От нарастващата сложност на експлойтите от типа „нулев ден“ до укрепването на съюзите на националните държави и киберпрестъпниците – 2024 г. предостави още доказателства за това колко бързо продължава да се развива пейзажът на заплахите. Годината затвърди тежки истини за упоритостта на нападателите и системните предизвикателства пред защитата. Поглеждаме назад към някои от събитията, които определиха 2024 г., и към тактическите прозрения, които екипите по сигурността могат да приложат, за да останат на терен в продължаващата битка през 2025 г.
Изследователите на заплахи продължиха да наблюдават увеличение на броя на нулевите дни през годината. Неотдавнашен анализ на Mandiant на 138 уязвимости, които са били разкрити през 2023 г., установи, че по-голямата част от тях (97) са били експлоатирани като нулеви дни – увеличение спрямо 2022 г. Том Келерман, старши вицепрезидент по киберстратегиите в Contrast Security, очаква този брой да се увеличи през 2024 г.
Ръстът е пряк резултат от геополитическото напрежение, казва той. Националните държавни субекти, особено Китай, използват тези видове уязвимости с безпрецедентни темпове.
„Специално китайците правят огромни проучвания в областта на използването на нулеви дни и откриването им“, казва Келерман. „Мисля, че всички са на опашката, когато се справят с това, защото традиционните защити за киберсигурност не могат да осуетят тези атаки.“
Нарастването на този вид атаки включва нова тенденция през 2024 г.: сътрудничество или координация между национални държави и киберпрестъпни групировки, казва Стефан Джоу, старши директор на отдела за анализ на сигурността в OpenText Cybersecurity.
„При този модел атака с характеристики на национална държава се извършва едновременно или непосредствено след атака срещу същата цел от независима заплаха с идеална цел. Забелязано е например, че Русия си сътрудничи с банди за зловреден софтуер като услуга, включително Killnet, LokiBot, Gumblar, Pony Loader и Amadey. Китай е влязъл в подобни отношения с киберпрестъпните групировки Storm-0558 и Red Relay, обикновено в подкрепа на геополитическия си дневен ред в Южнокитайско море.“
Честър Вишневски, главен технически директор за глобалната област в Sophos, казва, че спонсорираните от Китай нападатели са разработили асемблирани експлойти от типа „нулев ден“, които се споделят чрез законите за разкриване на информация, изисквани от държавата. Първоначално нападателите са използвали нулевите дни в целенасочени атаки, след което са ги ескалирали до широко разпространена експлоатация, за да прикрият следите си. Проактивното управление на кръпките и сътрудничеството между доставчиците и организациите за намаляване на заплахите е от решаващо значение, казва той.
„Истинският проблем е натрупването на неща, които не се поправят“, казва Вишневски. „Ние просто продължаваме да пускаме все повече оборудване в интернет. То става все по-замърсено, а никой не носи отговорност да се погрижи за него.“
Джоу се съгласява и казва, че поуката тук е, че защитата срещу дори сложни атаки се връща към едни и същи основи: управление на кръпките, защита на крайните точки, сигурност на електронната поща, обучение за повишаване на осведомеността и планиране на архивирането и възстановяването след бедствие.
„Като се уверят, че тези не толкова бляскави, но съществени най-добри практики са налице, екипите по сигурността могат да лишат заплахите от много от любимите им тактики за злоупотреба с мрежи и предприятия“, казва той.
Атаките с рансъмуер през 2024 г. подчертаха крехкостта на веригите за доставки и непрекъсваемостта на бизнеса. Операторите на рансъмуер сега се насочват към доставчиците на услуги и мрежите на веригите за доставки, казва Вишневски. Кибератака срещу Ahold Delhaize, компанията майка на големи американски вериги супермаркети, включително Stop & Shop, Hannaford, Food Lion и Giant Food, наруши услугите в мрежата ѝ през ноември, като засегна повече от 2000 магазина. В продължение на няколко дни клиентите имаха проблеми с онлайн доставката на хранителни стоки, офлайн уебсайтовете и ограничените аптечни услуги.
Усъвършенстването на стратегиите за непрекъсваемост на бизнеса, така че да включват съвременни инструменти за сегментиране, може да помогне да се сведат до минимум оперативните смущения по време на инциденти, казва Вишневски.
