ProHoster > Օրագիր > ինտերնետ նորություններ > Բարդ, խոցելի, թերի կազմաձևում՝ կիբեր սպառնալիքներ 2020 թ

Բարդ, խոցելի, թերի կազմաձևում՝ կիբեր սպառնալիքներ 2020 թ

Բարդ, խոցելի, թերի կազմաձևում՝ կիբեր սպառնալիքներ 2020 թ

Տեխնոլոգիաները տարեցտարի զարգանում և բարդանում են, և դրանց հետ մեկտեղ հարձակման տեխնիկան բարելավվում է: Ժամանակակից իրողությունները պահանջում են առցանց հավելվածներ, ամպային ծառայություններ և վիրտուալացման հարթակներ, ուստի այլևս հնարավոր չէ թաքնվել կորպորատիվ firewall-ի հետևում և քիթը չխրել «վտանգավոր ինտերնետի» մեջ։ Այս ամենը, IoT/IIoT-ի տարածման, ֆինտեխի զարգացման և հեռահար աշխատանքի աճող ժողովրդականության հետ մեկտեղ, անճանաչելիորեն փոխել են սպառնալիքների լանդշաֆտը: Եկեք խոսենք կիբերհարձակումների մասին, որոնք պատրաստել է մեզ համար 2020թ.

0day խոցելիությունների շահագործումը կգերազանցի patches-ի թողարկումը

Ծրագրային համակարգերի բարդությունն աճում է, ուստի դրանք անխուսափելիորեն պարունակում են սխալներ: Մշակողները թողարկում են ուղղումներ, բայց դա անելու համար նախ պետք է բացահայտվի խնդիրը՝ ծախսելով հարակից թիմերի ժամանակը՝ նույն փորձարկողներին, որոնք ստիպված են թեստեր անցկացնել: Բայց շատ թիմեր ժամանակի խիստ պակաս ունեն: Արդյունքն անընդունելիորեն երկար կարկատանի թողարկումն է, կամ նույնիսկ մի կարկատել, որը միայն մասամբ է աշխատում:

Թողարկվել է 2018 թ Microsoft Jet շարժիչի 0day խոցելիության համար նախատեսված կարկատումը թերի էր, այսինքն՝ ամբողջությամբ չի վերացրել խնդիրը։
2019 թվականին Cisco-ն թողարկեց երթուղիչի որոնվածում CVE-2019-1652 և CVE-2019-1653 խոցելիության կարկատներ, որոնք չեն ուղղել սխալները.
2019 թվականի սեպտեմբերին հետազոտողները Dropbox-ում հայտնաբերվել է զրոյական օրվա խոցելիություն՝ Windows և տեղեկացրեց մշակողներին այս մասին, սակայն 90 օրվա ընթացքում սխալը չեն ուղղել։

Blackhat և Whitehat հաքերները կենտրոնացած են խոցելի կետեր փնտրելու վրա, ուստի շատ ավելի հավանական է, որ նրանք առաջինը հայտնաբերեն խնդիրը: Նրանցից ոմանք ձգտում են պարգևներ ստանալ Bug Bounty ծրագրերի միջոցով, իսկ մյուսները հետապնդում են շատ կոնկրետ վնասակար նպատակներ:

Ավելի խորը կեղծ հարձակումներ

Նյարդային ցանցերը և արհեստական ​​ինտելեկտը զարգանում են՝ ստեղծելով խարդախության նոր հնարավորություններ։ Հայտնիների հետ կեղծ պոռնո տեսանյութերից հետո ի հայտ եկան շատ կոնկրետ հարձակումներ՝ լուրջ նյութական վնասներով։

2019 թվականի մարտինՀանցագործները մեկ հեռախոսազանգով 243 հազար դոլար են գողացել էներգետիկ ընկերությունից. «Մայր ընկերության ղեկավարը» մասնաճյուղի ղեկավարին հանձնարարել է Հունգարիայից գումար փոխանցել կապալառուին։ Գործադիր տնօրենի ձայնը կեղծվել է արհեստական ​​ինտելեկտի միջոցով։

Հաշվի առնելով deepfake տեխնոլոգիայի արագ զարգացումը, մենք կարող ենք ակնկալել, որ կիբեր չարագործները կներառեն կեղծ աուդիո և տեսանյութերի ստեղծումը BEC հարձակումների և տեխնիկական աջակցության խարդախությունների մեջ՝ օգտատերերի վստահությունը բարձրացնելու համար:

Դիփֆեյքերի հիմնական թիրախը կլինեն թոփ-մենեջերները, քանի որ նրանց խոսակցությունների և ելույթների ձայնագրությունները հասանելի են անվճար:

