Svou nejnovější pololetní zprávu o bezpečnostní situaci FortiGuard Labs Global Threat Landscape Report vydala společnost Fortinet. Informace o hrozbách z druhé poloviny roku 2021 odhalují nárůst automatizace a rychlosti útoků, což ukazuje na pokročilejší strategie perzistentní kybernetické kriminality, která je ničivější a hůře předvídatelná. Kyberzločinci se navíc začali větší měrou zaměřovat na zneužívání prostoru, který v bezpečnostním prostředí vznikl v souvislosti s hybridním modelem práce a hybridním IT.
„Kybernetická bezpečnost je dynamické odvětví, které se rychle rozvíjí, ale nedávné incidenty ukazují bezkonkurenční rychlost, s jakou dnes útočníci vyvíjejí a provádějí útoky. Vznik nových a vývoj existujících technik se týká všech fází útoku, ale především fáze vytvoření samotné digitální zbraně, což ukazuje na posun směrem k pokročilejší a trvalejší strategii kyberzločinu, která je ničivější a zároveň méně předvídatelná. Na ochranu před tímto širokým spektrem hrozeb musí podniky zavádět strategie prevence, detekce a reakce podporované umělou inteligencí a založené na bezpečnostní mesh architektuře, která umožňuje podstatně užší integraci, vyšší stupeň automatizace a také rychlejší, lépe koordinovanou a efektivnější odezvu na hrozby v celé širší sítí,“ říká Derek Manky, ředitel FortiGuard Labs pro bezpečnostní zpravodajství a globální sdílení informací o hrozbách.
Hlavní zjištění studie za 2. pololetí 2021:
Log4j ukazuje závratnou rychlost zneužívání zranitelností, s níž musí podniky počítat: Zranitelnosti Log4j, které se objevily koncem roku 2021, ukazují rychle rostoucí tempo, s jakým se kyberzločinci snaží zneužít bezpečnostní nedostatky ke svému prospěchu. Ačkoli k tomu došlo až ve druhém prosincovém týdnu, aktivity zaměřené na zneužití těchto zranitelností narostly tak rychle, že se za méně než měsíc staly nejčastěji detekovaným pokusem o průnik za celé druhé pololetí roku 2021. Mimoto byl u zranitelností Log4j zaznamenán padesátinásobný objem aktivity ve srovnání s dobře známou epidemií ProxyLogon, ke které došlo dříve během téhož roku. Realita je taková, že vzhledem k rychlosti, jakou útočníci postupují ve snaze maximalizovat zisk z nových příležitostí, mají dnes podniky velmi málo času na reakci nebo opravu zranitelností. Potřebují tedy systémy prevence průniku (IPS) založené na umělé inteligenci a strojovém učení, aktivní strategie správy záplat a kvalitní informace o hrozbách, aby se mohly přednostně zabývat těmi, které se v kyberprostoru šíří nejrychleji, a snižovat tak celkové riziko.
Protivníci rychle přechází na nové směry útoku: Některé menší nebo méně nápadné hrozby mají potenciál způsobit v budoucnu větší problémy a vyplatí se je sledovat. Příkladem je nově vytvořený malware určený k napadání linuxových systémů, často v podobě spustitelných souborů ve formátu ELF. Na Linuxu běží back-endové systémy mnoha sítí a kontejnerová řešení pro IoT zařízení a kritické aplikace, takže se tento operační systém stává stále oblíbenějším cílem útočníků. Ve skutečnosti se výskyt nových signatur linuxového malwaru ve 4. čtvrtletí oproti 1. čtvrtletí 2021 zečtyřnásobil, přičemž na Linux útočily například ELF varianty malwaru Muhstik, RedXOR a dokonce Log4j. Počet případů detekce ELF a dalšího linuxového malwaru se v průběhu roku 2021 zdvojnásobil. Tento nárůst počtu variant i objemu naznačuje, že se linuxový malware stává stále běžnější součástí arzenálu útočníků. Linux je nutné zabezpečit, monitorovat a spravovat jako jakýkoli jiný koncový bod v síti pomocí pokročilých a automatizovaných nástrojů na ochranu, detekci a reakci. Vedle toho by měla být prioritou bezpečnostní hygiena, aby byla zajištěna aktivní ochrana systémů vystavených nízkoúrovňovým hrozbám.
Trendy v oblasti botnetů ukazují vývoj sofistikovanějších útočných metod: Trendy vývoje hrozeb ukazují, že kyberzločinci zdokonalují botnety novějšími a pokročilejšími útočnými technikami. Botnety již nejsou primárně monolitické a zaměřené převážně na útoky typu DDoS, ale jedná se o víceúčelové útočné prostředky využívající celou řadu sofistikovanějších technik, včetně ransomwaru. Útočníci, včetně provozovatelů botnetů, jako je Mirai, například integrovali exploity zranitelností Log4j do svých útočných arzenálů. Byla také pozorována aktivita botnetů spojená s novou variantou malwaru RedXOR, který se zaměřuje na linuxové systémy a vyvádí z nich data. Počátkem října také výrazně vzrostl počet detekcí botnetů šířících variantu malwaru RedLine Stealer, kdy byly nové cíle nacházeny pomocí souboru s tématem onemocnění COVID. K ochraně sítí a aplikací je nutné zavádět řešení pro přístup na principu nulové důvěry, které poskytuje nejmenší nutná přístupová oprávnění, zejména k zabezpečení koncových bodů IoT a zařízení přistupujících do sítě zvnějšku, a také bezpečnostní řešení se schopností automatické detekce a reakce pro sledování anomálního chování.
