Как предприятия могут защитить себя от распространенных киберугроз?

Сегодня любой бизнес подвергается риску кибератак, и этот риск постоянно растет. Цифровые преобразования приводят к тому, что более конфиденциальные и ценные данные перемещаются в онлайн-системы, которые можно использовать, что увеличивает прибыльность успешного взлома.

Кроме того, организация кибератаки становится все более доступной. Наборы эксплойтов и предложения «вредоносное ПО как услуга» становятся дешевле, а инструменты искусственного интеллекта с открытым исходным кодом упрощают маскировку под доверенного руководителя и эксплуатацию уязвимостей.

TechRepublic объединил экспертные рекомендации о том, как предприятия могут защитить себя от наиболее распространенных киберугроз, а именно:

Атаки социальной инженерии. Эксплойты нулевого дня. Атаки программ-вымогателей и кража данных. IoT-атаки. Атаки на цепочку поставок. ИИ-дипфейки.

Атаки социальной инженерии

Кто они такие?

Социальная инженерия — это общий термин для некоторых из наиболее распространенных типов кибератак, все из которых включают в себя ту или иную форму человеческого манипулирования для получения информации об организации или сети. Атаки социальной инженерии включают, помимо прочего:

Фишинг: злоумышленники выдают себя за законных лиц, чтобы обманом заставить людей раскрыть конфиденциальную информацию, например учетные данные для входа. Чаще всего это делается в форме электронного письма, но это можно сделать по телефону (вишинг) или посредством текстового сообщения (смишинг). Приманка: злоумышленник оставляет физическое устройство, такое как USB-накопитель или компакт-диск, содержащее вредоносное ПО, в общественном месте в надежде, что кто-то подхватит его и воспользуется, тем самым ставя под угрозу свою систему. Китобойный промысел: более персонализированная версия фишинга, обычно нацеленная на одного высокопоставленного человека. Компрометация деловой электронной почты: целенаправленная кибератака, при которой злоумышленники выдают себя за надежного руководителя через скомпрометированную учетную запись электронной почты и обманом заставляют сотрудников переводить деньги или раскрывать конфиденциальную информацию.

СМОТРИТЕ: 6 тактик убеждения, используемых в атаках социальной инженерии

Каковы наиболее распространенные точки входа для атак?

Хотя атаки социальной инженерии могут быть инициированы с помощью электронной почты, телефонных звонков и USB-накопителей, у всех них есть одна общая точка входа для атак: люди.

Как бизнесу защитить себя?

Обучайте персонал методам социальной инженерии и способам их выявления. Рекомендуется никогда не открывать документ и не нажимать на ссылку, которая кажется подозрительной, а также предупреждать ИТ-специалистов обо всем подозрительном. Сотрудники также должны быть проинформированы об опасностях публичного раскрытия слишком большого количества личной информации в Интернете, поскольку атаки социальной инженерии часто основаны на сборе подробностей из общедоступных источников. Установите антиспам-фильтр и антивирусное программное обеспечение. Содержимое электронной почты должно анализироваться с помощью решений безопасности, способных обнаруживать аномалии, а не только URL-адреса или прикрепленные файлы. Используйте политики многофакторной аутентификации и паролей, которые требуют от сотрудников регулярного их обновления. Рассмотрите возможность найма охранной фирмы для проведения социального инженерного аудита для выявления уязвимостей и усиления защиты от потенциальных атак.

Эксплойты нулевого дня

Кто они такие?

Автор TechRepublic Кихара Кимачиа определил эксплойты нулевого дня как:

«Эксплойты нулевого дня — это уязвимости и лазейки в коде, неизвестные поставщикам программного обеспечения, исследователям безопасности и общественности. Термин «нулевой день» происходит от времени, которое остается поставщику программного обеспечения для исправления ошибочного кода. Поскольку на реагирование нет дней или часов, разработчики уязвимы для атак, и у них нет времени исправлять код и закрывать дыры. Одна ошибка может дать хакерам достаточный доступ для исследования и картирования внутренних сетей, кражи ценных данных и поиска других векторов атак».

