- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 231 zobrazení
WatchGuard Technologies vydala svou nejnovější čtvrtletní zprávu o zabezpečení internetu, která podrobně popisuje hlavní trendy malwaru a hrozby zabezpečení sítě analyzované výzkumnými pracovníky WatchGuard Threat Lab během 2. čtvrtletí 2021.
Zpráva také obsahuje nové poznatky založené na inteligenci hrozeb koncových bodů zjištěných v první polovině roku 2021. Nejlepší zjištění z výzkumu odhalila úžasných 91,5% malwaru přicházejícího přes připojení šifrované pomocí HTTPS, alarmující nárůst napříč hrozbami malwaru bez souborů, dramatický růst ransomwaru, výrazný nárůst síťových útoků a mnoho dalšího.
Zpráva WatchGuard’s Q2 2021 Internet Security Report obsahuje nejpozoruhodnější zjištění:
Velké množství malwaru přichází přes šifrovaná připojení - Ve druhém čtvrtletí dorazilo 91,5% malwaru přes šifrované připojení, což je dramatický nárůst oproti předchozímu čtvrtletí. Zjednodušeně řečeno, jakékoli organizaci, která na perimetru nezkoumá šifrovaný provoz HTTPS, chybí 9/10 veškerého malwaru.
Jake Williams, spoluzakladatel a CTO ve společnosti BreachQuest, poskytovatel reakce na incidenty se sídlem v Augusta, Ga, říká: „Není překvapením, že většina malwaru je dodávána šifrovanými kanály. Tento výzkum uvádí čísla k tomu, co by jinak byly anekdoty. Hádal bych, že číslo je větší než 95%. Monitorování šifrovaného provozu je důležité jak pro detekci doručení malwaru, tak pro sledování vzorů příkazů a řízení (C2). TLS 1.3 a Perfect Forward Secrecy (PFS) to ztěžují a aktéři hrozeb to vědí. Organizace zvažující řešení pro monitorování šifrovaného provozu by měly prozkoumat, jak se budou chovat k PFS, aby zajistily, že z investice získají plnou hodnotu.“
Malware používá nástroje PowerShell k obcházení výkonných ochran - AMSI.Disable.A se poprvé v Q1 objevil v sekci špičkových malwarů WatchGuard a okamžitě vystřelil na toto čtvrtletí, celkově se dostal na 2. místo podle objemu a zachycení #1 místo pro celkové šifrované hrozby. Tato rodina malwaru využívá nástroje PowerShell k využití různých zranitelností systému Windows. Ale to, co je obzvláště zajímavé, je jeho schopnost vyhnout se detekci Antimalware Scan Interface (AMSI).
Hrozby bez souborů stoupají a jsou ještě úhybnější - V prvních šesti měsících roku 2021 detekce malwaru pocházející ze skriptovacích motorů, jako je PowerShell, již dosáhly 80% celkového objemu útoků zahájených v loňském roce skriptem, což samo o sobě představovalo podstatný nárůst na rozdíl od předchozího roku. Při současném tempu je detekce malwaru bez souborů 2021 na dobré cestě k meziročnímu zdvojnásobení objemu.
Síťové útoky jsou na vzestupu i přes přechod k primárně vzdáleným pracovním silám - zařízení WatchGuard zaznamenala podstatný nárůst síťových útoků, který se oproti předchozímu čtvrtletí zvýšil o 22% a dosáhl nejvyššího objemu od začátku roku 2018. V 1. čtvrtletí došlo k téměř 4,1 milionu síťových útoků. Ve čtvrtletí, které následovalo, toto číslo vyskočilo o další milion-mapuje agresivní kurz, který zdůrazňuje rostoucí důležitost zachování perimetrického zabezpečení spolu s ochranou zaměřenou na uživatele.
Ransomware útočí zpět s pomstou - Zatímco celková detekce ransomwaru na koncovém bodu od roku 2018 do roku 2020 směřovala sestupně, tento trend se zlomil v první polovině roku 2021, protože šestiměsíční součet skončil trochu menší, než za celoroční součet roku 2020. Pokud denní detekce ransomwaru zůstane po zbytek roku 2021 stejná, letošní objem dosáhne oproti roku 2020 nárůst o více než 150%.
Velký herní ransomware zasahuje do zákulisí útoků typu „brokovnice“ - útok Colonial Pipeline 7. května 2021 jasně ukázal, že ransomware jako hrozba tu zůstane. Jako největší bezpečnostní incident ve čtvrtletí toto porušení podtrhuje, jak kyberzločinci nejen vkládají do svého zaměřovače ty nejdůležitější služby-jako jsou nemocnice, průmyslová kontrola a infrastruktura-, ale zdá se, že zvyšují i útoky proti těmto vysoce hodnotným cílům. Analýza incidentů WatchGuard zkoumá spád, jak vypadá budoucnost zabezpečení kritické infrastruktury a kroky, které mohou organizace v jakémkoli odvětví podniknout, aby pomohly bránit se proti těmto útokům a zpomalit jejich šíření.
