Bezpečnostní divize společnosti IBM zveřejnila svůj každoroční Index hrozeb X-Force Intelligence. V něm mimo jiné prezentuje, jak ransomware a zneužití zranitelností neaktualizovaného softwaru dokázaly v roce 2021 paralyzovat různé firmy a dál tak prohloubit problémy globálních dodavatelských řetězců. Nejhůře zasažený byl zpracovatelský průmysl.
V loňském roce byl obecně nejčastější příčinou kybernetických útoků phishing, nicméně divize IBM Security X-Force také zaznamenala 33% nárůst v počtu útoků způsobených zneužití zranitelnosti neaktualizovaného softwaru. To byl loni nejčastější vektor pro ransomware představující asi 44 % všech případů.
Index pro rok 2022 ukazuje, jak se v roce 2021 provozovatelé ransomwaru pokusili „zlomit“ páteř globálních dodavatelských řetězců prostřednictvím útoků na výrobní průmysl, jenž byl zasažen nejsilněji (23 %), ačkoliv v předchozích letech byly dlouhodobě nejčastějším cílem finanční služby a pojišťovny. Útočníci se spoléhali na to, že útok na výrobní průmysl způsobí komplikace také v navazujících článcích dodavatelských řetězců, což vyvolá na oběť větší tlak, aby zaplatila výkupné a získala své systémy zpátky pod kontrolu. Je varovným signálem, že 47 % útoků na výrobní průmysl bylo realizováno přes zranitelná místa, která daná organizace dosud neaktualizovala či nemohla aktualizovat; to jasně ukazuje, že řešení zranitelností musí být pro organizace prioritou.
Index hrozeb IBM Security X-Force Intelligence pro rok 2022 mapuje nové trendy a metody útoku, které divize IBM Security analyzovala na základě svých dat získaných z několika miliard datových bodů od celých sítí po koncová detekční zařízení, z reakcí na incidenty, sledování phishingových sad a mnoho dalšího – včetně dat od Intezer.
Mezi nejvýznamnější zjištění letošní zprávy patří:
„Firmy by si měly uvědomit, že zranitelnosti jsou pro ně pastí, kterou je možné prostřednictvím ransomwaru aktivovat. Není to binární hrozba. Počet možných způsobů provedení útoku stále roste a není možné si nalhávat, že všechny zranitelnosti už byly odhaleny a aktualizované. Organizace by proto měly vycházet z předpokladu, že jejich obrana už byla prolomena, a začít používat strategii nulové důvěry,“ uvádí Charles Henderson, ředitel IBM X-Force.
„Devět životů“ provozovatelů ransomwaru
Podle analýzy X-Force je průměrná životnost skupin pachatelů ransomware 17 měsíců – následně buď zaniknou, nebo zmizí a vynoří se pod jinou značkou. Například skupina REvil, která byla v roce 2021 zodpovědná za 37 % všech útoků, fungovala díky změně značky po čtyři roky. Je proto pravděpodobné, že se i navzdory tomu, že ji koordinovaná akce několika států v polovině roku 2021 vyřadila z provozu, po nějaké době opět vynoří.
Policejní zásahy mohou útočníky nejenom zpomalit, ale také je zatěžují náklady na změnu značky a opětovné vybudování infrastruktury. Hrací pole se neustále mění, a proto je pro organizace důležité modernizovat svou infrastrukturu a ukládat data do prostředí, které je pomůže chránit – ať už je to lokálně, nebo v cloudu. To útočníkům odejme jejich klíčovou výhodu, protože přístup ke kritickým datům je v hybridním cloudovém prostředí těžší.
Zranitelnosti se pro některé firmy staly existenční krizí
Zpráva X-Force poukazuje na to, že v roce 2021 bylo odhaleno rekordní množství zranitelností a jejich počet v průmyslových řídících systémech oproti minulému roku vzrostl o 50 %. Ačkoliv bylo v posledním desetiletí takových zranitelností odhaleno více než 146 000, až v posledních letech začaly organizace mnohem výrazněji urychlovat digitalizaci procesů, a to především v důsledku pandemie. To naznačuje, že celý proces ještě nedosáhl svého vrcholu.
Zároveň ale zaznamenala složka X-Force 33% nárůst oproti předchozímu roku s tím, že dvě nejčastěji zneužívané zranitelnosti v roce 2021 se vyskytly v široce používaných firemních aplikacích (Microsoft Exchange, knihovna Apache Log4J). Náročnost práce se zranitelnostmi může dále růst s tím, jak digitální infrastruktura dál expanduje, a kvůli nutnosti provádět audity a údržbu mohou být organizace časem zcela zavalené. To ukazuje, jak důležité je v provozu vycházet z předpokladu, že k prolomení ochrany už mohlo dojít, a chránit svou architekturu prostřednictvím strategie nulové důvěry.
Útočníci v cloudu míří na společné cíle
V roce 2021 divize X-Force zaznamenala, že stále více útočníků směřuje své útoky na kontejnery, jako je Docker – což je podle RedHat zdaleka nejpoužívanější prostředí pro provoz kontejnerů. Útočníci si uvědomili, že kontejnery jsou pro mnoho organizací společné, takže hledají způsoby, jak maximalizovat návratnost svých investic díky malwaru použitelnému na různé platformy, který může posloužit jako výchozí bod pro útoky na další komponenty infrastruktury jejich obětí.
Zpráva z roku 2022 také upozorňuje, že útočníci dále investují do dříve nevídaného malwaru pro Linux. Data od organizace Intezer ukazují, že počet ransomwarových balíčků pro Linux obsahující nový kód vzrostl o 146 %. Útočníci se dále snaží rozšířit škálu svých operací v cloudovém prostředí, což znamená, že se firmy musí zaměřit na vyšší transparentnost své hybridní infrastruktury. Prostředí hybridního cloudu jsou založená na interoperabilitě a otevřené standardy mohou pomoci organizacím najít slepá místa a urychlit a automatizovat bezpečnostní reakci.
Mezi další zjištění ze zprávy za rok 2022 patří:
Zpráva vychází z dat získaných společností IBM z celého světa v roce 2021 a má za cíl nabídnout užitečné informace o globální struktuře hrozeb a informovat odborníky na bezpečnost o tom, co je pro organizace nejvíce relevantní. IBM Security X-Force Threat Intelligence Index za rok 2022 si můžete stáhnout zde. Navíc si můžete přečíst příspěvek od autorů zprávy, kde se dozvíte víc o třech hlavních zjištěních, na blogu IBM Security Intelligence.
