В течение 2020 года мы изучали нескончаемый поток угроз, отслеживали действия киберпреступников по всему миру, анализировали инструменты, тактики и направления интереса. В материале Turning the Tide. Trend Micro Security Predictions for 2021 наши эксперты делятся своим видением ближайшего будущего в сфере кибербезопасности. В этом посте не будет технических подробностей будущих кибератак. Сейчас мы считаем более важной задачей поговорить о трендах, в соответствии с которыми будет развиваться ландшафт киберугроз.
Изображение (здесь и далее): Trend Micro
Стремительный исход сотрудников на удалёнку в связи с пандемией принёс много последствий. Одним из них стало исчезновение границы между рабочим и личным, ведь подключение к внутренний сети офиса теперь происходит через «розничных» интернет-провайдеров, а в качестве устройства используются самые простые бытовые маршрутизаторы.
В домашней сети могут находиться компьютеры других членов семьи. Последние могут подключаться к серверам других организаций, учиться в дистанционном режиме или играть, но в любом случае их устройства создают дополнительные риски. Нередки случаи, когда члены семьи совместно используют один компьютер для работы в различных организациях.
Теоретически использование VPN защищает подключение к офисным сетям, однако и здесь не стоит слишком уж расслабляться, поскольку в VPN также находят ошибки, например:
Новый формат использования домашних сетей неизбежно приведёт к тому, что они станут плацдармами для киберпреступников, которые стремятся проникнуть в корпоративные сети. Взломать домашнюю сеть и проникнуть на личный компьютер сотрудника значительно проще. Далее можно перемещаться от системы к системе, используя, например, вредоносное ПО, эксплуатирующее уязвимости с потенциалом «червя», подобные недавно обнаруженной RCE-уязвимости в Microsoft Teams, для использования которой не требуется даже взаимодействие с пользователем.
Использование домашних сетей в качестве базового ресурса для проведения атак на корпоративные сети станет массовым явлением и в проведении атак на цепочки поставок. Особым вниманием будут пользоваться сотрудники, имеющие удалённый доступ к конфиденциальной и критически важной информации, например, работники отдела продаж, отдела кадров и технической поддержки.
А поскольку в домашних сетях, как правило, нет систем обнаружения вторжений и других защитных решений корпоративного уровня, взломщики могут надолго закрепляться в домашних сетях и внедряться во все организации, в которые имеют доступ участники домашней сети.
Логичным продолжением киберкриминального бизнеса, использующего домашние сети, станет рост предложений доступа к скомпрометированным домашним роутерам. Стоимость такой «услуги» будет зависеть от уровня доступа владельца скомпрометированного домашнего устройства. Например, взломанный роутер ИТ-администратора или руководителя компании будет стоить дороже, чем роутер рядового сотрудника с минимально необходимыми полномочиями в корпоративной сети.
Киберпреступники используют любой крупный инфоповод для создания мошеннических кампаний, и пандемия коронавируса просто не могла остаться незамеченной. COVID-19 создаёт мировому бизнесу проблемы как в виде локдаунов и ограничений, так и в виде угроз кибербезопасности.
Вторая волна привела к новым ограничениям и создала почву для новых мошеннических кампаний. Организованная преступность будет пытаться проникнуть в логистику по мере дальнейшего роста интернет-магазинов и увеличения количества доставляемых посылок. С большой вероятностью вырастет количество магазинов, торгующих контрафактной продукцией, а также различными незаконными товарами.
Мы ожидаем значительного роста атак на медицинские учреждения, в особенности связанные с производством вакцины и оказанием телемедицинских услуг. Потенциальная прибыль от саботажа работы лабораторий и вымогательства, а также возможность выгодно продать медицинские секреты будут привлекать большое количество киберпреступников.
Ещё более массовыми станут кампании по дезинформации пользователей, построенные вокруг большого разнообразия вакцин от коронавируса. Преступники будут заманивать посетителей на мошеннические ресурсы, предлагая вакцинацию без очереди, усовершенствованные вакцины и другие приманки, чтобы получить конфиденциальную информацию и данные банковских карт своих жертв.
