Спецпроекты

Безопасность Стратегия безопасности

Исследование «Крок»: как противостоять угрозам нулевого дня

«Крок» провел исследование по zero day-угрозам. В 2021 г. выявлено рекордное количество угроз нулевого дня, их число составило 57. Это вдвое больше, чем в 2020 г., и больше, чем в любой другой год за всю историю наблюдений. По данным «Крок», общее число кибератак увеличилось на 23%. При этом отмечается рост целенаправленных кибератак, их доля составляет порядка 75%. Большая часть происходит с использованием вредоносного ПО (73%), среди которого особую опасность представляют угрозы нулевого дня.

Эксплойт нулевого дня (или zero day) — это кибератака, направленная на уязвимость программного обеспечения, которая неизвестна его поставщикам или антивирусным программам. Злоумышленник замечает уязвимость ПО еще до того, как производить ее обнаружил, быстро создает эксплойт и использует его для проникновения. Такие атаки с большой вероятностью увенчаются успехом. Это делает уязвимости нулевого дня серьезной угрозой безопасности.

«Безусловно, прямо сейчас хакеры используют неизвестные уязвимости для вмешательства в работы систем. Цели разные – промышленный шпионаж, кража данных и денежный средств со счетов, заражение сетей шифровальщиками и получение выкупа, политический активизм и кибертерроризм», – отметил Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании «Крок».

Численность угроз напрямую коррелирует с количеством разрабатываемого софта. Он постоянно совершенствуется, обрастает новыми функциями, в результате чего появляются совершенно новые продукты, которые, тем не менее, могут содержать в себе старые ошибки. Яркий пример – уязвимость Log4j в библиотеке Java. Эта библиотека использовалась в большом количестве ИТ-продуктов, которые установлены практически во всех компаниях. Внезапно, множество серверов по всему миру стало уязвимы к исполнению вредоносного кода.

«Несмотря на резкий рост численности угроз нулевого дня, их выявление отнимает все больше времени у злоумышленников. Современные системы безопасности и сложность ИТ-инфраструктур означают, что хакерам необходимо проделать куда больший объем работ, чем пять лет назад», – сказал Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании «Крок».

Если говорить о целях киберпреступников, то каждый третий охотится за персональными данными (33%). Замыкают тройку лидеров информация, содержащая коммерческую тайну (21%) и учетные данные пользователей (19%).

При атаках нулевого дня могут использоваться различные уязвимые объекты: операционные системы, веб-браузеры, офисные приложения, компоненты с открытым исходным кодом; аппаратное обеспечение и интернет вещей.

Операционные системы — возможно, наиболее привлекательная цель для атак нулевого дня из-за их повсеместного распространения и возможностей, которые они предлагают злоумышленникам для получения контроля над пользовательскими системами.

Веб-браузеры — неисправленная уязвимость может позволить злоумышленникам выполнять попутную загрузку, выполнять сценарии или даже запускать исполняемые файлы на компьютерах пользователей.

Офисные приложениявредоносное ПО, встроенное в документы или другие файлы, часто использует уязвимости нулевого дня в базовом приложении, используемом для их редактирования.

Компоненты с открытым исходным кодом — некоторые проекты с открытым исходным кодом не поддерживаются активно или не имеют надежных методов обеспечения безопасности. Поставщики программного обеспечения могут использовать эти компоненты, не зная об уязвимостях, которые они содержат.

Аппаратное обеспечение — уязвимость в маршрутизаторе, коммутаторе, сетевом устройстве или домашнем устройстве, таком как игровая консоль, может позволить злоумышленникам скомпрометировать эти устройства, нарушить их работу или использовать их для создания массивных бот-сетей.

Интернет вещей (IoT) — подключенные устройства, от бытовой техники и телевизоров до датчиков и подключенных автомобилей. Многие устройства IoT не имеют механизма исправления или обновления своего программного обеспечения.

Стоимость эксплойтов нулевого дня сильно варьируются и достигает $2,5 млн, и это только награды добросовестным исследователям за выявление угроз, на основе которых выпускаются соответствующие обновления. Согласно общедоступным данным, стоимость некоторых уязвимостей c 2016 возросла на 1150%.

Суммы, выплачиваемые за приобретение оригинальных эксплойтов нулевого дня, зависят от популярности и уровня безопасности затронутого программного обеспечения/системы, а также от качества представленного эксплойта (полная или частичная цепочка, поддерживаемые версии/системы/архитектуры). Наибольшую ценность представляют уязвимости для взлома мобильных устройств, причем Android-версии ценятся куда больше.

