Агентства кібербезпеки виявляють основні вектори атак на початковий доступ

Спільні рекомендації щодо безпеки, опубліковані кількома національними органами кібербезпеки, опублікували сьогодні 10 основних векторів атак, які найбільше використовують учасники загроз для злому мереж.

Рекомендація, спільно опублікована агентствами Сполучених Штатів, Канади, Нової Зеландії, Нідерландів та Великобританії, містить вказівки щодо пом’якшення цих регулярно використовуваних слабких засобів контролю безпеки, поганих конфігурацій безпеки та поганих практик.

«Кіберактори регулярно використовують погані конфігурації безпеки (невірно налаштовані або незахищені), слабкі засоби контролю та інші погані методи кібергігієни, щоб отримати початковий доступ або як частину інших тактик, щоб скомпрометувати систему жертви», – йдеться у спільній рекомендації. Зловмисники також мають кілька улюблених прийомів, які вони регулярно використовують для отримання початкового доступу до мереж своїх жертв, зокрема експлуатацію відкритих Інтернет-додатків, використання зовнішніх віддалених служб, фішинг, зловживання довірою організацій до своїх партнерів та використання вкрадених облікових даних. Далі приведено повний список 10 топ-векторів початкового доступу, на які націлені зловмисники, використовуючи вищенаведені методи злому мережі.

На першому місці стоїть відсутність багатофакторної аутентіфікації (MFA). Багатофакторна аутентіфікація, особливо для віддаленого доступу до робочого столу, може допомогти запобігти захопленню облікових записів.

Друге місце зайняли неправильно застосовані привілеї чи дозволи та помилки в списках контролю доступу. Ці помилки можуть перешкодити застосуванню правил контролю доступу і дозволити неавторизованим користувачам або системним процесам надати доступ до об’єктів.

Далі йде неоновлене ПЗ. Невиправлене ПЗ може дозволити зловмиснику використовувати загальновідомі вразливості для отримання доступу до конфіденційної інформації, запуску атаки типу «Відмова в обслуговуванні» або взяти під контроль систему.

Украй рекомендується не використовувати наданих виробником конфігурацій за замовчуванням або імен користувачів і паролів для входу за замовчуванням. Багато програмно-апаратних продуктів поставляються «з коробки» з надмірно дозволеними заводськими конфігураціями за замовчуванням, спрямованими на те, щоб зробити продукти зручними для користувачів і скоротити час усунення несправностей для обслуговування клієнтів.

Треба також мати на увазі, що віддалені служби, такі як віртуальна приватна мережа (VPN), не мають достатнього контролю для запобігання несанкціонованому доступу. Протягом останніх років спостерігається зловживання зловмисниками, спрямованими на віддалені служби.

Потрібно реалізувати політику надійних паролів. Зловмисники можуть використовувати безліч методів для використання слабких, витоків або зламаних паролів і отримання несанкціонованого доступу до системи жертви.

Дбайте про захист хмарних служб. Неправильно налаштовані хмарні сервіси є типовою метою для кіберакторів. Погані конфігурації можуть призвести до крадіжки конфіденційних даних і навіть криптоджекінгу.

Запобігайте появи в Інтернеті відкритих портів та неправильно налаштованих служб. Це одна з найпоширеніших вразливостей. Кіберактори використовують інструменти сканування для виявлення відкритих портів і часто використовують їх як початковий вектор атаки.

Слабкістю є також неможливість виявити або заблокувати спроби фішингу. Кіберактори надсилають електронні листи зі шкідливими макросами — насамперед у документах Microsoft Word або файлах Excel — для зараження комп’ютерних систем.

Якщо виявлення кінцевої точки та відповідь погані, кіберактори можуть використати заплутані шкідливі сценарії та атаки PowerShell, щоб обійти контроль безпеки кінцевої точки та почати атаки на цільові пристрої.

Спільна рекомендація також містить короткий список найкращих методів захисту мереж від атак, спрямованих на вказані вище слабкі засоби контролю безпеки, погані конфігурації та погані методи безпеки.

Він включає використання контролю доступу, посилених облікових даних (включаючи MFA та зміну паролів за замовчуванням), централізоване керування журналами, а також антивірусні засоби та засоби виявлення (включаючи системи виявлення та запобігання вторгненням).

Організаціям також рекомендується завжди переконатися, що загальнодоступні служби використовують безпечні конфігурації і що програмне забезпечення постійно оновлюється за допомогою програми керування виправленнями.

Минулого місяця в партнерстві з АНБ і ФБР органи кібербезпеки Five Eyes також опублікували список з 15 найбільших уразливостей, які регулярно використовували зловмисники протягом 2021 року.

CISA і ФБР у співпраці також опублікували список найбільш часто використовуваних недоліків безпеки в період з 2016 по 2019 роки, а також один із найпопулярнішими помилками у 2020 році.

І останнє, але не менш важливе, у листопаді MITRE поділилася списком найнебезпечніших недоліків програмування, дизайну та архітектури, які переслідували апаратне забезпечення в 2021 році, і одним із 25 найпоширеніших і небезпечних недоліків програмного забезпечення протягом 2019 та 2020 років.