Технічні компанії створили інструменти, які ми використовуємо для створення та ведення бізнесу, обробки транзакцій споживачів, спілкування один з одним і організації нашого особистого та професійного життя. Технології сформували сучасний світ, яким ми його знаємо, і наша залежність від технологій продовжує зростати.
Важливість технологічної індустрії не втрачена для кіберзлочинців і груп національних держав, які націлені на технологічні компанії з різних причин: для досягнення стратегічних, військових та економічних цілей; отримати доступ до конфіденційних корпоративних даних, які вони можуть зберігати за викуп або продавати в темній мережі; скомпрометувати ланцюги поставок; і набагато більше.
Технологічні компанії не є чужими для кіберзлочинності — вони вже давно є об’єктами зловмисників, — але за останній рік кількість таких атак стрімко зросла. Технологія була найбільш цільовою галуззю кібервторгнень у період з липня 2021 року по червень 2022 року, згідно з даними Дані про загрози CrowdStrike. Це зробило технологію найпопулярнішим сектором для актори загроз протягом року, коли мисливці за загрозами CrowdStrike зафіксували понад 77,000 XNUMX потенційних вторгнень, або приблизно одне потенційне вторгнення кожні сім хвилин.
Якщо це звучить знайомо, можливо, це тому, що ви бачили цю загрозу в новинах — порушення даних Технологічні компанії будь-якого розміру повинні бути стурбовані можливістю зловмисників, оскільки вони часто намагаються викрасти дані. Давайте детальніше розглянемо загрози, які мають найбільше хвилювати технологічні компанії, як виглядають ці тактики противника та як їх зупинити.
Як сучасні вороги націлюються на технологічні компанії
Підприємства, малий і середній бізнес (SMB) і стартапи повинні знати про загрози, з якими вони стикаються, і про способи захисту від них.
Зловмисники все більше відмовляються від зловмисного програмного забезпечення, намагаючись уникнути виявлення: дані про загрози CrowdStrike показують, що активність без зловмисного програмного забезпечення становила 71% усіх виявлень у період з липня 2021 року по червень 2022 року. Цей зсув частково пов’язаний із дедалі більшою активністю зловмисників. зловживання дійсними обліковими даними отримати доступ і підтримувати постійність (тобто встановити тривалий доступ до систем, незважаючи на збої, такі як перезапуск або зміна облікових даних) в ІТ-середовищах. Однак є ще один фактор: швидкість, з якою розкриваються нові вразливості, і швидкість, з якою зловмисники можуть ввести в дію експлойти.
Кількість нульових днів і нових виявлених уразливостей продовжує зростати з року в рік. Дані про загрози CrowdStrike свідчать про понад 20,000 2021 нових уразливостей, зареєстрованих у 10,000 році — більше, ніж будь-який попередній рік — і про понад 2022 XNUMX на початок червня XNUMX року. Це чітке свідчення того, що ця тенденція не сповільнюється.
Ближчий погляд на тактику, прийоми та процедури (TTP), що використовуються під час вторгнень, дозволяє виявити загальні закономірності в діяльності супротивника. Коли вразливість успішно використана, за нею регулярно розгортаються веб-оболонки (тобто шкідливі сценарії, які дозволяють зловмисникам скомпрометувати веб-сервери та запускати додаткові атаки).
Що можуть зробити технічні компанії, щоб зупинити порушення?
Перед індустрією технологій стоїть завдання підтримувати міцний захист від загроз, що постійно змінюються. Сучасні зловмисники змінюють свої TTP, щоб бути більш витонченими, щоб уникнути виявлення та завдати більшої шкоди. Захисники повинні захистити робочі навантаження, особисті дані та дані, на які покладається їхній бізнес.
Немає універсальної моделі того, як кіберзлочинці здійснюють свої атаки, а також немає єдиної срібної кулі для технологічних компаній, щоб захистити себе від кожного вторгнення. Однак більш уважний погляд на дії вторгнень виявляє критичні сфери уваги для ІТ-команд і команд безпеки. Нижче наведені основні рекомендації:
- Поверніться до основ: Дуже важливо, щоб технологічні компанії володіли основами гігієни безпеки. Це включає розгортання потужної програми керування виправленнями та забезпечення надійного контролю облікових записів користувачів і керування привілейованим доступом для пом’якшення наслідків скомпрометованих облікових даних.
- Регулярний аудит служб віддаленого доступу: Зловмисники використовуватимуть будь-який наявний у своєму розпорядженні інструмент віддаленого доступу або намагатимуться встановити законне програмне забезпечення віддаленого доступу в надії, що воно уникне будь-яких автоматичних виявлень. Під час регулярних аудитів слід перевіряти, чи авторизований інструмент і чи впадає діяльність у очікуваний період часу, наприклад, у робочі години. Підключення з одного облікового запису користувача до кількох хостів за короткий проміжок часу може бути ознакою того, що зловмисник скомпрометував облікові дані.
- Завчасно шукайте загрози: Коли зловмисник порушує захист технологічної компанії, виявити його може бути важко, оскільки він тихо збирає дані, шукає конфіденційну інформацію або викрадає облікові дані. Саме тут на допомогу приходить полювання на загрози. Завчасно шукаючи ворогів у своєму середовищі, технологічні компанії можуть раніше виявляти атаки та зміцнювати свою безпеку.
- Пріоритет захисту особистих даних: Зловмисники все частіше націлюються на облікові дані, щоб зламати технологічні компанії. Будь-який користувач, незалежно від того, чи є він співробітником, стороннім постачальником або клієнтом, може бути несвідомо скомпрометований і забезпечити шлях атаки для зловмисників. Технічні компанії повинні підтверджувати кожну особу та авторизувати кожен запит, щоб запобігти кібератакам, таким як атака на ланцюг поставок, атака програм-вимагачів або витік даних.
- Не забувайте про запобігання загрозам: Для технологічних компаній інструменти запобігання загрозам можуть блокувати кіберзагрози до того, як вони проникнуть у середовище або завдадуть шкоди. Виявлення та запобігання йдуть рука об руку. Щоб запобігти кіберзагрозам, їх необхідно виявляти в режимі реального часу. Що більше ІТ-середовище, то більша потреба в інструментах, які можуть допомогти у виявленні та запобіганні загрозам.
Розвиток кіберзлочинності та діяльності національних держав не має ознак уповільнення. Технологічні компанії повинні зміцнювати свій захист і розуміти методи супротивника, щоб захистити свої робочі навантаження, ідентифікаційні дані та дані, а також підтримувати роботу своїх організацій.
