40camp logo

FortiGuard Labs: Globalne trendy dotyczące największych cyberzagrożeń

Fortinet ogłosił wyniki opracowanego przez FortiGuard Labs najnowszego raportu "Threat Landscape", przedstawiającego aktualne zagrożenia, obecne w cyberprzestrzeni na całym świecie w IV kwartale 2019 r. Informacje poddane analizie zostały zebrane z miliardów czujników zlokalizowanych w rozwiązaniach ochronnych firmy Fortinet. Raport pokrywa globalne i regionalne zagadnienia, a skupia się na trzech głównych aspektach: exploitach, złośliwym oprogramowaniu oraz sieciach botnet.

Przeprowadzone badania pokazują, że cyberprzestępcy nie tylko nadal starają się wykorzystywać wszelkie nadarzające się okazje do ataku w infrastrukturze cyfrowej, ale także uważnie obserwują aktualne globalne realia ekonomiczne i polityczne. Wszystko po to, by zmaksymalizować korzyści i jeszcze bardziej zwiększyć prawdopodobieństwo realizacji swoich celów.

Oto najważniejsze wnioski z badania:

1) Kociak nie jest aż tak czarujący: Wyniki badań pokazują, że w IV kwartale 2019 r. nadal miał miejsce znaczący poziom aktywności cyberprzestępczej w regionach, w których działa powiązana z Iranem grupa Charming Kitten (Czarujący kociak), specjalizująca się w zaawansowanych, uporczywych atakach (APT). Ten funkcjonujący od około 2014 r. podmiot jest odpowiedzialny za liczne kampanie cyberprzestępcze. Jego ostatnie działania sugerują, że rozszerzył swoją działalność o akcje związane z zakłócaniem wyborów, po tym jak został powiązany z serią ukierunkowanych ataków na konta poczty elektronicznej należących do osób prowadzących prezydencką kampanię wyborczą w USA. Ponadto zaobserwowano, że grupa Charming Kitten przyjęła nową strategię przeciwko przyszłym ofiarom, które miały na celu ich zmanipulowanie, aby udostępniły wrażliwe informacje.

2) Coraz więcej zagrożeń dla urządzeń IoT: Internet rzeczy to wciąż relatywnie młoda dziedzina, a przez to wiele używanych w tego typu systemach urządzeń nie jest odpowiednio zabezpieczonych. Sytuację pogarsza fakt, że wiele urządzeń IoT, oferowanych przez różnych dostawców i pod różnymi markami, posiada wbudowane komponenty i oprogramowanie stworzone przez jednego producenta, co w przypadku powodzenia ataku znacznie ułatwia zwiększenie jego zasięgu. Często też są powszechnie dostępne fragmenty kodu (np. bazują na otwartym źródle oprogramowania), przez co cyberprzestępcy z łatwością mogą przeanalizować je i wykryć ewentualne luki. Brak świadomości dostępności łatek, częste występowanie luk w niektórych urządzeniach IoT oraz udokumentowane próby przejęcia kontroli nad nimi przez botnety ? wszystkie te czynniki przyczyniły się do tego, że w ciągu IV kwartału 2019 r. odnotowano trzecią co do wielkości liczbę luk w rozwiązaniach IoT, wykrytych przez wszystkie systemy przeciwdziałania włamaniom (IPS).

3) Starsze zagrożenia pomagają młodszym: W obliczu ciągłej presji, by być gotowym na pojawianie się nowych zagrożeń, często zapomina się o tym, że te starsze nie mają daty ważności, a cyberprzestępcy będą korzystać ze znanych im luk tak długo, jak będzie to opłacalne. Przykładem jest exploit EternalBlue, który był wykorzystywanych w wielu kampaniach, w tym przede wszystkim w atakach ransomware WannaCry i NotPetya. Ponadto, w maju ubiegłego roku wydano łatkę dla luki BlueKeep, która mogłaby być wykorzystana na tak dużą skalę jak miało to miejsce w przypadku ataków WannaCry i NotPetya. Tymczasem w IV kwartale 2019 r. pojawiła się nowa wersja trojana EternalBlue Downloader, który wykorzystuje właśnie lukę BlueKeep. Na szczęście rozsyłana obecnie wersja tego złośliwego kodu nie jest całkowicie dopracowana, przez co zaatakowane urządzenia zawieszają się, zanim zostanie on uruchomiony. Ale należy zakładać, że zdeterminowani cyberprzestępcy prawdopodobnie szybko naprawią swój błąd i będą mieli funkcjonalną wersję tego potencjalnie szkodliwego pakietu w niedługiej przyszłości. I, choć łatka dla BlueKeep jest dostępna od maja ub.r., zbyt wiele przedsiębiorstw nadal nie przeprowadziło aktualizacji swoich krytycznych systemów.

4) Nowe spojrzenie na globalną dystrybucję spamu: Niechciane wiadomości nadal są jednym z najważniejszych wyzwań, z którymi muszą radzić sobie firmy i osoby prywatne. W najnowszym raporcie Fortineta porównano wielkość przepływu spamu pomiędzy krajami z danymi pokazującymi stosunek ilości wysłanego spamu do liczby otrzymanych wiadomości, co umożliwiło nowe spojrzenie na stary problem. Większość wysyłanego spamu wydaje się podążać za trendami gospodarczymi i politycznymi. Przykładowo, oprócz USA, do największych spamowych ?oferentów? należą takie kraje jak Polska, Rosja, Niemcy, Japonia i Brazylia. Ponadto, jeśli chodzi o proporcje w ilości spamu wysyłanego wobec otrzymywanego w poszczególnych regionach geograficznych, Europa Wschodnia wiedzie prym na całym świecie.

5) Śledzenie cyberprzestępców w celu poznania ich planów: Spojrzenie na sytuacje, w których w danym regionie systemy przeciwdziałania włamaniom (IPS) generowały alarmy, nie tylko pokazuje, jakie zasoby były atakowane, ale także pozwala domniemywać na czym cyberprzestępcy będą skupiać się w przyszłości. Prawdopodobieństwo słuszności tego typu wniosków wynika z faktu, że wystarczająco wiele takich ataków zakończyło się sukcesem oraz że w niektórych regionach stosuje się więcej rozwiązań konkretnego rodzaju. Ale nie zawsze tak jest. Na przykład, według wyszukiwarki shodan.io, zdecydowana większość wdrożeń systemu CRM ThinkPHP zrealizowanych zostało w Chinach ? prawie 10 razy więcej niż w Stanach Zjednoczonych. Zakładając, że firmy łatają swoje oprogramowanie w podobnym tempie w każdym regionie, jeśli przed wdrożeniem exploita botnet po prostu sondował podatne na zagrożenia instancje ThinkPHP, liczba alertów powinna być znacznie większa w regionie APAC. Jednak prób instalacji exploita w całym regionie APAC wykryto tylko 6% więcej niż w Ameryce Północnej. Ponadto, przyjmując podobny styl analizy dotyczącej wykrywania złośliwego oprogramowania, większość zagrożeń kierowanych przeciwko firmom obecnych jest w makrach VBA (Visual Basic for Applications). Jest to prawdopodobne, ponieważ ta technika atakowania nadal jest skuteczna i przynosi efekty.

 

Potrzebna jest szeroko zakrojona, zintegrowana i zautomatyzowana ochrona

W miarę szybkiego wzrostu liczby aplikacji oraz połączonych ze sobą urządzeń, powstają miliardy nowych kombinacji, a wraz z nimi rośnie prawdopodobieństwo ataku. Konieczne jest więc zapewnienie odpowiedniego zarządzania i ochrony. Ponadto, przedsiębiorstwa stają w obliczu coraz bardziej wyrafinowanych ataków wymierzonych w rozszerzającą się infrastrukturę cyfrową, z których część wykorzystuje sztuczną inteligencję i uczenie maszynowe. Aby skutecznie zabezpieczyć swoje rozproszone sieci, firmy muszą przejść od ochrony konkretnych rozwiązań do zabezpieczania danych rozsianych na brzegu sieci, znajdujących się u użytkowników, w systemach IT, urządzeniach i krytycznych aplikacjach. Tylko platforma cyberochronna, zaprojektowana w celu zapewnienia kompleksowych informacji co do stanu infrastruktury oraz parametrów prowadzonego właśnie ataku ? wdrożona na urządzeniach użytkowników (także mobilnych), w środowiskach wielochmurowych i infrastrukturze SaaS ? jest w stanie zabezpieczyć dzisiejsze szybko rozwijające się sieci.

Więcej informacji o wynikach badania oraz pełen raport dostępne są na blogu.

Więcej informacji na temat oferty producenta udziela Artur Madejski (artur.madejski@veracomp.pl, tel.: 609 801 014), Product Manager marki Fortinet w Veracomp.

 

Zapisz się do naszego newslettera

logo Veracomp Exclusive Networks
info@40camp.pl
Copyright © 2016 – 2024 Exclusive Networks Poland Polityka Prywatności
Realizacja: Bitubi
cross