Отчет “Обзор глобальных угроз за 2023 год” от Forescout Vedere Labs, опубликованный 23 января 2024 года, предлагает всесторонний анализ ландшафта киберугроз за прошедший год, представляя ключевые выводы и перспективы для защитников кибербезопасности. В отчете отмечается, что 2023 год был отмечен значительной киберактивностью, вызванной продолжающимися глобальными конфликтами, появлением новых уязвимостей и увеличивающейся угрозой со стороны киберпреступности.
Ключевые моменты отчета включают:
- Атаки исходили из 212 стран, причем первая десятка стран вносила 77% вредоносного трафика. Заметный рост атак наблюдался со стороны Китая, что подчеркивает глобальный характер киберугроз.
- Веб-приложения и протоколы удаленного управления были наиболее целевыми, что указывает на сдвиг с атак, основанных на учетных данных, на эксплуатацию уязвимостей в периферийных устройствах и приложениях.
- В отчете наблюдалось снижение эксплуатации уязвимостей в программных библиотеках, но увеличение атак против сетевой инфраструктуры и устройств IoT, при этом особенно уязвимыми оказались IP-камеры, системы управления зданиями и сетевые накопители.
- Пять протоколов OT были постоянно целью атак, что подчеркивает необходимость улучшения мониторинга и защиты инфраструктуры операционных технологий.
- Постэксплуатационные действия показали увеличение усилий по установлению постоянства, что подчеркивает развивающиеся тактики злоумышленников по поддержанию долгосрочного доступа к скомпрометированным системам.
- Разнообразие вредоносного ПО, включая троянские программы удаленного доступа, программы-воры информации, ботнеты и другие, продолжает представлять вызов для защитников. Среди наиболее наблюдаемых семейств вредоносного ПО были троян Agent Tesla RAT, варианты ботнета Mirai и крадущая информацию программа Redline.
Отчет завершается стратегическими рекомендациями для организаций по улучшению их позиции в области кибербезопасности, подчеркивая управление рисками и уязвимостями, сетевую безопасность, а также обнаружение угроз и реагирование на них. В нем рекомендуется комплексный подход к кибербезопасности, включающий оценку всех сетевых активов, внедрение надежных мер безопасности и использование продвинутых решений для мониторинга и реагирования, чтобы противостоять динамичной и сложной природе современных киберугроз.
Ключевые выводы для защитников
Основные выводы | Советы для защитников |
---|---|
Атаки происходили из 212 стран. На 10 ведущих стран пришлось 77% вредоносного трафика, при этом всплеск атак пришелся на Китай. 48% атак были совершены с IP-адресов, управляемых интернет-провайдерами, 32% – от организаций бизнеса, правительства и других секторов и 10% – от хостинг-или облачных провайдеров. Это отражает рост использования скомпрометированных устройств для запуска атак, будь то напрямую или через “локальные прокси”. | Одна только страна происхождения по-прежнему неэффективна для оценки риска, связанного с конкретным IP-адресом, но рост числа атак, исходящих из Китая, подтверждает наше послание 2022 года о том, что если ваша организация не ведет бизнес с этой страной или в ней, блокировка этих диапазонов IP-адресов может помочь снизить шум в SOC. К автономным системам, представляющим особую опасность, всегда следует относиться с осторожностью. Растущее использование локальных прокси-серверов, интернет-провайдеров и скомпрометированных устройств в законных организациях означает, что вы должны быть в курсе новостей об угрозах, которые могут отслеживать эти скомпрометированные IP-адреса и помогать обнаруживать взломы в вашей собственной сети. |
Веб-приложения были наиболее атакованным типом услуг, за которыми следовали протоколы удаленного управления. Службы удаленного управления часто становились мишенью для определенных имен пользователей, связанных с устройствами Интернета вещей, в то время как веб-приложения часто становились мишенью для эксплойтов уязвимостей. | Рост числа атак, нацеленных на веб и сетевые протоколы, свидетельствует о том, что участники угроз переходят от атак, основанных в основном на учетных данных, к эксплойтам на периферийных устройствах и приложениях. Организациям следует внедрять технологии управления рисками и обнаружения угроз, которые охватывают всю поверхность атаки, будь то приложения на сервере, периферийное устройство или рабочая станция ИТ. |
