная информация на странице Политика конфиденциальности