СМОТРИТЕ: Памятка по эксплойтам нулевого дня: определение, примеры и как это работает

Число атак нулевого дня может увеличиться благодаря растущей доступности больших языковых моделей. Такие модели можно использовать для ускорения поиска уязвимостей и проведения убедительных атак социальной инженерии.

Каковы наиболее распространенные точки входа для атак?

Потенциальные точки входа в атаку для уязвимостей нулевого дня такие же, как для известных и исправленных уязвимостей — любой способ, которым злоумышленник может воспользоваться слабыми местами в программных или аппаратных системах. Эти распространенные точки входа в атаку включают в себя:

Вложения электронной почты, при открытии которых используются уязвимости в программном обеспечении. Эти вложения могут попасть в почтовый ящик жертвы в результате атаки социальной инженерии. Скомпрометированные веб-сайты, которые вызывают автоматическую загрузку вредоносного ПО на устройство посетителя. Программное или аппаратное обеспечение, имеющее уязвимость, использованную непосредственно злоумышленником путем внедрения вредоносного кода.

Как бизнесу защитить себя?

Кимачиа дал следующие советы по защите от эксплойтов нулевого дня:

Поддерживайте актуальность программного обеспечения по мере выпуска исправлений для устранения известных уязвимостей. Однако важно соблюдать осторожность при обновлении из непроверенных источников. Установите системы обнаружения вторжений, которые могут обнаруживать необычные закономерности или поведение в сетях, что помогает выявлять эксплойты нулевого дня. Внедряйте решения по обеспечению безопасности конечных точек, которые обеспечивают мониторинг в реальном времени и защиту как от известных, так и от неизвестных угроз. Будьте в курсе, подписавшись на службы анализа угроз, которые предоставляют информацию об уязвимостях и эксплойтах в режиме реального времени. Разработайте план реагирования на инциденты, чтобы команды безопасности могли действовать быстро и слаженно, чтобы минимизировать ущерб, причиненный эксплойтом нулевого дня. Инструменты поведенческой аналитики могут выявить любое необычное поведение пользователя или системы, которое может указывать на наличие эксплойта нулевого дня. Проводите регулярные проверки безопасности, используя контрольный список оценки рисков безопасности, чтобы заранее выявлять любые уязвимости в вашей сети и приложениях. Никогда не используйте версию программного обеспечения «.0», чтобы обезопасить свою организацию от любых необнаруженных уязвимостей нулевого дня в первой итерации.

Атаки программ-вымогателей и кража данных

Кто они такие?

Согласно шпаргалке по вымогателям TechRepublic, программы-вымогатели являются вредоносными программами. Хакеры требуют от жертв оплаты, часто через биткойны или предоплаченную кредитную карту, чтобы восстановить доступ к зараженному устройству и хранящимся на нем данным.

Недавние исследования показали, что, помимо финансовых последствий, воздействие программ-вымогателей может включать сердечные приступы, инсульты и посттравматическое стрессовое расстройство.

Атака с помощью программы-вымогателя — это форма атаки по краже данных, и шифрование — не единственное, что могут сделать злоумышленники, когда они успешно получают доступ к данным. Они также могут слить информацию в Интернет или продать ее конкурентам или другим киберпреступникам, что приведет к репутационному и финансовому ущербу.

Каковы наиболее распространенные точки входа для атак?

Уязвимости в корпоративном программном обеспечении и приложениях, подключающихся к Интернету, могут позволить злоумышленникам получить несанкционированный доступ к среде организации и украсть или зашифровать конфиденциальные данные. Аналогично, взломанные веб-сайты могут содержать вредоносное ПО, которое сканирует подключенные устройства на наличие уязвимостей. В случае его обнаружения вредоносное ПО может автоматически загрузиться на устройство, предоставляющее злоумышленнику удаленный доступ к системе и, следовательно, к данным. Сотрудники, использующие атаки социальной инженерии, являются еще одним распространенным вектором атак. Злоумышленники могут получить доступ после того, как работник откроет ссылку или загрузит файл из фишингового электронного письма, замаскированного под законное сообщение. Те, кто чувствует себя обиженным со стороны своего работодателя или заключил сделку с киберпреступниками, также могут намеренно установить программу-вымогатель. Слабые учетные данные для входа в систему могут быть использованы путем перебора учетных данных. Такие атаки подразумевают, что злоумышленник вводит серию типичных имен пользователей и паролей до тех пор, пока не будет обнаружен правильный логин, и он не сможет начать атаку программы-вымогателя. Ранее скомпрометированные учетные данные, попавшие в темную сеть без ведома владельца, могут обеспечить доступ к системе организации. Часто один набор правильных учетных данных может разблокировать несколько областей среды, поскольку сотрудники часто используют пароли повторно, чтобы их было легко запомнить.

СМОТРИТЕ: Грубая сила и атаки по словарю: Руководство для ИТ-лидеров (TechRepublic Premium)

Как бизнесу защитить себя?

Поставщик аналитических данных об угрозах Check Point Research предоставляет следующие советы по защите организаций и активов от программ-вымогателей:

Регулярно создавайте резервные копии всех данных компании, чтобы смягчить потенциальные последствия атаки программ-вымогателей. Если что-то пойдет не так, вы сможете быстро и легко вернуться к последней резервной копии. Постоянно обновляйте программное обеспечение с помощью последних обновлений безопасности, чтобы злоумышленники не могли использовать известные уязвимости для получения доступа к системе компании. Устаревшие устройства под управлением неподдерживаемых операционных систем следует удалить из сети. Используйте автоматизированную систему обнаружения угроз, чтобы выявить ранние признаки атаки программ-вымогателей и дать компании время на ответ. Установите решения для защиты от программ-вымогателей, которые отслеживают программы, работающие на компьютере, на предмет подозрительного поведения, обычно проявляемого программами-вымогателями. Если такое поведение обнаружено, программа может остановить любое шифрование до того, как будет нанесен дальнейший ущерб. Внедрите многофакторную аутентификацию, поскольку она предотвращает доступ преступников, обнаруживших учетные данные сотрудника, к системе организации. Устойчивые к фишингу методы MFA, такие как смарт-карты и ключи безопасности FIDO, еще лучше, поскольку мобильные устройства также могут быть скомпрометированы. Используйте принцип минимальных привилегий, который означает, что сотрудники должны иметь доступ только к тем данным и системам, которые необходимы для их работы. Это ограничивает доступ киберпреступников в случае взлома учетной записи сотрудника, сводя к минимуму ущерб, который они могут нанести. Постоянно сканируйте и отслеживайте электронные письма и файлы, а также рассмотрите возможность развертывания автоматизированного решения по обеспечению безопасности электронной почты, чтобы блокировать попадание к пользователям вредоносных писем, которые могут привести к программам-вымогателям или краже данных. Обучите сотрудников правилам кибергигиены, чтобы минимизировать риски, связанные с неизбежным вектором человеческих атак. Кибер-обучение дает команде возможность распознавать попытки фишинга, не позволяя злоумышленникам внедрить программы-вымогатели. Не платите выкуп, если бизнес стал жертвой программы-вымогателя. Кибер-власти рекомендуют это, потому что нет никакой гарантии, что злоумышленник сдержит свое слово, а вознаграждение будет стимулировать будущие атаки. Обратитесь к проекту No More Ransom. Это сотрудничество между Европолом, Национальной полицией Нидерландов, Лабораторией Касперского и McAfee, которое предоставляет жертвам заражения программой-вымогателем инструменты расшифровки для удаления программ-вымогателей для более чем 80 вариантов распространенных типов программ-вымогателей, включая GandCrab, Popcorn Time, LambdaLocker, Jaff, CoinVault. и многие другие.

Интернет вещей

Кто они такие?