Количество эксплойтов против библиотек программного обеспечения сократилось отчасти из-за потери популярности эксплойтов Log4j. Увеличилось количество эксплойтов против сетевой инфраструктуры и устройств Интернета вещей. Наиболее уязвимыми устройствами интернета вещей были IP-камеры, автоматизация зданий и сетевые хранилища. Только 35% эксплуатируемых уязвимостей были обнаружены в CISA KEV. | При принятии решения о том, какие уязвимости следует исправлять и когда, учитывайте уязвимости, которые используются в настоящее время. Хотя CISA ведет актуальный каталог известных эксплуатируемых уязвимостей, он не охватывает весь спектр эксплуатируемых уязвимостей. Для определения приоритетности снижения риска уязвимости требуются дополнительные источники информации об угрозах, такие как каналы угроз Vedere Labs. |
Пять протоколов OT постоянно подвергались атакам: Modbus (треть атак), Ethernet / IP, Step7 и DNP3 (примерно по 18% на каждый) и IEC10X (10% атак). Оставшиеся 2% распределены между многими другими протоколами, большинство из которых – BACnet. Большинство атак нацелено на протоколы, используемые в промышленной автоматизации и энергетическом секторе. Протоколы автоматизации зданий проверяются реже, но эксплойты против автоматизации зданий встречаются чаще. | Мониторинг трафика, поступающего на OT-устройства и с них, так же важен, как и мониторинг ИТ-трафика. Злоумышленники постоянно исследуют эти ресурсы на предмет слабых мест, и многие организации будут слепы к этому, потому что они не имеют представления о своей OT-инфраструктуре. |
Действия после эксплуатации были сосредоточены на сохранении (50% по сравнению с 3% в 2022 году), обнаружении и исполнении. Большинство наблюдаемых команд относятся к обычным системам Linux, но были также команды, выполняемые специально для сетевых операционных систем, которые работают на популярных маршрутизаторах. | Увеличение числа мер по обеспечению сохраняемости означает, что инциденты становится все труднее сдерживать и искоренять после первоначального взлома, но также и то, что субъекты угрозы намерены дольше оставаться в системе. Это подтверждает наше прошлогоднее сообщение о том, что даже после первоначального взлома субъектам угрозы необходимо потратить время на поиск цели, загрузку дополнительных инструментов, их выполнение и сохранение. Многие из этих действий повышают шансы на обнаружение и принятие ответных мер. |
Мы наблюдали равное количество троянов удаленного доступа (RATs) и похитителей информации (infostealers) как наиболее популярных типов вредоносного ПО. Ботнеты и другие загрузчики занимают третье и четвертое места, за ними следуют криптомайнеры, а затем множество других вредоносных программ, таких как кейлоггеры и рекламное ПО. Самыми популярными семействами вредоносных программ были Agent Tesla RAT (16%), затем варианты ботнета Mirai (15%) и infostealer Redline (10%). Cobalt Strike оставался самым популярным сервером командования и управления (C2) (46%), за ним следовали Metasploit (16%) и появляющийся Sliver C2 (13%). Большинство C2 находятся в Соединенных Штатах (40%), за ними следуют Китай (10%) и Россия (8%). | Хотя отдельные образцы вредоносного ПО и даже семейства продолжают развиваться каждый день, основная природа вредоносного ПО остается неизменной. Сочетание RATS, ботнетов, инфостилеров и серверов C2 к настоящему времени хорошо известно как злоумышленникам, так и защитникам. Для защитников гораздо продуктивнее обнаруживать и отслеживать TTP и аномальное поведение, чем полагаться исключительно на файловые хэши и IP-адреса C2, которые постоянно меняются. |
Злоумышленники были нацелены на 163 страны. Соединенные Штаты были самой большой мишенью на сегодняшний день: на страну нацелились 168 злоумышленников. На втором месте оказалось Королевство Unted с 88 баллами, затем Германия с 77 баллами, Индия с 72 баллами и Япония с 66 баллами. Больше всего угроз было в Китае (155), России (88) и Иране (45). В совокупности на эти три страны приходится почти половина групп субъектов угроз в нашей базе данных. Правительство, финансовые услуги, СМИ и развлечения были отраслями, наиболее пострадавшими от этих субъектов. | Знание источников угроз и их целей может помочь определить приоритетность инвестиций в стратегическую безопасность. Организациям, особенно в наиболее пострадавших отраслях, следует обращать внимание на последние данные об угрозах для мониторинга кампаний, нацеленных на конкретные сектора. |
Хотя большинство наблюдаемых нами атак носят оппортунистический характер, были эксплойты, нацеленные на очень конкретные сетевые устройства для получения точной информации о них и удаления вредоносного ПО. В этих атаках часто используются общедоступные сценарии проверки концепции. | Целевые атаки вызывают больше беспокойства, потому что противники знают, что они ищут, но некоторые оппортунистические атаки также могут раскрыть больше информации, которую злоумышленники будут использовать для расширения своих атакующих кампаний. Постоянно выявляйте и исправляйте уязвимые устройства и сегментируйте сети, чтобы гарантировать, что “низко висящие плоды”, такие как известные уязвимые периферийные устройства, не смогут привести к дальнейшим нарушениям в вашей сети. |
Заключение
В этом всеобъемлющем отчете мы тщательно проанализировали данные, относящиеся к атакам, эксплойтам и вредоносному ПО, наблюдавшимся в течение 2023 года. Наряду с каждым ключевым выводом мы продуманно включили информацию, разработанную специально для защитников. На стратегическом уровне мы решительно выступаем за то, чтобы организации концентрировались на повышении кибербезопасности с помощью трех фундаментальных компонентов:
Управление рисками и подверженностью
Начните с проведения тщательной оценки каждого актива, подключенного к сети, с тщательного изучения его состояния безопасности, известных уязвимостей, учетных данных и открытых портов. Внедрите надежные меры безопасности, заменив учетные данные по умолчанию, которые легко угадываются, надежными уникальными паролями для каждого устройства. Отключите неиспользуемые службы, оперативно исправьте уязвимости и примените подход, основанный на оценке рисков, для смягчения последствий. Используйте автоматизированный контроль, охватывающий все предприятие, а не изолированные подразделения. Этот подход выходит за рамки обычных ИТ-сетей и охватывает сети операционных технологий (OT) и различные типы устройств Интернета вещей (IoT).
Сетевая безопасность
Избегайте прямого подключения неуправляемых устройств к Интернету. Выберите сегментацию сети, чтобы изолировать ИТ-устройства, IoT и OT, ограничивая сетевые подключения специально выделенными рабочими станциями управления и инженерии. Сегментация должна распространяться не только между ИТ и ОТ, но и внутри этих сетей, чтобы предотвратить боковое перемещение и утечку данных. Вводите ограничения на внешние каналы связи и применяйте меры изоляции или локализации уязвимых устройств в качестве смягчающего средства, особенно когда требуется немедленное исправление.
Обнаружение угроз и реагирование
Используйте решение для мониторинга с поддержкой Интернета вещей и OT и поддержкой глубокой проверки пакетов (DPI) для обнаружения вредоносных индикаторов и поведения и оповещения о них. Отслеживайте внутренние системы и коммуникации на предмет известных враждебных действий, таких как использование уязвимостей, подбор паролей и несанкционированное использование протоколов OT. Блокируйте или, по крайней мере, предупреждайте сетевых операторов об аномальном и искаженном трафике. Рассмотрите решения расширенного обнаружения и реагирования (XDR), которые собирают телеметрию и журналы из различных источников, сопоставляя сигналы атаки для анализа аналитиками. Эти решения предлагают возможность автоматизировать ответные действия по всему предприятию.
По сути, крайне важно подчеркнуть, что традиционные методы кибергигиены должны применяться комплексно ко всем сетевым активам. Для обеспечения надежной кибербезопасности определите приоритетность наиболее критичных поверхностей атаки на основе актуальных данных об угрозах и бизнес-аналитики.