Търсене
Close this search box.

Атаките от типа „нулев ден“ продължават да ескалират, случаите на масово компрометиране на веригата за доставки се увеличават, а ние все още не използваме адекватно MFA. Няма непосредствени признаци за подобрение, смятат от Rapid7.

Целта на подробностите в докладите на доставчиците на системи за сигурност е да се обосноват изводите. За нас са важни именно изводите. За да ги разберем по-добре, SecurityWeek разговаря с Кейтлин Кондън, директор на отдела за управление на уязвимостите в Rapid7 и съавтор на доклада на фирмата „2024 Attack Intelligence Report“ (PDF).

Двa ключови извода от 2023 г. са продължаващото нарастване на броя на експлойтите от типа „нулев ден“ и увеличаването на масовите компрометиращи събития – често комбинирани. „За втори път в рамките на три години наблюдаваме увеличение на броя на събитията за масово компрометиране“, казва Кондън. Веднага се сещаме за MOVEit (експлоатиран в края на май, известен в началото на юни 2023 г.), Barracuda ESG (вероятно експлоатиран за първи път през 2022 г., но масово – през 2023 г.) и Citrix Bleed (експлоатиран от август 2023 г.). Това вече е известно – атаките по веригата на доставки се увеличават от много години.

Но, добавя Кондън, „видяхме, че повече от тези събития възникват от уязвимости от нулев ден, отколкото от уязвимости от n-дневен тип. Така че повече от половината от новите CVE за широко разпространени заплахи до началото на 2024 г. са били експлоатирани, преди доставчиците да са имали възможност да въведат поправки и със сигурност преди някой да е имал възможност да ги закърпи. Тази тенденция е доста устойчива през последните три години.“

Изводът е ясен. Масовите компрометирания на веригата за доставки чрез незащитими уязвимости от типа „нулев ден“ вероятно ще продължат до 2024 г. Можем само да се опитаме да подобрим защитата си, защото не можем да очакваме намаляване на уязвимостите от типа „нулев ден“ – това предлагане няма да намалее.

За да разберем нарастващата наличност на уязвимостите от типа нулев ден, трябва да разгледаме нарастващия професионализъм на киберпрестъпните банди и да го сравним с легитимния бизнес свят. Доставчиците на практика купуват нулеви дни от ловците на грешки, за да могат да ги отстранят, преди да бъдат използвани. (Тук може да има една уговорка, към която ще се върнем.) Помислете за огромния успех на организации като Bugcrowd и HackerOne в откриването на тези грешки.

Престъпниците могат да направят същото. „Можем да предположим, че криминалните хакери могат да намерят подобен обем“, казва Кондън. „Това работи, защото е много изгодно както за бандите, така и за веригите за доставки, които ги захранват. Ако сте банда за изнудване с няколко успеха, разполагате със значителна сума пари в брой, за да купите експлойт от  нулев ден, или десет или двадесет, от тъмната мрежа.“

С това ниво на налични ресурси, продължава тя, „не е задължително сами да разработвате нулеви дни – въпреки че съм сигурна, че те вероятно правят и това“.

Връщаме се към този възможен кодификатор. Не е непознато сред ловците на бели награди мнението, че привлекателността на програмите за награди е в това, че доставчиците „купуват“ и крият уязвимости. Плащането обикновено е обвързано с условието ловецът да се съгласи с клауза за неразкриване на информация. Дълбоко в доклада на Rapid7 се намира неочакван параграф.

„Според нашия опит все по-често се случва доставчиците да закърпват тихомълком проблеми със сигурността, като задържат съобщенията и описанията на CVE до дни или седмици по-късно. Дори и тогава все повече доставчици изглежда умишлено замъгляват подробностите за уязвимостите, отказвайки да публикуват информация за първопричината и вектора на атаката въз основа на разбираемото, но погрешно убеждение, че неяснотата възпира противниците и намалява риска за репутацията на производителите на софтуер.“

Изглежда, че някои доставчици действат в пряка противоположност на правителствените искания за по-голяма прозрачност – и може би има повече нулеви и n-дневни уязвимости, известни на атакуващите, отколкото ни се струва. Кондън се колебаеше да предложи възможни причини за това отношение, но предположи, че то може да се дължи на различните мотиви на правителствата и доставчиците – особено на публичните доставчици с акционери.

„Едната мотивировка се опитва да гарантира, че информацията се разпространява широко, стига да не компрометира допълнително националната сигурност“, предположи тя. „А другата се опитва да защити активите и репутацията си. И тези две мотивации не е задължително да имат нещо общо с това дали споделяте информация или не, но те могат да бъдат рамки, които не стимулират същото ниво на споделяне.“

Най-големият извод от доклада на Rapid7 е, че нападателите стават все по-усъвършенствани, по-добре въоръжени и по-бързи. Нищо не подсказва, че това ще се промени. Изправени пред тази нарастваща заплаха, проактивните коригиращи действия стават от съществено значение. Години наред ни убеждаваха да приемем, че има пробив, и да сме готови да реагираме. Съсредоточихме защитата си вътре в мрежата в ущърб на периферията.

Нападателите разбират това и през последните няколко години увеличиха атаките срещу по-слабо защитени крайни устройства, откъдето могат да се прехвърлят в самата мрежа. „Събитията за масово компрометиране, произтичащи от експлоатиране на крайни мрежови устройства, са се увеличили почти двойно от началото на 2023 г., като 36% от всички широко експлоатирани уязвимости през 2023 г. се срещат в технологиите на периметъра на мрежата“, се казва в доклада. Откриването и реагирането вече не са достатъчни – върна се значението на превенцията, особено на границата.

Но ако има един основен защитен извод от доклада на Rapid7, той е следният: „Повече от 40% от инцидентите, разследвани от Rapid7 през 2023 г., са резултат от липсващо или непоследователно прилагане на MFA, особено при VPN, VDI и SaaS продукти.“

„Не е задължително да знаем подробностите“, казва Кондън. „Дали тези организации наистина не са имали MFA? Дали просто не са го конфигурирали правилно? Или пък не са го прилагали? Но, да, със сигурност забавя много атаки и може да спре някои от тях.“

Струва си да се разгледа MFA (и многопластовата сигурност като цяло) като аналог на дългогодишната концепция на физическата полиция за превенция на престъпността чрез дизайн на околната среда (CPTED): сградата, която е цел на атаката, се прави възможно най-непривлекателна. Случайният взломаджия ще се премести в нещо по-малко трудно.

В тази аналогия МФУ укрепва входната врата – може би подобно на второ (биометрично?) входно устройство и аларма, която ви съобщава, че някой неочакван и неоторизиран човек се опитва да влезе. MFA няма да спре решителния нападател от националната държава, който разполага с булдозер, но това не е оправдание да не се възпират по-многобройните и по-малко сложни престъпници.

 

 

 

Източник: По материали от Интернет

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!