Компания Fortinet представила выводы свежего исследования FortiGuard Labs Global Threat Landscape Report, публикующегося каждые полгода.
«Первые шесть месяцев 2020 года ознаменовались формированием беспрецедентного ландшафта киберугроз. Драматический масштаб и стремительная эволюция методов атаки демонстрируют оперативность противников в изменении своих стратегий с целью максимизации выгоды от текущих событий: усилия сосредоточены вокруг последствий пандемии COVID-19 по всему миру. Никогда еще не существовало такой четкой картины, как сейчас, демонстрирующей необходимость корректировать защитные стратегии организаций в будущем, чтобы в полной мере учитывать периметр сети, распространившийся на дома сотрудников. Для организаций очень важно принять меры по защите своих удаленных работников, помочь им обезопасить свои устройства и домашние сети на длительный период. Разумно было бы рассмотреть возможность принятия такой же стратегии, как та, что мы используем в реальном мире, в отношении и кибервирусов. Киберсоциальное дистанцирование — это в первую очередь осознание рисков и сохранение безопасного расстояния», — отмечает Дерек Мэнки, руководитель отдела безопасности и глобальных угроз, FortiGuard Labs.
Анализ угроз, проведенный лабораторией FortiGuard Labs в первой половине 2020 года, демонстрирует драматические масштабы, в которых киберпреступники и субъекты национальных государств использовали глобальную пандемию как возможность для осуществления различных кибератак по всему миру.
Приспосабливаемость противников позволила создать волны атак, нацеленные на страх и неопределенность, обусловленные текущими событиями. Кроме того, внезапный рост количества удаленных сотрудников вне корпоративной сети в одночасье расширил поверхность цифровых атак.
Хотя многие важные тренды ландшафта киберугроз были связаны с пандемией, некоторые из них развивались благодаря собственным движущим силам. Например, вирусы-вымогатели, направленные на устройства Internet-of-Things (IoT), а также операционные технологии (OT), не ослабевают, а наоборот, развиваются, становясь более целенаправленными и изощренными.
На глобальном уровне большинство угроз прослеживается во всем мире и в различных отраслях промышленности с некоторыми региональными или вертикальными вариациями. Подобно пандемии COVID-19, определенная угроза могла появиться в одной области, но в конечном итоге распространиться почти везде, что означает, что большинство организаций могут рано или поздно с ней столкнуться. Конечно, существуют региональные различия в показателях инфицированности, основанные на таких факторах, как политики, практики или методы реагирования.
Использование возможностей, открывающихся вследствие глобальных событий. Злоумышленники и раньше использовали новостную повестку как приманку для социальной инженерии, но в первой половине 2020 года это перешло на следующий уровень. От фишеров-опортунистов до интригующих субъектов национального государства — киберпротивники нашли множество способов использовать глобальную пандемию в своих интересах в огромных масштабах. К ним относятся схемы фишинга и компрометации деловой почты, кампании, поддерживаемые на государственном уровне и атаки с целью получения выкупа. Они работали над тем, чтобы максимизировать глобальный характер пандемии, поразившей всех в мире, в сочетании с немедленным расширением площади цифровых атак. Эти тенденции были замечены в других новостях и продемонстрировали, как быстро злоумышленники могут воспользоваться основными событиями с широким социальным влиянием на глобальном уровне.
Периметр становится более личным. Увеличение количества удаленных рабочих мест обусловило драматическое изменение корпоративных сетей почти в одночасье, и киберпреступники сразу же начали использовать эти события как возможность. В первой половине 2020 года попытки эксплойтов против нескольких маршрутизаторов потребительского класса и устройств IoT были на первом месте по обнаружению IPS. Кроме того, Mirai и Gh0st доминировали в наиболее распространенных детекторах бот-сетей, что было вызвано очевидным ростом интереса злоумышленников к старым и новым уязвимостям в продуктах IoT. Эти тенденции примечательны тем, что они демонстрируют, как периметр сети распространился на дом, где злоумышленники пытаются закрепиться в корпоративных сетях, используя устройства, которые удаленные сотрудники могут использовать для подключения к сетям своих организаций.
