Το τοπίο των απειλών βρίσκεται σε συνεχή εξέλιξη, με τις επιχειρήσεις να πιέζονται για να συμβαδίσουν με τις συνεχείς ευπάθειες που αποκαλύπτονται, τις ενημερώσεις ασφαλείας και πολλά άλλα. Οι τακτικές που χρησιμοποιούνται στις παραβιάσεις των εταιρικών συστημάτων αλλάζουν συνεχώς.
Οι αναλυτές εκτιμούν ότι έως το 2021, 3,5 εκατομμύρια ρόλοι για την ασφάλεια στον κυβερνοχώρο δεν θα έχουν “καλυφθεί”, και έτσι όχι μόνο οι υφιστάμενοι επαγγελματίες ασφαλείας θα πρέπει να αντιμετωπίσουν έναν φαινομενικά ατελείωτο αγώνα εναντίον των κυβερνοεπιτιθέμενων, αλλά θα πρέπει να το πράξουν ενώ τα τμήματα είναι υποστελεχωμένα – για να μην αναφέρουμε τα προβλήματα που προκαλεί ο COVID-19.
Υπάρχουν εργαλεία στην αγορά που μπορούν να βοηθήσουν τα στελέχη των επιχειρήσεων. Αυτόματοι σαρωτές, τεχνητή νοημοσύνη (AI), αλγόριθμοι και λογισμικό που βασίζεται στην μηχανική εκμάθηση (ML) μπορούν να διαχειριστούν την ασφάλεια των εταιρικών συστημάτων.
Υπάρχουν επίσης τα frameworks, όπως το MITER ATT&CK, το οποίο παρέχει μια δωρεάν βάση γνώσεων που συντάσσει τακτικές και τεχνικές που παρατηρούνται σε τρέχουσες, πραγματικές επιθέσεις.
Αυτό είναι το data repository που η Cisco εξέτασε σε μια νέα έκθεση που περιγράφει τις τρέχουσες τάσεις επιθέσεων στα endpoint και στα δίκτυα επιχειρήσεων.
Τη Δευτέρα, η Cisco δημοσίευσε ένα σύνολο δεδομένων με βάση τις ταξινομήσεις MITER ATT & CK σε συνδυασμό με τους δείκτες συμβιβασμού (IoCs) από οργανισμούς που λαμβάνουν ειδοποιήσεις μέσω των λύσεων ασφαλείας της εταιρείας εντός συγκεκριμένων χρονικών πλαισίων.
Σύμφωνα με την εταιρεία, κατά το πρώτο εξάμηνο του 2020, οι απειλές fileless ήταν ο πιο κοινός φορέας επίθεσης που χρησιμοποιήθηκε κατά των επιχειρήσεων. Οι επιθέσεις fileless περιλαμβάνουν process injections, παραβίαση μητρώου και απειλές όπως για παράδειγμα το malware Kovter ή ένα Trojan.
Στη δεύτερη θέση είναι τα εργαλεία διπλής χρήσης, συμπεριλαμβανομένων των Metasploit, PowerShell, CobaltStrike και Powersploit. Τα νόμιμα εργαλεία penetration testing όπως το Metasploit βοηθούν την ασφάλεια ως σύνολο, αλλά δυστυχώς, οι κυβερνοεπιτιθέμενοι ενδέχεται να κάνουν κατάχρηση αυτών των λύσεων προς όφελος τους.
Εργαλεία όπως το Mimikatz, ένα νόμιμο σύστημα ελέγχου ταυτότητας και διαχείρισης credentials, έρχονται στην τρίτη θέση.
Κατά το πρώτο εξάμηνο του 2020, η Cisco αναφέρει ότι αυτοί οι επιτιθέμενοι φορείς αποτέλεσαν περίπου το 75% των κρίσιμων σοβαρών σημείων που παρατηρήθηκαν.
Η αποφυγή αμυντικών διαδικασιών εμφανίζεται στο 57% όλων των ειδοποιήσεων IoC και η εκτέλεση φτάνει στο 41%.
Η εκτέλεση κακόβουλου κώδικα έκλεψε την κορυφαία θέση από την αποφυγή αμυντικών διαδικασιών σε κρίσιμες επιθέσεις, με μια αύξηση 14%, ανεβάζοντας τις συνολικές ειδοποιήσεις IoC στο 55%. Η αποφυγή αμυντικών διαδικασιών μειώθηκε κατά 12% στο 45%, ενώ το persistence, η πλευρική κίνηση και η πρόσβαση στα credentials αυξήθηκαν κατά 27%, 18% και 17%, αντίστοιχα.
Για την προστασία από απειλές υψηλού επιπέδου, η Cisco συνιστά στους διαχειριστές να χρησιμοποιούν group policies ή whitelists για εκτέλεση αρχείων και εάν απαιτούνται εργαλεία διπλής χρήσης από έναν οργανισμό, θα πρέπει να εφαρμόζονται πολιτικές προσωρινής πρόσβασης. Επιπλέον, οι συνδέσεις που πραγματοποιούνται μεταξύ των endpoints πρέπει να παρακολουθούνται για να εντοπίζονται οι παραβιάσεις.
