Статті

FortiGuard Labs Threat Landscape Report: новые политические и экономические намерения киберпреступников

Компания Fortinet мировой лидер в области глобальных интегрированных и автоматизированных решений для обеспечения кибербезопасности представляет выводы исследования FortiGuard Labs Global Threat Landscape Report.
  • Исследования, проведенные в четвертом квартале 2019 года, показывают, что киберпреступники не только продолжают пытаться использовать любую возможность для атаки во всей цифровой инфраструктуре, но и максимизируют глобальные экономические и политические реалии для дальнейшего достижения своих целей.
  • Глобальные тренды показывают, что распространенность и обнаружение угроз могут различаться в зависимости от географии, но изощренность и автоматизация атак остаются неизменными повсюду. Кроме того, необходимость уделять первоочередное внимание кибер гигиене остается актуальной во всем мире, так как угрозы растут быстрее, чем когда-либо прежде.
  • Подробнее о выводах отчета, а также о некоторых важных рекомендациях читайте в нашем блоге. Основные выводы отчета приведены ниже.

«В гонке кибер вооружений у преступного сообщества зачастую было явное преимущество из-за растущего разрыва в кибер-навыках, расширения поверхности цифровых атак и применения социальной инженерии с эффектом неожиданности, чтобы использовать в своих интересах ничего не подозревающих людей. Чтобы вырваться из цикла все более изощренных и автоматизированных угроз, организациям необходимо использовать те же самые технологии и стратегии для защиты своих сетей, которые преступники используют для атаки на них. Это подразумевает использование интегрированных платформ, которые способны обеспечить защиту и прозрачность всей цифровой инфраструктуры с помощью ресурсов интеллектуального анализа угроз и готовых сценариев реагирования» – Дерек Мэнки, руководитель отдела безопасности и глобальных угроз, FortiGuard Labs.

1)     Не очень уж миленький котенок. Исследования показывают значительный уровень активности в регионах, связанных с Charming Kitten, группой аффилированных с Ираном APT (advanced persistent threat) в 4 квартале. Группировка, действующая с 2014 года, провела многочисленные кампании по кибершпионажу. Недавняя активность свидетельствует о том, что интерес злоумышленников распространился на бизнес по срыву выборов. На это указывает серия атак на целевые учетные записи электронной почты, связанные с президентской предвыборной кампанией. Кроме того, было замечено, что Charming Kitten применяет четыре новые тактики против предполагаемых жертв, которые были разработаны, чтобы обманным путем заставить субъект расстаться с конфиденциальной информацией.

2)     Рост угроз безопасности для устройств IoT. Устройства IoT продолжают сталкиваться с проблемами, связанными с уязвимым программным обеспечением, и это может повлиять на неожиданные устройства, такие как беспроводные IP-камеры. Эта ситуация усугубляется, когда компоненты и программное обеспечение встраиваются в различные коммерческие устройства, продаваемые под разными торговыми марками, иногда разными поставщиками. Многие из этих компонентов и услуг часто программируются с использованием битов и кусочков заранее написанного кода из различных общих источников. Такие общие компоненты и заранее написанный код иногда уязвимы для эксплуатации, вот почему иногда одни и те же уязвимости появляются неоднократно в широком диапазоне устройств. Масштаб в сочетании с невозможностью легко исправить эти устройства является значительной проблемой, и подчеркивает трудности обеспечения безопасности цепочки поставок. Недостаточная осведомленность или доступность патчей, распространенность уязвимостей в некоторых устройствах IoT и документально подтвержденные попытки «поработить» эти устройства в бот-сетях IoT – все это способствовало тому, что эти эксплойты заняли третье место по объему среди всех IPS-обнаружений в течение квартала.