Հարձակումներ բանկերի վրա ֆինտեխի միջոցով

Եվրոպական վճարային ծառայությունների PSD2 հրահանգի ընդունումը հնարավորություն է տվել նոր տեսակի հարձակումներ իրականացնել բանկերի և նրանց հաճախորդների վրա։ Դրանք ներառում են ֆիշինգային արշավներ ֆինտեխ հավելվածների օգտատերերի դեմ, DDoS հարձակումներ ֆինտեխ ստարտափների վրա և բանկից տվյալների գողություն բաց API-ի միջոցով:

Բարդ հարձակումներ ծառայություններ մատուցողների միջոցով

Ընկերությունները գնալով նեղացնում են իրենց մասնագիտացումը՝ աութսորսինգ անելով ոչ հիմնական գործունեությունը: Նրանց աշխատակիցները վստահություն են զարգացնում աութսորսների նկատմամբ, ովքեր զբաղվում են հաշվապահությամբ, տրամադրում են տեխնիկական աջակցություն կամ ապահովում են անվտանգություն: Արդյունքում, ընկերության վրա հարձակվելու համար բավական է զիջել ծառայություններ մատուցողներից մեկին, որպեսզի դրա միջոցով վնասակար կոդ ներմուծվի թիրախային ենթակառուցվածք և գողանա գումար կամ տեղեկատվություն։

2019 թվականի օգոստոսին հաքերները ներթափանցել են տվյալների պահպանման և պահուստավորման ծառայություններ մատուցող երկու ՏՏ ընկերությունների ենթակառուցվածք և դրա միջոցով. Փրկագին ներմուծեց Միացյալ Նահանգների մի քանի հարյուր ատամնաբուժական գրասենյակներ:
Նյու Յորքի ոստիկանական բաժանմունքին սպասարկող ՏՏ ընկերությունը մի քանի ժամով խափանել է իր մատնահետքերի տվյալների բազան։ միացնելով վարակված Intel NUC մինի-համակարգիչը ոստիկանական ցանցին։

Քանի որ մատակարարման շղթաները երկարանում են, կան ավելի թույլ օղակներ, որոնք կարող են օգտագործվել ամենամեծ խաղի վրա հարձակվելու համար:
Մեկ այլ գործոն, որը կհեշտացնի մատակարարման շղթայի հարձակումները, կլինի հեռահար աշխատանքի համատարած ընդունումը: Հանրային Wi-Fi-ով կամ տնից աշխատող ֆրիլանսերները հեշտ թիրախ են, և նրանք կարող են շփվել մի քանի լուրջ ընկերությունների հետ, ուստի նրանց վտանգված սարքերը դառնում են հարմար ցատկահարթակ կիբերհարձակման հաջորդ փուլերը նախապատրաստելու և իրականացնելու համար:

IoT/IIoT-ի լայն տարածում լրտեսության և շորթման համար

IoT սարքերի, ներառյալ խելացի հեռուստացույցների, խելացի բարձրախոսների և տարբեր ձայնային օգնականների թվի արագ աճը, դրանցում հայտնաբերված մեծ թվով խոցելիությունների հետ մեկտեղ, բազմաթիվ հնարավորություններ կստեղծի դրանց չարտոնված օգտագործման համար:
Խելացի սարքերի վտանգումը և AI-ի միջոցով մարդկանց խոսքի ճանաչումը հնարավորություն է տալիս բացահայտել հսկողության թիրախը, որը նման սարքերը վերածում է շորթման կամ կորպորատիվ լրտեսության հավաքածուի:

Մեկ այլ ուղղություն, որով կշարունակվի օգտագործվել IoT սարքերը, բոտնետների ստեղծումն է տարբեր վնասակար կիբեր ծառայությունների համար՝ սպամ, անանունացում և իրականացում: DDoS հարձակումներ.
Բաղադրիչներով հագեցած կարևոր ենթակառուցվածքային օբյեկտների վրա հարձակումների թիվը կավելանա իրերի արդյունաբերական ինտերնետ. Նրանց նպատակը կարող էր լինել, օրինակ, փրկագին կորզելը ձեռնարկության գործունեությունը դադարեցնելու սպառնալիքով։

Որքան շատ ամպեր, այնքան ավելի շատ վտանգներ

ՏՏ ենթակառուցվածքների զանգվածային տեղափոխումը դեպի ամպ կհանգեցնի հարձակումների համար նոր թիրախների ի հայտ գալուն: Ամպային սերվերների տեղակայման և կազմաձևման սխալները հաջողությամբ շահագործվում են հարձակվողների կողմից: Ամպում տվյալների բազայի անապահով կարգավորումների հետ կապված արտահոսքերի թիվը տարեցտարի աճում է:

2019 թվականի հոկտեմբերին ElasticSearch սերվերը պարունակում է 4 միլիարդ գրառում՝ անձնական տվյալներով։
2019-ի նոյեմբերի վերջին Microsoft Azure ամպում True Dialog ընկերության տվյալների բազան հայտնաբերվել է հանրային տիրույթում, որը պարունակում է գրեթե 1 միլիարդ գրառում:, որը պարունակում էր բաժանորդների լրիվ անունները, էլեկտրոնային փոստի հասցեները և հեռախոսահամարները, ինչպես նաև SMS հաղորդագրությունների տեքստերը։

