Здесь собраны рекомендации экспертов о том, как компании могут защитить себя от наиболее распространенных киберугроз, включая уязвимость нулевого дня, программы-вымогатели и дипфейки.

Автор: Фиона Джексон, TechRepublic
 
Сегодня все предприятия подвергаются риску кибератак, и этот риск постоянно растет. Цифровые преобразования приводят к тому, что все более конфиденциальные и ценные данные переносятся в онлайн-системы, что повышает рентабельность успешного взлома.
 
Кроме того, запуск кибератаки становится более доступным. Наборы эксплойтов и вредоносные программы как услуга становятся дешевле, а инструменты искусственного интеллекта с открытым исходным кодом упрощают маскировку под доверенное лицо и использование уязвимостей.
 
TechRepublic обобщил рекомендации экспертов о том, как компании могут защитить себя от наиболее распространенных киберугроз, к которым относятся:
* Атаки социальной инженерии.
* Эксплойты нулевого дня.
* Атаки программ-вымогателей и кража данных.
* IoT-атаки.
* Атаки на цепочки поставок.
* ИИ-дипфейки.
 
Атаки социальной инженерии
 
Социальная инженерия — обобщающий термин для некоторых из наиболее распространенных типов кибератак, все из которых включают в себя ту или иную форму манипулирования людьми с целью получения информации об организации или сети. Атаки с использованием социальной инженерии включают, но не ограничиваются этими видами:
 
* Фишинг: злоумышленники выдают себя за законные организации, чтобы обманом заставить людей предоставить конфиденциальную информацию, например, данные для входа в систему. Чаще всего это делается в форме электронного письма, но может быть использован телефон (vishing) или текстовые сообщения (smishing).
* Приманка: злоумышленник оставляет физическое устройство, например USB-накопитель или компакт-диск, содержащее вредоносное ПО, в общественном месте в надежде, что кто-то подберет его и воспользуется им, тем самым скомпрометировав свою систему.
* Whaling: более персонализированный вариант фишинга, который обычно нацелен на одного высокопоставленного человека.
* Компрометация деловой электронной почты: целенаправленная кибератака, при которой злоумышленники выдают себя за заслуживающего доверия руководителя с помощью взломанной учетной записи электронной почты и обманом заставляют сотрудников переводить деньги или раскрывать конфиденциальную информацию.
 
Наиболее распространенные точки входа для атак
 
Хотя атаки социальной инженерии могут осуществляться с помощью электронных писем, телефонных звонков и USB-накопителей, у всех них есть одна общая точка входа — люди.
 
Как компании могут защитить себя?
 
* Расскажите персоналу о методах социальной инженерии и о том, как их распознавать. Рекомендуйте никогда не открывать документы и не переходить по ссылкам, которые кажутся подозрительными, и предупреждать ИТ-отдел о любых подозрениях. Сотрудники также должны быть проинформированы об опасностях публичного распространения слишком большого количества личной информации в Интернете, поскольку атаки социальной инженерии часто основаны на сборе сведений из открытых источников.
* Установите антиспам-фильтр и антивирусное программное обеспечение. Решения для обеспечения безопасности должны анализировать содержимое электронной почты, а не только URL-адреса или прикрепленные файлы, и выявлять аномалии.
* Используйте многофакторную аутентификацию и политики паролей, которые требуют от сотрудников регулярного обновления.
* Подумайте о том, чтобы нанять специалистов по безопасности для проведения аудита социальной инженерии с целью выявления уязвимостей и усиления защиты от потенциальных атак.
 
Эксплойты нулевого дня
 
Эксплойты нулевого дня — уязвимости в коде и лазейки, которые неизвестны поставщикам программного обеспечения, исследователям безопасности и широкой публике. Термин «нулевой день» означает время, оставшееся у поставщика программного обеспечения для исправления ошибочного кода. Поскольку на реагирование нет ни дней, ни часов, разработчики уязвимы для атак и у них нет времени исправлять код и блокировать брешь. Одна ошибка может предоставить хакерам доступ для изучения и составления карты внутренних сетей, утечки ценных данных и поиска других направлений атаки.
 
Число атак нулевого дня может возрасти благодаря растущей доступности больших языковых моделей. Такие модели можно использовать для ускорения поиска уязвимостей и проведения убедительных атак с использованием социальной инженерии.
 
Наиболее распространенные точки входа для атак
 
Потенциальные точки входа для эксплойтов нулевого дня те же, что и для известных и исправленных уязвимостей — слабые места в программных или аппаратных системах. К таким распространенным точкам входа для атак относятся:
 
* Вложения электронной почты, которые при открытии используют уязвимости в программном обеспечении. Эти вложения могут попасть в почтовый ящик жертвы в результате атаки с помощью социальной инженерии.
* Взломанные веб-сайты, которые запускают автоматическую загрузку вредоносного ПО на устройство посетителя.
* Программное или аппаратное обеспечение, уязвимость которого была использована злоумышленником напрямую путем внедрения вредоносного кода.
 
Как компании могут защитить себя?
 
* Обновляйте программное обеспечение по мере выпуска исправлений для устранения известных уязвимостей. Однако важно соблюдать осторожность при установке обновлений из непроверенных источников.
* Установите системы обнаружения вторжений, способные выявлять необычные модели поведения в сетях. Это помогает выявлять уязвимости нулевого дня.
* Внедрите решения для обеспечения безопасности конечных устройств, которые реализуют мониторинг в режиме реального времени и защиту как от известных, так и от неизвестных угроз.
* Будьте в курсе событий, подписавшись на службы анализа угроз, которые предоставляют информацию об уязвимостях и эксплойтах в режиме реального времени.
* Разработайте план реагирования на инциденты, чтобы службы безопасности могли действовать быстро и слаженно для уменьшения ущерба, причиненного эксплойтом нулевого дня.
* Используйте инструменты поведенческой аналитики, которые могут выявить любое необычное поведение пользователя или системы.
* Проводите регулярные проверки безопасности, используя контрольный список для оценки рисков безопасности, чтобы своевременно выявлять любые уязвимости в вашей сети и приложениях.
* Никогда не используйте программное обеспечение версии «.0»,  чтобы обезопасить вашу организацию от любых нераскрытых уязвимостей нулевого дня в ходе первой итерации.
 
Атаки программ-вымогателей и кража данных
 
Программа-вымогатель — вредоносное ПО. Хакеры требуют от жертв оплату, часто с помощью биткоинов или предоплаченной кредитной карты, чтобы восстановить доступ к зараженному устройству и хранящимся на нем данным.
Недавнее исследование показало, что, помимо финансовых последствий, программы-вымогатели могут вызывать сердечные приступы, инсульты и посттравматический стресс.
 
Атака программ-вымогателей — одна из форм кражи данных, и шифрование — не единственное, что могут сделать злоумышленники, успешно получив доступ к данным. Они также могут допустить утечку информации в Интернет или продать ее конкурентам или другим киберпреступникам, что приведет к репутационному и финансовому ущербу.
 
Наиболее распространенные точки входа для атак
 
* Уязвимости в корпоративном программном обеспечении и приложениях, подключенных к Интернету, могут позволить злоумышленникам получить несанкционированный доступ к среде организации и украсть или зашифровать конфиденциальные данные.
* Аналогичным образом, взломанные веб-сайты могут содержать вредоносное ПО, которое сканирует подключенные устройства на наличие уязвимостей. Если уязвимость обнаружена, вредоносное ПО может быть автоматически загружено на устройство, которое предоставляет киберпреступнику удаленный доступ к системе и, следовательно, к данным.
* Еще одно распространенное направление — атаки на сотрудников с помощью социальной инженерии. Злоумышленники могут получить доступ после того, как работник перейдет по ссылке или загрузит данные с фишингового электронного письма. Намеренно установить программу-вымогатель могут также обиженные сотрудники, заключив сделку с киберпреступниками.
* Уязвимые учетные данные для входа в систему могут быть атакованы с помощью брутфорс-атаки. При таких атаках злоумышленник вводит ряд типичных имен пользователей и паролей до тех пор, пока не будет обнаружен правильный логин, после чего он может начать атаку с использованием программы-вымогателя.
* Ранее скомпрометированные учетные данные, которые были переданы в «темную сеть» без ведома владельца, также могут обеспечить доступ к системе организации. Часто один набор правильных учетных данных может разблокировать несколько областей среды, поскольку сотрудники часто используют пароли повторно, чтобы их было легко запомнить.
 
Как компании могут защитить себя?
 
