Pénzcentrum • 2024. április 10. 18:01
A Sophos közzétette az aktív ellenfelekről szóló 2024-es elemzését, amely megállapította, hogy a kiberbűnözők a támadások 90 százalékában éltek vissza a távoli asztal protokollal (RDP-vel), amely egy általános módszer a távoli hozzáférés megoldására a Windows rendszereken – olvasható a kiberbiztonsági vállalat közleményében. Ez volt az RDP-vel való visszaélések legmagasabb előfordulási gyakorisága azóta, hogy a Sophos a 2020-ra vonatkozó adatok alapján 2021-ben elkezdte közzétenni az aktív ellenségekről szóló jelentéseket.
Ezen kívül a kívülről elérhető távoli szolgáltatások, például az RDP voltak a leggyakoribb vektorok, amelyek révén a támadók megszerezték a kezdeti hozzáférésüket a hálózatokhoz; 2023-ban az IR esetek 65 százalékában így törtek be először a rendszerekbe. Az aktív ellenfelekről szóló jelentések 2020-as megjelenése óta folyamatosan a külső távoli szolgáltatások jelentik a kiberbűnözők kezdeti hozzáférésének leggyakoribb forrását, és a védőknek ezt egyértelmű jelnek kell tekinteniük arra vonatkozóan, hogy e szolgáltatások kezelését prioritásként kezeljék a vállalatot érintő kockázatok kiértékelésekor.
“A külső távoli szolgáltatások szükséges, de kockázatos igények sok vállalkozás számára. A támadók tisztában vannak azzal, hogy ezek a szolgáltatások milyen kockázatot jelentenek, és aktívan törekednek ezek kihasználására a rajtuk keresztül megszerezhető javak miatt. A szolgáltatások szabadon elérhetővé tétele gondos mérleges és a kockázataik csökkentése nélkül elkerülhetetlenül kompromittációhoz vezet. Nem tart sokáig, amíg egy támadó megtalálja és feltöri a külvilág számára hozzáférhető RDP-szervert és további vezérlők, korlátok nélkül a túloldalon váró Active Directory szerver megtalálása sem sok idő számára.” mondta John Shier, a Sophos field CTO-ja.
Egy konkrét esetben a támadók hat hónapon belül négyszer törték fel sikeresen az áldozatot, minden alkalommal az ügyfél nyíltan hozzáférhető RDP portjain keresztül szerezve meg a kezdeti hozzáférést. A bejutást követően a támadók laterálisan mozogtak az ügyfél hálózat belül, ártó célú futtatható programokat töltöttek le, letiltották a végpontvédelmet és távoli hozzáférést hoztak létre.
A rossz kezekbe került hitelesítő adatok és a biztonsági rések kihasználása továbbra is a támadások két leggyakoribb kiváltó oka. A tavaly augusztusban kiadott 2023-as Active Adversary Report for Tech Leaders azonban megállapította, hogy az év első felében a kompromittált hitelesítő adatok első alkalommal megelőzték a sebezhetőségeket, mint a támadások leggyakoribb kiváltó okait. Ez a trend 2023 hátralévő részében is folytatódott, és az egész éves IR-esetek több mint 50 százalékának a hitelesítő adatok kompromittálódása volt a kiváltó oka.
JÓL JÖNNE 1 MILLIÓ FORINT?
Amennyiben 1 millió forintot igényelnél 36 hónapos futamidőre, akkor a törlesztőrészletek szerinti rangsor alapján az egyik legjobb konstrukciót, havi 33 952 forintos törlesztővel az UniCredit Bank nyújtja (THM 14,41 %), de nem sokkal marad el ettől a CIB Bank 33 972 forintos törlesztőt (THM 14,45%) ígérő ajánlata sem. További bankok ajánlataiért, illetve a konstrukciók pontos részleteiért (THM, törlesztőrészlet, visszafizetendő összeg, stb.) keresd fel a Pénzcentrum megújult személyi kölcsön kalkulátorát. (x)
Ha az Active Adversary adatait 2020 és 2023 között összesítve vizsgáljuk, akkor a kompromittált hitelesítő adatok szintén a támadások első számú gyakori kiváltó okai voltak, mert az IR esetek közel harmadának képezték részét. Mégis, annak ellenére, hogy a historikus adatok mutatják a rossz kézbe került hitelesítő adatok elterjedtségét a kibertámadások során, 2023-ban az IR-esetek 43 százalékában a szervezetek nem konfiguráltak többtényezős hitelesítést. A sérülékenységek kihasználása volt a támadások második leggyakoribb kiváltó oka, mind 2023-ban, mind a 2020 és 2023 közötti adatok kumulatív elemzésekor: az IR esetek 16 százalékában, illetve 30 százalékában volt a kiváltó ok.
“A kockázatkezelés aktív folyamat. Azok a szervezetek, amelyek ezt jól végzik, jobb biztonsági helyzeteket tapasztalnak meg az elszánt támadók folyamatos fenyegetéseivel szembesülve, mint azok, amelyek nem. A biztonsági kockázatok kezelésének egyik fontos aspektusa az azonosításukon és a prioritásuk meghatározásán túl az információ alapján történő cselekvés. Ennek ellenére bizonyos kockázatok túl régóta sújtják a szervezeteket, amilyen például a nyitott RDP is, azon támadók nagy örömére, akik a szervezet “főbejáratán” tudnak besétálni. A hálózat biztonságossá tétele a nyíltan hozzáférhető és sérülékeny szolgáltatások csökkentésével és a hitelesítés megerősítésével általánosságban biztonságosabbá teszi a szervezeteket, és lehetővé teszi számukra, hogy jobban le tudják küzdeni a kibertámadásokat.” mondta Shier.