Дистанционная работа уже стала привычным явлением, и в 2021 году количество удалённых рабочих мест будет только расти. Использование домашних компьютеров для работы в офисной сети сформирует гибридную среду, в которой рабочие и персональные данные смешиваются на одном устройстве.
Это представляет серьёзную проблему для организаций, которые лишаются контроля над действиями сотрудников, поскольку установка ограничений на личных устройствах может привести к невозможности выполнения личных задач. А если компьютер окажется заражён вредоносным ПО, кто будет выполнять восстановление и как при этом будут учитываться личные данные сотрудника?
Не менее сложным представляется отслеживание распечатки или экспорта данных, которое производится на личных устройствах.
Для решения этих сложностей в 2021 году будет широко применяться модель нулевого доверия, в рамках которой любой пользователь считается преступником, пока не докажет обратного. Исходя из этого, пользователи получают минимально необходимые для выполнения работы права, которые систематически проверяются, а вся их активность — протоколируется и анализируется.
Модель нулевого доверия будет интегрироваться с облачными периметрами организаций, что позволит командам безопасности отслеживать весь входящий и исходящий трафик.
Из-за пандемии все страны стали следить за состоянием здоровья граждан. Уровень сбора персональных медицинских данных стал беспрецедентным, а спешка в реализации этих мер привела к тому, что утечки стали рядовым явлением.
Например, в начале декабря стало известно об утечке персональных данных 300 тысяч москвичей, переболевших коронавирусом. Сведения содержат ФИО, адреса проживания и регистрации, а также всю информацию о течении болезни и анализах. Кроме того, имеются данные о серверах 1С и ключах для подключения к системе учёта больных COVID-19.
Иногда источниками утечек будут сами медицинские работники, как произошло с сотрудниками медучреждений, вводивших данные для подключения к информационной системе в строке поиска «Яндекса». «Яндекс» послушно проиндексировал эти сведения и предлагал их всем желающим.
Быстрый доступ к данным может иметь решающее значение в борьбе со вспышкой эпидемии, однако смягчение мер по обеспечению конфиденциальности данных само по себе приводит к проблемам. Большие базы чувствительных данных в совокупности с поспешным внедрением станут богатой почвой для злоумышленников, стремящихся скомпрометировать собранные и сохранённые данные. Киберпреступные группы могут злоупотреблять этим различными способами, например, использовать для перепродажи или создания таргетированных мошеннических кампаний.
Уязвимости нулевого дня — 0-day — обладают высокой эффективностью, но возможности их применения ограничены рядом сложностей: обнаружившие их эксперты стремятся продать своё открытие подороже, а документации по использованию, как правило, крайне мало.
При этом известные уязвимости или уязвимости n-day отлично задокументированы, имеются опубликованные примеры кода с демонстрацией работы, причём всё это доступно бесплатно.
Мы ожидаем, что в 2021 году киберпреступное сообщество перейдёт на быстрое внедрение в практику уязвимостей и эксплойтов n-day, выпущенных исследовательским сообществом. Например, в ходе операции «Отравленные новости» (Operation Poisoned News) злоумышленники воспользовались PoC-кодом нескольких уязвимостей эскалации привилегий, выпущенными в рамках Google Project Zero. Хакерская группировка Earth Kitsune модифицировала для использования в атаках эксплойты, выпущенные в рамках проектов Project Zero и Trend Micro Zero Day Initiative (ZDI).
На подпольных рынках появятся предложения инструментальных средств, построенных на базе уязвимостей n-day, которые смогут приобрести и использовать преступники, не обладающие техническими знаниями.
Многие предприятия используют интерфейсы прикладного программирования (API) для обеспечения доступа к внутренним системам и взаимодействия с клиентами через приложения. Проблема состоит в том, что эти API могут быть использованы преступниками, которые ищут точку входа в сеть организации. По мере того, как API всё больше используются в корпоративном пространстве, количество атак на API также будет расти.
