Злом заради коштів, хмарні сервіси та ШІ: головні тренди кібербезпеки зі звіту Mandiant-Trends
У щорічному звіті американська кібербезпекова компанія Mandiant (зараз входить до Google Cloud) проаналізувала головні тренди індустрії у 2023 році. SPEKA обрала головне зі звіту та розповідає, які виклики стоять перед компаніями у захисті даних та своєї інфраструктури.
Частина фінансово мотивованих зломів зростає
Головними цілями для кіберзлочинців у 2023 році були компанії, що працюють у сферах фінансів, технологій, торгівлі, охорони здоров’я, та урядові портали. Причина у тому, що 52% атак мають головним мотивом фінансову вигоду (на 8% більше, ніж торік). Ці сектори часто володіють великою кількістю конфіденційної та цінної інформації.
Решта атак припадають на шпигунство (10%), інші мотиви (2%), а причини ще 36% зломів до кінця не відомі.
Найпоширеніші способи, якими зловмисники отримували доступ до цільової мережі, — експлойти, фішинг, попередній злом і викрадення облікових даних.
Глобальні організації вдосконалюють свій кіберзахист
Згідно зі звітом M-Trends, середній час перебування непоміченими у мережах глобальних організацій скоротився з 16 днів у 2022 році до 10 у 2023-му. Це найнижчий рівень за понад десять років.
Це свідчить про те, що компанії вносять значні покращення у свою кібербезпеку. Але водночас це не завжди заслуга кібербезпекових команд, адже частка атак за допомогою програм-вимагачів зросла. Тобто це атаки, у яких кіберзлочинець швидко сконтактує з жертвою, щоб вимагати виплату. Найбільше скорочення часу перебування у системі помічено в Азійсько-Тихоокеанському регіоні (на 24 дні), у якому найбільше атак здійснюють через програми-вимагачі.
Час перебування збільшився у Європі, на Близькому Сході та в Африці. Ймовірно, через більшу кількість шпигунських операцій у регіоні, які є елементом кібервійни.
Ще одним доказом того, що компанії стають кращими у виявленні кіберзагроз, є те, що Mandiant виявив, що 46% скомпрометованих організацій вперше виявили докази злому всередині себе самостійно, а не сторонньою організацією. Цей показник зріс із 37% у 2022 році.
Кіберзлочинці більше зосереджені на використанні вразливостей, а не завантаженні шкідливого ПЗ
Кіберзлочинці дедалі частіше націлюються на периферійні пристрої та типи атак living off the land (LOTL). Це тактика, за якої зловмисники використовують вбудовані інструменти та функції операційної системи або вже встановлене програмне забезпечення. Ця стратегія дозволяє атакувати систему, мінімізуючи використання зовнішніх вразливостей або шкідливих програм, що робить виявлення атаки значно складнішим.
У 2023 році особливо небезпечними та популярними у хакерів були вразливості у програмі передавання файлів MOVEit та у Barracuda Email Security Gateway.
Хмарні середовища дедалі частіше стають мішенями для хакерів
Використання хмарних технологій постійно зростає — Gartner прогнозує, що понад 50% підприємств використовуватимуть галузеві хмарні платформи до 2028 року — і тому все більше зловмисників звертають на них увагу. За даними CrowdStrike, у 2023 році кількість хмарних вторгнень зросла на 75% порівняно з 2022 роком.
Mandiant спостерігав випадки, коли зловмисники отримували доступ до хмарних середовищ через облікові дані, які не зберігалися надійно. Облікові дані були виявлені на доступному в Інтернеті сервері з конфігураціями за замовчуванням або були викрадені та з того часу не змінювалися. Вони також отримали доступ за допомогою різних методів обходу двофакторної автентифікації.
Доступ до хмарних сервісів дають кіберзлочинцям певні переваги. Наприклад, можливість довше уникати виявлення в межах компанії, створювати віртуальні машини для доступу до хмари організації чи використовувати обчислювальні потужності сервісу для криптомайнінгу.
Кіберзлочинці змінюють тактику, щоб обійти багатофакторну автентифікацію
Коли багатофакторна автентифікація стала стандартною практикою безпеки в багатьох організаціях, зловмисники досліджують нові креативні тактики, щоб її обійти. Переважно через збільшення атак Adversary-in-the-Middle (AiTM).
Зловмисник встановлює контроль над з'єднанням між жертвою та службою (наприклад, вебсайтом). Після встановлення контролю над сеансом, зловмисник може перехоплювати, переглядати та маніпулювати даними, які передаються між сторонами. Тоді він може використовувати перехоплені дані для входу в систему, обходячи двофакторну автентифікацію.
Інші методи для обходу MFA:
- Атаки соціальної інженерії : наприклад, розповсюдження фішингових електронних листів, де ціль змушують розкрити свої дані для входу на підроблений сайт.
- Заміна SIM-картки: передбачає перенесення номера телефону цільової особи на SIM-картку, контрольовану зловмисником, щоб вони могли прийняти повідомлення та заволодіти обліковим записом.
- Підбір пароля: зловмисники вгадують паролі до неактивних або службових облікових записів, для яких не налаштовано двофакторну автентифікацію.
«Червоні команди» використовують ШІ та великі мовні моделі для тестування систем на вразливості
Червоні команди (спеціалісти кіберкомпаній, які виконують завдання на проникнення в мережу. — Ред.) використовували генеративні інструменти штучного інтелекту, щоб прискорити певні дії під час перевірок. Зокрема для:
- Створення початкових чернеток шкідливих електронних листів і цільових сторінок для фіктивних атак соціальної інженерії.
- Розробка спеціальних інструментів для випадків, коли аналітики стикаються з незвичайними або новими програмами та системами.
- Дослідження та створення інструментів у випадках, коли середовища не відповідають робочим нормам, які можна використовувати знову і знову.
У звіті автори припускають, як аналітики з кібербезпеки можуть використовувати ШІ у майбутньому. Червоні команди генерують значну кількість даних, які можна використовувати для навчання моделей, налаштованих на захист середовища клієнтів. Однак розробникам штучного інтелекту також доведеться знайти нові способи, щоб гарантувати, що моделі мають відповідні обмеження, водночас дозволяючи правомірне використання як інструмент кібербезпеки.
