Конвергенция кибер-физических систем открывает перед киберпреступниками возможности для новых атак

@IKS

Компания Fortinet согласно опубликованным данным, киберпреступники прибегают ко все более изощренным методам атак, осуществляя их, например, через устройства Интернета вещей, которые в подавляющем большинстве случаев никак не защищены, или адаптируя вредоносные программы на базе открытых исходных кодов, чтобы превращать их в новые угрозы. С более подробными выкладками исследования и с рейтингами угроз Threat Landscape Indices, в которых представлена информация о различных уязвимостях, ботнетах и вредоносных программах, а также некоторыми важными выводами для директоров по информационной безопасности, можно ознакомиться в нашем блоге. Среди основных выводов исследования:

Фил Куэйд (Phil Quade), директор по информационной безопасности в Fortinet

«Сегодняшней эпохе характерна конвергенция цифрового поля и физических пространств. И хотя с точки зрения нашей цифровой экономики эта конвергенция сулит немыслимые блага и преимущества, к сожалению, она несет с собой весьма реальные риски с точки зрения кибербезопасности. Киберпреступники внимательно следят за развитием ситуации и разрабатывают новые инструменты для использования уязвимостей, нацеливаясь на эту формирующуюся цифровую конвергенцию. Фундаментальные аспекты кибербезопасности, в том числе идеи прозрачности, автоматизации и agile сегментации обретают сегодня особое значение и являются важнейшим фактором для процветания в нашем новом цифровом будущем. Только таким образом мы сможем защитить себя от вредоносной деятельности злоумышленников».

Согласно индексу угроз Fortinet Threat Landscape Index, киберпреступники продолжали без устали работать даже в праздники. После драматичного начала рост индекса Exploit Index во второй половине квартала остановился. Несмотря на то, что общая активность кибер-злоумышленников несколько снизилась, количество уязвимостей на компанию (exploits per firm) увеличилось на 10%, а число зафиксированных уникальных уязвимостей выросло на 5%. В то же время, более сложными становятся ботнеты, и их теперь труднее обнаружить. Время инфицирования ботнетом выросло на 15%, примерно до 12 дней на фирму. Поскольку для распространения атак киберпреступники используют средства автоматизации и алгоритмы машинного обучения, департаментам безопасности необходимо использовать те же инструменты для противодействия столь современным и изощренным методам атак.

· Отслеживание систем слежения

Конвергенция физических вещей и аспектов кибербезопасности приводит к расширению поверхности атаки, то есть приводит к увеличению числа атакуемых объектов. Шесть из двенадцати наиболее распространенных уязвимостей имели отношение к Интернету вещей, и четыре из шести наиболее распространенных уязвимостей были направлены на IP камеры наблюдения. Доступ к этим устройствам позволяет киберпреступникам следить за частной жизнью, планировать противоправную деятельность на физическом объекте, или получать доступ к сетевым системам для запуска DDoS атак или атак с целью вымогательства выкупа. Важно понимать, что атаки могут осуществляться даже посредством устройств, которые мы используем для контроля и обеспечения безопасности.

· Инструменты, открытые для всех

Вредоносные инструменты с открытым исходным кодом являются весьма полезными для сообщества профессионалов в области информационной безопасности: с их помощью специалисты могут тестировать защиту, исследователи могут изучать различные угрозы, а ведущие семинаров – использовать реальные примеры из практики. Исходные коды подобных инструментов опубликованы на многочисленных сайтах, например, на GitHub. Поскольку эти коды доступны для всех желающих, ими могут воспользоваться и злоумышленники для своих противоправных действий. В частности, они могут адаптировать и модернизировать эти вредоносные инструменты для реализации новых угроз, в значительной степени для создания так называемого ransomware, то есть вредоносных программ с целью вымогательства выкупа. В качестве примера того, где подобный вредоносный код был использован для осуществления новых атак, можно назвать ботнет Mirai IoT. С момента его появления в 2016 году количество различных вариантов этого ботнета продолжает неуклонно расти. Для киберпреступников инновации открывают невероятные возможности.