Тревожит тот факт, что несмотря на повсеместное распространение API их безопасность всё ещё находится в зачаточном состоянии. Из-за этого они могут стать источниками утечки данных в корпоративных приложениях.
Мы ожидаем роста числа атак на самые востребованные программы и сервисы для организации дистанционной работы. Возросшее количество исследований приведёт к публикации раскрытых уязвимостей, а это значит, что экспертам придётся внимательно следить за ошибками критического класса и аналогичными проблемами в корпоративном ПО для удалённой работы.
Продолжая сложившуюся в 2020 году тенденцию, киберпреступники будут по-прежнему искать и использовать уязвимости в облачных средах. А учитывая перемещение данных и всей рабочей среды в облака, это создаст дополнительные риски для компаний.
Ещё один вектор атак на облачные среды — это внедрение в репозитории вредоносных образов контейнеров, которые позволят атаковать пользователей, использующих сервисы контейнеризации ПО.
Мы рекомендуем специалистам по безопасности перейти от реагирования на угрозы к их предупреждению. В качестве основных направлений внимания на 2021 год мы предлагаем рассмотреть следующие:
Изображение (здесь и далее): Trend Micro
Домашние офисы как криминальные плацдармы
Стремительный исход сотрудников на удалёнку в связи с пандемией принёс много последствий. Одним из них стало исчезновение границы между рабочим и личным, ведь подключение к внутренний сети офиса теперь происходит через «розничных» интернет-провайдеров, а в качестве устройства используются самые простые бытовые маршрутизаторы.
В домашней сети могут находиться компьютеры других членов семьи. Последние могут подключаться к серверам других организаций, учиться в дистанционном режиме или играть, но в любом случае их устройства создают дополнительные риски. Нередки случаи, когда члены семьи совместно используют один компьютер для работы в различных организациях.
Теоретически использование VPN защищает подключение к офисным сетям, однако и здесь не стоит слишком уж расслабляться, поскольку в VPN также находят ошибки, например:
- уязвимость в Pulse Secure VPN,
- критические уязвимости в маршрутизаторах и VPN компании Cisco.
Новый формат использования домашних сетей неизбежно приведёт к тому, что они станут плацдармами для киберпреступников, которые стремятся проникнуть в корпоративные сети. Взломать домашнюю сеть и проникнуть на личный компьютер сотрудника значительно проще. Далее можно перемещаться от системы к системе, используя, например, вредоносное ПО, эксплуатирующее уязвимости с потенциалом «червя», подобные недавно обнаруженной RCE-уязвимости в Microsoft Teams, для использования которой не требуется даже взаимодействие с пользователем.
Использование домашних сетей в качестве базового ресурса для проведения атак на корпоративные сети станет массовым явлением и в проведении атак на цепочки поставок. Особым вниманием будут пользоваться сотрудники, имеющие удалённый доступ к конфиденциальной и критически важной информации, например, работники отдела продаж, отдела кадров и технической поддержки.
А поскольку в домашних сетях, как правило, нет систем обнаружения вторжений и других защитных решений корпоративного уровня, взломщики могут надолго закрепляться в домашних сетях и внедряться во все организации, в которые имеют доступ участники домашней сети.
Логичным продолжением киберкриминального бизнеса, использующего домашние сети, станет рост предложений доступа к скомпрометированным домашним роутерам. Стоимость такой «услуги» будет зависеть от уровня доступа владельца скомпрометированного домашнего устройства. Например, взломанный роутер ИТ-администратора или руководителя компании будет стоить дороже, чем роутер рядового сотрудника с минимально необходимыми полномочиями в корпоративной сети.