3)     Старшие угрозы помогают младшим. В условиях постоянного давления, направленного на то, чтобы идти в ногу с новыми угрозами, организации иногда забывают о том, что у старых эксплойтов и уязвимостей действительно нет срока годности, злоумышленники продолжат использовать их до тех пор, пока они работают. В качестве примера можно привести EternalBlue. Вредоносная программа со временем адаптировалась для использования общих и основных уязвимостей. Она использовалась в многочисленных кампаниях, включая, прежде всего, атаки вымогателей WannaCry и NotPetya. Кроме того, в мае прошлого года был выпущен патч для BlueKeep, уязвимости, которая могла потенциально использоваться компьютерными червями, и которая могла бы распространяться с той же скоростью и в том же масштабе, что и WannaCry и NotPetya. И вот в прошлом квартале появилась новая версия трояна EternalBlue Downloader с возможностью использования уязвимости BlueKeep. К счастью, версия, находящаяся в настоящее время в обращении, не полностью отлажена, и заставляет целевые устройства аварийно завершать работу перед загрузкой. Однако, если посмотреть на традиционный цикл разработки вредоносного ПО, то, скорее всего, в ближайшем будущем у злоумышленников появится функциональная версия этого потенциально разрушительного вредоносного пакета. И хотя с мая был выпущен патч для BlueKeep, слишком многие организации до сих пор не обновили свои уязвимые системы. Продолжающийся и развивающийся интерес акторов угроз к EternalBlue и BlueKeep является напоминанием организациям о том, что их системы должны быть исправлены и как следует защищены от обеих угроз.

4)     Среди трендов – новый взгляд на глобальную торговлю спамом. Спам остается одной из главных проблем, с которой сталкиваются организации и частные лица. Наш отчет объединяет объем спамового потока между странами с данными, показывающими соотношение отправленного и полученного спама, наглядно демонстрируя новый взгляд на старую проблему. Большая его часть, по-видимому, следует экономическим и политическим тенденциям. Например, к самым крупным «торговым партнерам» США относятся Польша, Россия, Германия, Япония и Бразилия. Кроме того, по объему экспортируемого спама из географических регионов Восточная Европа является крупнейшим нетто-производителем спама в мире. Большая часть крупных спамеров за пределами этого региона – выходцы из азиатских субрегионов. Остальные европейские субрегионы лидируют по чистым отрицательным показателям спама, получая больше, чем отправляют, за ними следуют страны Северной и Южной Америки и Африки.

5)     Отслеживание следов киберпреступников с целью узнать их дальнейшие действия. Просмотр обнаруженных в регионе IPS-триггеров не только показывает, на какие ресурсы нацелены атаки, но и может указать на то, на чем киберпреступники могут сосредоточиться в будущем, либо потому, что в конечном итоге достаточное количество таких атак было успешным, либо просто потому, что в некоторых регионах развернуто больше технологий определенного типа. Но это не всегда так. Например, подавляющее большинство внедрений ThinkPHP происходит в Китае, где, по данным shodan.io, их почти в 10 раз больше, чем в США. Предполагая, что компании исправляют свое программное обеспечение примерно с одинаковой скоростью в каждом регионе, если ботнет просто проверял уязвимые экземпляры ThinkPHP перед развертыванием эксплойта, число обнаруженных триггеров должно быть намного выше в Азиатско-Тихоокеанском регионе. Однако там было обнаружено только на 6% больше триггеров IPS из недавнего эксплойта, чем в Северной Америке, что указывает на то, что эти бот-сети просто разворачивают эксплойт на любой найденный ими экземпляр ThinkPHP. Кроме того, при аналогичном взгляде на обнаружение вредоносного ПО, большинство угроз, нацеленных на организации, представляют собой макросы Visual Basic for Applications (VBA). Скорее всего, так происходит потому, что они все еще эффективны и дают результаты. В общем, частота обнаружения вещей, которые не работают, не будет оставаться высокой в течение долгого времени, и если есть значительное количество обнаружений чего-то, кто-то становится жертвой этих атак.

Потребность в глобальной интегрированной и автоматизированной кибербезопасности 

По мере распространения приложений и увеличения количества подключенных устройств по периметру, создаются миллиарды новых поверхностей атак, которыми необходимо управлять и защищать. Кроме того, организации сталкиваются со все более изощренными атаками, направленными на расширяющуюся цифровую инфраструктуру, в том числе некоторые из них вызваны искусственным интеллектом и компьютерным обучением. Для эффективной защиты своих распределенных сетей организациям приходится переходить от защиты только периметра безопасности к защите данных, распространяемых по новым границам сети, пользователям, системам, устройствам и критически важным приложениям. Только платформа кибербезопасности, разработанная для обеспечения комплексной видимости и защиты всей поверхности атак, включая устройства, пользователей, мобильные конечные точки, многооблачные среды и SaaS-инфраструктуры, способна обеспечить защиту современных быстро развивающихся сетей, основанных на цифровых инновациях.