· Расцвет стеганографии

Достижения в области стеганографии позволяют вдохнуть новую жизнь в старые типы атак. Стеганография обычно не используется в наиболее часто встречающихся атаках, однако в прошлом квартале топ-лист наиболее активных ботнетов возглавил Vawtrak. Это свидетельствует о том, что злоумышленники все пристальнее присматриваются к этому типу атак. Кроме того, в течение квартала исследователи обнаружили образцы вредоносных программ, использующие стеганографию для того, чтобы спрятать непосредственно вредоносный код в мемах, которые распространяются по социальным сетям. В ходе атаки после попытки связаться с командным сервером, код ищет изображения в соответствующей ленте в Twitter, загружает их и затем ищет в них спрятанные команды для дальнейшего распространения. Этот скрытый подход показывает, что злоумышленники продолжают экспериментировать с различными вариантами развития своего вредоносного кода.

· Распространение через рекламное ПО

Бесплатные программные продукты с размещенной в них рекламой по-прежнему не просто досаждают, а несут в себе угрозу. На глобальном уровне рекламное ПО является наиболее распространенным способом заражения вредоносными программами для большинства регионов – на его долю приходится более четверти всех заражений в Северной Америке и Океании, и почти четверть – в Европе. Поскольку рекламное ПО весьма распространено в магазинах мобильных приложений, этот тип атак представляет серьезную угрозу особенно для ничего не подозревающих пользователей мобильных устройств.

· Наблюдение за операционными технологиями

В связи с продолжающейся конвергенцией информационных технологий (ИТ) и операционных технологий (OT), в рассматриваемом периоде были отмечены относительные изменения распространения и частоты атак на эти окружения. К сожалению, в большинстве случаев увеличился и уровень распространения, и частота атак. В частности, возвращение вредоносной Shamoon в виде волны атак в декабре указывает на то, что эти разрушительные атаки могут повторяться с еще большей силой. Кибератака, нацеленная на ОТ-систему, или даже просто на подключенные к сети устройства, например, на клапаны, датчики или выключатели, может привести к разрушительным физическим последствиям, в том числе для критически важной инфраструктуры и сервисов, окружающей среды или даже угрожать жизням людей.

Необходимость в интегрированных и автоматизированных средствах безопасности

Данные об угрозах, представленные в исследовании за минувший квартал, в очередной раз подтверждают многие из тех тенденций, которые были спрогнозированы глобальной исследовательской фирмой FortiGuard Labs. Чтобы предвосхищать действия злоумышленников, организациям необходимо трансформировать свои стратегии безопасности в рамках своей общей работы по цифровой трансформации. Им необходима платформа безопасности, которая бы охватывала все сетевое окружение, от устройств Интернета вещей до облачных инфраструктур, и которая бы интегрировала все элементы безопасности для минимизации современных угроз и для защиты расширяющейся поверхности атак. Этот подход позволит организациям оперативно и на должном уровне обмениваться информацией об угрозах, сокращает необходимые окна обнаружения (windows of detection), и обеспечивает автоматизированный инструмент для нейтрализации современных угроз.

Коротко об отчете и рейтинге

Новейший отчет Fortinet Threat Landscape Report представляет собой ежеквартальную сводку общей аналитики, составленную FortiGuard Labs на основе данных многочисленных источников Fortinet за 4 квартал 2018 года. Результаты исследования дают представления об общей картине как на глобальном уровне, так и по отдельным регионам. Кроме того, в отчет включен рейтинг Fortinet Threat Landscape Index (TLI), который состоит из отдельных индексов по трем основным аспектам – уязвимостям, вредоносным программам и ботнетам, что позволяет судить о динамике их распространенности и об их количестве в отчетном периоде. Вместе с тем, отчет охватывает и дополнительные аспекты, в том числе информацию о значимых уязвимостях нулевого дня и о инфраструктурных тенденциях, что обеспечивает дополнительный контекст о деятельности злоумышленников, направленной против организаций.