В 2023 году Barracuda XDR, включая свою команду аналитиков SOC, находящихся на круглосуточном дежурстве, проанализировала почти два триллиона (1,640 миллиарда) ИТ-событий, чтобы изолировать десятки тысяч потенциально опасных угроз безопасности.
Исследователи в области безопасности проанализировали наиболее распространенные случаи обнаружения XDR в 2023 году. Их выводы, обобщенные в этом блоге, показывают наиболее распространенные способы, которыми злоумышленники пытались — и потерпели неудачу — получить постоянный доступ к сетям посредством действий злоумышленников, таких как компрометация деловой электронной почты и использование вредоносного кода и эксплойтов.
Важно отметить, что защитные технологии безопасности, включая XDR, предназначены для обнаружения, уведомления и блокирования противника у ворот или на ранних стадиях вторжения. Полностью предотвращается проведение атак, а это означает, что мы не всегда знаем, какой могла быть конечная предполагаемая полезная нагрузка, например, программы—вымогатели.
Обзор 2023 года: участились попытки атак повышенной опасности
В течение 2023 года было обнаружено 66 000 угроз, достаточно серьезных, чтобы их передали аналитику SOC для расследования, и еще 15 000, которые потребовали срочных защитных действий. В течение года наблюдался устойчивый рост обеих категорий угроз — пик пришелся на октябрь, ноябрь и декабрь.
Эти месяцы – лучший сезон для онлайн-покупок и праздничных дней. Оба фактора потенциально очень привлекательны для злоумышленников. Первое, потому что это открывает большой набор потенциальных целей и возможностей, второе, потому что это обычно означает, что ИТ-команды находятся вдали от рабочего места или менее внимательны.
Второй, меньший, пик пришелся на июнь, который для многих стран является ключевым месяцем отпусков.
В совокупности эти результаты подтверждают выводы, о которых мы впервые сообщили в 2022 году, — злоумышленники пользуются отсутствием людей, их занятостью или отвлечением для проведения более разрушительных атак с высоким риском.
Основные случаи обнаружения XDR в 2023 году связаны со злоупотреблением личными данными
Большинство из 10 крупнейших обнаружений 2023 года связаны с какой-либо компрометацией личных данных, что привело к взлому учетной записи. Обнаружения, свидетельствующие о злоупотреблении личными данными, включают подозрительные логины, атаки методом перебора и отключение злоумышленниками многофакторной аутентификации.
N = 87 720
Загрузка подозрительного исполняемого файла может указывать на то, что злоумышленники пытаются перенести дополнительные инструменты или вредоносное ПО из внешней, контролируемой злоумышленником системы, такой как сервер командования и контроля, в скомпрометированную учетную запись.
Обнаружение угроз на конечных точках включает механизм, который срабатывает, когда управляемая система защиты конечных точек XDR от Barracuda обнаруживает потенциальную угрозу в системе, независимо от того, успешно ли она нейтрализована. Крайне важно своевременно уведомлять клиента в любом случае, поскольку такие обнаружения требуют более глубокого расследования, чтобы выяснить, каким образом вредоносному файлу или процессу удалось запуститься изначально.
Это правило обнаружения охватывает широкий спектр угроз, включая, но не ограничиваясь ими, безвредные элементы, потенциально нежелательные приложения (PUA), рекламное ПО, шпионское ПО, загрузчики, криптомайнеры, вредоносные документы, эксплойты, вирусы, черви, трояны, бэкдоры, руткиты, похитители информации, программы-вымогатели, интерактивные или удаленные оболочки, боковые перемещения и многое другое. Каждая категория требует индивидуального подхода для эффективного выявления и смягчения последствий.
Подозрительные супергерои, призраки и страдающие бессонницей — как инструменты искусственного интеллекта выявляют злоумышленников
В Barracuda XDR реализованы правила обнаружения на базе искусственного интеллекта, основанные на наших возможностях машинного обучения, предназначенные для выявления подозрительных действий при входе в систему, требующих срочной оценки. Правила основаны на алгоритмах и анализе шаблонов на основе искусственного интеллекта, которые моделируют базовую рутину пользователя и немедленно помечают красным все, что выходит за ее рамки.
Подозрительные супергерои — правило невозможного обнаружения поездок
Это правило обнаружения выявляет злоумышленников, пытающихся войти в скомпрометированную учетную запись. Когда обнаруживаются два входа в систему на расстоянии более 1000 км друг от друга и пользователю необходимо двигаться со скоростью более 800 км / ч — средней скоростью самолета, — чтобы сделать это, срабатывает красный флажок системы безопасности. Кроме того, обнаружение проверяет, что вход в систему не связан с IP-адресом VPN, чтобы исключить любой риск ложного срабатывания.
Чтобы проиллюстрировать, как это выглядит на практике, в одном случае Barracuda XDR засекла пользователя, входящего в систему из Айовы в США, а затем, чуть более часа спустя, в Москве, который, по-видимому, преодолел 8 267 км со скоростью более 7000 км / час.
