Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Багатофакторна аутентифікація важлива для кіберзахисту як ніколи

2022-02-11
Автор: Телесфера

 

Група боротьби з кіберзагрозами Cisco Talos Incident Response (CTIR) розповіла про головні події на ринку кібербезпеки в 2021 році. На тлі пандемії, яка спричинила за собою низку специфічних проблем ІБ, фахівцям з ІБ довелося мати справу зі зростаючим колом зловмисників, що промишляють програмами-вимагачами, займаючись при цьому великими інцидентами безпеки, які торкнулися організації по всьому світу.

За даними Cisco Talos, минулого року:

  1. найбільш атакованою галуззю протягом більшої частини 2021 р. виявилося охорону здоров'я;
  2. головною загрозою року стали програми-вимагачі (шифрувальники);
  3. найчастіше атаки починалися з компрометації додатків, що мають вихід в Інтернет, та фішингу;
  4. CTIR мала справу з чотирма серйозними інцидентами ІБ:
    • атака на ланцюжок постачання SolarWinds;
    • масове використання вразливостей Microsoft Exchange Server;
    • атака хакерської групи REvil на постачальника ІТ-рішень Kaseya;
    • виявлення вразливості Log4J;
    • з чотирьох перерахованих поки що найбільш значним для клієнтів CTIR стали атаки, що використовували вразливості Microsoft Exchange, оскільки вони не припиняються досі.

Основною метою зловмисників протягом практично всього 2021 р. була охорона здоров'я, лише восени на перше місце вийшли атаки проти локальних адміністрацій. Переважно це обумовлено недостатніми засобами, які медустанови виділяють на кібербезпеку, а також надзвичайно високими вимогами до відсутності простоїв (які ще тільки посилилися у зв'язку з пандемією, що триває).

Серед усіх загроз у 2021 році домінували програми-здирники. У їх використанні спостерігалися два тренди: збільшення кількості зловмисників та зростання застосування комерційно доступних продуктів та програм з відкритим кодом.

Протягом 2020 та на початку 2021 р. найчастіше зустрічався шифрувальник Ryuk. Потім його активність почала поступово знижуватися, і в другій половині 2021 року він практично зник. Ryuk був не єдиним здирником, чия активність пішла на спад у 2021 р. Нещодавно також припинили діяти або провели ребрендинг такі сімейства, як Darkside, BlackMatter, REvil та Maze. Можливо, що саме через спад активності здирників-гігантів узимку стався сплеск різних атак, причому жодна родина не повторювалася двічі.

Одночасно з розширенням кола зловмисників, яке спостерігалося на початку осені, зросло застосування комерційних продуктів, програм з відкритим кодом та легітимних програм та компонентів операційної системи (living-off-the-land binaries, LOLBINS). Найчастіше зустрічаються: Cobalt Strike, ADFind, ADRecon, GMER, Bloodhound/Sharphound, PowerShell, PCHunter, 7-Zip, WinRAR, Windows Management Instrumentation, RDP, Rubeus, TeamViewer.

У 2021 році, як і роком раніше, в більшості організацій реєстрація подій велася так, що в багатьох випадках встановити з точністю початковий вектор атаки не було можливим. Коли ж початковий вектор вдавалося визначити з достатньою впевненістю, на перше місце виходили фішинг та програми, що мають вихід в Інтернет.

Зростання числа успішних атак пов'язане, зокрема, з розкриттям низки великих вразливостей ПЗ, що використовується багатьма організаціями. Зокрема, це кілька проломів Microsoft Exchange, які призвели до необхідності проводити заходи щодо реагування на інциденти у багатьох організаціях.

У той же час зростання кількості фішингових атак може бути пов'язане з тим, що вони є традиційним способом для початкового зараження при використанні шифрувальників, на які припадала більша частина загроз протягом 2021 р. Крім того, восени минулого року зросла кількість компрометацій корпоративної електронної пошти що збільшило частку цього вектора у загальній картині.

На тлі стресу, викликаного роботою в умовах пандемії, і  загроз з боку шифрувальників, які постійно зростають і погіршуються,  групі CTIR довелося займатися чотирма серйозними інцидентами, які торкнулися організації в усьому світі:

  • Грудень 2020 р. Відбувається витончена атака на ланцюжок поставок, в ході якого зловмисники отримали доступ до мереж жертв через впровадження трояна в оновлення ПЗ SolarWinds Orion. Метою атаки були численні великі підприємства та держструктури США;
  • Березень 2021 CTIR займається множинними атаками, пов'язаними з низкою неусунених уразливостей Microsoft Exchange Server;
  • Липень 2021 р. Група хакерів-вимагачів REvil атакує компанію Kaseya, яка розробляє ІТ-рішення для постачальників керованих послуг (managed service providers, MSP). Так як метою REvil були провайдери, які управляють ІТ-послугами замовників, атака вразила щонайменше 1500 організацій;
  • Грудень 2021 р. Зловмисники починають сканувати та використовувати критичну вразливість віддаленого виконання коду у популярній бібліотеці Apache Foundation Log4j.

У 2021 р., у розпал атак програм-здирників, CTIR виступила із заявою про відсутність багатофакторної аутентифікації (БФА) як однієї з головних перешкод на шляху до забезпечення ІБ підприємства. CTIR часто стикається з інцидентами, яким можна було б запобігти при включенні БФА на критичних сервісах. Тому експерти ІБ закликають організації впроваджувати БФА усюди, де це можливо.

Джерело: https://ko.com.ua/mnogofaktornaya_autentifikaciya_vazhna_dlya_kiberzashhity_kak_nikogda_140245


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).

SASE, SD-WAN і SSE розбираємось

SASE, SD-WAN і SSE розбираємось
Aruba Networks,Налаштування Aruba Instant,Блог Телесфера,Налаштування Aruba

Коли справа доходить до WAN (глобальної мережі), літера «S» відіграє ключову роль По-перше, загадка: що спільного між хмарними глобальними мережами (WAN) і зміями? Вони обидві шиплять: sssSASE, ssssSD-WAN і sssssSSE. Гаразд, я визнаю, що це було досить погано, але може виникнути велика плутанина, оскільки дуже багато абревіатур WAN починаються з літери «S».