| +11 голос |
|
Пришло время для очередного квартального экскурса в дебри ландшафта киберугроз. Если специалисты по безопасности помещают себя в ботинки хакеров, чтобы лучше предвидеть откуда будут нанесены атаки, то злоумышленники начинают думать больше как разработчики для того, чтобы избежать обнаружения.
И в последнее время они более тщательно выбирают свои мишени, меньше полагаясь на слепой поиск уязвимых жертв. Как команды ИТ-безопасности могут идти в ногу с применяемой киберпреступниками гибкой разработкой, выявлять повторно используемые уязвимости? Последний отчёт Fortinet Global Threat Landscape Report проливает свет на текущую преступную деятельность и даёт рекомендации организациям, как оставаться на шаг впереди.
Гибкие атаки
Авторы вредоносных программ долгое время полагались на полиморфизм – способность вирусного ПО постоянно изменять свой собственный код по мере распространения, чтобы избежать обнаружения, но со временем в системы защиты сети были внесены улучшения, из-за которых их стало труднее обойти. Не останавливаясь на достигнутом, авторы вредоносных программ недавно обратились к гибкой разработке, чтобы быстро противостоять новейшей тактике антивирусных продуктов. Чтобы противостоять этим новым роевым атакам требуется защита улья, где все имеющиеся компоненты вашей могут видеть друг-друга и общаться между собой, а затем сообща работать над защитой сети.
Для улучшения своих атак киберпреступники используют не только гибкое развитие, но и автоматизацию. На подъёме сейчас находятся программы, которое полностью написаны машинами, основаны на автоматическом обнаружении уязвимостей, сложном анализе данных и автоматизированной разработке наилучших возможных эксплойтов, исходя из уникальных характеристик уязвимости. Организации должны парировать это собственной автоматизацией, использовать машинное обучение, чтобы понимать и даже прогнозировать новейшие атаки злоумышленников, так чтобы они могли опережать эти продвинутые угрозы.
Ярким примером злонамеренной гибкой разработки является версия 4.0 ПО GandCrab.
GandCrab
Криминальная группа, которая стоит за GandCrab, первая стала принимать кибервалюту Dash. Похоже, что они используют гибкий подход к разработке, чтобы бороться с конкурентами, устранять возникающие проблемы и ошибки. Еще одним уникальным аспектом GandCrab является его модель Ransomware-as-a-Service, основанная на распределении прибыли 60/40 между разработчиками и преступниками, желающими использовать их услуги. И, наконец, GandCrab использует .BIT – не признанный ICANN домен верхнего уровня, который обслуживается через криптовалютную инфраструктуру Namecoin и использует различные серверы имен для разрешения DNS и перенаправления трафика на него. На протяжении второго квартала преобладали версии GandCrab 2.x, но под конец этого срока в Сети появилась третья версия, за которой последовала четвёртая в начале июля.
Мы заметили, что файлы не блокируются если в системной папке COMMON APPDATA присутствует файл <8hex-chars>.lock. Обычно это происходит после того, как вредоносное ПО обнаруживает русскую раскладку клавиатуры или другими методами определяет принадлежность компьютера к русскоговорящей стране. Мы тогда предположили, что добавление этого файла может быть лишь временным решением. Основываясь на нашем анализе, в отрасли был создан инструмент, который предотвращал зашифрование файлов с помощью этого ransomware. К сожалению, обновление GandCrab 4.1.2, вышедшее через день-два, сделало данный блокировочный файл бесполезным.
Важные уязвимости
Киберпреступники всё умнее и быстрее используют эксплойты. В дополнение к применению сервисов Тёмного Веба, таких как Malware-as-a-Service, они оттачивают свои методы таргетинга, фокусируя их на тех эксплойтах, которые сулят максимальную отдачу. Реальность такова, что ни одна организация не может устранять уязвимости достаточно быстро. Поэтому, они должны действовать стратегически и сосредоточиться на тех проблемах, на первостепенную важность которых указывает аналитика угроз.
Организациям необходимы расширенные возможности обнаружения угроз и защиты от них, такие, которые помогут выявлять эксплуатируемые в настоящее время уязвимости. Согласно нашему исследованию, преступники используют только 5,7% всех известных уязвимостей. Учитывая, что основная их масса остаётся незадействованной, организациям следует подумать о более превентивном и стратегическом подходе к исправлению уязвимостей.
Новый ландшафт безопасности
Использование продвинутой аналитики угроз, доступной своевременно для всех элементов системы безопасности, и песочницы с многоуровневой встроенной аналитикой сужает необходимые окна детектирования и позволяет реализовать автоматические меры защиты от многовекторых эксплойтов современности. Именно с этой целью был образован Cyber Threat Alliance – объединение компаний, работающих в сфере безопасности, служащее для обмена информацией о новых угрозах.
Хотя многие организации прилагают все усилия для сбора как можно большего количества данных из различных источников, включая их собственные, большая часть работы по обработке, корреляции и преобразованию их в политику по-прежнему выполняется вручную. Это делает очень сложным быстрое реагирование на активную угрозу. В идеале, обработку и корреляцию информации об угрозах для формулирования эффективной политики необходимо автоматизировать.
Эффективная кибербезопасность также требует дотошности в устранении уязвимостей. Располагая данными о том, какие уязвимости в настоящее время эксплуатируются, команды ИТ-безопасности могут стратегически использовать своё время и укреплять, скрывать, изолировать или защищать уязвимые системы и устройства. Если они слишком устарели для установки патчей, замените их.
Сегментация и микросегментация сети также являются обязательными. Эти шаги гарантируют, что любой ущерб, нанесённый прорывом защиты, будет локализован. Помимо этой пассивной формы сегментации, используйте макросегментацию для динамической и адаптивной защиты от никогда не прекращающегося натиска новых интеллектуальных атак.
Киберпреступники неутомимы в применении и адаптации новейших технологий для своего ремесла. Используя информацию и рекомендации, изложенные выше, команды ИТ-безопасности могут победить их на их собственном поле.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