Об исследовании

Последний Threat Landscape Report представляет собой ежеквартальный обзор, подготовленный исследователями FortiGuard Labs, созданный на основе обширного набора датчиков Fortinet, собирающих миллиарды угроз, которые наблюдались во всем мире в четвертом квартале 2019 года. Он охватывает глобальные и региональные перспективы, а также исследование трех центральных и дополнительных аспектов ландшафта киберугроз: эксплойтов, вредоносные программ и бот-сетей. 

Дополнительно

  • Читайте наш блог чтобы полуить больше информации об этом исследовании или ознакомьтесь с полной версией.
  • Узнайте больше о FortiAI, самообучающемся устройсте с использованием искусственного интеллекта Fortinet для обнаружения угроз меньше чем за секунду.
  • Читайте наш блог и узнайте о том, как Fortinet работает над устранением пробелов в навыках в области кибербезопасности. blog about how Fortinet is working to close the cyber skillsgap.
  • Узнайте больше о FortiGuard Labs и портфолио сервисов.
  • Узнайте, как платформа Fortinet Security Fabric обеспечивает широкую, интегрированную и автоматизированную защиту всей цифровой инфраструктуры организации.
  • Участвуйте в нашем сообществе пользователей Fortinet (Fuse). Делитесь идеями и отзывами, узнавайте больше о наших продуктах и технологиях или общайтесь с коллегами.
  • Подробно о программах Network Security Expert, Network Security Academy и FortiVets компании Fortinet.
  • Следите за новостями Fortinet в Twitter, LinkedIn, Facebook, YouTube и Instagram.

###

О FortiGuard Labs

FortiGuard Labs – это глобальная организация, занимающаяся разведкой и исследованием угроз в структуре Fortinet. Ее миссия – предоставлять нашим клиентам глобальную информацию об угрозах и контекстуальный анализ, необходимые для защиты от вредоносных кибератак. Для этого в FortiGuard Labs работает более 200 исследователей и аналитиков угроз в 31 стране мира и используется одна из самых эффективных и проверенных систем искусственного интеллекта и машинного обучения в отрасли. Эта платформа ежедневно анализирует около 10 миллиардов событий для генерирования актуальных обновлений информации об угрозах для продуктов Fortinet, а также для поддержания наших клиентов в курсе последних событий в области идентификации и защиты от угроз. Кроме того, FortiGuard Labs поддерживает интегрированную экосистему сбора данных об угрозах, насчитывающую более 200 партнерских и совместных проектов по сбору данных о безопасности. Сочетание нашей ведущей в отрасли команды исследователей и аналитиков, инновационных и проверенных систем AI и ML, а также обширной экосистемы аналитики безопасности позволяет компании Fortinet обеспечивать передовое обнаружение и защиту, в которых нуждаются наши клиенты и партнеры. Узнайте больше на сайте http://www.fortinet.com, в блоге Fortinet или на FortiGuard Labs.

###

Подробнее о Fortinet

Компания Fortinet обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру. Fortinet предоставляет нашим клиентам полную видимость и контроль над расширяющейся поверхностью атак, а также возможность принимать на себя все возрастающие требования к производительности сегодня и в будущем. Только платформа Fortinet Security Fabric способна решать самые важные задачи безопасности и защищать данные во всей цифровой инфраструктуре, будь то сетевая, прикладная, многооблачная или пограничная среда. Компания Fortinet занимает 1-е место по количеству проданных средств безопасности и обеспечивает защиту более 440 000 клиентов по всему миру. Институт сетевой безопасности Fortinet, являющийся как технологической, так и обучающей компанией, имеет одну из самых крупных и широких учебных программ по кибербезопасности в отрасли.  Подробнее см. на сайте https://www.fortinet.com/ru, в блогах Fortinet Blog или FortiGuard Labs.     

###

Материалы по теме:
Комментарии: