В мире удаленной работы конечная точка является основной целью киберпреступников и первой линией обороны организации. Обеспечение безопасности удаленной рабочей силы требует, чтобы организации понимали основные киберугрозы, с которыми сталкиваются их сотрудники, и располагали решениями для обеспечения безопасности конечных точек, способными обнаруживать, предотвращать и устранять эти атаки.
Киберпреступники постоянно внедряют инновации, и основные киберугрозы, с которыми сталкиваются организации, регулярно меняются по мере того, как злоумышленники адаптируются к меняющимся обстоятельствам.
1. Программа-вымогатель
Программы-вымогатели — это вредоносные программы, предназначенные для использования шифрования, чтобы заставить объект атаки заплатить. Оказавшись в системе, вредоносная программа шифрует файлы пользователя и требует оплаты в обмен на ключ расшифровки. Поскольку современные алгоритмы шифрования неразрушимы при использовании доступных технологий, единственный способ восстановить зашифрованные файлы — это восстановить данные из резервной копии (если таковая имеется) или оплатить запрос.
Программы-вымогатели стали одним из наиболее заметных и плодовитых типов вредоносных программ, а пандемия COVID-19 создала среду, в которой этот тип вредоносных программ процветал. В последние годы некоторые варианты программ-вымогателей также эволюционировали для выполнения атак с “двойным вымогательством”. Maze, Sodinokibi/REvil, DopplelPaymer, Nemty и другие варианты программ-вымогателей крадут копии файлов перед шифрованием, угрожая взломать их, если пользователь откажется заплатить требование о выкупе. Хотя эта тенденция началась в конце 2019 года с Maze, она продолжала расти по мере того, как все больше групп применяли ее в течение 2020 года.
2. Вредоносное ПО
Программы-вымогатели — это разновидность вредоносных программ, но далеко не единственная. Вредоносные программы выпускаются в самых разных формах и могут использоваться для достижения целого ряда различных целей. Варианты вредоносных программ могут быть предназначены для чего угодно — от сбора и кражи конфиденциальной информации до показа нежелательной рекламы и нанесения непоправимого ущерба зараженному компьютеру.
Наиболее распространенные типы вредоносных программ меняются из года в год, поскольку различные типы атак становятся более или менее выгодными для злоумышленников. В 2020 году наиболее распространенные формы вредоносных программ включали:
- Вредоносная программа, которая использует компьютер жертвы для майнинга криптовалюты и получения прибыли злоумышленником.
- Вредоносное ПО, нацеленное на мобильные устройства, включая вредоносные приложения и атаки с использованием SMS-сообщений и приложений социальных сетей.
- Вредоносное ПО, которое заражает систему и добавляет ее в ботнет, где оно участвует в кибератаках и другой незаконной деятельности под командованием контроллера ботнета.
- Вредоносная программа, которая собирает конфиденциальную информацию с зараженного компьютера и отправляет ее оператору вредоносного ПО.
Банковские трояны: вредоносное ПО, которое специально нацелено на финансовую информацию и пытается украсть учетные данные банковского веб-сайта и аналогичную информацию.
- Вредоносная программа, которая шифрует файлы на компьютере пользователя и требует оплаты ключа расшифровки.
В то время как список “шести лучших” типов вредоносных программ остается неизменным во всем мире, процент вредоносных программ каждого типа варьируется от одного географического региона к другому.
3. Атаки без файлов
Антивирусные решения обычно пытаются обнаружить вредоносное ПО на устройстве, проверяя каждый файл на устройстве на наличие признаков вредоносного содержимого. Вредоносная программа без файлов пытается обойти этот подход к обнаружению угроз, не используя файл. Вместо этого вредоносная программа реализуется в виде набора команд для функций, встроенных в зараженный компьютер. Это позволяет вредоносному ПО достигать тех же целей, но может затруднить его обнаружение для некоторых защитных решений.
Основным отличием вредоносного ПО без файлов является отсутствие в нем файлов; оно выполняет многие из тех же функций, что и традиционное вредоносное ПО. Например, FritzFrog — вредоносная программа для однорангового (P2P) ботнета без файлов, обнаруженная в августе 2020 года, — предназначена для заражения систем и майнинга криптовалюты.
