Najczęstsze początkowe wektory ataku

Ujawniamy, w jaki sposób atakujący próbują przedostać się do infrastruktury firmowej najczęściej.

Do naszych ekspertów często zwracają się o pomoc firmy, które znalazły się w tarapatach. Potrzebują wsparcia w zakresie reagowania na incydenty, przeprowadzenia dochodzenia (ewentualnie pomocy w jakimś stopniu) lub przeanalizowania narzędzi użytych przez cyberprzestępców. W 2020 roku zgromadziliśmy mnóstwo danych, dzięki którym mamy wgląd we współczesny krajobraz zagrożeń i możemy przewidywać najbardziej prawdopodobne scenariusze ataku – w tym najpopularniejsze początkowe wektory ataku, a także dobierać najlepszą taktykę obronną.

Gdy badamy cyberincydent, zawsze zwracamy szczególną uwagę na początkowy wektor ataku. Intruzi przedostają się do firmy poprzez słabe punkty, a aby uniknąć nawrotu infekcji, kluczowe znaczenie ma zidentyfikowanie takich podatności w systemach zabezpieczających.

Niestety nie zawsze jest to możliwe. W niektórych przypadkach między wystąpieniem incydentu a wykryciem go upływa zbyt dużo czasu; w innych ofiara nie prowadziła dzienników lub niszczyła ślady (przypadkowo lub świadomie).

Sprawa się komplikuje, gdy cyberprzestępcy atakują łańcuch dostaw – a dzieje się to coraz częściej. Wówczas początkowy wektor nie wchodzi w zakres kompetencji ofiary końcowej, ale raczej zewnętrznego programisty lub dostawcy usług. Mimo to w ponad połowie wszystkich incydentów nasi eksperci byli w stanie precyzyjnie określić początkowy wektor ataku.

Pierwsze i drugie miejsce: atak siłowy i wykorzystywanie publicznie dostępnych aplikacji

Dwa pierwsze miejsca zajmują ataki siłowe i wykorzystywanie luk w zabezpieczeniach aplikacji i systemów dostępnych spoza obwodu firmy. Wszystkie one służyły jako początkowy wektor penetracji w 31,58% przypadków.

Jak już zaobserwowaliśmy w poprzednich latach, w przeprowadzaniu ataku najskuteczniejsze okazuje się wykorzystanie luk w zabezpieczeniach. Bardziej szczegółowa analiza wykorzystanych luk sugeruje, że firmy nie instalują szybko aktualizacji — w czasie ataków dla każdej pojedynczej luki dostępne były stosowne poprawki. Gdyby zostały one zainstalowane, ochroniłyby ofiary.

Za wzrost popularności ataków siłowych odpowiadają: masowe przejście firm na pracę zdalną i korzystanie z usług dostępu zdalnego. Delegując pracowników na inną formę pracy, wiele organizacji nie rozwiązało odpowiednio kwestii bezpieczeństwa, w wyniku czego liczba ataków na połączenia zdalne wzrosła praktycznie z dnia na dzień. Na przykład w okresie od marca do grudnia 2020 r. odnotowano 242% wzrost liczby ataków siłowych opartych na protokole RDP.

Trzecie miejsce: szkodliwa poczta e-mail

W 23,68% przypadków początkowym wektorem ataku były szkodliwe wiadomości e-mail, do których dołączone było szkodliwe oprogramowanie lub łącze phishingowe. Zarówno operatorzy ataków ukierunkowanych, jak i osoby stojące za masowo wysyłanymi wiadomościami korzystają z takich szkodliwych wiadomości od dawna.

Czwarte miejsce: atak typu drive-by

Czasami atakujący próbują uzyskać dostęp do systemu za pomocą strony internetowej, którą ofiara odwiedza regularnie lub trafi na nią przypadkiem. Taktyka ta pojawia się w niektórych złożonych atakach APT: cyberprzestępcy albo umieszczają na stronie internetowej skrypty, które wykorzystują lukę w przeglądarce i następnie uruchamiają na komputerze ofiary szkodliwy kod, albo nakłaniają ofiarę do pobrania i zainstalowania szkodliwego programu. W 2020 roku był to początkowy wektor ataku w 7,89% przypadków.

Piąte i szóste miejsce: dyski przenośne i insiderzy

Wykorzystanie dysków USB w celu przeniknięcia do systemów firmowych było dość rzadkim zjawiskiem. Infekowanie dysków flash wirusami należy już w dużej mierze do przeszłości, a ponadto sama taktyka podsuwania komuś szkodliwej pamięci USB nie jest zbyt niezawodna. Metoda ta odpowiadała za 2,63% przypadków przeniknięcia do sieci.

Za taki sam odsetek (2,63%) incydentów odpowiadali insiderzy. To pracownicy, którzy z jakiegoś powodu chcieli zaszkodzić zatrudniającej ich firmie.

Jak zminimalizować ryzyko wystąpienia cyberincydentu i jego konsekwencje

Większości przeanalizowanych przez naszych ekspertów incydentów można było zapobiec. Warto przestrzegać następujących zaleceń:

  • Wprowadź surowe zasady dotyczące stosowania haseł i wymagaj korzystania z uwierzytelniania wieloskładnikowego.
  • Wprowadź zakaz korzystania z publicznie dostępnych usług zarządzania zdalnego.
  • Instaluj aktualizacje oprogramowania tak szybko, jak to możliwe.
  • Zabezpiecz serwery pocztowe za pomocą narzędzi wykrywających phishing i zapewniających ochronę przed szkodliwym kodem.
  • Regularnie zwiększaj świadomość pracowników w zakresie współczesnych cyberzagrożeń.

Ponadto pamiętaj, aby skonfigurować wszystkie systemy audytu i rejestrowania, a także regularnie twórz kopie zapasowe danych — nie tylko w celu ułatwienia ewentualnych dochodzeń, ale także w celu zminimalizowania szkód spowodowanych przez cyberincydenty.

Oczywiście powyższe statystyki stanowią tylko niewielką część przydatnych informacji, które nasi eksperci mają do zaoferowania. Pełny tekst naszego raportu zawierającego analizę reagowania na incydenty na 2021 rok znajdziesz tutaj.

Porady