После пандемии COVID-19 устройства Интернета вещей стали более распространенными в организациях для поддержки новой политики удаленной работы. Хотя это положительный шаг, эти устройства обычно не имеют такого же уровня безопасности, как более сложное оборудование, что делает их все более популярной точкой входа для киберзлоумышленников.

СМОТРИТЕ: Защита Интернета вещей с помощью Microsoft Defender для датчиков Интернета вещей

Слабая безопасность устройств Интернета вещей является объектом различных атак киберпреступников. Например, они могут использовать их в качестве точки входа для развертывания программ-вымогателей на устройстве или в более широкой сети или даже контролировать устройство, чтобы саботировать бизнес-процессы.

Кроме того, атаки ботнетов IoT включают в себя всю сеть подключенных устройств, которая подвергается риску со стороны одного «бот-мастера» и используется для проведения скоординированных атак, часто без ведома владельцев устройств. Примеры атак ботнетов включают распределенные атаки типа «отказ в обслуживании» (DDoS) на целевой сервер или веб-сайт, кражу данных путем перехвата передачи по сети и распространение вредоносного ПО. Атака ботнета может также использовать методы «жизни за счет земли», которые заключаются в использовании законных, предустановленных инструментов и программного обеспечения внутри устройства IoT, чтобы помочь избежать обнаружения.

Каковы наиболее распространенные точки входа для атак?

Существующие уязвимости программного обеспечения устройства могут быть использованы киберпреступниками для получения доступа к устройству или сети Интернета вещей. Эти уязвимости могут быть распространены из-за плохих мер безопасности, отсутствия обновлений или устаревшего программного обеспечения. Многие организации блокируют свои устройства Интернета вещей, используя учетные данные по умолчанию или слабые учетные данные, которые злоумышленник может легко угадать с помощью грубой атаки с использованием учетных данных. Сотрудники могут предоставить учетные данные для входа в систему IoT-устройства или загрузить вредоносное ПО, нацеленное на IoT, в рамках более широкой атаки социальной инженерии. Если устройства Интернета вещей не обеспечены физической безопасностью, злоумышленники могут вмешаться в работу оборудования, изменив настройки или подключив вредоносные устройства. Злоумышленниками могут быть злоумышленники, а также существующие сотрудники или подрядчики, имеющие доступ. Все вышеперечисленные точки входа могут присутствовать у поставщика или производителя устройства, а это означает, что оно может быть скомпрометировано еще до его развертывания.

SEE: Исследование выявило наиболее уязвимые подключенные активы Интернета вещей

Как бизнесу защитить себя?

Следующий совет исходит от Брайана Контоса, эксперта по безопасности компаний Phosphorus и Sevco, старшего эксперта по угрозам в Trend Micro, а также от автора TechRepublic Седрика Пернета и репортера TechRepublic Меган Крауз.

Поддерживайте обновленный перечень устройств Интернета вещей, чтобы обеспечить полную информацию обо всех устройствах, нуждающихся в защите. Убедитесь, что устройства Интернета вещей имеют надежные и уникальные пароли, которые регулярно меняются, чтобы предотвратить успешные атаки методом перебора учетных данных. Обновляйте устройства IoT с помощью последних версий встроенного ПО и исправлений безопасности, а также заменяйте устаревшие устройства современными версиями, которые поддерживают более эффективные методы обеспечения безопасности. Укрепите безопасность устройств Интернета вещей, отключив ненужные порты и функции подключения. Ограничьте взаимодействие устройств IoT за пределами сети с помощью сетевых брандмауэров, списков контроля доступа и VLAN. Проверяйте цифровые сертификаты Интернета вещей и управляйте ими для снижения рисков, таких как версии TLS и сроки действия. Отслеживайте подозрительные изменения в устройствах Интернета вещей, такие как сброс пароля по умолчанию или повторная активация небезопасных служб. Внедряйте решения мобильной безопасности и обучайте сотрудников обнаруживать попытки взлома их мобильных устройств. Посоветуйте сотрудникам избегать хранения конфиденциальных данных на мобильных телефонах и выключать устройства во время важных встреч. Включите ведение журнала событий приложений, доступа и безопасности, а также внедрите защиту конечных точек и превентивную защиту, например инструменты SIEM и решения для оркестрации безопасности. Внедрите устойчивую к фишингу многофакторную аутентификацию, чтобы предотвратить доступ киберпреступников с правильными данными для входа.

