Ми раді оголосити про випуск Elastic Global Threat Report за 2023 рік, який містить комплексний аналіз понад мільярда точок даних. Звіт містить уявлення про методи, прийоми та тенденції загрозливих суб’єктів з точки зору захисників, допомагаючи клієнтам, партнерам і командам безпеки визначити пріоритети та покращити свою безпеку.
Спостереження у звіті ґрунтуються на анонімній телеметрії Elastic і публічних сторонніх даних, наданих добровільно. Мета Elastic — продемонструвати, як унікальний аналіз ддопомогає розробникам і практикам технологій безпеки.
Прогнози та рекомендації Elastic Security
Звіт про глобальні загрози містить цінну інформацію про кіберзагрози, з якими ви можете зіткнутися у 2024 році. Він показує, як суб’єкти загрози стають все більш витонченими та непомітними та як вони використовують загальнодоступні інструменти та ресурси для здійснення своїх атак. Він також пропонує вказівки та передові практики щодо того, як захистити себе та свої дані від цих атак. Ось деякі з ключових прогнозів і рекомендацій зі звіту:
Противники стануть більше покладатися на спільноти з відкритим кодом щодо імплантатів, інструментів та інфраструктури.
Кіберзловмисники все частіше використовують комерційні інструменти та інструменти з відкритим кодом для компрометації систем на різних платформах. Такі інструменти, як Metasploit, Cobalt Strike і Sliver framework, зазвичай використовуються групами загроз для націлювання на пристрої Windows, Linux і macOS. Також спостерігається тенденція до поширення зловмисного програмного забезпечення як послуги кампаній-вимагачів, які використовують ці інструменти для здійснення атак. Зловмисники використовують інструменти з відкритим кодом, щоб зменшити свої операційні витрати.
Прогноз 1
Противники стануть більш залежними від спільнот з відкритим кодом щодо імплантатів, інструментів та інфраструктури.
- Зловмисники використовують у своїх атаках код із відкритих джерел.
- Це включає законні бібліотеки, такі як OneDriveAPI, інструменти, такі як SharpShares, і імплантати, такі як Sliver.
- Зловмисники продовжуватимуть користуватися публічно оприлюдненими проектами.
Рекомендація
Організаціям слід уважно стежити за прямими завантаженнями з веб-сайтів і спільного використання коду та обмежити доступ. Хоча це не вплине на код, який повторно використовують суб’єкти загрози, це може перешкодити попередньо скомпільованим двійковим файлам або портативним сценаріям сприяти компрометації. Підприємства повинні оцінити свою видимість нових конкурентних структур.
Розкриття облікових даних у хмарі буде основним джерелом інцидентів із доступом до даних.
Зловмисники часто використовують методи доступу до облікових даних, щоб отримати доступ до даних або систем. Обліковий доступ – це широкий термін, який включає паролі, маркери та інші методи автентифікації. Elastic помітив, що близько 7% усіх сигналів поведінки кінцевих точок були пов’язані з цією тактикою, і 79% з них передбачали видалення облікових даних з операційної системи за допомогою вбудованих інструментів або функцій.
Для постачальників хмарних послуг (CSP) Credential Access становив близько 45% усіх сигналів виявлення. Для AWS ці сигнали в основному включали незвичні спроби отримати доступ до секретів із диспетчера секретів, змінних середовища з локальних хостів EC2 і файлів облікових даних. Витік облікових даних також може відбуватися через сховища коду, як-от GitHub, якщо код не перевірено чи очищено належним чином.
Прогноз 2
Розкриття облікових даних у хмарі стане основним джерелом інцидентів із розкриттям даних.
- Зловмисники націлюються на хмарні облікові дані, щоб викрасти дані та створити зловмисне програмне забезпечення.
- У великих організаціях хмарне сховище часто не сегментоване, що полегшує доступ зловмисникам за допомогою вкрадених облікових даних.
- Розкриті облікові дані хмарних обчислень можуть збільшити поширеність майнерів монет та іншого шкідливого програмного забезпечення.
Рекомендація
Облікові записи з найменшими привілеями та надійні механізми автентифікації можуть бути доповнені моніторингом поведінки об’єктів користувача, рішення, які можуть залежати від розумної сегментації даних.
Ухилення від оборони залишатиметься головною інвестицією, а фальсифікація витіснить маскування.
Висока поширеність методів ухилення від захисту свідчить про те, що зловмисники добре знають наявні інструменти моніторингу та рішення безпеки та розробляють стратегії, щоб їх обійти. Це явна ознака того, що зловмисники пристосовуються до ворожого середовища та витрачають час і ресурси на те, щоб їхні зловмисні дії залишалися поза увагою.
Прогноз 3
Ухилення від захисту залишатиметься головною інвестицією, а фальсифікація витіснить маскування.
- Динаміка галузі безпеки призвела до розробки надійних функцій запобігання атак на кінцеві точки, але зловмисники усвідомлюють, що обхід цих функцій має вирішальне значення для досягнення їхніх цілей.
- Очікується, що ця тенденція призведе до зменшення масованих атак.
- Докази реального світу підтверджують цю зміну, прикладом якої є тактика «Дайте нам свого власного вразливого співробітника».
Рекомендація
Підприємствам слід оцінити захищеність від несанкціонованого доступу своїх датчиків безпеки кінцевих точок і розглянути проекти моніторингу, як-от живлення від наземних драйверів, які відстежують багато вразливих драйверів пристроїв, які використовуються для відключення технологій безпеки.
Що таке Elastic Security?
Платформа Elastic Security дозволяє аналітикам запобігати, виявляти та реагувати на загрози. Elastic Security підтримує Elastic Common Schema (ECS), нову специфікацію, яка забезпечує послідовний і настроюваний спосіб структурування даних в Elasticsearch, полегшуючи аналіз даних з різних джерел. За допомогою ECS можна ширше застосовувати аналітичний контент, як-от інформаційні панелі та завдання машинного навчання, пошукові запити – вужче, а назви полів легше запам’ятовувати.
Elastic Security має механізм виявлення загроз, який автоматично виявляє загрози, скорочуючи час виявлення та надаючи командам безпеки більше часу для виконання завдань, які потребують участі експертів.
Elastic Security аналізує будь-які дані, автоматизує ключові процеси та захищає ОС. Це уніфікована безпека на відкритій платформі:
SIEM – виявлення загроз і швидке реагування в хмарі.
SOAR – оптимізуйте робочі процеси SOC за допомогою оркестрації та автоматизації.
Threat Intelligence — Розвідка загроз
EDR – Безпека кінцевих точок
XDR – Power SecOps на ваших хостах, у хмарі, в мережі та за її межами.
Cloud Security – оцініть справність вашої хмари та захистіть свої хмарні робочі навантаження.
Будьте попереду зловмисників з Elastic Security
Ці прогнози містять лише короткий огляд загроз, зловмисників і засобів захисту, які Elastic очікує в грі наступного року. Вони також показують, як Elastic використовує ці знання для покращення безпеки та інформування про свої майбутні плани.
Щоб отримати детальніший огляд ситуації безпеки та її розвитку, ви можете переглянути повний 2023 Elastic Global Threat Report (англ.)
За більш детальною інформацією щодо рішень і можливостей Програмного Забезпечення lastic, замовити демонстрацію чи митинг з цим виробником можна звернутися до офіційного представника — компанії Ідеалсофт.