Kyberturvallisuus kehittyy jatkuvasti ja vaatii sellaisenaan säännöllistä valppautta.
Microsoft analysoi yli 78 biljoonaa tietoturvasignaalia päivittäin ymmärtääkseen paremmin uusimmat hyökkäysvektorit ja -tekniikat. Viime vuodesta olemme havainneet muutoksen uhkatoimijoissa kansallisvaltion tuen mittaaminen ja hyödyntäminen. On selvää, että organisaatiot kohtaavat edelleen enemmän hyökkäyksiä kuin koskaan ennen, ja hyökkäysketjut ovat yhä monimutkaisempia. Viipymäajat ovat lyhentyneet ja taktiikat, tekniikat ja menettelyt (TTP) ovat kehittyneet ketterämmiksi ja välttelevämmiksi.
Näiden oivallusten perusteella tässä on viisi hyökkäystrendiä, joita loppukäyttäjien organisaatioiden tulisi seurata säännöllisesti.
Saavuta varkain välttämällä mukautettuja työkaluja ja haittaohjelmia
Jotkut uhkatoimijaryhmät asettavat salailun etusijalle käyttämällä työkaluja ja prosesseja, jotka ovat jo olemassa uhrien laitteissa. Tämä antaa vastustajille mahdollisuuden luisua tutkan alle ja jäädä huomaamatta peittämällä heidän toimintansa muiden uhkaavien toimijoiden rinnalla, jotka käyttävät samanlaisia menetelmiä hyökkäysten käynnistämiseen.
Esimerkki tästä trendistä voidaan nähdä Volt Typhoon, Kiinan valtion tukema näyttelijä, joka nousi otsikoihin Yhdysvaltain kriittisen infrastruktuurin kohdistamisesta maan ulkopuolella asumisen tekniikoilla.
Kyber- ja vaikuttamistoimintojen yhdistäminen suuremman vaikutuksen saavuttamiseksi
Kansallisvaltioiden toimijat ovat myös luoneet uuden taktiikkakategorian, jossa yhdistyvät kyberoperaatiot ja vaikuttamisoperaatiot (IO). Tämä hybridi, joka tunnetaan nimellä "kyberkäyttöiset vaikuttamistoiminnot", yhdistää kybermenetelmät, kuten datavarkauden, turmeltamisen, hajautetun palveluneston ja kiristysohjelmat, vaikuttamismenetelmiin, kuten tietovuodot, sockuppets, uhrien toisena henkilönä esiintyminen ja harhaanjohtavat sosiaalisen median viestit. ja haitallinen tekstiviesti-/sähköpostiviestintä – tehostaa, liioitella tai kompensoida puutteita vastustajien verkkoonpääsy- tai kyberhyökkäysominaisuuksissa.
Esimerkiksi Microsoft on havainnut useiden iranilaisten toimijoiden yrittävän käyttää joukkotekstiviestit tehostamaan kybervaikutusoperaatioidensa vahvistusta ja psykologisia vaikutuksia. Näemme myös useammin kybervaikutusoperaatioiden yrittävän esiintyä väitettyinä uhrijärjestöinä tai näiden organisaatioiden johtajina lisätäkseen uskottavuutta kyberhyökkäyksen tai kompromissin vaikutuksille.
Salaverkkojen luominen kohdistamalla SOHO Network Edge -laitteita
Erityisen merkityksellistä hajautetuille tai etätyöntekijöille on pienten toimistojen/kotitoimistojen (SOHO) verkon reunalaitteiden lisääntyvä väärinkäyttö. Yhä enemmän näemme uhkatoimijoiden käyttävän kohde-SOHO-laitteita – kuten paikallisen kahvilan reititintä – peiteltyjen verkkojen kokoamiseen. Jotkut vastustajat jopa käyttävät ohjelmia haavoittuvien päätepisteiden paikantamiseen ympäri maailmaa ja seuraavan hyökkäyksensä aloituspisteiden tunnistamiseen. Tämä tekniikka vaikeuttaa vaikuttavuutta, jolloin hyökkäykset näkyvät käytännössä mistä tahansa.
Nopeasti julkistettujen POC-koodien käyttöönotto ensimmäistä kertaa ja pysyvyyttä varten
Microsoft on yhä useammin havainnut, että tietyt kansallisvaltioiden alaryhmät ottavat käyttöön julkisesti julkistetun proof-of-concept (POC) -koodin pian sen julkaisun jälkeen hyödyntääkseen Internetiin johtavien sovellusten haavoittuvuuksia.
Tämä suuntaus näkyy uhkaryhmissä, kuten Minttuhiekkamyrsky, Iranin kansallisvaltion toimija, joka aseisti nopeasti N-päivän haavoittuvuuksia yleisissä yrityssovelluksissa ja toteutti tarkasti kohdennettuja tietojenkalastelukampanjoita päästäkseen nopeasti ja menestyksekkäästi kiinnostaviin ympäristöihin.
Erikoistumisen asettaminen etusijalle Ransomware-taloudessa
Olemme havainneet jatkuvaa liikettä kohti ransomware-erikoistuminen. Sen sijaan, että suorittaisivat päästä päähän kiristyshaittaohjelmia, uhkatoimijat päättävät keskittyä pieneen valikoimaan ominaisuuksia ja palveluita.
Tämä erikoistuminen sillä on pirstouttava vaikutus, ja se levittää kiristysohjelmahyökkäyksen komponentteja useiden palveluntarjoajien kesken monimutkaisessa harmaantaloudessa. Yritykset eivät voi enää ajatella, että kiristysohjelmahyökkäyksiä tulee vain yksittäiseltä uhkatoimijalta tai ryhmältä. Sen sijaan he saattavat taistella koko lunnasohjelmia palveluna-taloutta vastaan. Vastauksena Microsoft Threat Intelligence seuraa nyt kiristyshaittaohjelmien tarjoajia yksitellen ja panee merkille, mitkä ryhmittelevät liikennettä alkupääsyssä ja mitkä tarjoavat muita palveluita.
Kun kyberpuolustajat etsivät tehokkaampia tapoja vahvistaa turva-asentoaan, on tärkeää viitata menneiden vuosien merkittäviin trendeihin ja rikkomuksiin ja ottaa niistä oppia. Analysoimalla näitä tapauksia ja ymmärtämällä eri vastustajien motiiveja ja suosimia TTP:itä voimme paremmin estää vastaavia rikkomuksia tulevaisuudessa.
- Lue lisää Kumppanin näkökulmat Microsoft Securitylta
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/5-attack-trends-organizations-of-all-sizes-should-be-monitoring