Среди серверов наибольший интерес для хакеров несут уязвимости систем Windows, Chrome, Apache и MS IIS, стоимость за обнаружение может достигать миллиона долларов. При этом уязвимости системы macOS оцениваются в несколько раз меньше (около 100 тыс.).

Однако многие преступники ищут уязвимости и продают их хакерским группировкам, которые в свою очередь используют их и зарабатывают в десятки раз больше. Потери от известной атаки Carbanak оценивались в $1 млрд. В России с помощью этого вируса было украдено более 58 млн руб. из «ПИР банка».

Громких случаев немало. В 2021 г. Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Проблема возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере. Годом ранее у популярной платформы видеоконференцсвязи Zoom обнаружили уязвимость. В результате злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены старые версии ОС. В случаях, когда атака была нацелена на администратора, злоумышленники могли полностью захватить его устройство и всем файлам.

«Основная задача злоумышленника – это получение доступа в сеть и повышенные привилегий. Тут речь идет именно про уязвимости ПО, хотя, надо понимать, что одной найденной уязвимости мало. Необходимо получить доступ к софту, в котором она содержится. Здесь на "помощь" приходит социальная инженерия. Такими методами злоумышленники заставляют жертву открыть вредоносное письмо с приложением и пройти по зараженной ссылке. После этого хакерское ПО попадает на компьютер и пытается эксплуатировать уязвимость», – сказал Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании «Крок».

Надежное обнаружение отклонений от ожидаемого поведения системы может стать эффективным инструментом для предотвращения нарушений. Для этого необходимо придерживаться следующих рекомендаций: своевременное обновление программ и операционных систем. Производители регулярно выпускают обновления и патчи по безопасности. В них содержатся исправления ранее выявленных недочетов кода; работа только в необходимых системах. Чем больше программного обеспечения используется в компании, тем больше потенциальных уязвимостей имеется; настройка сетевого экрана. Ограничение на совершение операций позволит предотвратить несанкционированное воздействие, помогая выявить угрозу на начальных этапах; развитие киберосознанности. Для проникновения и внедрения эксплойтов используются методы социальной инженерии, обучение сотрудников работе с данными в веб-среде поможет обеспечить серьезный уровень безопасности; использование антивируса. Комплексные решения помогают обеспечить надежный защиту корпоративных систем и баз данных; необходимость мониторинга событий в ИТ-инфарструктуре с использованием SIEM, EDR, NTA и выделенной командой аналитиков SOC.

«Казалось бы, что данные методы применяются уже во всех компаниях, однако это не так. У нас был кейс, когда мы избавляли заказчика от угрозы нулевого дня, так как он вовремя не обновил свои программы. В результате на пользовательские станции попал шифровальщик. Мы быстро приняли меры, оперативно закрыли доступ подсети, в которой были зараженные машины от остальной сети, таким образом, прекратили распространение вредоноса. Затем были попытки восстановления данных и перезаливка станций с нуля. А также анализ произошедшего - внедрение процесса управления уязвимостями, анализа процессов на рабочих станциях (класс решений EDR), работа с кибергигиеной пользователей (security awareness)», – сказал Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании «Крок».

К тому же компаниям необходимо постоянно мониторить выявленные угрозы во внешнем пространстве. Базой данных может стать как системный интегратор или вендор, так и открытые источники, например, NVD (Национальная база данных уязвимостей). Такая информация постоянно обновляется и может быть полезна в качестве ориентира, эксплойты нулевого дня по определению являются новыми и неизвестными. Таким образом, существует предел того, что существующая база данных может вам сообщить.

Для обнаружения данных о ранее зафиксированных эксплойтах все чаще применяется машинное обучение. На основе текущих и прошлых взаимодействий пользователей с системой устанавливается эталон безопасного поведения. Чем больше информации доступно, тем надежнее обнаружение.

Компаниям любого размера необходимо иметь стратегию реагирования на инциденты, которая обеспечивает организованный процесс выявления и устранения кибератаки. Наличие конкретного плана, ориентированного на угрозы нулевого дня, даст огромное преимущество в случае их наступления, уменьшит время на реагирование и повысит шансы избежать или же уменьшить ущерб.

Короткая ссылка