Ghosts — правило обнаружения редких пользователей при входе в систему
Это правило обнаружения проверяет необычные имена пользователей, появляющиеся в журналах аутентификации. Это помогает обнаружить злоумышленника, злоупотребляющего учетными данными неактивного пользователя, возможно, потому, что пользователь покинул организацию, или имя пользователя, которое выпадает из схемы именования организации. Субъекты угроз также будут пытаться создавать новых пользователей в качестве средства сохранения, и этот пользователь будет помечен как неизвестный правилом обнаружения.
Страдающие бессонницей — редкий случай для правила обнаружения пользователей
Это правило обнаружения проверяет пользователя, входящего в систему в необычное для него время суток. Это может быть связано с тем, что кто-то в другом часовом поясе пытается получить доступ к скомпрометированной учетной записи. Кроме того, несанкционированные действия пользователей часто происходят в нерабочее время.
Обнаружение сетевого трафика
Barracuda XDR включает сложную многоуровневую систему обнаружения вторжений (IDS), которая тщательно отслеживает трафик, проходящий через сеть клиента через SPAN (зеркальный) порт. Этот IDS служит бдительным охранником, выявляя как подозрительные, так и потенциально опасные действия, которые могут казаться законными, но связаны с признанным вредоносным ПО, кибератаками и различными угрозами безопасности, проникающими в вашу сеть. Значительная часть этих угроз автоматизирована и выполняется в массовом порядке против сетей.
Анализ основных обнаружений IDS в 2023 году выявляет устойчивую тенденцию: злоумышленники последовательно используют давние критические уязвимости и слабые места, которые еще предстоит устранить с помощью исправлений. Это подчеркивает острую необходимость постоянной бдительности и обновления мер сетевой безопасности.
Shellshock – это набор ошибок 10-летней давности, который продолжает входить в топ-10 обнаружений, обнаруживаемых интегрированными идентификаторами Barracuda. Тот факт, что атаки Shellshock остаются столь распространенными, говорит о том, что злоумышленники знают, что в мире все еще существует множество не исправленных систем. Отчеты предполагают, что злоумышленники используют Shellshock для проведения распределенных атак типа “отказ в обслуживании” (DDoS) и нацелены на уязвимые взаимосвязанные системы, которые связаны между собой с помощью ботов и ботнетов.
Спустя два года после раскрытия уязвимости Log4Shell в утилите ведения журнала Log4j на Java с открытым исходным кодом, эксплойты против этой ошибки также остаются распространенными. Это может отражать тот факт, что Log4j настолько глубоко внедрен в приложения и другое программное обеспечение, что многие организации могут даже не знать о его существовании, а устранение уязвимостей может быть сложным и занимать много времени.
Как оставаться в безопасности в мире атак 24/7
Основы безопасности важны как никогда. Они должны включать надежную аутентификацию и контроль доступа (как минимум, многофакторную аутентификацию, а в идеале переход к мерам, основанным на нулевом доверии), надежный подход к управлению исправлениями и защите данных, а также регулярные тренинги по кибербезопасности для сотрудников.
Однако в условиях растущего числа угроз высокой степени опасности, нацеленных на расширяющуюся сеть цифровых атак организации, и по мере того, как злоумышленники все чаще начинают использовать искусственный интеллект для все более изощренных, быстрых и целенаправленных атак, защитникам необходимо будет убедиться, что их инструменты безопасности обладают такой же мощностью. Необходим многогранный подход к защите, основанный на искусственном интеллекте, который включает несколько уровней все более глубокого обнаружения и проверки.
Это должно вписываться в общую систему безопасности, которая включает надежные технологии безопасности следующего поколения, подкрепленные экспертным анализом и круглосуточным мониторингом безопасности для выявления неизвестных факторов и аномалий— которые в противном случае могли бы просочиться в сеть, а также SOC как сервис для реагирования на угрозы и смягчения их последствий.
Если у вас нет времени или собственных знаний, управляемая служба XDR, которая включает SOC как услугу, может следить за каждым уголком вашей ИТ-среды в течение всего дня, каждый день.
Выводы основаны на данных обнаружения с помощью Barracuda Managed XDR, платформы расширенной видимости, обнаружения и реагирования (XDR), поддерживаемой центром управления безопасностью 24 × 7 (SOC), который предоставляет заказчикам круглосуточные услуги по обнаружению угроз, анализу, реагированию на инциденты и смягчению последствий с помощью человека и искусственного интеллекта.
Author: admin
Related Posts
Глобальный отчет по экосистемам стартапов 2024: эпоха масштабирования в мире ИИ и климатических технологий
АНО ЦЭ представила результаты аналитического исследования «Импортозамещение профессионального программного обеспечения в техническом образовании в вузах России»
