McAfee: тренды кибербезопасности 2022

Эксперты по информационной безопасности из компании, недавно образованной путем слияния McAfee Enterprise и FireEye, представили свое видение ландшафта угроз в 2022 г., а также потенциального влияния этих новых или развивающихся угроз на предприятия, государства и простых граждан.

За последний год кибепреступники научились быстрее и эффективнее адаптировать свои тактики для новых схем нападений, в том числе с использованием программ-вымогателей и привлечением хакеров спецслужбами. Ожидается, что в будущем году эти тенденции сохранятся, а методы злоумышленников станут еще более изощренными. В связи с развитием ландшафта угроз и продолжающейся пандемией компаниям крайне важно отслеживать тренды кибербезопасности, чтобы своевременно принимать меры по защите своих данных.

Итак, каких киберугроз следует опасаться в 2022 г.?

1. Атаки с использованием социальных сетей

В ходе атак, санкционированных властями государств (NSN, nation state notification), будут активнее использоваться социальные сети. Для многих людей последние являются важной частью профессиональной деятельности и личной жизни. Со своей стороны киберпреступники активно используют распространенную привычку принимать приглашения в друзья от совершенно незнакомых людей, чтобы увеличить количество подписчиков.

В результате группы хакеров все чаще обращаются к сотрудникам компаний с предложениями трудоустройства, к примеру. Для них это эффективный способ обойти традиционные средства безопасности и напрямую пообщаться с потенциальными сообщниками или жертвами, работающими в компаниях, которые злоумышленники выбрали в качестве мишеней. Кроме того, кибергруппы могут использовать личные сообщения для захвата учетных записей инфлюенсеров и публикации своих постов в аккаунтах жертв.

Хотя данный подход не новый, он применяется почти так же широко, как альтернативные каналы. Конечно, киберпреступнику потребуется найти и изучить дополнительную информацию, чтобы начать беседу с жертвой, да и создание фиктивной учетной записи может отнять немало времени. Тем не менее, целевые атаки на конкретных лиц доказали свою эффективность, поэтому масштабы применения этого вектора будут только увеличиваться – к нему будут обращаться не только группы, занимающиеся шпионажем, но и другие злоумышленники, которые стремятся получить доступ к какой-либо организации с преступной целью.

2. Спецслужбы участят нападения на другие страны за счет привлечения кибепреступников

Одной из обнаруженных специалистами тенденций является увеличение доли совместных операций киберпреступников и спецслужб иностранных государств.

Во многих случаях для этого создается стартап, а затем появляется целая сеть подставных или действующих «технологических» компаний, которые работают под руководством министерств национальной безопасности и государственных служб разведки.

Так, в мае правительство США предъявило обвинения четырем гражданам КНР, которые работали на подставные государственные компании. Эти компании оказывали поддержку хакерам в разработке вредоносного ПО и атаках с целью получения деловой информации, коммерческих тайн и конфиденциальных технологических сведений.

И если в прошлом у конкретного семейства программ-вымогателей всегда был автор – группа хакеров из определенного государства, то сейчас, когда их нанимают для написания кода и проведения атак, эти четкие границы постепенно стираются.

При первом проникновении в систему могут использоваться тактики и инструменты, характерные для «обычных» киберпреступников. Однако важно наблюдать за развитием событий и своевременно принимать меры. В 2022 г. различие между обычными киберпреступниками и хакерами, работающими на спецслужбы, продолжит стираться, поэтому компаниям необходимо проанализировать свое положение в отрасли и изучить тактики действующих в ней злоумышленников.

3. Материально независимые группы киберпреступников разделят власть в экосистеме RaaS

Уже несколько лет атаки с использованием программ-вымогателей широко освещаются в СМИ как имеющие наиболее серьезные последствия. В свое время модель «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS) позволила начать карьеру множеству начинающих киберпреступников, что вызвало рост числа взломов и получения незаконной прибыли.

Администраторы и разработчики RaaS долгое время считались главными виновниками проблемы. Правоохранительные органы практически не обращали внимания на их сообщников, не обладающих значительными навыками. На фоне отсутствия технологических прорывов в экосистеме RaaS эта ситуация позволила тем самым «менее способным сообщникам» успешно развиться и стать очень компетентными киберпреступниками с собственными целями и задачами.

После атаки на трубопроводную систему Colonial Pipeline популярные среди киберпреступников форумы запретили рекламу программ-вымогателей. Теперь у групп RaaS нет независимой платформы для активного набора сотрудников, демонстрации своих возможностей, поиска посредников для хранения средств, тестирования бинарного кода модераторами или разрешения споров. Им труднее доказывать свою состоятельность, а разработчикам RaaS – удерживать лидирующие позиции в сообществе киберпреступников.

