„Живот без доверени услуги“ (LOTS) се превръща в неразделна част от много кибератаки

Киберзаплахите все по-често включват легитимни услуги във веригата на атаките си, предупреждават изследователи.

В последния си доклад за разузнаване на заплахите платформата за сигурност на електронната поща Mimecast заяви, че през втората половина на 2024 г. е сигнализирала за над 5 млрд. заплахи.

Mimecast определи нарастващата тенденция на атаки от типа „living off trusted services“ (LOTS) като най-значимата си констатация за периода, тъй като нападателите все по-често включват легитимни ИТ инструменти в своите TTP, за да избегнат откриване.

Компанията отбеляза, че този подход е особено полезен за заобикаляне на неотдавнашния стремеж на индустрията за сигурност да повиши нивата на удостоверяване, изисквани за достъп до корпоративни акаунти.

„Докато технологиите усложняват атаките им, нападателите продължават да намират услуги, с които да преминат проверките за удостоверяване и привеждане в съответствие“, се обяснява в доклада.

Mimecast заяви, че значителен брой от тези заплахи се възползват от големите доставчици на облачни услуги за широк спектър от своите атаки, но също така използват отделни аспекти на други облачни услуги за специфични части от веригата на поразяване.

„Облачните услуги на Microsoft, Google и Evernote често играят ролята на хостове за полезните товари и целевите страници на заплахите“, предупреждава докладът.

„Други облачни услуги обаче често се използват за специфични компоненти на структурата на атаката: Услугите на Cloudflare Turnstyle CAPTCHA редовно се използват за предотвратяване на анализа на заплахите.“

Но се добавя, че тъй като тези по-големи доставчици работят за изкореняване на злоупотребите с техните платформи, се наблюдава, че нападателите използват по-малки услуги от доставчици като Airtable, Publuu и Wave Compliance.

Геополитически примамки, използвани за заблуда на персонала

Mimecast също така обърна внимание на това, че човешката грешка все още е най-често срещаният елемент в киберинцидентите.

Докладът предупреждава, че хората продължават да имат основна роля в успешните пробиви, като се позовава на данни от Verizon, според които 68% от успешните пробиви, които са се случили през 2023 г., са имали „незлоумишлен човешки елемент“.

Mimecast се позовава на констатации от проучване на EY, според което 34% от служителите съобщават, че се притесняват, че могат да бъдат слабото място, използвано при пробив, въпреки че 86% заявяват, че са запознати с видовете заплахи, пред които са изправени.

Докладът показва, че уизвършителите  често използват препратки към актуални геополитически събития в своите фишинг примамки, като Китай-Тайван, Южнокитайско море и дейностите на Китай, свързани с прекъсването на подводни кабели, са трите основни геополитически примамки, наблюдавани от изследователите на Mimecast.

Mimecast подробно описа редица специфични за заплахите мерки за противодействие, които да отговорят на опасенията на бизнеса, свързани с човешкия аспект на тяхната защитна позиция.

На първо място, организациите трябва да въведат стабилна рамка за управление на човешкия риск, която да съгласува както целите на сигурността, така и бизнес целите. По този начин фирмите могат да разработят „многостепенна система за реагиране, която прави разлика между неволни грешки и злонамерени действия“, съветва Mimecast.

Обучението за повишаване на осведомеността също е съществена част от всяка мярка за противодействие, но в доклада се подчертава, че персоналът трябва да бъде обучаван не само за общите киберрискове, пред които е изправен, но и за това как глобалните събития могат да повлияят на кампаниите за заплахи.

„Чрез прилагането на стабилни програми за обучение за повишаване на осведомеността и платформи за защита на потребителите от човешки рискове, организациите могат да укрепят своята човешка защитна стена както срещу конвенционалните кибератаки, така и срещу тези, които са продиктувани от геополитически мотиви“, съветва Mimecast.