Ամպերում պահվող տվյալների արտահոսքը ոչ միայն կվնասի ընկերությունների հեղինակությանը, այլև կհանգեցնի տուգանքների և տուգանքների:

Անբավարար մուտքի սահմանափակումները, թույլտվությունների վատ կառավարումը և անզգույշ գրանցումը միայն այն սխալներից են, որոնք ընկերությունները թույլ կտան իրենց ամպային ցանցերը կարգավորելիս: Քանի որ ամպի միգրացիան առաջընթաց է ապրում, երրորդ կողմի ծառայություններ մատուցողները, որոնք ունեն անվտանգության տարբեր փորձագիտություն, ավելի ու ավելի կներգրավվեն՝ տրամադրելով լրացուցիչ հարձակման մակերեսներ:

Վիրտուալացման խնդիրների սրացում

Ծառայությունների կոնտեյներացումը հեշտացնում է ծրագրային ապահովման մշակումը, պահպանումը և տեղակայումը, բայց միևնույն ժամանակ ստեղծում է լրացուցիչ ռիսկեր: Հանրաճանաչ բեռնարկղերի պատկերների խոցելիությունը կշարունակի խնդիր լինել բոլոր նրանց համար, ովքեր օգտագործում են դրանք:

Ընկերությունները նաև ստիպված կլինեն դիմակայել կոնտեյների ճարտարապետության տարբեր բաղադրիչների խոցելիությանը, սկսած գործարկման ժամանակի սխալներից մինչև նվագարկիչներ և կառուցապատման միջավայրեր: Հարձակվողները կփնտրեն և կօգտագործեն ցանկացած թույլ կողմեր՝ DevOps-ի գործընթացը խախտելու համար:

Վիրտուալացման հետ կապված մեկ այլ միտում է առանց սերվերի հաշվարկը: Ըստ Gartner-ի՝ 2020 թվականին ընկերությունների ավելի քան 20%-ը կօգտագործի այս տեխնոլոգիան. Այս հարթակները ծրագրավորողներին առաջարկում են կոդը գործարկել որպես ծառայություն՝ վերացնելով ամբողջ սերվերների կամ բեռնարկղերի համար վճարելու անհրաժեշտությունը: Այնուամենայնիվ, առանց սերվերի հաշվարկման անցնելը չի ​​ապահովում անձեռնմխելիություն անվտանգության խնդիրներից:

Սերվեր չունեցող հավելվածների վրա հարձակումների համար մուտքի կետերը կլինեն հնացած և վտանգված գրադարանները և սխալ կազմաձևված միջավայրերը: Հարձակվողները դրանք կօգտագործեն գաղտնի տեղեկատվություն հավաքելու և ձեռնարկությունների ցանցեր ներթափանցելու համար:

Ինչպես դիմակայել սպառնալիքներին 2020 թվականին

Հաշվի առնելով կիբեռհանցագործության ազդեցությունների աճող բարդությունը՝ ընկերությունները պետք է մեծացնեն համագործակցությունը անվտանգության մասնագետների հետ՝ իրենց ենթակառուցվածքի բոլոր ոլորտներում ռիսկերը մեղմելու համար: Սա թույլ կտա պաշտպաններին և ծրագրավորողներին ստանալ լրացուցիչ տեղեկատվություն և ավելի լավ կառավարել ցանցին միացված սարքերը և վերացնել դրանց խոցելիությունը:

Մշտապես փոփոխվող սպառնալիքի լանդշաֆտը կպահանջի բազմաշերտ պաշտպանության իրականացում, որը հիմնված է անվտանգության մեխանիզմների վրա, ինչպիսիք են.

  • հաջող հարձակումների բացահայտում և դրանց հետևանքների մեղմացում,
  • կառավարվող հարձակումների հայտնաբերում և կանխարգելում,
  • վարքագծային մոնիտորինգ. նոր սպառնալիքների ակտիվ արգելափակում և անոմալ վարքագծի հայտնաբերում,
  • վերջնական կետի պաշտպանություն.

Կիբերանվտանգության ոլորտում հմտությունների բացակայությունը և ցածր որակի գիտելիքները կորոշեն կազմակերպությունների անվտանգության ընդհանուր մակարդակը, ուստի աշխատակիցների անվտանգ վարքագծի համակարգված ուսուցումը տեղեկատվական անվտանգության ոլորտում տեղեկացվածության բարձրացման հետ մեկտեղ պետք է լինի նրանց կառավարման ռազմավարական նպատակը:

Source: www.habr.com

Գնեք հուսալի հոստինգ DDoS պաշտպանությամբ կայքերի, VPS VDS սերվերների համար 🔥 Գնեք հուսալի կայքերի հոսթինգ՝ DDoS պաշտպանությամբ, VPS VDS սերվերներով | ProHoster