Staré služby se nadále osvědčují jako cíle - Odchylujíc se od obvyklého jednoho až dvou nových podpisů, které byly vidět v předchozích čtvrtletních zprávách, mezi 10 nejlepšími síťovými útoky WatchGuard za druhé čtvrtletí byly čtyři zcela nové podpisy. Tou nejnovější byla chyba zabezpečení v populárním webovém skriptovacím jazyce PHP do roku 2020, ale další tři nejsou nové. Patří mezi ně zranitelnost serveru Oracle GlassFish Server 20 l, chyba aplikace SQL SQL 2013 v aplikaci OpenEMR pro lékařské záznamy a zranitelnost vzdáleného spuštění kódu (RCE) 2017 v aplikaci Microsoft Edge. I když jsou datovány, všechny stále představují rizika, pokud zůstanou bez opravy.
Hrozby založené na Microsoft Office jsou stále populární - ve 2. čtvrtletí došlo k jednomu novému přírůstku do seznamu 10 nejrozšířenějších síťových útoků a debutoval na samém vrcholu. Podpis 1133630 je výše uvedenou zranitelností 2017 RCE, která ovlivňuje prohlížeče Microsoft. Ačkoli to může být starý exploit a opravený ve většině systémů (doufejme), ty, které ještě nemají patch, čekají na hrubé probuzení, pokud se k němu útočník dokáže dostat dřív. Ve skutečnosti velmi podobná vysoce závažná chyba zabezpečení RCE sledovaná jako CVE-2021-40444 se dostala na titulky začátkem tohoto měsíce, kdy byla aktivně využívána při cílených útocích proti Microsoft Office a Office 365 na počítačích s Windows 10. Hrozby založené na Office jsou i nadále populární, pokud jde o malware, a proto tyto osvědčené útoky stále pozorujeme. Naštěstí je stále detekuje osvědčená obrana IPS.
Phishingové domény maskované jako legitimní, široce uznávané domény - WatchGuard zaznamenal nárůst používání malwaru, který se v poslední době zaměřuje na servery Microsoft Exchange a generické uživatele e-mailů ke stahování trojských koní vzdáleného přístupu (RAT) na vysoce citlivých místech. To je s největší pravděpodobností způsobeno tím, že Q2 je druhým po sobě jdoucím čtvrtletím, kdy se vzdálení pracovníci a studenti vrátili buď do hybridních kanceláří a akademických prostředí, nebo dříve k normálnímu chování aktivit na místě. V jakékoli situaci nebo místě se doporučuje důkladné povědomí o zabezpečení a sledování odchozí komunikace na zařízeních, která nemusí být nutně připojena přímo k připojeným zařízením.
Taylor Gulley, senior konzultant pro bezpečnost aplikací ve společnosti nVisium, poskytovatel zabezpečení aplikací se sídlem ve Falls Church ve Virginii, vysvětluje: „Vzhledem k tomu, že svět směřuje k zabezpečené komunikaci, dává smysl, aby to dělali i distributoři malwaru. Spolu s touto skutečností stoupá touha po tom, aby se společnosti do této komunikace zapojily, zejména tam, kde se to týká síťového provozu mezi a od jejich zaměstnanců, aby brzy zachytily škodlivý provoz. Tento požadavek na sledování šifrovaného provozu pro hrozby vytváří dilema, kde je třeba určit, zda přínosy převažují nad riziky takových opatření. Zatímco být mužem uprostřed je pro útočníka často vyhledávaná pozice, když společnost dosáhne stejné pozice, podobná rizika se vyskytují. Ačkoli dešifrování síťového provozu poskytuje vhled do obsahu provozu, pokud je provoz HTTPS dešifrován a protokolován, pak podle povahy tohoto provozu jsou nyní k dispozici informace, které měly být soukromé mezi dvěma stranami na internetu na tom systému v prostém textu. To vede k ukládání hesel a tokenů relací do souborů protokolu.“
"Řekněme například, že zaměstnanec spravuje svůj zdravotní plán z pracovního počítače." Výsledkem je, že nyní lze do souborů protokolu ukládat privilegované osobní údaje, jako jsou lékařské informace. To vše zvyšuje útočnou plochu, kterou může zneužít protivník, a krást je po částech, “dodává Gulley. "Spíše než pracovat na narušení zabezpečené komunikace může být lepší zaměřit se na správné zabezpečení koncových bodů a povědomí o bezpečnosti zaměstnanců." Tím, že budete postupovat tímto způsobem, bude méně pravděpodobné, že vaše pracovní síla padne na tyto typy triků, které distributoři malwaru používají na prvním místě. Následně, pokud dojde k výpadku ostražitosti, pak může v případě potřeby zasáhnout řešení zabezpečení koncového bodu.“
Tim Wade, technický ředitel týmu CTO společnosti Vectra, společnosti zabývající se kybernetickou bezpečností v San Jose v Kalifornii, říká: „Vzhledem k velmi hmatatelným kompromisům spojeným s pokusy o hromadné dešifrování v měřítku v celém podniku je klíčovým důsledkem těchto pozorování je, že účinná detekce a reakce musí být sama o sobě účinná tváří v tvář převládajícímu šifrování - musí předvídat šifrování a udržovat účinnost navzdory tomu.“
Autor původního článku: Neznámý
Překlad: Ondřej Strachota
