Rostoucí rozsah a důmyslnost počítačových útoků všeho druhu pociťují podniky a organizace po celém světě, na všech rozhraních i v digitálním dodavatelském řetězci, odhaluje studie společnosti Fortinet.
Fortinet představil hlavní zjištění své nejnovější pololetní studie FortiGuard Labs Global Threat Landscape Report. Informace o bezpečnostním prostředí z druhé poloviny roku 2020 svědčí o bezprecedentním zhoršení situace, kdy se kyberzločinci snažili celosvětově maximalizovat prospěch z nového prostoru k útokům. Prokázali vysokou míry přizpůsobivosti a prováděli důmyslné destruktivní útoky v mnoha vlnách. Zaměřili se na uživatele pracující nebo studující na dálku, kterých výrazně přibylo, ale také s novou agresivitou napadali digitální dodavatelské řetězce i hlavní sítě.
„Celý rok 2020 byl z hlediska kyberbezpečnostních hrozeb velmi náročný. Ačkoli ústřední roli hrála pandemie, počítačoví zločinci postupně během roku zdokonalovali své útoky se stále ničivějšími dopady. Maximálně využili příležitosti nad rámec základních sítí a zaměřili se také na práci a výuku na dálku a na digitální dodavatelský řetězec,“ popsal Derek Manky z FortiGuard Labs.
Vydírání a dodavatelský řetězec
Vlna ransomware nepolevuje: Data laboratoří FortiGuard ukazují sedminásobný nárůst celkové aktivity v oblasti vyděračského softwaru (ransomware) oproti 1. pololetí roku 2020. Za tímto masivním růstem stojí několik trendů: rozvoj ransomwaru ve formě služby (RaaS), zaměření na vysoké výkupné od velkých firem a hrozba zveřejnění dat, nebudou-li požadavky splněny. Mezi nejaktivnější druhy ransomwaru s různou mírou rozšíření patřily Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING a BazarLoader. Výrazně postižené vyděračským softwarem byly sektory zdravotnictví, profesionálních služeb, spotřebitelských služeb, veřejné správy a finančních služeb. Jako účinnou zbraň proti stoupajícímu riziku napadení ransomwarem je nutné zajistit včasné, úplné a bezpečné zálohování dat mimo podnik. K minimalizaci rizika přispívá i přístup na principu nulové důvěry a segmentace sítí.
Dodavatelský řetězec v centru pozornosti: Útoky proti dodavatelskému řetězci mají dlouhou historii, ale útok proti společnosti SolarWinds odstartoval debatu na nové úrovni. Postižené subjekty v průběhu útoku předávaly značné množství informací. Experti FortiGuard Labs je detailně sledovali a na jejich základě sestavili indikátory narušení pro detekci souvisejících aktivit. Detekovaná komunikace s internetovou infrastrukturou v souvislosti s útokem SUNBURST v průběhu prosince 2020 dokládá, že kampaň byla skutečně globální povahy, kdy aliance zpravodajských služeb zvaná Pět očí vykazovala obzvlášť vysokou míru provozu odpovídajícímu těmto indikátorům. Existují i důkazy o možných vedlejších cílech, což podtrhuje propojenost moderních útoků proti dodavatelskému řetězci a důležitost řízení rizik dodavatelského řetězce.
Online aktivity a home office
Útočníci se zaměřují na online aktivity: Analýza nejběžnějších kategorií škodlivého softwaru odhaluje nejčastější techniky, které kyberzločinci užívají k vybudování opěrných bodů uvnitř sítě. Hlavním cílem útoků byly platformy společnosti Microsoft, kdy útočníci zneužívali typy dokumentů, se kterými většina lidí běžně pracuje. Další linií zůstávají internetové prohlížeče. Do kategorie HTML spadají malwarem naplněné podvodné stránky a skripty, které vkládají škodlivý kód nebo přesměrovávají uživatele na škodlivé stránky. Tyto typy hrozeb sílí v době celosvětových problémů a v obdobích intenzivnějších online nákupů. Zaměstnanci, kteří bývají při procházení internetu z firemní sítě obvykle chráněni webovými filtry, jsou při práci na dálku vystaveni vyššímu riziku.
Domácí pracoviště zůstává cílem útoků: Hranice mezi domovem a kanceláří se v roce 2020 výrazně setřela. To znamená, že cílením na domácí prostředí se útočníci dostávají blíže k podnikovým sítím. Ve druhé polovině roku 2020 se na vrcholu ocitly exploity zaměřené na zařízení internetu věcí (IoT), jaká jsou užívána v mnoha domácnostech. Zařízení IoT představují nový „okraj sítě“, který je nutné chránit, přičemž bezpečnostní monitoring a pravidla musí být uplatňována na každém takovém zařízení.
Zplošťování křivky zneužití
Na globální scénu přichází noví hráči: Autoři pokročilých perzistentních hrozeb (APT) nadále různými způsoby zneužívají pandemii COVID-19. Nejčastější jsou útoky zaměřené na krádeže osobních údajů ve velkém, krádeže duševního vlastnictví a získávání informací podle národních zájmů útočníků. Ke konci roku 2020 vzrostla aktivita APT zacílená na boj proti pandemii COVID-19, včetně vývoje vakcín a zpracování národních i mezinárodních zdravotních politik. Mezi cíle útoků patřily státní instituce, farmaceutické společnosti, univerzity a firmy zabývající se lékařským výzkumem.
Zplošťování křivky zneužití zranitelností: Aktualizace a ošetření zranitelností jsou nadále prioritou vzhledem k neustávajícím snahám útočníků zranitelnosti zneužívat ke svému prospěchu. Ze sledování postupu 1500 exploitů v posledních dvou letech je patrné, jak rychle a jak daleko se mohou šířit. I když to neplatí obecně, zdá se, že se většina exploitů nešíří daleko příliš rychle. Z exploitů sledovaných v posledních dvou letech bylo pouhých 5 % detekováno více než 10 % subjektů. Zvolíme-li náhodnou zranitelnost, data ukazují, že za jinak shodných podmínek existuje pravděpodobnost zhruba 1:1000, že bude určitý subjekt napaden. Přibližně 6 % exploitů během prvního měsíce napadne více než 1 % firem a 91 % ani po roce hranici 1 % nepřekročí. Přesto je vhodné ošetřit zranitelnosti, pro něž existují známé exploity, a zaměřit se při tom na ty, které se šíří nejrychleji.