Атаки на цепочку поставок

Кто они такие?

Атаки на цепочку поставок — это когда киберпреступник нацелен на организацию, скомпрометировав менее безопасного поставщика программного обеспечения, оборудования или услуг в ее цепочке поставок. Исторически атаки на цепочку поставок происходили, когда злоумышленник проникал в надежного поставщика, которому был предоставлен доступ к данным или сети жертвы для выполнения своей работы; однако теперь атаки на цепочку поставок программного обеспечения, когда злоумышленник манипулирует программным обеспечением, которое распространяется среди многих организаций конечных пользователей, на самом деле стали более распространенными. Как только компания использует скомпрометированное программное обеспечение, она становится уязвимой для кражи данных, программ-вымогателей и других типов атак.

Злоумышленники используют различные методы для доступа и манипулирования кодом коммерческих программных продуктов. Они могут развертывать вредоносные обновления после взлома учетной записи одного из его разработчиков или использования уязвимости в месте загрузки. Альтернативно, злоумышленники могут изменить код, хранящийся в библиотеке программного обеспечения, используемой разработчиками для сотен различных продуктов.

СМОТРИ: BBC, British Airways, Boots поставили ультиматум хакеров после атаки на цепочку поставок MOVEit

Иногда злоумышленник может построить доверительные отношения с законными разработчиками корпоративного программного обеспечения и стать одним из тех, кто сопровождает их инструмент, что позволяет им медленно и незаметно внедрять в программное обеспечение различные уязвимые части кода. Именно так в 2024 году в компрессор данных XZ Utils был внедрен бэкдор.

Каковы наиболее распространенные точки входа для атак?

Чтобы осуществить атаку на цепочку поставок, злоумышленникам сначала необходимо получить доступ к важной части цепочки поставок целевой организации. Существует ряд потенциальных целей, все из которых подвержены кампаниям социальной инженерии, используют слабые учетные данные для входа, непреднамеренно загружают вредоносное ПО через взломанный веб-сайт и имеют уязвимости в своих цифровых системах. Некоторые общие точки входа:

Сторонние поставщики программного обеспечения, поскольку злоумышленники могут напрямую вносить изменения в код продукта до его загрузки целевой фирмой или манипулировать механизмами его обновления. Сторонние поставщики услуг, которым мог быть предоставлен доступ к системе целевой компании и которые имеют более слабую безопасность. Сторонние поставщики оборудования, поскольку злоумышленники могут вмешаться в оборудование или физические компоненты во время производства или распространения, если они получат доступ к их объекту. Репозитории кода с открытым исходным кодом или частные, используемые разработчиками корпоративного программного обеспечения. Злоумышленники могут использовать это как способ внедрения вредоносного кода в сотни различных программных продуктов, используемых еще большим количеством компаний.

Как бизнесу защитить себя?

Следующий совет дали Курт Хансен, генеральный директор компании по кибербезопасности Tesserent, старший эксперт по угрозам Седрика Пернета и писатель TechRepublic Франклин Океке.

Проведите аудит, чтобы понять участие третьих сторон во всех видах деятельности, поскольку в разных частях организации часто есть разные поставщики. Следуйте документированному процессу управления для третьих сторон, который включает в себя аккредитацию, независимо от того, проводят ли они оценку и используют ли они аутсорсинг. Убедитесь, что в контрактах указаны требования, обязательства по защите данных и последствия несоблюдения. Будьте в курсе развития геополитической напряженности и подумайте, не ставят ли они под угрозу цепочку поставок. Просматривайте новые обновления программного обеспечения перед их развертыванием, обращая внимание на различия в старом и новом коде. Внедрите архитектуру с нулевым доверием, где каждый запрос на подключение должен соответствовать набору строгих политик, прежде чем ему будет предоставлен доступ к ресурсам организации. Разверните Honeytokens, которые имитируют ценные данные. Как только злоумышленники взаимодействуют с этими ложными ресурсами, срабатывает оповещение, уведомляющее целевую организацию о попытке взлома. Регулярно проводите оценку рисков третьей стороной. Это помогает выявить состояние безопасности каждого поставщика, предоставляя дополнительную информацию об уязвимостях, которые необходимо устранить. Автоматизируйте сторонний мониторинг поверхностей атак.