Поставщик аналитических данных об угрозах Check Point Research предоставляет следующие рекомендации по защите организаций и активов от программ-вымогателей:
* Регулярно создавайте резервные копии всех данных компании, чтобы снизить потенциальные последствия атаки программ-вымогателей. Если что-то пойдет не так, вы сможете быстро и легко восстановить последнюю резервную копию.
* Обновляйте программное обеспечение с помощью последних исправлений безопасности, чтобы злоумышленники не могли использовать известные уязвимости для получения доступа к корпоративной системе. Устаревшие устройства, работающие под управлением неподдерживаемых операционных систем, следует отключить от сети.
* Используйте автоматизированную систему обнаружения угроз, чтобы выявить ранние признаки атаки программ-вымогателей и предоставить компании время для реагирования.
* Установите решения для защиты от программ-вымогателей, которые отслеживают запущенные на компьютере программы на предмет подозрительного поведения, обычно свойственного программам-вымогателям. При обнаружении такого поведения программа может остановить любое шифрование до того, как будет нанесен дальнейший ущерб.
* Внедрите многофакторную аутентификацию, поскольку это не позволит злоумышленникам, узнавшим учетные данные сотрудников, получить доступ к системе организации. Методы защиты от фишинга, такие как смарт-карты и ключи безопасности FIDO, еще более эффективны, поскольку мобильные устройства также могут быть взломаны.
* Используйте принцип наименьших привилегий, который означает, что сотрудники должны иметь доступ только к данным и системам, необходимым для их работы. Это ограничивает доступ киберпреступников в случае взлома учетной записи сотрудника, сводя к минимуму ущерб, который они могут нанести.
* Постоянно сканируйте и отслеживайте электронную почту и файлы, а также рассмотрите возможность внедрения автоматизированного решения для защиты электронной почты, чтобы блокировать доступ пользователей к вредоносным электронным письмам, которые могут привести к вымогательству или краже данных.
* Обучите сотрудников правилам кибергигиены, чтобы свести к минимуму риски неизбежного распространения атак со стороны человека. Тренинги по кибербезопасности помогут команде научиться распознавать попытки фишинга.
* Не платите выкуп, если компания все-таки стала жертвой программ-вымогателей. Кибервласти рекомендуют это, поскольку нет никакой гарантии, что злоумышленник сдержит свое слово, а вознаграждение будет способствовать дальнейшим атакам.
* Обратитесь к проекту No More Ransom project. Это совместный проект Европола, Национальной полиции Нидерландов, «Лаборатории Касперского» и McAfee, который предоставляет жертвам заражения программами-вымогателями средства расшифровки для удаления программ-вымогателей.
 
IoT-атаки
 
После пандемии COVID-19 устройства Интернета вещей стали чаще использоваться в организациях для поддержки новых политик удаленной работы. Несмотря на то, что это позитивный шаг, такие устройства, как правило, не имеют такого же уровня безопасности, как более сложное оборудование, что делает их все более популярной точкой входа для хакеров.
 
Слабая защищенность IoT-устройств по-разному используется киберпреступниками. Они могут развертывать программы-вымогатели на устройстве или в более широкой сети или даже контролировать устройство для саботажа бизнес-процессов.
 
Кроме того, IoT-ботнеты включают в себя компрометацию целой сети подключенных устройств одним «ботмастером». Примерами ботнет-атак являются распределенные атаки типа «отказ в обслуживании» (DDoS) на целевой сервер или веб-сайт, кража данных путем перехвата по сети и распространение вредоносных программ. Ботнет-атака также может использовать методы LotL-атаки, которые заключаются в использовании законных, предустановленных инструментов и программного обеспечения на устройстве Интернета вещей, чтобы избежать обнаружения.
 
Наиболее распространенные точки входа для атаки
 
* Существующие уязвимости программного обеспечения в устройстве могут быть использованы киберпреступниками для получения доступа к IoT-устройству или сети. Эти уязвимости могут быть распространены из-за плохой защиты, отсутствия обновлений или устаревшего программного обеспечения.
* Многие организации блокируют свои IoT-устройства, используя слабые или ненадежные учетные данные, которые злоумышленник может легко распознать с помощью брутфорс-атаки.
* Сотрудники могут предоставить учетные данные для входа в IoT-устройства или загрузить вредоносное ПО, нацеленное на IoT, в рамках более широкой атаки социальной инженерии.
* Если устройства Интернета вещей не защищены физически, злоумышленники могут вмешаться в работу оборудования, изменяя настройки или подключая вредоносные устройства. Злоумышленниками могут быть и сотрудники или подрядчики, имеющие доступ.
* Все вышеперечисленные точки доступа могут находиться у поставщика или производителя устройства, что означает, что оно может быть скомпрометировано еще до развертывания.
 