Браузеры — тоже под прицелом. Для злоумышленников переход к удаленной работе стал беспрецедентной возможностью атаковать ничего не подозревающих людей разными способами. Например, вредоносное веб-ПО, используемое в фишинговых кампаниях и других видах мошенничества, превзошло более традиционную электронную почту в качестве пути доставки вредоносов. Фактически, семейство вредоносных программ, которое включает в себя все варианты веб-фишинговых приманок и мошенничества, занимало первое место среди всех вредоносов в январе и феврале и выпало из первой пятерки только в июне. Это может свидетельствовать о стараниях киберпреступников осуществлять свои атаки в момент, когда люди наиболее уязвимы и легковерны — во время серфинга по сети дома. Веб-браузеры, а не только устройства, также являются основными целями для киберпреступников, возможно, в большей степени, чем обычно, поскольку злоумышленники продолжают атаковать удаленных сотрудников.
Вымогатели никуда не исчезли. Хорошо известные угрозы, такие как вредоносы, нацеленные на получение выкупа, не стали менее заметными в течение последних шести месяцев. Тематические сообщения и вложения по теме COVID-19 использовались в качестве приманки в различных кампаниях по выкупу. Другие вымогатели были обнаружены при перезаписи главной загрузочной записи компьютера (MBR) перед шифрованием данных. Кроме того, участились случаи, когда злоумышленники не только блокировали данные организации-жертвы, но и, в качестве дополнительного рычага воздействия, похищали их, затем угрожая обнародованием. Эта тенденция значительно увеличивает риск того, что организации потеряют бесценную информацию или другие конфиденциальные данные в будущих атаках с применением вымогателей. Ни одна отрасль в мире не избежала подобных атак, и данные демонстрируют, что пятью направлениями, в наибольшей степени подверженными атакам с целью получения выкупа, являются телекоммуникации, Интернет-провайдеры, образовательные учреждения, правительственные и технологические организации. К сожалению, рост числа таких вредоносов, продаваемых в качестве услуги (RaaS), и эволюция определенных вариантов указывает на то, что ситуация с вымогателями не становится менее острой.
В июне исполнилось 10 лет со дня появления Stuxnet, который сыграл важную роль в эволюции угроз для операционных технологий и в обеспечении их безопасности. Сейчас, много лет спустя, сети OT остаются мишенью для преступников. Вирус-вымогатель EKANS, выпущенный в начале этого года, демонстрирует, как злоумышленники продолжают расширять фокус атак с целью получения выкупа и на OT-среды. Кроме того, шпионский фреймворк Ramsay, предназначенный для сбора и эксфильтрации конфиденциальных файлов в сетях с воздушной ловушкой или сетях с ограниченным доступом, является примером того, как злоумышленники ищут новые способы проникновения в такие типы сетей. Распространенность угроз, направленных на системы диспетчерского контроля и сбора данных (SCADA) и другие типы промышленных систем контроля (ICS), меньше по объему, чем те, которые затрагивают IT-сети, но это не умаляет важность данного тренда.
Обзор списка CVE показывает, что количество опубликованных уязвимостей увеличилось за последние несколько лет, что вызвало дискуссию о приоритезации исправлений. Несмотря на то, что количество опубликованных в 2020 году угроз, по всей видимости, приближается к рекорду, сами уязвимости этого года имеют самый низкий уровень распространенности использования, когда-либо зарегистрированный за
С ростом количества подключений, устройств и постоянной потребности в удаленной работе расширяется поверхность цифровых атак. В связи с распространением периметра корпоративной сети на дом злоумышленники ищут самое слабое звено и новые возможности для атак. Организациям необходимо готовиться, предпринимая конкретные шаги для защиты своих пользователей, устройств и информации таким же образом, как и в корпоративной сети. Компании, занимающиеся анализом угроз и исследованиями в данной сфере, могут помочь в этом, предоставив широкую экспертизу о специфике угроз по мере их развития, а также проведя углубленный анализ методов атак, их участников и новых тактик, что позволит дополнить знания организаций. Потребность в безопасных решениях для удаленных сотрудников, обеспечивающих безопасный доступ к критически важным ресурсам при одновременном масштабировании для удовлетворения потребностей всего персонала, никогда еще не была столь велика. Только платформа кибербезопасности, разработанная для обеспечения комплексной видимости и защиты всей поверхности цифровых атак, включая сети, приложения, многооблачные или мобильные среды, способна обеспечить безопасность современных быстро развивающихся сетей.