През 2022 г. атаките за отказ на услуга продължиха да доминират в пейзажа на заплахите, но нарушенията – тези инциденти със сигурността, които доведоха до потвърдена загуба на данни – по-често включваха системни прониквания, основни атаки на уеб приложения и социално инженерство.

От повече от 16 300 инцидента със сигурността, анализирани в „Доклад за разследванията на нарушения на сигурността на данни за 2023 г.“ на Verizon, над 6250, или 38%, са били атаки за отказ на услуга, а почти 5200, или 32%, са били потвърдени нарушения на сигурността на данни. Въпреки че атаките за отказ на услуга са били разрушителни, докато не са били смекчени – голяма част от данните в доклада идват от доставчици на защита от DOS, а не от жертви – нарушенията на данните чрез проникване в системата, компрометиране на уеб приложения и социален инженеринг обикновено водят до значителни въздействия върху бизнеса.

Двата основни типа атаки в доклада – DOS атаки и системни прониквания – са насочени към различни части от триадата CIA (Confidentiality, Integrity, Availability). Системните прониквания обикновено засягат поверителността и целостта, докато атаките за отказ на услуга са насочени към наличността, казва Ерик Галинкин, главен изследовател във фирмата за управление на уязвимости Rapid7.

„В крайна сметка използването на DDoS е за оказване на натиск върху целта и принуждаването ѝ да се съсредоточи върху възстановяването на наличността“, казва той. „Това може да се използва като част от кампания за изнудване, за отвличане на вниманието на целта от едновременни опити за компрометиране или дори като самостоятелна тактика за нарушаване на работата на някоя цел.“

Данните подчертават разликите в дейностите по заплахите, които се превръщат в забележителни инциденти, и тези, които причиняват реални вреди на компаниите. Според доклада щетите, причинени от средния инцидент с ransomware, който представлява 24% от всички нарушения, са се удвоили до 26 000 долара. За разлика от тях само четири от 6248 инцидента с отказ на услуга са довели до разкриване на данни, се посочва в „Доклад за разследванията на нарушения на сигурността на данните за 2023 г.“.

Докладът подчертава и факта, че макар моделите да са информативни, те могат и да варират в широки граници, казва Джо Галоп, мениджър по анализ на разузнаването в Cofense, компания за сигурност на електронната поща.

„Всеки инцидент е различен, поради което е много трудно да се изготви изчерпателен и изключителен, но подробен набор от категории инциденти“, казва той. „Поради припокриването на различните методи и възможността за циклично протичане на верига от атаки между дейности, които могат да попаднат в няколко категории, е изключително важно да се поддържа цялостен подход към сигурността.“

Повече намеси в системата, поради повече рансъмуер

Най-често срещаният модел в категорията „Системни прониквания“ е злонамерен софтуер, инсталиран на компютър или устройство, следван от ексфилтрация на данни и накрая – атаки срещу наличността на системата или данните – все отличителни белези на атаките с рансъмуер. Всъщност според DBIR рансъмуерът представлява повече от 80 % от всички действия в категорията „проникване в системата“.

Поради продължаващата популярност на ransomware моделът за проникване в системата трябва да бъде този, върху чието откриване компаниите се фокусират, казва Дейвид Хилендър, старши мениджър по разузнаване на заплахите във Verizon.

„Основната причина, поради която проникването в системата се издигна до върха, е фактът, че това е моделът, в който се намира ransomware“, казва той. „Тъй като ransomware продължава да бъде повсеместно разпространен сред организации от всякакъв размер, вертикали и географски местоположения, моделът за проникване в системата продължава да расте.“

Въпреки това други вектори на атаки също водят до пробиви, включително основни уеб атаки и социално инженерство. Една четвърт (25%) от нарушенията са причинени от основни атаки на уеб приложения, а 18% от нарушенията са причинени от социално инженерство. А в категорията „проникване в системата“ атаките чрез уеб приложения представляват една трета от всички атаки, довели до проникване в системата.

Служителите са от решаващо значение за защитата

Инцидент, който започва като социално инженерство, може бързо да се превърне в проникване в системата с напредването на веригата от атаки. Всъщност смесването на инциденти прави защитата на системите и данните от пробиви са много цялостна картина, казва Галинкин от Rapid7.

Защитната стратегия зависи и от това какво ценят организациите. В сферата на здравеопазването DDoS атаката обикновено засяга ресурсите, насочени към обществеността, като например портали за плащане или планиране, които са от критично значение, но може да не засегне основната функционалност на грижите за пациентите, казва той.

„Нещата, които отделната организация цени, могат да варират в широки граници“, казва Галинкин. „Затова е важно организациите да обмислят кои са най-важните им ресурси и активи и след това да преценят как различните заплахи могат да бъдат насочени към тези ресурси. В крайна сметка това ще даде информация за най-добрата защита.“

И все пак, тъй като социалният инженеринг има толкова широк обхват при различните видове нарушения, служителите са критична част от защитния пъзел, казва Галоп от Cofense.

„Тъй като 74% от всички нарушения в доклада включват човешки елемент, справянето с човешките уязвимости е от решаващо значение“, казва той. „Служителите трябва да бъдат обучени да се отнасят скептично към опитите за социално инженерство, да разпознават подозрителни връзки и никога да не споделят идентификационни данни.“