Get best of the week

Target cyber 2019 sebagai tren 2020 - peretas telah mengubah fokus


Setiap tahun kami mencatat peningkatan jumlah insiden cyber: peretas datang dengan alat baru atau memodifikasi yang sudah ada. Seperti apa 2019? Sekilas, tidak ada kejutan: volume insiden tumbuh sebanyak 30% dan berjumlah lebih dari 1,1 juta kasus. Tetapi jika Anda menggali lebih dalam, itu menjadi jelas: dalam mengejar uang "mudah", para penyerang mengalihkan fokus ke target baru. Secara umum, ada lebih banyak serangan eksternal - bagian mereka telah tumbuh menjadi 58% (54% setahun sebelumnya). Pada saat yang sama, bagian dari serangan kompleks meningkat secara signifikan: 55% dari peristiwa terdeteksi menggunakan pertahanan intelektual yang canggih (pada tahun 2018, insiden tersebut adalah 28%). Solusi dasar dalam situasi seperti itu tidak berdaya. Di bawah ini kami akan memberi tahu Anda apa bahaya yang dihadapi perusahaan dalam satu tahun terakhir dan apa yang akan terjadi dalam waktu dekat.

Sedikit tentang metodologi: bagaimana dan apa yang kami pertimbangkan


Semua statistik yang disajikan di sini berkaitan dengan pelanggan kami, dan ini adalah lebih dari 100 organisasi dari berbagai industri: sektor publik, keuangan, minyak dan gas, energi, telekomunikasi, ritel. Semua perusahaan mewakili perusahaan besar dan segmen perusahaan dengan jumlah rata-rata karyawan dari 1000 orang dan menyediakan layanan di berbagai wilayah negara.

Prioritas pertama kami adalah memberikan perlindungan, dan karenanya, mengidentifikasi tindakan penyerang di pendekatan, sebelum menembus infrastruktur. Ini, tentu saja, membatasi kita dalam menentukan tujuan penyerang: mendapatkan langsung, mengumpulkan informasi sensitif, mengamankan dalam infrastruktur untuk penjualan lebih lanjut dari sumber daya, hacktivism ... Untuk membuat analisis yang seimbang tentang apa yang terjadi, kami menggunakan teknik gabungan yang bergantung pada karakteristik serangan.

Ketika mendeteksi insiden pada tahap awal (sebelum memperbaiki penyerang yang sebenarnya dan pengembangan serangan di infrastruktur), kami memperhitungkan teknik dan metode serangan, fungsi malware, atribusi dan data tentang kelompok peretas, dll.

Terkadang kami mendeteksi serangan dalam fase distribusi pelanggan yang terhubung baru, dalam hal ini, pada host yang dikompromikan, kami memperhitungkan: distribusi teritorial, fungsionalitas, kemungkinan mewujudkan salah satu tujuan di atas, dinamika dan vektor pergerakan penjahat dunia maya.

Jika, sebagai bagian dari investigasi insiden, klien tidak menggunakan layanan Solar JSOC mendeteksi serangan pada tahap akhir, maka data kerusakan aktual menjadi kriteria utama yang menentukan vektor serangan.

Dari statistik, kami mengecualikan apa yang disebut serangan sederhana yang tidak mengarah pada insiden keamanan informasi nyata: aktivitas botnet, pemindaian jaringan, eksploitasi kerentanan yang tidak berhasil, dan tebak kata sandi.

Apa tepatnya yang kita temui pada 2019?

Kontrol lebih mahal daripada uang


Pencurian dana langsung tidak lagi menjadi tren. Pada tahun 2019, jumlah serangan semacam itu menurun sebesar 15%, meskipun sebelum itu, indikatornya terus tumbuh dari tahun ke tahun. Paling tidak, ini menunjukkan peningkatan tingkat keamanan di bidang kredit dan keuangan. Monetisasi serangan yang cepat dan langsung menjadi semakin sulit, dan penjahat cyber beralih ke target yang lebih terjangkau.

Jumlah serangan yang bertujuan untuk mendapatkan kendali atas infrastruktur meningkat sebesar 40%. Lebih dari 16% serangan ditujukan pada objek KII, sedangkan tujuannya adalah segmen sistem kontrol proses otomatis atau segmen tertutup. Hal ini disebabkan oleh tingkat kebersihan cyber yang rendah dan seringnya pencampuran jaringan perusahaan dan teknologi. Selama pemantauan di 95% organisasi, kami menemukan setidaknya dua titik pencampuran segmen terbuka dan tertutup.

Trennya mengkhawatirkan, karena, menembus perimeter, penyerang dapat memeriksa secara detail proses internal perusahaan. Ada banyak pilihan, karena mereka selanjutnya menggunakan titik-titik kehadiran ini: dari spionase industri hingga penjualan akses di darknet atau pemerasan langsung.

