Атаките от типа „нулев ден“ продължават да ескалират, случаите на масово компрометиране на веригата за доставки се увеличават, а ние все още не използваме адекватно MFA. Няма непосредствени признаци за подобрение, смятат от Rapid7.
Целта на подробностите в докладите на доставчиците на системи за сигурност е да се обосноват изводите. За нас са важни именно изводите. За да ги разберем по-добре, SecurityWeek разговаря с Кейтлин Кондън, директор на отдела за управление на уязвимостите в Rapid7 и съавтор на доклада на фирмата „2024 Attack Intelligence Report“ (PDF).
Двa ключови извода от 2023 г. са продължаващото нарастване на броя на експлойтите от типа „нулев ден“ и увеличаването на масовите компрометиращи събития – често комбинирани. „За втори път в рамките на три години наблюдаваме увеличение на броя на събитията за масово компрометиране“, казва Кондън. Веднага се сещаме за MOVEit (експлоатиран в края на май, известен в началото на юни 2023 г.), Barracuda ESG (вероятно експлоатиран за първи път през 2022 г., но масово – през 2023 г.) и Citrix Bleed (експлоатиран от август 2023 г.). Това вече е известно – атаките по веригата на доставки се увеличават от много години.
Но, добавя Кондън, „видяхме, че повече от тези събития възникват от уязвимости от нулев ден, отколкото от уязвимости от n-дневен тип. Така че повече от половината от новите CVE за широко разпространени заплахи до началото на 2024 г. са били експлоатирани, преди доставчиците да са имали възможност да въведат поправки и със сигурност преди някой да е имал възможност да ги закърпи. Тази тенденция е доста устойчива през последните три години.“
Изводът е ясен. Масовите компрометирания на веригата за доставки чрез незащитими уязвимости от типа „нулев ден“ вероятно ще продължат до 2024 г. Можем само да се опитаме да подобрим защитата си, защото не можем да очакваме намаляване на уязвимостите от типа „нулев ден“ – това предлагане няма да намалее.
За да разберем нарастващата наличност на уязвимостите от типа нулев ден, трябва да разгледаме нарастващия професионализъм на киберпрестъпните банди и да го сравним с легитимния бизнес свят. Доставчиците на практика купуват нулеви дни от ловците на грешки, за да могат да ги отстранят, преди да бъдат използвани. (Тук може да има една уговорка, към която ще се върнем.) Помислете за огромния успех на организации като Bugcrowd и HackerOne в откриването на тези грешки.
Престъпниците могат да направят същото. „Можем да предположим, че криминалните хакери могат да намерят подобен обем“, казва Кондън. „Това работи, защото е много изгодно както за бандите, така и за веригите за доставки, които ги захранват. Ако сте банда за изнудване с няколко успеха, разполагате със значителна сума пари в брой, за да купите експлойт от нулев ден, или десет или двадесет, от тъмната мрежа.“
С това ниво на налични ресурси, продължава тя, „не е задължително сами да разработвате нулеви дни – въпреки че съм сигурна, че те вероятно правят и това“.
Връщаме се към този възможен кодификатор. Не е непознато сред ловците на бели награди мнението, че привлекателността на програмите за награди е в това, че доставчиците „купуват“ и крият уязвимости. Плащането обикновено е обвързано с условието ловецът да се съгласи с клауза за неразкриване на информация. Дълбоко в доклада на Rapid7 се намира неочакван параграф.
„Според нашия опит все по-често се случва доставчиците да закърпват тихомълком проблеми със сигурността, като задържат съобщенията и описанията на CVE до дни или седмици по-късно. Дори и тогава все повече доставчици изглежда умишлено замъгляват подробностите за уязвимостите, отказвайки да публикуват информация за първопричината и вектора на атаката въз основа на разбираемото, но погрешно убеждение, че неяснотата възпира противниците и намалява риска за репутацията на производителите на софтуер.“
Изглежда, че някои доставчици действат в пряка противоположност на правителствените искания за по-голяма прозрачност – и може би има повече нулеви и n-дневни уязвимости, известни на атакуващите, отколкото ни се струва. Кондън се колебаеше да предложи възможни причини за това отношение, но предположи, че то може да се дължи на различните мотиви на правителствата и доставчиците – особено на публичните доставчици с акционери.
„Едната мотивировка се опитва да гарантира, че информацията се разпространява широко, стига да не компрометира допълнително националната сигурност“, предположи тя. „А другата се опитва да защити активите и репутацията си. И тези две мотивации не е задължително да имат нещо общо с това дали споделяте информация или не, но те могат да бъдат рамки, които не стимулират същото ниво на споделяне.“
Най-големият извод от доклада на Rapid7 е, че нападателите стават все по-усъвършенствани, по-добре въоръжени и по-бързи. Нищо не подсказва, че това ще се промени. Изправени пред тази нарастваща заплаха, проактивните коригиращи действия стават от съществено значение. Години наред ни убеждаваха да приемем, че има пробив, и да сме готови да реагираме. Съсредоточихме защитата си вътре в мрежата в ущърб на периферията.
Нападателите разбират това и през последните няколко години увеличиха атаките срещу по-слабо защитени крайни устройства, откъдето могат да се прехвърлят в самата мрежа. „Събитията за масово компрометиране, произтичащи от експлоатиране на крайни мрежови устройства, са се увеличили почти двойно от началото на 2023 г., като 36% от всички широко експлоатирани уязвимости през 2023 г. се срещат в технологиите на периметъра на мрежата“, се казва в доклада. Откриването и реагирането вече не са достатъчни – върна се значението на превенцията, особено на границата.
Но ако има един основен защитен извод от доклада на Rapid7, той е следният: „Повече от 40% от инцидентите, разследвани от Rapid7 през 2023 г., са резултат от липсващо или непоследователно прилагане на MFA, особено при VPN, VDI и SaaS продукти.“
„Не е задължително да знаем подробностите“, казва Кондън. „Дали тези организации наистина не са имали MFA? Дали просто не са го конфигурирали правилно? Или пък не са го прилагали? Но, да, със сигурност забавя много атаки и може да спре някои от тях.“
Струва си да се разгледа MFA (и многопластовата сигурност като цяло) като аналог на дългогодишната концепция на физическата полиция за превенция на престъпността чрез дизайн на околната среда (CPTED): сградата, която е цел на атаката, се прави възможно най-непривлекателна. Случайният взломаджия ще се премести в нещо по-малко трудно.
В тази аналогия МФУ укрепва входната врата – може би подобно на второ (биометрично?) входно устройство и аларма, която ви съобщава, че някой неочакван и неоторизиран човек се опитва да влезе. MFA няма да спре решителния нападател от националната държава, който разполага с булдозер, но това не е оправдание да не се възпират по-многобройните и по-малко сложни престъпници.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.