Laboratoře FortiGuard indikují výrazné zhoršení situace v oblasti kybernetických hrozeb
Rostoucí rozsah a důmyslnost kybernetických útoků všeho druhu pociťují podniky a organizace po celém světě, na všech rozhraních i v digitálním dodavatelském řetězci. Společnost Fortinet představila hlavní zjištění své nejnovější pololetní studie FortiGuard Labs Global Threat Landscape Report.
Informace o bezpečnostním prostředí z druhé poloviny roku 2020 svědčí o bezprecedentním zhoršení situace, kdy se kyberzločinci snažili celosvětově maximalizovat prospěch z nového prostoru k útokům. Prokázali vysokou míry přizpůsobivosti a prováděli důmyslné destruktivní útoky v mnoha vlnách. Zaměřili se na uživatele pracující nebo studující na dálku, kterých výrazně přibylo, ale také s novou agresivitou napadali digitální dodavatelské řetězce i hlavní sítě.
„Celý rok 2020 byl z hlediska kyberbezpečnostních hrozeb velmi náročný. Ačkoli ústřední roli hrála pandemie, počítačoví zločinci postupně během roku zdokonalovali své útoky se stále ničivějšími dopady. Maximálně využili příležitosti nad rámec základních sítí a zaměřili se také na práci a výuku na dálku a na digitální dodavatelský řetězec. Bezpečnostní rizika nikdy nebyla větší, což je způsobeno rozsáhlostí digitálního prostředí a provázaností všeho se vším. Přístup založený na integrované platformě s využitím AI a zpravodajství o hrozbách je nutností k účinné obraně všech okrajů sítě a k okamžitému odhalování a neutralizaci hrozeb, jimž jsou dnes všechny subjekty vystavené,“ říká Derek Manky, ředitel FortiGuard Labs pro bezpečnostní zpravodajství a globální aliance v oblasti bezpečnostních informací.
Hlavní zjištění studie za 2. pololetí 2020:
- Vlna ransomware nepolevuje: Data laboratoří FortiGuard ukazují sedminásobný nárůst celkové aktivity v oblasti vyděračského softwaru (ransomware) oproti 1. pololetí roku 2020. Za tímto masivním růstem stojí několik trendů: rozvoj ransomwaru ve formě služby (RaaS), zaměření na vysoké výkupné od velkých firem a hrozba zveřejnění dat, nebudou-li požadavky splněny. Mezi nejaktivnější druhy ransomwaru s různou mírou rozšíření patřily Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING a BazarLoader. Výrazně postižené vyděračským softwarem byly sektory zdravotnictví, profesionálních služeb, spotřebitelských služeb, veřejné správy a finančních služeb. Jako účinnou zbraň proti stoupajícímu riziku napadení ransomwarem je nutné zajistit včasné, úplné a bezpečné zálohování dat mimo podnik. K minimalizaci rizika přispívá i přístup na principu nulové důvěry a segmentace sítí.
- Dodavatelský řetězec v centru pozornosti: Útoky proti dodavatelskému řetězci mají dlouhou historii, ale útok proti společnosti SolarWinds odstartoval debatu na nové úrovni. Postižené subjekty v průběhu útoku předávaly značné množství informací. Experti FortiGuard Labs je detailně sledovali a na jejich základě sestavili indikátory narušení pro detekci souvisejících aktivit. Detekovaná komunikace s internetovou infrastrukturou v souvislosti s útokem SUNBURST v průběhu prosince 2020 dokládá, že kampaň byla skutečně globální povahy, kdy aliance zpravodajských služeb zvaná Pět očí vykazovala obzvlášť vysokou míru provozu odpovídajícímu těmto indikátorům. Existují i důkazy o možných vedlejších cílech, což podtrhuje propojenost moderních útoků proti dodavatelskému řetězci a důležitost řízení rizik dodavatelského řetězce.
- Útočníci se zaměřují na online aktivity: Analýza nejběžnějších kategorií škodlivého softwaru odhaluje nejčastější techniky, které kyberzločinci užívají k vybudování opěrných bodů uvnitř sítě. Hlavním cílem útoků byly platformy společnosti Microsoft, kdy útočníci zneužívali typy dokumentů, se kterými většina lidí běžně pracuje. Další linií zůstávají internetové prohlížeče. Do kategorie HTML spadají malwarem naplněné podvodné stránky a skripty, které vkládají škodlivý kód nebo přesměrovávají uživatele na škodlivé stránky. Tyto typy hrozeb sílí v době celosvětových problémů a v obdobích intenzivnějších online nákupů. Zaměstnanci, kteří bývají při procházení internetu z firemní sítě obvykle chráněni webovými filtry, jsou při práci na dálku vystaveni vyššímu riziku.