4. Фишинг
Фишинг — один из наиболее распространенных методов, которые злоумышленники используют для получения доступа к целевой системе. Часто проще обманом заставить пользователя перейти по вредоносной ссылке или открыть вложение, чем обнаружить и успешно использовать уязвимость в сети организации. Фишинговые атаки могут достигать различных целей, включая кражу учетных данных, доставку вредоносных программ, финансовое мошенничество и кражу конфиденциальных данных.
Фишинг исторически был наиболее распространенным методом из-за его простоты использования и высокого процента успеха. Во время пандемии COVID-19 эта тенденция только усилилась, поскольку киберпреступники воспользовались сотрудниками, работающими вне офиса, и атмосферой неопределенности в отношении вируса.
- Атака «Человек посередине» (MitM)
Многие сетевые протоколы защищены от перехвата с помощью шифрования, что делает невозможным считывание трафика. Атака «Человек посередине» (MitM) обходит эти средства защиты, разрывая соединение на две части. Создавая отдельное зашифрованное соединение с клиентом и сервером, злоумышленник может считывать данные, передаваемые по этому соединению, и изменять их по своему усмотрению, прежде чем пересылать их по назначению.
Атаки MitM можно предотвратить, используя протоколы, подобные HTTPS. Однако рост мобильных устройств делает этот вектор атаки более опасным. Мобильные приложения практически не предоставляют своим пользователям информации об их сетевых подключениях и могут использовать небезопасные протоколы для связи, которые уязвимы для MitM-атак.
6. Вредоносные приложения
Многие организации сосредотачивают свои усилия по обеспечению кибербезопасности на компьютерах, но мобильные устройства представляют растущую угрозу кибербезопасности организации. Поскольку сотрудники все чаще используют мобильные устройства для выполнения своей работы и доступа к конфиденциальным данным компании, вредоносные мобильные приложения становятся все более опасными. Эти приложения могут делать все, что могут настольные вредоносные программы, включая кражу конфиденциальных данных, шифрование файлов с помощью программ-вымогателей и многое другое.
В 2020 году мобильные вредоносные программы были вторым по распространенности типом вредоносных программ во всем мире. Наиболее распространенные варианты вредоносных программ для мобильных устройств, включая xHelper, PreAMo и Necro, – это трояны с дополнительными функциями, включая мошенничество с рекламой и кликами. Мобильные вредоносные программы обычно используют уязвимости в мобильных операционных системах, такие как уязвимость удаленного выполнения кода (RCE), исправленная в пакете из 43 исправлений безопасности Android в январе 2021 года.
7. Атака типа «Отказ в обслуживании»
ИТ–инфраструктура и сервисы организаций, такие как веб-приложения, электронная почта и т. д., имеют решающее значение для их способности вести бизнес. Атаки типа «отказ в обслуживании» (DoS) предназначены для отказа в доступе к критически важным службам. Это может быть достигнуто путем использования уязвимости в приложении (что приводит к его аварийному завершению) или путем заполнения системы большим количеством данных или запросов, чем она в состоянии обработать (что делает ее неспособной обрабатывать законные запросы). В некоторых случаях злоумышленники проводят DoS-атаку с требованием выкупа, когда требуется выплата выкупа либо для прекращения продолжающейся атаки, либо для предотвращения угрозы.
Во время удаленной работы и обучения, вызванных пандемией COVID-19, решения для удаленного доступа были основной мишенью DoS-атак. А в течение 2020–2021 учебного года количество распределенных DoS-атак (DDoS-атак на сектор образования) резко возросло. Эти атаки были направлены на то, чтобы сделать сервисы дистанционного обучения непригодными для использования, или требовали выкупа, чтобы предотвратить или остановить атаки.
8. Эксплойт нулевого дня
Программное обеспечение содержит слабые места и уязвимости, и многие из этих уязвимостей попадают в рабочую среду, где они потенциально могут быть использованы злоумышленниками. Эти производственные уязвимости обнаруживаются внутри компании, внешними исследователями безопасности или кибератаками.
В третьем случае кибератакеры могут воспользоваться этими уязвимостями “нулевого дня” в системе. До тех пор, пока организации не удастся устранить уязвимость, сделав ее безопасной, все пользователи системы потенциально уязвимы для атак.
В 2020 году одной из самых известных уязвимостей нулевого дня была Zerologon, которая затрагивала контроллеры домена Windows (DCs). Злоумышленники, воспользовавшиеся этой уязвимостью, могли получить полный контроль над сетью, управляемой уязвимым DC.