Insiden eksternal


Jenis-Jenis Serangan Eksternal










VPO dengan cara baru


Dalam memilih alat untuk infrastruktur peretasan, peretas bersifat konservatif dan lebih memilih malware yang dikirimkan ke mesin pengguna melalui lampiran yang terinfeksi atau tautan phishing dalam surel. Pada 2019, metode ini digunakan di lebih dari 70% kasus.

Secara umum, serangan menggunakan malware terus meningkat - sebesar 11% selama setahun terakhir. Pada saat yang sama, perangkat lunak jahat itu sendiri menjadi lebih kompleks: setiap malware kelima dikirim ke mesin pengguna dengan surat phishing memiliki alat pintas sandbox bawaan.

Tren pengembangan VPO


  • ( ) RTM. ยซยป (, , ) C&C-, TOR. , , RTM, , .
  • 2019 Troldesh, , . , -.
  • 2019 stealer โ€“ Pony, Loki Hawkeye. , VBInJect ( VBCrypt). , VBInJect, . , .
  • . DDE (Microsoft Dynamic Data Exchange), Microsoft , .
  • Microsoft Office CVE-2017-11882 CVE-2018-0802. , , .
  • . โ€“ , .
  • Emotet ( , ). WordPress , . : , (: http://*.sk/isotope/fa9n-ilztc-raiydwlsg/ http://*.com/wp-content/uploads/hwqu-5dj22r-chrsl/ )
  • 2019 Windows โ€“ BlueKeep DejaBlue, RDP. in the wild . Eternal Blue. 2018 , , .


Serangan pada aplikasi web juga menunjukkan pertumbuhan yang stabil - bagian mereka dari tahun ke tahun meningkat sebesar 13%. Alasannya sederhana - semakin banyak perusahaan dan organisasi negara memulai portal Internet mereka sendiri, tetapi tidak cukup memperhatikan keamanan sumber daya tersebut. Akibatnya, setiap situs web ketiga memiliki kerentanan kritis yang memungkinkannya untuk mendapatkan akses istimewa ke server (web-shell).

Kata sandi admin: ketika kesederhanaan lebih buruk daripada pencurian


Data otentikasi yang relatif sederhana untuk panel admin sumber daya web dan server terminal RDP juga berperan di tangan para penjahat dunia maya. Menurut data kami, jika Anda menggunakan kata sandi administrator yang lemah dan membuka akses ke layanan ini dari Internet, itu akan memakan waktu kurang dari 5 jam sebelum mereka terinfeksi malware. Paling sering itu akan menjadi penambang, ransomware atau virus yang relatif sederhana, misalnya, Monero Miner, Miner Xmig, Watchbog, Dbg Bot atau Scarab.

Celakalah dari pikiran


Serangan DDoS menunjukkan kemajuan teknologi yang signifikan. Pada 2019, penyerang 40% lebih mungkin menggunakan bot IoT untuk melakukan DDoS. Seperti yang Anda ketahui, perangkat IoT terlindungi dengan buruk dan mudah retak, membuat serangan DDoS lebih murah dan lebih terjangkau. Mengingat peningkatan konstan dalam jumlah gadget seperti itu, mungkin dalam waktu dekat kita akan menghadapi lonjakan baru dalam ancaman ini.

Bahaya di dalam


Terlepas dari pertumbuhan serangan eksternal, insiden internal tetap menjadi ancaman serius. Jumlah kebocoran informasi rahasia terus bertambah: jumlahnya lebih dari setengah dari insiden internal, dan di tahun-tahun mendatang indikator ini kemungkinan akan bertambah. Tetapi pada saat yang sama, jumlah insiden terkait pelanggaran akses Internet berkurang secara signifikan. Ini secara tidak langsung menunjukkan perkembangan teknologi: banyak pelanggan telah bermigrasi dari firewall dan proxy lama ke sistem yang lebih maju.

Jenis-Jenis Serangan Internal









Mempermanis pil


Ada juga perubahan positif: perusahaan mulai melakukan lebih banyak upaya untuk melindungi perimeter. Jika pada 2018 lebih dari 260 ribu server Rusia rentan terhadap EternalBlue, maka pada 2019 jumlahnya menurun menjadi 49,7 ribu. Selain itu, dinamika penutupan kerentanan di Rusia secara signifikan lebih tinggi daripada rata-rata dunia - server Rusia menyumbang kurang dari 5% server rentan di Rusia. Dunia. Meskipun sekitar 40% dari server yang masih rentan dimiliki oleh perusahaan komersial atau pemerintah besar.

More articles:


All Articles