„Когато една част от веригата за доставки се срине, това се отразява на хиляди предприятия“, казва той. „Това засилва икономическия и оперативния натиск за изпълнение на изискванията на нападателите. Не можете да планирате никога да не се провалите, но можете да планирате да се провалите грациозно.“
Друг водещ инцидент, свързан с непрекъсваемостта на бизнеса през тази година, беше прекъсването на CrowdStrike. През юли компанията пусна дефектна актуализация на софтуера, която засегна приблизително 8,5 млн. устройства с операционна система Windows. Грешката предизвика широко разпространени сривове на системата, които доведоха до множество смущения, особено в туристическата индустрия. Delta Air Lines беше принудена да отмени хиляди полети поради нарушения в работата на системата.
Събитието доминираше в новинарските емисии в продължение на няколко дни. След него анализаторите изтъкнаха критичната необходимост от по-добро спазване на процесите и видимост. Но Дрор Лиуер, съосновател на Coro, казва, че това събитие също така подчертава необходимостта лидерите в областта на сигурността да комуникират ефективно с различни заинтересовани страни – технически екипи, бизнес ръководители или външни лица – когато управляват последиците от мащабен инцидент.
През 2024 г. атаките срещу критичната инфраструктура достигат нови нива. През септември Агенцията за киберсигурност и инфраструктурна сигурност (CISA) издаде съобщение, че управляваните от правителството водни системи са изложени на риск от атаки от страна на национални държави, след като служители съобщиха за проблем с киберсигурността на съоръжение в Арканзас Сити, Канзас, което беше принудено да премине към ръчни операции, докато ситуацията бъде разрешена.
Бари Майнц, главен изпълнителен директор на Forescout, казва, че кибератаките се развиват и са насочени към критични услуги, като например общинските органи за водоснабдяване и летищните системи за кацане. Тази година стана ясно, че нападателите изместват фокуса си от добре защитените съоръжения към по-уязвимите системи нагоре по веригата, като водоснабдяването и електропреносните мрежи, казва той.
„Ако просто намалите малко мащаба и погледнете къде са уязвимостите, лошите казват: „Е, сега е много по-трудно, тъй като хората харчат пари, за да защитят определени ИТ функции. Ще слезем малко по-надолу по хранителната верига“, казва Майнц.
Едно от основните предизвикателства при осигуряването на критичната инфраструктура е присъщата сложност на оперативните среди. Много промишлени системи работят с наследено оборудване, което никога не е било проектирано с оглед на киберсигурността. Освен това често липсва видимост към свързаните устройства в тези среди, което може да направи откриването на заплахи изключително трудно.
„Мисля, че поуката е, че трябва да инвестираме в стратегия за киберсигурност не само за ИТ системите, но и за системите за ОТ“, казва Майнц. „И също така трябва да мислим структурно за това как да управляваме тези системи, защото хората, които всъщност управляват тези операционни системи, не са ИТ специалисти.“
По-добрият подход, казва той, включва внедряване на усъвършенствани инструменти за мониторинг и откриване на заплахи, както и насърчаване на сътрудничеството между ИТ и ОТ екипите. Чрез премахване на силозите и подобряване на комуникацията организациите могат по-добре да отговорят на уникалните изисквания за сигурност на критичната инфраструктура. Майнц изтъкна значението на партньорствата между правителството и частния сектор за укрепване на защитата.
Завършваме 2024 г. с новината, че Salt Typhoon, група за кибершпионаж, за която се твърди, че е свързана с китайското правителство, успешно е проникнала в телекомуникационни мрежи в множество държави. Само в САЩ служителите на ФБР твърдят, че са били компрометирани най-малко осем големи телекомуникационни компании, включително AT&T, Verizon и Lumen Technologies. Групата е получила достъп до чувствителни данни, като например дневници на обажданията, некриптирани текстови съобщения, а в някои случаи и аудиозаписи на разговори на живо. ФБР препоръча на американците да използват криптирани приложения за съобщения, като Signal и WhatsApp, за да гарантират, че комуникациите им ще останат скрити.
Продължаващите проблеми, свързани с нападателите от националните държави и използването на телекомуникациите от тяхна страна, са едно от най-големите му притеснения, когато се насочва към 2025 г., казва Келерман. Той посочва и придобиването на Sprint от T-Mobile през 2020 г., което според него е обезпокоително, защото „Sprint е била класифицираната опорна мрежа на правителството на САЩ“. Това означава, че ако в инфраструктурата на T-Mobile има уязвимости в сигурността, те потенциално биха могли да компрометират чувствителни правителствени комуникации или системи, които са били част от наследената мрежа на Sprint.
„Мисля, че хората пренебрегват това и не обръщат пълно внимание“, казва той.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