ИИ-дипфейки

Кто они такие?

Дипфейки искусственного интеллекта все чаще используются в рамках кибератак. Злоумышленникам легче выдавать себя за доверенных лиц, чтобы обойти меры безопасности и получить доступ к среде организации.

За последние месяцы барьер для входа также значительно снизился, поскольку инструменты искусственного интеллекта просты и дешевы в использовании. Исследование Onfido показало, что количество попыток дипфейкового мошенничества в 2023 году выросло на 3000%, причем самым популярным инструментом оказались дешевые приложения для подмены лиц.

SEE: Оперативный взлом, частные GPT, эксплойты нулевого дня и дипфейки: отчет раскрывает влияние искусственного интеллекта на среду кибербезопасности

Дипфейковая атака может оказать на организацию ряд последствий. Неоднократно сообщалось о случаях финансового мошенничества, когда мошенник выдавал себя за руководителя, используя дипфейк, и убеждал сотрудника перевести ему деньги. Кроме того, дипфейки можно использовать, чтобы убедить других в ложных событиях, таких как кадровая смена, которая влияет на цену акций организации. Распространение дипфейкового контента с участием сотрудников также может иметь серьезные последствия, нанося ущерб опыту и репутации сотрудников компании.

Каковы наиболее распространенные точки входа для атак?

Электронная почта. В 2022 году это был основной метод распространения дипфейкового контента. Видео- и телефонные звонки можно совершать с использованием сложной технологии, позволяющей имитировать голос и внешний вид доверенного руководителя. Дипфейк может представлять собой записанное сообщение или вести разговор в реальном времени. Методы аутентификации, основанные на распознавании голоса или лица, можно обмануть, используя дипфейковый контент авторизованных сотрудников. Злоумышленники или даже недовольные сотрудники могут создать компрометирующий дипфейк и поделиться им в социальных сетях, чтобы нанести ущерб репутации компании или повлиять на ее акции.

Как бизнесу защитить себя?

Следующий совет дали Роберт Хубер, директор по безопасности фирмы по кибербезопасности Tenable, и Рам Раджарам, бывший вице-президент по операциям и данным в компании финансовых услуг EBANX.

Сделайте риски, связанные с дипфейками ИИ, частью регулярных процедур оценки рисков, включая оценку внутреннего контента, а также контента от третьих сторон. Помните об общих признаках дипфейкового контента, таких как непоследовательное освещение или тени, искажение краев лица, отсутствие негативных выражений и движение губ, не коррелирующее со звуком. Рассмотрите возможность обучения персонала в этой области. Внедрите устойчивый к фишингу MFA, чтобы предотвратить доступ злоумышленников, даже если их дипфейковая кампания приведет к получению учетных данных для входа. Рассмотрите возможность требовать такой проверки для крупных банковских переводов и не полагаться на распознавание лиц. Следите за утечками данных, которые раскрывают учетные данные клиентов, и помечайте эти учетные записи, чтобы отслеживать потенциальное мошенничество. Поддерживайте лучшие практики кибербезопасности, чтобы исключить риск фишинговых атак всех типов, включая те, которые связаны с дипфейками.

Дополнительные ресурсы по кибербезопасности

Улучшите кибербезопасность вашей организации с помощью этих ресурсов от TechRepublic Academy:

Полный комплект учебных курсов по сертификации CompTIA в области кибербезопасности 2024 года Пакет тренингов для лидеров кибербезопасности 2024 года Комплексный комплект обучения по программе сертификации карьеры в области кибербезопасности и ИТ