Исследование КРОК: как противостоять угрозам нулевого дня. Читайте на Cossa.ru

28 апреля, 14:15

Исследование КРОК: как противостоять угрозам нулевого дня

В 2021 году выявлено рекордное количество угроз нулевого дня, их число составило 57. Это вдвое больше, чем в 2020 году, и больше, чем в любой другой год за всю историю наблюдений.

По данным КРОК, общее число кибератак увеличилось на 23%. При этом отмечается рост целенаправленных кибератак, их доля составляет порядка 75%. Бо́льшая часть происходит с использованием вредоносного ПО (73%), среди которого особую опасность представляют угрозы нулевого дня.

Эксплойт нулевого дня (или zero day) — это кибератака, направленная на уязвимость программного обеспечения, которая неизвестна его поставщикам или антивирусным программам. Злоумышленник замечает уязвимость ПО еще до того, как производить ее обнаружил, быстро создает эксплойт и использует его для проникновения. Такие атаки с большой вероятностью увенчаются успехом. Это делает уязвимости нулевого дня серьезной угрозой безопасности.

Исследование КРОК: как противостоять угрозам нулевого дня

«Безусловно, прямо сейчас хакеры используют неизвестные уязвимости для вмешательства в работы систем. Цели разные — промышленный шпионаж, кража данных и денежный средств со счетов, заражение сетей шифровальщиками и получение выкупа, политический активизм и кибертерроризм», — отмечает Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК.

Численность угроз напрямую коррелирует с количеством разрабатываемого софта. Он постоянно совершенствуется, обрастает новыми функциями, в результате чего появляются совершенно новые продукты, которые тем не менее могут содержать в себе старые ошибки. Яркий пример — уязвимость Log4j в библиотеке Java. Эта библиотека использовалась в большом количестве ИТ-продуктов, которые установлены практически во всех компаниях. Внезапно множество серверов по всему миру стало уязвимы к исполнению вредоносного кода.

«Несмотря на резкий рост численности угроз нулевого дня, их выявление отнимает всё больше времени у злоумышленников. Современные системы безопасности и сложность ИТ-инфраструктур означают, что хакерам необходимо проделать куда больший объём работ, чем пять лет назад», — рассказывает Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК.

Если говорить о целях киберпреступников, то каждый третий охотится за персональными данными (33%). Замыкают тройку лидеров информация, содержащая коммерческую тайну (21%) и учётные данные пользователей (19%).

Исследование КРОК: как противостоять угрозам нулевого дня

При атаках нулевого дня могут использоваться различные уязвимые объекты: операционные системы, веб-браузеры, офисные приложения, компоненты с открытым исходным кодом; кппаратное обеспечение и интернет вещей.

  1. Операционные системы — возможно, наиболее привлекательная цель для атак нулевого дня из-за их повсеместного распространения и возможностей, которые они предлагают злоумышленникам для получения контроля над пользовательскими системами.

  2. Веб-браузеры — неисправленная уязвимость может позволить злоумышленникам выполнять попутную загрузку, выполнять сценарии или даже запускать исполняемые файлы на компьютерах пользователей.

  3. Офисные приложения — вредоносное ПО, встроенное в документы или другие файлы, часто использует уязвимости нулевого дня в базовом приложении, используемом для их редактирования.

  4. Компоненты с открытым исходным кодом — некоторые проекты с открытым исходным кодом не поддерживаются активно или не имеют надежных методов обеспечения безопасности. Поставщики программного обеспечения могут использовать эти компоненты, не зная об уязвимостях, которые они содержат.

  5. Аппаратное обеспечение — уязвимость в маршрутизаторе, коммутаторе, сетевом устройстве или домашнем устройстве, таком как игровая консоль, может позволить злоумышленникам скомпрометировать эти устройства, нарушить их работу или использовать их для создания массивных бот-сетей.

  6. Интернет вещей (IoT) — подключённые устройства, от бытовой техники и телевизоров до датчиков и подключённых автомобилей. Многие устройства IoT не имеют механизма исправления или обновления своего программного обеспечения.

Стоимость эксплойтов нулевого дня сильно варьируются и достигает до 2500000 долларов, и это только награды добросовестным исследователям за выявление угроз, на основе которых выпускаются соответствующие обновления. Согласно общедоступным данным, стоимость некоторых уязвимостей c 2016 возросла на 1150%.

Суммы, выплачиваемые за приобретение оригинальных эксплойтов нулевого дня, зависят от популярности и уровня безопасности затронутого программного обеспечения/системы, а также от качества представленного эксплойта (полная или частичная цепочка, поддерживаемые версии/системы/архитектуры). Наибольшую ценность представляют уязвимости для взлома мобильных устройств, причём Android-версии ценятся куда больше.