За последние годы программы-вымогатели принесли их создателям прибыль, исчисляемую миллиардами долларов. Рано или поздно найдутся люди, которые посчитают, что они непременно должны получить свою долю.

В 2022 г. ожидается появление новых материально независимых групп киберпреступников, после чего ведущее положение в экосистеме RaaS перейдет от тех, кто контролирует ПО, к тем, кто контролирует сети компании-жертвы.

4. После упомянутого передела власти в сфере RaaS менее квалифицированные операторы получат больше свободы

Экосистема Ransomware-as-a-Service развивалась благодаря появлению сообщников и посредников, сотрудничавших с разработчиками за долю прибыли. Эта организационная структура приобрела оптимальный вид в эпоху GandCrab, однако сегодня мы наблюдаем первый раскол в этом союзе.

Первоначально вся власть в этом альянсе принадлежала разработчикам, которые самостоятельно выбирали сообщников и даже проводили собеседования, чтобы определить уровень их технической подготовки. Чем больше игроков появлялось на рынке программ-вымогателей, тем выгоднее сообщники могли продать свои услуги. При этом они договаривались не только о повышенной доли прибыли, но и об учете их мнения при принятии решений. Например, функция составления списков Active Directory в программе-вымогателе DarkSide, возможно, ставила задачу нивелировать необходимость в высоком уровне технической грамотности сообщников. Эти перемены – признак возможного возврата к более ранним этапам становления программ-вымогателей, когда спрос на менее квалифицированных операторов, полностью полагающихся на опыт разработчиков ПО, был особенно высок.

5. Передача 5G- и IoT-трафика между сервисами API и приложениями делает их особенно привлекательными мишенями

Злоумышленники отслеживают корпоративную статистику и тренды, чтобы выявить сервисы и приложения с повышенным риском. Все типы облачных приложений (SaaS, PaaS и IaaS) стали источником качественной трансформации API на уровне планирования, потребления и применения разработчиками ПО в любых сценариях – B2B или B2C. Охват и популярность ряда облачных приложений, бесчисленные «сокровища» в виде критически важных для бизнеса данных, а также возможности указанных API делают их очень привлекательной мишенью для киберпреступников. Наличие API изначально предполагает связь с другими системами, что создает дополнительные риски для бизнеса. Эти интерфейсы часто становятся вектором для более обширных атак на цепочки поставок.

Судя по последним данным, более 80% всего интернет-трафика приходится на сервисы на базе API. Такая вездесущесть привлекает разработчиков вредоносного ПО, которые планируют атаки на API для получения максимальной прибыли.

Многофункциональные API давно эволюционировали из простого связующего ПО в полноценные приложения, на которых основана работа большинства современных потребительских приложений. Приведем несколько примеров:

• Мобильные приложения 5G. Связь 5G и развертывание конечных устройств IoT обслуживают растущую потребность в дополнительных возможностях подключения;
• Интернет вещей. По прогнозам, к 2025 г. в мире будут работать более 30,9 млрд. устройств IoT. В 2021 г. объем рынка промышленного IoT увеличится до 124 млрд. долл.;
• Пакеты динамических офисных программ онлайн-формата. К 2026 г. объем глобального рынка облачного офисного ПО достигнет 50,7 млрд. долл.

В большинстве случаев атаки на API остаются незамеченными, поскольку эти интерфейсы считаются доверенными каналами, к которым не применяются средства управления и обеспечения безопасности достаточного высокого уровня.

По прогнозам экспертов, особую актуальность в будущем приобретут следующие ключевые риски:

1. нежелательное раскрытие информации из-за неправильной настройки API;
2. эксплуатация современных механизмов аутентификации, например, Oauth/Golden SAML для доступа к API и устойчивого нахождения в атакуемых средах;
3. развитие традиционных атак с использованием вредоносного ПО для проникновения в систему и распространение в ней через облачные API, например, Microsoft Graph API. Примеры такого применения – недавние атаки SolarWinds и APT40/Gadolinium;
4. потенциальное незаконное использование API для захвата корпоративных данных, например, за счет внедрения программы-вымогателя в облачное хранилище типа OneDrive и т.д.;
5. использование API в программно-определяемой инфраструктуре также создает опасность ее полного захвата или создания теневой инфраструктуры с незаконными целями.

Видимость использования приложений и работы API должна стать приоритетом для организаций. Конечная цель – инвентаризация всех используемых API с учетом рисков и действенная политика контроля доступа к этим сервисам. Не менее важно обеспечить видимость элементов инфраструктуры, не связанных с пользователями, например, учетных записей служб и принципов работы приложений, которые интегрируют API в более широкую корпоративную экосистему.