Как компании могут защитить себя?
 
Эксперт по безопасности Phosphorus и Sevco Брайан Контос и журналисты TechRepublic Седрик Перне и Меган Краус дают следующие рекомендации.
 
* Ведите обновленный учет IoT-устройств, чтобы получать полную информацию обо всех устройствах, которые нуждаются в защите.
* Убедитесь, что устройства Интернета вещей имеют надежные уникальные пароли, которые регулярно меняются, чтобы предотвратить успешные атаки с использованием учетных данных методом перебора.
* Обновляйте устройства Интернета вещей с помощью новейшего встроенного ПО и исправлений для системы безопасности, а также заменяйте устаревшие устройства современными версиями, которые поддерживают более эффективные методы обеспечения безопасности.
* Повысьте надежность устройств Интернета вещей, отключив ненужные порты и функции подключения.
* Ограничьте взаимодействие IoT-устройств за пределами сети с помощью сетевых брандмауэров, списков контроля доступа и VLAN.
* Проверяйте цифровые сертификаты и управляйте ими, чтобы снизить риски, такие как версии TLS и даты истечения срока действия.
* Отслеживайте подозрительные изменения в устройствах Интернета вещей, такие как сброс пароля по умолчанию или повторная активация небезопасных служб.
* Внедряйте решения для обеспечения безопасности мобильных устройств и обучайте сотрудников обнаруживать попытки взлома на своих гаджетах.
* Рекомендуйте сотрудникам избегать хранения конфиденциальных данных на мобильных телефонах и отключать устройства во время важных совещаний.
* Включить ведение журнала событий, связанных с приложениями, доступом и безопасностью, а также внедрите защиту конечных точек и средства проактивной защиты, такие как инструменты SIEM и решения для оркестровки безопасности.
* Внедрите многофакторную аутентификацию, устойчивую к фишингу, для предотвращения доступа киберпреступников с правильной регистрационной информацией.
 
Атаки на цепочку поставок
 
Атаки на цепочку поставок — компрометация менее защищенного поставщика программного обеспечения, оборудования или услуг в цепочке поставок организации. Исторически атаки на цепочки поставок происходили, когда злоумышленник проникал к доверенному поставщику, которому был предоставлен доступ к данным или сети жертвы для выполнения своей работы. Однако в настоящее время чаще встречаются атаки на цепочки поставок программного обеспечения, при которых злоумышленник манипулирует программным обеспечением, распространяемым среди многих организаций конечных пользователей. Как только компания использует скомпрометированное программное обеспечение, она становится уязвимой для кражи данных, программ-вымогателей и других типов атак.
 
Злоумышленники используют различные методы для доступа к коду коммерческих программных продуктов и манипулирования им. Они могут размещать вредоносные обновления после взлома учетной записи одного из разработчиков или использовать уязвимости в месте загрузки. Кроме того, преступники могут вносить изменения в код, хранящийся в библиотеке программного обеспечения, используемой разработчиками для сотен различных продуктов.
 
Иногда злоумышленник может установить доверительные отношения с легальными разработчиками корпоративного программного обеспечения, что позволит ему незаметно внедрять различные уязвимые части кода в программное обеспечение. Так был реализован бэкдор в компрессор данных XZ Utils в 2024 году.
 
Наиболее распространенные точки входа для атаки
 
Чтобы осуществить атаку на цепочку поставок, злоумышленникам сначала необходимо получить доступ к важной части цепочки поставок целевой организации. Существует ряд потенциальных целей, каждая из которых может быть подвержена кампаниям социальной инженерии, непреднамеренно загружать вредоносное ПО через взломанный веб-сайт и иметь уязвимости в своих цифровых системах. Некоторые распространенные точки входа:
 
* Сторонние поставщики программного обеспечения, поскольку злоумышленники могут напрямую вносить изменения в код продукта до того, как он будет загружен целевой компанией, или манипулировать механизмами обновления.
* Сторонние поставщики услуг, которые, возможно, получили доступ к системе целевой компании и имеют более слабую защиту.
* Сторонние поставщики оборудования, поскольку злоумышленники могут влиять на оборудование или физические компоненты во время производства или распространения, если получат доступ к их объектам.
* Хранилища с открытым или закрытым исходным кодом, используемые корпоративными разработчиками программного обеспечения. Злоумышленники могут использовать их для внедрения вредоносного кода в сотни различных программных продуктов, используемых еще большим количеством компаний.
 