Trendy šíření malwaru ukazují, že se počítačoví zločinci snaží maximálně využít práci a výuku na dálku: Na základě vyhodnocení výskytu různých variant malwaru podle regionů je patrný trvalý zájem kyberzločinců o maximální využití práce a výuky na dálku k útokům. Převládaly zejména různé formy malwaru založeného na prohlížeči. Ten má často podobu phishingových návnad nebo skriptů, které do stránky vkládají svůj kód nebo přesměrovávají uživatele na škodlivé stránky. Konkrétní detekovaný malware se v různých částech světa liší, ale do značné míry jej lze rozčlenit do tří širších kategorií podle distribučního mechanismu: Spustitelné soubory Microsoft Office (MSExcel/, MSOffice/), soubory PDF a skripty prohlížeče (HTML/, JS/). Tyto techniky zůstávají mezi kyberzločinci oblíbené jako způsob, jak zneužít touhu lidí po nejnovějších informacích o pandemii, politice, sportu nebo jiných událostech, a nalézt tak cestu do podnikových sítí. Vzhledem k tomu, že hybridní práce a učení zůstávají realitou, mezi malwarem a potenciálními oběťmi se nachází méně vrstev ochrany. Podniky musí zabezpečení pojmout tak, aby vyhovoval konceptu „práce odkudkoli“, to znamená bylo schopné sledovat, umožňovat práci a chránit uživatele bez ohledu na to, kde se nacházejí. Zapotřebí je pokročilé zabezpečení koncových bodů (EDR) v kombinaci s řešeními pro přístupu založenými na principu nulové důvěry, včetně ZTNA. Bezpečná SD-WAN je také zásadní z hlediska zajištění bezpečné konektivity WAN v rámci rozšířené sítě.
Ransomware stále vykazuje vysokou aktivitu a stoupající destruktivní účinky: Data FortiGuard Labs ukazují, že ransomware za uplynulý rok neustoupil z rekordních úrovní. Navíc vzrůstá jeho sofistikovanost, agresivita a závažnost jeho dopadů. Útočníci nadále napadají své cíle řadou nových i již dříve zaznamenaných typů ransomwaru, mnohdy vysoce destruktivních. Aktivně aktualizují a zdokonalují starý ransomware a v některých případech jej doplňují o funkci mazání dat, případně upravují do podoby služby, tzv. Ransomware-as-as-Service (RaaS). RaaS umožňuje většímu počtu útočníků malware využívat a distribuovat, aniž by jej museli sami vytvářet. FortiGuard Labs zaznamenaly konzistentní úroveň škodlivé aktivity ze strany několik druhů ransomwaru, včetně nových verzí Phobos, Yanluowang a BlackMatter. Provozovatelé BlackMatter tvrdili, že nebudou útočit na zdravotnická zařízení a jinou kritickou infrastrukturu, ale přesto tak učinili. Ransomwarovým útokům nadále čelí všechny subjekty bez ohledu na odvětví nebo velikost. Musí proto zaujmout aktivní přístup a zavést prostředky, které zajistí přehled analýzu, ochranu a nápravu v reálném čase, ve spojení s řešeními pro přístup na principu nulové důvěry, segmentací a pravidelným zálohováním dat.
Lepší porozumění technikám útoku může pomoci zastavit kyberzločince rychleji: Analýza cílů útoku je důležitá kvůli sladění obrany s rychlostí obměny útočných technik. Experti FortiGuard Labs analyzovali funkcionalitu a zkoumali dopady detekovaného malwaru spuštěním vzorků různých útoků shromážděných v průběhu roku. Výsledkem byl seznam jednotlivých taktik, technik a postupů (TTP), které by malware provedl, kdyby došlo k jeho aktivaci. Tyto detailní informace ukazují, že zastavit protivníka co nejdříve je důležitější než kdy jindy, a že zaměřením na několik těchto identifikovaných technik je možné v některých situacích účinně překazit postup malwaru. Například tři nejčastější techniky „realizace“ samotného útoku představují 82 % aktivity. Dvě nejčastější techniky pro usídlení v systémech představují téměř 95 % pozorované funkčnosti. Využití této analýzy může zásadním způsobem ovlivnit stanovení priorit v bezpečnostních strategiích za účelem dosažení maximálně účinné obrany.
Ochrana před rychle postupujícími a sofistikovanými kybernetickými protivníky
Vzhledem k tomu, že útoky se neustále zdokonalují a rychleji pokrývají všechny potenciální vektory, je nutné zavádět řešení, která vzájemně spolupracují, namísto takových, která fungují izolovaně. Zabezpečení proti vyvíjejícím se útočným technikám bude vyžadovat chytřejší řešení, která budou schopná přijímat informace o hrozbách v reálném čase, detekovat vzorce a charakteristické znaky hrozeb, na základě vyhodnocování velkého množství dat detekovat anomálie a automaticky iniciovat koordinovanou reakci. Izolované produkty je nutné nahradit kyberbezpečnostní platformou typu mesh, která poskytuje centralizovanou správu, automatizaci a vzájemně provázaná řešení.