Пандемия останется питательной средой вредоносных кампаний
Киберпреступники используют любой крупный инфоповод для создания мошеннических кампаний, и пандемия коронавируса просто не могла остаться незамеченной. COVID-19 создаёт мировому бизнесу проблемы как в виде локдаунов и ограничений, так и в виде угроз кибербезопасности.
Вторая волна привела к новым ограничениям и создала почву для новых мошеннических кампаний. Организованная преступность будет пытаться проникнуть в логистику по мере дальнейшего роста интернет-магазинов и увеличения количества доставляемых посылок. С большой вероятностью вырастет количество магазинов, торгующих контрафактной продукцией, а также различными незаконными товарами.
Мы ожидаем значительного роста атак на медицинские учреждения, в особенности связанные с производством вакцины и оказанием телемедицинских услуг. Потенциальная прибыль от саботажа работы лабораторий и вымогательства, а также возможность выгодно продать медицинские секреты будут привлекать большое количество киберпреступников.
Ещё более массовыми станут кампании по дезинформации пользователей, построенные вокруг большого разнообразия вакцин от коронавируса. Преступники будут заманивать посетителей на мошеннические ресурсы, предлагая вакцинацию без очереди, усовершенствованные вакцины и другие приманки, чтобы получить конфиденциальную информацию и данные банковских карт своих жертв.
Сложности управления гибридной средой
Дистанционная работа уже стала привычным явлением, и в 2021 году количество удалённых рабочих мест будет только расти. Использование домашних компьютеров для работы в офисной сети сформирует гибридную среду, в которой рабочие и персональные данные смешиваются на одном устройстве.
Это представляет серьёзную проблему для организаций, которые лишаются контроля над действиями сотрудников, поскольку установка ограничений на личных устройствах может привести к невозможности выполнения личных задач. А если компьютер окажется заражён вредоносным ПО, кто будет выполнять восстановление и как при этом будут учитываться личные данные сотрудника?
Не менее сложным представляется отслеживание распечатки или экспорта данных, которое производится на личных устройствах.
Для решения этих сложностей в 2021 году будет широко применяться модель нулевого доверия, в рамках которой любой пользователь считается преступником, пока не докажет обратного. Исходя из этого, пользователи получают минимально необходимые для выполнения работы права, которые систематически проверяются, а вся их активность — протоколируется и анализируется.
Модель нулевого доверия будет интегрироваться с облачными периметрами организаций, что позволит командам безопасности отслеживать весь входящий и исходящий трафик.
Рост преступного использования медицинских данных
Из-за пандемии все страны стали следить за состоянием здоровья граждан. Уровень сбора персональных медицинских данных стал беспрецедентным, а спешка в реализации этих мер привела к тому, что утечки стали рядовым явлением.
Например, в начале декабря стало известно об утечке персональных данных 300 тысяч москвичей, переболевших коронавирусом. Сведения содержат ФИО, адреса проживания и регистрации, а также всю информацию о течении болезни и анализах. Кроме того, имеются данные о серверах 1С и ключах для подключения к системе учёта больных COVID-19.
Иногда источниками утечек будут сами медицинские работники, как произошло с сотрудниками медучреждений, вводивших данные для подключения к информационной системе в строке поиска «Яндекса». «Яндекс» послушно проиндексировал эти сведения и предлагал их всем желающим.
Быстрый доступ к данным может иметь решающее значение в борьбе со вспышкой эпидемии, однако смягчение мер по обеспечению конфиденциальности данных само по себе приводит к проблемам. Большие базы чувствительных данных в совокупности с поспешным внедрением станут богатой почвой для злоумышленников, стремящихся скомпрометировать собранные и сохранённые данные. Киберпреступные группы могут злоупотреблять этим различными способами, например, использовать для перепродажи или создания таргетированных мошеннических кампаний.
Быстрое внедрение известных уязвимостей
Уязвимости нулевого дня — 0-day — обладают высокой эффективностью, но возможности их применения ограничены рядом сложностей: обнаружившие их эксперты стремятся продать своё открытие подороже, а документации по использованию, как правило, крайне мало.
При этом известные уязвимости или уязвимости n-day отлично задокументированы, имеются опубликованные примеры кода с демонстрацией работы, причём всё это доступно бесплатно.
Мы ожидаем, что в 2021 году киберпреступное сообщество перейдёт на быстрое внедрение в практику уязвимостей и эксплойтов n-day, выпущенных исследовательским сообществом. Например, в ходе операции «Отравленные новости» (Operation Poisoned News) злоумышленники воспользовались PoC-кодом нескольких уязвимостей эскалации привилегий, выпущенными в рамках Google Project Zero. Хакерская группировка Earth Kitsune модифицировала для использования в атаках эксплойты, выпущенные в рамках проектов Project Zero и Trend Micro Zero Day Initiative (ZDI).
На подпольных рынках появятся предложения инструментальных средств, построенных на базе уязвимостей n-day, которые смогут приобрести и использовать преступники, не обладающие техническими знаниями.
Использование уязвимых API в качестве векторов атак
Многие предприятия используют интерфейсы прикладного программирования (API) для обеспечения доступа к внутренним системам и взаимодействия с клиентами через приложения. Проблема состоит в том, что эти API могут быть использованы преступниками, которые ищут точку входа в сеть организации. По мере того, как API всё больше используются в корпоративном пространстве, количество атак на API также будет расти.
Тревожит тот факт, что несмотря на повсеместное распространение API их безопасность всё ещё находится в зачаточном состоянии. Из-за этого они могут стать источниками утечки данных в корпоративных приложениях.
Атаки на промышленное и облачное ПО
Мы ожидаем роста числа атак на самые востребованные программы и сервисы для организации дистанционной работы. Возросшее количество исследований приведёт к публикации раскрытых уязвимостей, а это значит, что экспертам придётся внимательно следить за ошибками критического класса и аналогичными проблемами в корпоративном ПО для удалённой работы.
Продолжая сложившуюся в 2020 году тенденцию, киберпреступники будут по-прежнему искать и использовать уязвимости в облачных средах. А учитывая перемещение данных и всей рабочей среды в облака, это создаст дополнительные риски для компаний.
Ещё один вектор атак на облачные среды — это внедрение в репозитории вредоносных образов контейнеров, которые позволят атаковать пользователей, использующих сервисы контейнеризации ПО.
Наши рекомендации
Мы рекомендуем специалистам по безопасности перейти от реагирования на угрозы к их предупреждению. В качестве основных направлений внимания на 2021 год мы предлагаем рассмотреть следующие:
- Проводите обучение и тренировку пользователей
Преступники продолжат использовать страх, окружающий COVID-19, поэтому важнейшей задачей становится информирование пользователей и тренировка их навыков противодействия киберпреступным атакам. Организации должны укреплять знания об угрозах и распространять наиболее эффективные корпоративные методы противодействия им среди дистанционно работающих сотрудников. Обязательной частью этого информирования является указания о том, как безопасно использовать личные устройства. - Контролируйте доступ к корпоративной сети из домашних офисов
Нужно создать политики, ориентированные на безопасность, составить план реагирования на инциденты, охватывающий весь сетевой периметр в новых условиях. Обязательной частью такой политики является политика нулевого доверия: все пользователи должны считаться недоверенными независимо от их местонахождения. - Внедрите программы управления исправлениями
Следить за актуальностью систем и приложений удалённых пользователей нужно особенно тщательно, поскольку именно эти устройства могут стать точками проникновения в сеть для киберпреступников. - Отслеживайте угрозы
Новые условия потребуют повышенного внимания к происходящему, поэтому важным условиям для защиты станет расширенное круглосуточное обнаружение угроз и обработка инцидентов в «облачных» средах, в электронной почте, на пользовательских устройствах, в сетях и на серверах. Получайте полное и своевременное представление об атаках, управляйте приоритетами уведомлений о безопасности, используя решения ведущих вендоров.