Кібербезпека постійно розвивається і, як така, вимагає постійної пильності.

Корпорація Майкрософт щодня аналізує понад 78 трильйонів сигналів безпеки, щоб краще зрозуміти новітні вектори атак і методи. Починаючи з минулого року, ми помітили зміни в тому, як діють загрозливі особи масштабування та залучення підтримки національної держави. Зрозуміло, що організації продовжують зазнавати більшої кількості атак, ніж будь-коли раніше, а ланцюжки атак стають усе складнішими. Час перебування скоротився, а тактика, техніка та процедури (TTP) еволюціонували, щоб стати спритнішими та більш ухильними за своєю природою. 

На основі цих висновків організації кінцевих користувачів повинні регулярно стежити за п’ятьма тенденціями атак.

Досягнення скритності, уникаючи спеціальних інструментів і шкідливих програм

Деякі групи зловмисників надають пріоритет стелсу, використовуючи інструменти та процеси, які вже існують на пристроях їхніх жертв. Це дозволяє супротивникам прослизати поза радаром і залишатися непоміченими, приховуючи свої дії разом з іншими суб’єктами загрози, які використовують подібні методи для здійснення атак. 

Приклад цієї тенденції можна побачити з Вольт Тайфун, спонсорований державою китайський актор, який потрапив у заголовки новин через націлювання на критично важливу інфраструктуру США за допомогою методів життя поза межами землі.

Поєднання кібероперацій і операцій впливу для більшого впливу

Суб’єкти національної держави також створили нову категорію тактик, яка поєднує кібероперації та методи операцій впливу (IO). Цей гібрид, відомий як «кібероперації впливу», поєднує кіберметоди, такі як крадіжка даних, псування, розподілена відмова в обслуговуванні та програми-вимагачі, з методами впливу, такими як витік даних, маріонетки, видавання себе за жертву, оманливі дописи в соціальних мережах , а також зловмисне спілкування через SMS/електронну пошту — щоб посилити, перебільшити або компенсувати недоліки в доступі зловмисників до мережі або можливостях кібератак. 

Наприклад, корпорація Майкрософт спостерігала спроби використання кількох іранських акторів масова розсилка SMS-повідомлень посилити посилення та психологічні ефекти своїх операцій кібервпливу. Ми також спостерігаємо все більше кібер-операцій впливу, які намагаються видати себе за ймовірні організації-жертви чи провідних діячів у цих організаціях, щоб додати довіри до наслідків кібератаки чи компрометації.

Створення прихованих мереж шляхом орієнтації на периферійні пристрої мережі SOHO

Особливо актуальним для розподілених або віддалених співробітників є зростаюче зловживання периферійними пристроями в малих/домашніх офісах (SOHO). Дедалі частіше ми бачимо, як зловмисники використовують цільові пристрої SOHO — наприклад, маршрутизатор у місцевій кав’ярні — для створення прихованих мереж. Деякі зловмисники навіть використовують програми для визначення місцезнаходження вразливих кінцевих точок по всьому світу та визначення точок стрибка для наступної атаки. Ця техніка ускладнює атрибуцію, завдяки чому атаки з’являються практично з будь-якого місця.

Швидке прийняття публічно розкритих POC для початкового доступу та постійності 

Корпорація Майкрософт все частіше спостерігає, як певні підгрупи національних держав приймають публічно оприлюднений код підтвердження концепції (POC) невдовзі після його випуску для використання вразливостей у додатках, що працюють в Інтернеті.

Цю тенденцію можна помітити в таких групах загроз, як М'ята піщана буря, іранська національно-державна організація, яка швидко використовувала вразливості N-днів у звичайних корпоративних програмах і проводила цілеспрямовані фішингові кампанії для швидкого й успішного доступу до цікавого середовища.

Пріоритет спеціалізації в економіці програм-вимагачів

Ми спостерігаємо постійний рух до спеціалізація програм-вимагачів. Замість того, щоб проводити наскрізну операцію з програмами-вимагачами, зловмисники зосереджуються на невеликому діапазоні можливостей і послуг. 

це спеціалізації має розщеплюючий ефект, поширюючи компоненти атаки програм-вимагачів між кількома постачальниками в складній підпільній економіці. Компанії більше не можуть думати, що атаки програм-вимагачів походять лише від окремої загрози або групи. Натомість вони можуть боротися з усією економікою програм-вимагачів як послуг. У відповідь Microsoft Threat Intelligence тепер окремо відстежує постачальників програм-вимагачів, відзначаючи, які групи трафіку під час початкового доступу, а які пропонують інші послуги.

Оскільки кіберзахисники шукають ефективніші способи зміцнення своєї безпеки, важливо посилатися на важливі тенденції та порушення минулих років і вчитися на них. Аналізуючи ці інциденти та розуміючи мотиви різних опонентів і улюблені TTP, ми зможемо краще запобігти подібним порушенням у майбутньому.

— Читати далі Погляди партнерів від Microsoft Security

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/5-attack-trends-organizations-of-all-sizes-should-be-monitoring