Разработчикам API необходимо создать эффективную модель предупреждения угроз и внедрить механизм контроля доступа с нулевым доверием. Другие важные моменты – организация безопасного входа в систему и применение телеметрии для более эффективного реагирования на инциденты и обнаружение несанкционированного использования.

6. Дальнейшая эксплуатация контейнеров с приложениями приведет к захвату ресурсов конечных устройств хакерами

Фактически, контейнеры являются платформой для современных облачных приложений. Такие преимущества, как портативность, эффективность и высокая скорость, помогают организациям быстрее внедрять приложения и использовать инновационные способы управления бизнесом. Однако расширение использования контейнеров также увеличивает поверхность атаки. Какие методы могут применять хакеры, и какие группы рисков связаны с контейнерами? Эксплуатация общедоступных приложений (MITRE T1190) – метод, популярный среди киберпреступников, использующих APT и программы-вымогатели.

Организация Cloud Security Alliance (CSA) определила несколько групп рисков, связанных с образами, оркестраторами, реестрами, контейнерами как таковыми, хостовыми операционными системами и аппаратным обеспечением. Ниже представлены некоторые ключевые риски, которые, по прогнозам специалистов, будут активнее эксплуатироваться в будущем:

1. Риски оркестратора. Увеличение числа атак на уровне оркестрации – Kubernetes и связанных API, главным образом за счет ошибок в конфигурациях;
2. Риски образов или реестров. Увеличение случаев использования вредоносных или тайно внедренных образов за счет неэффективных проверок уязвимости;
3. Риски контейнеров. Увеличение числа атак на уязвимые приложения.

Более частая эксплуатация указанных уязвимостей в 2022 г. может повлечь за собой незаконное использование ресурсов с помощью вредоносного ПО для криптомайнинга, хищение данных, поддержку устойчивых атак и проникновение в хост-систему с помощью контейнеров.

Как можно защититься? В качестве мер по снижению рисков рекомендуется «встроить» безопасность в процесс DevOps за счет непрерывного контроля отсутствия ошибок в конфигурации, целостности образов и привилегий администратора. Используйте матрицу Mitre ATT&CK Matrix для контейнеров, чтобы выявить недостатки в архитектуре облачной безопасности.

7. Разработка эксплойтов для уязвимостей теперь занимает несколько часов, и с этим уже ничего не поделать… Единственное решение – экстренные патчи

Когда в 2020 г. были похищены данные 17 тыс. клиентов SolarWinds, после чего примерно 40 из них подверглись нападению хакеров, многие были шокированы масштабом взлома. К сожалению, в 2021 г. общее число скомпрометированных пользователей заметно увеличилось – на фоне крайне медленной реакции компаний на действия киберпреступников. Наглядный пример – спустя две недели после выпуска патча для ProxyLogon компанией Microsoft на 30 тыс. серверах Exchange уязвимость все еще не была устранена (по другим оценкам число серверов составило 60 тыс.).

В этом же году в Exchange обнаружилась вторая серьезная проблема – ProxyShell. В августе на следующий день после презентации Blackhat об уязвимостях Exchange Server был выпущен проверочный эксплойт (POC-эксплойт) для всех «дыр», закрытых патчами Microsoft в апреле и мае. По данным отчета Shodan, спустя неделю после появления этого эксплойта более 30 тыс. серверов Exchange оставались незащищенными – причем эти данные не давали полной картины происходящего (у специалистов Shodan не было времени, чтобы полностью просканировать Интернет). Говоря кратко, патчи были выпущены весной, но соответствующими уязвимостями еще можно было воспользоваться осенью.

Какой вывод можно сделать из всего вышесказанного? В следующем году и хакеры, и специалисты по безопасности продолжат совершенствовать свои навыки, чтобы создавать вредоносные и проверочные эксплойты в течение нескольких часов после раскрытия уязвимости. Вместе с тем, главным образом в связи с возрастанием серьезности последствий взлома, компании должны усилить бдительность и оптимизировать управление ресурсами и патчами. Им необходимо выявить общедоступные активы и внедрять «заплаты» в кратчайшие сроки, невзирая на возможные неудобства для работы бизнеса. Оперативное применение патчей должно стать одной из приоритетных задач. Хотя полностью исключить эксплуатацию уязвимостей с серьезными последствиями нельзя. Следует понимать, что чем больше организаций будут неукоснительно выполнять базовые правила, тем меньше будет масштаб кибератак.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365