- Domácí pracoviště zůstává cílem útoků: Hranice mezi domovem a kanceláří se v roce 2020 výrazně setřela. To znamená, že cílením na domácí prostředí se útočníci dostávají blíže k podnikovým sítím. Ve druhé polovině roku 2020 se na vrcholu ocitly exploity zaměřené na zařízení internetu věcí (IoT), jaká jsou užívána v mnoha domácnostech. Zařízení IoT představují nový „okraj sítě“, který je nutné chránit, přičemž bezpečnostní monitoring a pravidla musí být uplatňována na každém takovém zařízení.
- Na globální scénu přichází noví hráči: Autoři pokročilých perzistentních hrozeb (APT) nadále různými způsoby zneužívají pandemi COVID-19. Nejčastější jsou útoky zaměřené na krádeže osobních údajů ve velkém, krádeže duševního vlastnictví a získávání informací podle národních zájmů útočníků. Ke konci roku 2020 vzrostla aktivita APT zacílená na boj proti pandemii COVID-19, včetně vývoje vakcín a zpracování národních i mezinárodních zdravotních politik. Mezi cíle útoků patřily státní instituce, farmaceutické společnosti, univerzity a firmy zabývající se lékařským výzkumem.
- Zplošťování křivky zneužití zranitelností: Aktualizace a ošetření zranitelností jsou nadále prioritou vzhledem k neustávajícím snahám útočníků zranitelnosti zneužívat ke svému prospěchu. Ze sledování postupu 1500 exploitů v posledních dvou letech je patrné, jak rychle a jak daleko se mohou šířit. I když to neplatí obecně, zdá se, že se většina exploitů nešíří daleko příliš rychle. Z exploitů sledovaných v posledních dvou letech bylo pouhých 5 % detekováno více než 10 % subjektů. Zvolíme-li náhodnou zranitelnost, data ukazují, že za jinak shodných podmínek existuje pravděpodobnost zhruba 1:1000, že bude určitý subjekt napaden. Přibližně 6 % exploitů během prvního měsíce napadne více než 1 % firem a 91 % ani po roce hranici 1 % nepřekročí. Přesto je vhodné ošetřit zranitelnosti, pro něž existují známé exploity, a zaměřit se při tom na ty, které se šíří nejrychleji.
Boj proti kyberzločincům vyžaduje integrovanou strategii a širokou osvětu
Podniky a organizace čelí útokům na všech frontách. Předávání informací o hrozbách má nadále klíčový význam pro pochopení hrozeb a možností obrany proti novým směrům útoku. Zásadní je rovněž podrobný přehled, zejména v situaci, kdy se velké množství uživatelů nachází mimo obvyklé síťové prostředí. Každé zařízení je samo o sobě okrajem sítě, který je nutné monitorovat a zabezpečit. Využití umělé inteligence (AI) a automatizované detekce hrozeb může podnikům pomoci řešit útoky okamžitě, nikoli se zpožděním, a je nezbytné k rychlému potlačování útoků ve velkém rozsahu na všech frontách. Vzdělávání uživatelů v oblasti kybernetické bezpečnosti by mělo rovněž patřit mezi priority, protože počítačová hygiena není doménou pouze IT a bezpečnostních týmů. Každý potřebuje pravidelné školení v nejlepší praxi – jedině tak je možné zajistit bezpečnost jednotlivců i celé organizace.
Shrnutí studie
Nejnovější studie Global Threat Landscape Report laboratoří FortiGuard vychází ze souboru informací o miliardách bezpečnostních událostí, které po celém světě zaznamenalo velké množství senzorů společnosti Fortinet v druhé polovině roku 2020. K popisu způsobu, jakým útočníci vyhledávají zranitelnosti, staví svoji infrastrukturu a napadají cíle, využívá studie FortiGuard Labs Global Threat Landscape Report podobnou klasifikaci útočných taktik a technik jako rámec MITRE ATT&CK, kde první tři skupiny zahrnují průzkum, budování prostředků a prvotní přístup. Studie se věnuje i globální a regionální perspektivě.
(29. 3. 2021 | Lukas_Kriz)