Исследование «КРОК»: как противостоять угрозам нулевого дня
В 2021 году выявлено рекордное количество угроз нулевого дня. По данным «КРОК», общее число кибератак увеличилось на 23% — это вдвое больше, чем в 2020 году.В 2021 году выявлено рекордное количество угроз нулевого дня. По данным «КРОК», общее число кибератак увеличилось на 23%. Это вдвое больше, чем в 2020 году, и больше, чем в любой другой год за всю историю наблюдений. При этом отмечается рост целенаправленных кибератак, их доля составляет порядка 75%. Большая часть происходит с использованием вредоносного ПО (73%), среди которого особую опасность представляют угрозы нулевого дня. Ведущий эксперт по информационной безопасности ИТ-компании «КРОК» Дмитрий Старикович рассказывает как противостоять угнозам нулевого дня.
Эксплойт нулевого дня (или zero day) — это кибератака, направленная на уязвимость программного обеспечения, которая неизвестна его поставщикам или антивирусным программам. Злоумышленник замечает уязвимость ПО еще до того, как производитель ее обнаружил, быстро создает эксплойт и использует его для проникновения. Такие атаки с большой вероятностью увенчаются успехом. Это делает уязвимости нулевого дня серьезной угрозой безопасности.
Прямо сейчас хакеры используют неизвестные уязвимости для вмешательства в работы систем. Цели разные — промышленный шпионаж, кража данных и денежный средств со счетов, заражение сетей шифровальщиками и получение выкупа, политический активизм и кибертерроризм.
Численность угроз напрямую коррелирует с количеством разрабатываемого софта. Он постоянно совершенствуется, обрастает новыми функциями, в результате чего появляются совершенно новые продукты, которые тем не менее могут содержать в себе старые ошибки. Яркий пример — уязвимость Log4j в библиотеке Java. Эта библиотека использовалась в большом количестве ИТ-продуктов, которые установлены практически во всех компаниях. Внезапно, множество серверов по всему миру стало уязвимы к исполнению вредоносного кода.
Несмотря на резкий рост численности угроз нулевого дня, их выявление отнимает все больше времени у злоумышленников. Современные системы безопасности и сложность ИТ-инфраструктур означают, что хакерам необходимо проделать куда больший объем работ, чем пять лет назад.
Если говорить о целях киберпреступников, то каждый третий охотится за персональными данными (33%). Замыкают тройку лидеров информация, содержащая коммерческую тайну (21%) и учетные данные пользователей (19%).
При атаках нулевого дня могут использоваться различные уязвимые объекты: Операционные системы, Веб-браузеры, Офисные приложения, Компоненты с открытым исходным кодом; Аппаратное обеспечение и Интернет вещей.
- Операционные системы — возможно, наиболее привлекательная цель для атак нулевого дня из-за их повсеместного распространения и возможностей, которые они предлагают злоумышленникам для получения контроля над пользовательскими системами.
- Веб-браузеры — неисправленная уязвимость может позволить злоумышленникам выполнять попутную загрузку, выполнять сценарии или даже запускать исполняемые файлы на компьютерах пользователей.
- Офисные приложения — вредоносное ПО, встроенное в документы или другие файлы, часто использует уязвимости нулевого дня в базовом приложении, используемом для их редактирования.
- Компоненты с открытым исходным кодом — некоторые проекты с открытым исходным кодом не поддерживаются активно или не имеют надежных методов обеспечения безопасности. Поставщики программного обеспечения могут использовать эти компоненты, не зная об уязвимостях, которые они содержат.
- Аппаратное обеспечение — уязвимость в маршрутизаторе, коммутаторе, сетевом устройстве или домашнем устройстве, таком как игровая консоль, может позволить злоумышленникам скомпрометировать эти устройства, нарушить их работу или использовать их для создания массивных бот-сетей.
- Интернет вещей (IoT) — подключенные устройства, от бытовой техники и телевизоров до датчиков и подключенных автомобилей. Многие устройства IoT не имеют механизма исправления или обновления своего программного обеспечения.
Стоимость эксплойтов нулевого дня сильно варьируются и достигает до 2 500 000 долларов, и это только награды добросовестным исследователям за выявление угроз, на основе которых выпускаются соответствующие обновления. Согласно общедоступным данным, стоимость некоторых уязвимостей c 2016 возросла на 1150%.
Суммы, выплачиваемые за приобретение оригинальных эксплойтов нулевого дня, зависят от популярности и уровня безопасности затронутого программного обеспечения/системы, а также от качества представленного эксплойта (полная или частичная цепочка, поддерживаемые версии/системы/архитектуры). Наибольшую ценность представляют уязвимости для взлома мобильных устройств, причем Android версии ценятся куда больше.
Среди серверов наибольший интерес для хакеров несут уязвимости систем Windows, Chrome, Apache и MS IIS, стоимость за обнаружение может достигать миллиона долларов. При этом уязвимости системы macOS оцениваются в несколько раз меньше (около 100 тысяч).
Однако, многие преступники ищут уязвимости и продают их хакерским группировкам, которые в свою очередь используют их и зарабатывают в десятки раз больше. Потери от известной атаки Carbanak оценивались в 1 млрд. долларов. В России с помощью этого вируса было украдено более 58 миллионов рублей из ПИР Банка.
Громких случаев немало. В 2021 году Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Проблема возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере. Годом ранее у популярной платформы видеоконференцсвязи Zoom обнаружили уязвимость. В результате злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены старые версии ОС. В случаях когда атака была нацелена на администратора, злоумышленники могли полностью захватить его устройство и всем файлам.
Основная задача злоумышленника — это получение доступа в сеть и повышенные привилегий. Тут речь идет именно про уязвимости ПО, хотя, надо понимать, что одной найденной уязвимости мало. Необходимо получить доступ к софту, в котором она содержится. Здесь на «помощь» приходит социальная инженерия. Такими методами злоумышленники заставляют жертву открыть вредоносное письмо с приложением и пройти по зараженной ссылке. После этого хакерское ПО попадает на компьютер и пытается эксплуатировать уязвимость.
Надежное обнаружение отклонений от ожидаемого поведения системы может стать эффективным инструментом для предотвращения нарушений. Для этого необходимо придерживаться следующих рекомендаций:
- Своевременное обновление программ и операционных систем. Производители регулярно выпускают обновления и патчи по безопасности. В них содержатся исправления ранее выявленных недочетов кода.
- Работа только в необходимых системах. Чем больше программного обеспечения используется в компании, тем больше потенциальных уязвимостей имеется.
- Настройка сетевого экрана. Ограничение на совершение операций позволит предотвратить несанкционированное воздействие, помогая выявить угрозу на начальных этапах.
- Развитие киберосознанности. Для проникновения и внедрения эксплойтов используются методы социальной инженерии, обучение сотрудников работе с данными в веб-среде поможет обеспечить серьезный уровень безопасности.
- Использование антивируса. Комплексные решения помогают обеспечить надежный защиту корпоративных систем и баз данных.
- Необходимость мониторинга событий в ИТ-инфарструктуре с использованием SIEM, EDR, NTA и выделенной командой аналитиков SOC.
Казалось бы, что данные методы применяются уже во всех компаниях, однако это не так. У нас был кейс, когда мы избавляли заказчика от угрозы нулевого дня, так как он вовремя не обновил свои программы. В результате на пользовательские станции попал шифровальщик. Мы быстро приняли меры, оперативно закрыли доступ подсети, в которой были зараженные машины от остальной сети, таким образом, прекратили распространение вредоноса. Затем были попытки восстановления данных и перезаливка станций с нуля. А также анализ произошедшего — внедрение процесса управления уязвимостями, анализа процессов на рабочих станциях (класс решений EDR), работа с кибергигиеной пользователей (security awareness).
К тому же компаниям необходимо постоянно мониторить выявленные угрозы во внешнем пространстве. Базой данных может стать как системный интегратор или вендор, так и открытые источники, например, NVD (Национальная база данных уязвимостей). Такая информация постоянно обновляется и может быть полезна в качестве ориентира, эксплойты нулевого дня по определению являются новыми и неизвестными. Таким образом, существует предел того, что существующая база данных может вам сообщить.
Для обнаружения данных о ранее зафиксированных эксплойтах все чаще применяется машинное обучение. На основе текущих и прошлых взаимодействий пользователей с системой устанавливается эталон безопасного поведения. Чем больше информации доступно, тем надежнее обнаружение.
Компаниям любого размера необходимо иметь стратегию реагирования на инциденты, которая обеспечивает организованный процесс выявления и устранения кибератаки. Наличие конкретного плана, ориентированного на угрозы нулевого дня, даст огромное преимущество в случае их наступления, уменьшит время на реагирование и повысит шансы избежать или же уменьшить ущерб.
Интересное:
Новости отрасли:
Все новости:
Публикация компании
Профиль
Контакты