Търсене
Close this search box.

Атаките от типа „нулев ден“ и във веригата на доставките нарастват, а MFA остава недостатъчно използван

Атаките от типа „нулев ден“ продължават да ескалират, случаите на масово компрометиране на веригата за доставки се увеличават, а ние все още не използваме адекватно MFA. Няма непосредствени признаци за подобрение, смятат от Rapid7.

Целта на подробностите в докладите на доставчиците на системи за сигурност е да се обосноват изводите. За нас са важни именно изводите. За да ги разберем по-добре, SecurityWeek разговаря с Кейтлин Кондън, директор на отдела за управление на уязвимостите в Rapid7 и съавтор на доклада на фирмата „2024 Attack Intelligence Report“ (PDF).

Двa ключови извода от 2023 г. са продължаващото нарастване на броя на експлойтите от типа „нулев ден“ и увеличаването на масовите компрометиращи събития – често комбинирани. „За втори път в рамките на три години наблюдаваме увеличение на броя на събитията за масово компрометиране“, казва Кондън. Веднага се сещаме за MOVEit (експлоатиран в края на май, известен в началото на юни 2023 г.), Barracuda ESG (вероятно експлоатиран за първи път през 2022 г., но масово – през 2023 г.) и Citrix Bleed (експлоатиран от август 2023 г.). Това вече е известно – атаките по веригата на доставки се увеличават от много години.

Но, добавя Кондън, „видяхме, че повече от тези събития възникват от уязвимости от нулев ден, отколкото от уязвимости от n-дневен тип. Така че повече от половината от новите CVE за широко разпространени заплахи до началото на 2024 г. са били експлоатирани, преди доставчиците да са имали възможност да въведат поправки и със сигурност преди някой да е имал възможност да ги закърпи. Тази тенденция е доста устойчива през последните три години.“

Изводът е ясен. Масовите компрометирания на веригата за доставки чрез незащитими уязвимости от типа „нулев ден“ вероятно ще продължат до 2024 г. Можем само да се опитаме да подобрим защитата си, защото не можем да очакваме намаляване на уязвимостите от типа „нулев ден“ – това предлагане няма да намалее.

За да разберем нарастващата наличност на уязвимостите от типа нулев ден, трябва да разгледаме нарастващия професионализъм на киберпрестъпните банди и да го сравним с легитимния бизнес свят. Доставчиците на практика купуват нулеви дни от ловците на грешки, за да могат да ги отстранят, преди да бъдат използвани. (Тук може да има една уговорка, към която ще се върнем.) Помислете за огромния успех на организации като Bugcrowd и HackerOne в откриването на тези грешки.

Престъпниците могат да направят същото. „Можем да предположим, че криминалните хакери могат да намерят подобен обем“, казва Кондън. „Това работи, защото е много изгодно както за бандите, така и за веригите за доставки, които ги захранват. Ако сте банда за изнудване с няколко успеха, разполагате със значителна сума пари в брой, за да купите експлойт от  нулев ден, или десет или двадесет, от тъмната мрежа.“

С това ниво на налични ресурси, продължава тя, „не е задължително сами да разработвате нулеви дни – въпреки че съм сигурна, че те вероятно правят и това“.

Връщаме се към този възможен кодификатор. Не е непознато сред ловците на бели награди мнението, че привлекателността на програмите за награди е в това, че доставчиците „купуват“ и крият уязвимости. Плащането обикновено е обвързано с условието ловецът да се съгласи с клауза за неразкриване на информация. Дълбоко в доклада на Rapid7 се намира неочакван параграф.

„Според нашия опит все по-често се случва доставчиците да закърпват тихомълком проблеми със сигурността, като задържат съобщенията и описанията на CVE до дни или седмици по-късно. Дори и тогава все повече доставчици изглежда умишлено замъгляват подробностите за уязвимостите, отказвайки да публикуват информация за първопричината и вектора на атаката въз основа на разбираемото, но погрешно убеждение, че неяснотата възпира противниците и намалява риска за репутацията на производителите на софтуер.“

Изглежда, че някои доставчици действат в пряка противоположност на правителствените искания за по-голяма прозрачност – и може би има повече нулеви и n-дневни уязвимости, известни на атакуващите, отколкото ни се струва. Кондън се колебаеше да предложи възможни причини за това отношение, но предположи, че то може да се дължи на различните мотиви на правителствата и доставчиците – особено на публичните доставчици с акционери.

„Едната мотивировка се опитва да гарантира, че информацията се разпространява широко, стига да не компрометира допълнително националната сигурност“, предположи тя. „А другата се опитва да защити активите и репутацията си. И тези две мотивации не е задължително да имат нещо общо с това дали споделяте информация или не, но те могат да бъдат рамки, които не стимулират същото ниво на споделяне.“

Най-големият извод от доклада на Rapid7 е, че нападателите стават все по-усъвършенствани, по-добре въоръжени и по-бързи. Нищо не подсказва, че това ще се промени. Изправени пред тази нарастваща заплаха, проактивните коригиращи действия стават от съществено значение. Години наред ни убеждаваха да приемем, че има пробив, и да сме готови да реагираме. Съсредоточихме защитата си вътре в мрежата в ущърб на периферията.

Нападателите разбират това и през последните няколко години увеличиха атаките срещу по-слабо защитени крайни устройства, откъдето могат да се прехвърлят в самата мрежа. „Събитията за масово компрометиране, произтичащи от експлоатиране на крайни мрежови устройства, са се увеличили почти двойно от началото на 2023 г., като 36% от всички широко експлоатирани уязвимости през 2023 г. се срещат в технологиите на периметъра на мрежата“, се казва в доклада. Откриването и реагирането вече не са достатъчни – върна се значението на превенцията, особено на границата.

Но ако има един основен защитен извод от доклада на Rapid7, той е следният: „Повече от 40% от инцидентите, разследвани от Rapid7 през 2023 г., са резултат от липсващо или непоследователно прилагане на MFA, особено при VPN, VDI и SaaS продукти.“

„Не е задължително да знаем подробностите“, казва Кондън. „Дали тези организации наистина не са имали MFA? Дали просто не са го конфигурирали правилно? Или пък не са го прилагали? Но, да, със сигурност забавя много атаки и може да спре някои от тях.“

Струва си да се разгледа MFA (и многопластовата сигурност като цяло) като аналог на дългогодишната концепция на физическата полиция за превенция на престъпността чрез дизайн на околната среда (CPTED): сградата, която е цел на атаката, се прави възможно най-непривлекателна. Случайният взломаджия ще се премести в нещо по-малко трудно.

В тази аналогия МФУ укрепва входната врата – може би подобно на второ (биометрично?) входно устройство и аларма, която ви съобщава, че някой неочакван и неоторизиран човек се опитва да влезе. MFA няма да спре решителния нападател от националната държава, който разполага с булдозер, но това не е оправдание да не се възпират по-многобройните и по-малко сложни престъпници.

 

 

 

Източник: По материали от Интернет

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
14 юни 2024

Как да повишим киберсигурността на компаниите з...

Технологичният пейзаж се променя бързо, което поставя нови предизви...

Заплахата от подмяна на SIM карти продължава

Въпреки че измамите с подмяна на SIM карти или смяна на SIM карти с...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
12/06/2024

Съвети за отпускарския сезон

Лятото чука на вратата и се...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!