Как предприятия могут защитить себя?
 
Генеральный директор компании по кибербезопасности Tesserent Курт Хансен, старший эксперт по угрозам Седрик Пернет и автор TechRepublic Франклин Океке рекомендуют:
 
* Проведите аудит, чтобы понять, во что вовлечены все сторонние организации, поскольку с разными подразделениями часто работают разные поставщики.
* Следуйте документально оформленному процессу управления для третьих сторон, который включает аккредитацию. Убедитесь, что в контрактах указаны основные требования, обязательства по защите данных и последствия их несоблюдения.
* Следите за развитием геополитической напряженности и учитывайте, не создает ли она риски для цепочки поставок.
* Перед внедрением новых обновлений программного обеспечения обращайте внимание на различия между старым и новым кодом.
* Внедрите архитектуру нулевого доверия, в которой каждый запрос на подключение должен соответствовать набору строгих правил, прежде чем будет предоставлен доступ к ресурсам организации.
* Разработайте honeytokens (ловушки для хакеров), которые имитируют ценные данные. Как только злоумышленники начнут взаимодействие с этими ресурсами-приманками, сработает оповещение, уведомляющее организацию о попытке взлома.
* Регулярно проводите оценку рисков сторонних организаций. Это поможет определить уровень безопасности каждого поставщика и предоставит дополнительную информацию об уязвимостях, которые необходимо устранить.
* Автоматизируйте мониторинг поверхности атак сторонних разработчиков.
 
ИИ-дипфейки
 
Дипфейки с использованием ИИ все чаще используются для кибератак. Злоумышленникам становится легче выдавать себя за доверенных лиц, чтобы обойти меры безопасности и получить доступ к среде организации.
 
В последние месяцы также значительно снизился барьер для входа, поскольку инструменты искусственного интеллекта просты и дешевы в использовании. Исследование компании Onfido показало, что в 2023 году количество попыток мошенничества с помощью deepfake увеличилось на 3000%, а дешевые приложения для подмены лиц стали самым популярным инструментом.
 
Существует ряд последствий, с которыми организации могут столкнуться после таких атак. Неоднократно сообщалось о случаях финансового мошенничества, когда преступник выдавал себя за руководителя, используя фальшивку, и убеждал сотрудника перевести ему деньги. Кроме того, фейки могут использоваться для того, чтобы убедить других в ложных событиях, таких как кадровые изменения, которые влияют на курс акций организации. Распространение фейкового контента с участием сотрудников также может иметь серьезные последствия, нанося ущерб опыту сотрудников и репутации компании.
 
Наиболее распространенные точки входа для атак
 
* Электронная почта. В 2022 году это был основной способ распространения поддельного контента.
* Видео- и телефонные звонки, совершаемые с помощью технологий имитации голоса и внешности. Подделкой может быть записанное сообщение или разговор в режиме реального времени.
* Методы аутентификации, основанные на распознавании голоса или лица, которые могут быть обмануты с помощью поддельного контента авторизованных сотрудников.
* Злоумышленники или даже недовольные сотрудники могут создать компрометирующий дипфейк и опубликовать его в социальных сетях, чтобы нанести ущерб репутации компании или повлиять на ее акции.
 
Как компании могут защитить себя?
 
Роберт Хубер, директор по безопасности компании Tenable, и Рам Раджарам, бывший вице-президент по операциям и данным компании EBANX, предлагают следующее:
* Сделайте риски, связанные с ИИ-дипфейками, частью регулярных процедур оценки рисков, включая оценку внутреннего контента и контента третьих сторон.
* Помните о типичных признаках подделки контента, таких как несоответствующее освещение или тени, искажения по краям лица, отсутствие негативного выражения и движения губ, не соответствующие звуку. Рассмотрите возможность обучения персонала навыкам распознавания.
* Внедрите защиту от фишинга, чтобы предотвратить доступ злоумышленников, даже если в результате их дипфейк-кампании они получают учетные данные для входа в систему. Подумайте о том, чтобы требовать такой проверки для крупных банковских переводов и не полагаться на распознавание лиц.
* Следите за утечками, которые раскрывают учетные данные клиентов, и помечайте эти учетные записи на предмет возможного мошенничества.
* Применяйте передовые методы обеспечения кибербезопасности, чтобы исключить риск фишинговых атак всех типов, включая те, которые связаны с глубокими подделками.
 
Ссылка на источник