Среди серверов наибольший интерес для хакеров несут уязвимости систем Windows, Chrome, Apache и MS IIS, стоимость за обнаружение может достигать миллиона долларов. При этом уязвимости системы macOS оцениваются в несколько раз меньше (около 100 тысяч).

Однако многие преступники ищут уязвимости и продают их хакерским группировкам, которые в свою очередь используют их и зарабатывают в десятки раз больше. Потери от известной атаки Carbanak оценивались в 1 млрд долларов. В России с помощью этого вируса было украдено более 58 миллионов рублей из ПИР Банка.

Громких случаев немало. В 2021 году Google Chrome подвёргся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Проблема возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере. Годом ранее у популярной платформы видеоконференцсвязи Zoom обнаружили уязвимость. В результате злоумышленники получали удалённый доступ к компьютерам пользователей, на которых установлены старые версии ОС. В случаях когда атака была нацелена на администратора, злоумышленники могли полностью захватить его устройство со всеми файлами.

«Основная задача злоумышленника — это получение доступа в сеть и повышенные привилегий. Тут речь идёт именно про уязвимости ПО, хотя надо понимать, что одной найденной уязвимости мало. Необходимо получить доступ к софту, в котором она содержится. Здесь на „помощь“ приходит социальная инженерия. Такими методами злоумышленники заставляют жертву открыть вредоносное письмо с приложением и пройти по заражённой ссылке. После этого хакерское ПО попадает на компьютер и пытается эксплуатировать уязвимость», — рассказывает Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК.

Надёжное обнаружение отклонений от ожидаемого поведения системы может стать эффективным инструментом для предотвращения нарушений. Для этого необходимо придерживаться следующих рекомендаций:

  1. Своевременное обновление программ и операционных систем. Производители регулярно выпускают обновления и патчи по безопасности. В них содержатся исправления ранее выявленных недочетов кода.

  2. Работа только в необходимых системах. Чем больше программного обеспечения используется в компании, тем больше потенциальных уязвимостей имеется.

  3. Настройка сетевого экрана. Ограничение на совершение операций позволит предотвратить несанкционированное воздействие, помогая выявить угрозу на начальных этапах.

  4. Развитие киберосознанности. Для проникновения и внедрения эксплойтов используются методы социальной инженерии, обучение сотрудников работе с данными в веб-среде поможет обеспечить серьезный уровень безопасности.

  5. Использование антивируса. Комплексные решения помогают обеспечить надежный защиту корпоративных систем и баз данных.

  6. Необходимость мониторинга событий в ИТ-инфарструктуре с использованием SIEM, EDR, NTA и выделенной командой аналитиков SOC.

«Казалось бы, что данные методы применяются уже во всех компаниях, однако это не так. У нас был кейс, когда мы избавляли заказчика от угрозы нулевого дня, так как он вовремя не обновил свои программы. В результате на пользовательские станции попал шифровальщик. Мы быстро приняли меры, оперативно закрыли доступ подсети, в которой были заражённые машины от остальной сети, таким образом, прекратили распространение вредоноса. Затем были попытки восстановления данных и перезаливка станций с нуля. А также анализ произошедшего — внедрение процесса управления уязвимостями, анализа процессов на рабочих станциях (класс решений EDR), работа с кибергигиеной пользователей (security awareness)», — рассказывает Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК.

К тому же компаниям необходимо постоянно мониторить выявленные угрозы во внешнем пространстве. Базой данных может стать как системный интегратор или вендор, так и открытые источники, например, NVD (Национальная база данных уязвимостей). Такая информация постоянно обновляется и может быть полезна в качестве ориентира, эксплойты нулевого дня по определению являются новыми и неизвестными. Таким образом существует предел того, что существующая база данных может вам сообщить.

Для обнаружения данных о ранее зафиксированных эксплойтах всё чаще применяется машинное обучение. На основе текущих и прошлых взаимодействий пользователей с системой устанавливается эталон безопасного поведения. Чем больше информации доступно, тем надёжнее обнаружение.

Компаниям любого размера необходимо иметь стратегию реагирования на инциденты, которая обеспечивает организованный процесс выявления и устранения кибератаки. Наличие конкретного плана, ориентированного на угрозы нулевого дня, даст огромное преимущество в случае их наступления, уменьшит время на реагирование и повысит шансы избежать ущерба или же уменьшить его.

Присылайте свои комментарии к ситуации на digital-рынке (короткие или развёрнутые, во втором случае сделаем вам полноценную колонку в статейной ленте Коссы):
Email: 42@cossa.ru
Телеграм: @cossawer
VK: vk.com/cossa

Как запустить толковый конкурс для вебмастеров

Механика, задачи, ошибки и как их исправить.

Кейс Adv.Cake и Skillbox →

Спецпроект

Комментарии:



Антикризисная рассылка



Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Вконтакте, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой