VMware opublikował 8. coroczny Global Incident Response Threat Report. Przeanalizowano wyzwania stojące przed zespołami bezpieczeństwa w obliczu pandemii, wypalenia zawodowego i cyberataków motywowanych geopolitycznie — a te, według 65% specjalistów, nasiliły się od czasu inwazji Rosji na Ukrainę. Co więcej, dane z raportu rzucają również światło na pojawiające się zagrożenia, takie jak deepfake, ataki na interfejsy API. Cyberprzestępcy biorą na celownik także tych, którzy reagują na incydenty.
Aby uniknąć kontroli bezpieczeństwa, cyberprzestępcy wykorzystują deepfake podczas przeprowadzania ataków — powiedział Rick McElroy, główny strateg ds. cyberbezpieczeństwa w VMware. Dwóch na trzech uczestników naszego raportu zaobserwowało wykorzystanie złośliwych deepfake’ów przy okazji ataku, co stanowi wzrost o 13% w stosunku do ubiegłego roku. Główną metodą dostarczania jest poczta elektroniczna. Złoczyńcy nie wykorzystują już syntetycznych materiałów audiowizualnych wyłącznie w operacjach wywierania wpływu czy kampaniach dezinformacyjnych. Dziś ich nowym celem jest wykorzystanie tej technologii do kompromitacji organizacji i uzyskania dostępu do ich środowiska.
Pozostałe wnioski z raportu to:
- Wypalenie zawodowe wśród specjalistów ds. cyberbezpieczeństwa dalej jest poważnym problemem. 47% reagujących na incydenty stwierdziło, że doświadczyło przepalenia lub ekstremalnego stresu w ciągu ostatnich 12 miesięcy, co oznacza niewielki spadek w porównaniu z ubiegłorocznym 51%. Spośród tej grupy 69% (65% w 2021 r.) respondentów rozważało z tego powodu odejście z pracy. Organizacje dokładają jednak starań, aby temu zaradzić — ponad 2/3 ankietowanych stwierdziło, że ich miejsca pracy wdrożyły programy well-beingowe przeciwdziałające wypaleniu zawodowemu.
- Twórcy oprogramowania ransomware stosują strategie cyberwymuszeń. Popularność ataków ransomware, wspieranych przez grupy e-przestępcze współpracujące w dark webie, wciąż nie słabnie. 57% respondentów miało styczność z takim zagrożeniem w ciągu ostatnich 12 miesięcy. 2/3 ankietowanych zetknęło się z programami partnerskimi lub partnerstwami między grupami ransomware. Co więcej, najsilniejsze organizacje cyberprzestępcze nadal stosują techniki podwójnego wymuszania, aukcje danych i szantaż.
- Interfejsy API to nowy punkt końcowy, stanowiący kolejną płaszczyznę dla napastników. W związku z rosnącym obciążeniem środowiska i aplikacji, obecnie około 23% ataków naraża na szwank bezpieczeństwo API. Do najważniejszych typów zagrożeń należą: narażenie danych (42%), ataki typu SQL i API injection (odpowiednio 37% i 34%) oraz DDoS (33%).
- Ruch boczny to nowe środowisko walki. Ruch boczny zaobserwowano w 25% wszystkich ataków, przy czym cyberprzestępcy wykorzystali do penetracji sieci wszystko: od hostów skryptów (49%) i magazynów plików (46%) po PowerShell (45%), platformy komunikacji biznesowej (41%) i .NET (39%). Analiza telemetrii w ramach VMware Contexa wykazała, że tylko w kwietniu i maju 2022 r. prawie połowa włamań zawierała element ruchu bocznego.
Aby obronić ciągle rosnącą powierzchnię ataku, zespoły ds. bezpieczeństwa potrzebują właściwego poziomu widoczności w ramach obciążeń, urządzeń, użytkowników i sieci. To umożliwi wykrywanie, ochronę i reagowanie na cyberzagrożenia — stwierdził Chad Skipper, globalny technolog ds. bezpieczeństwa w VMware. Gdy decyzje są podejmowane w oparciu o niepełne i niedokładne dane, hamuje to zdolność do wdrażania granularnej strategii bezpieczeństwa. Wtedy wysiłki w zakresie wykrywania i powstrzymywania bocznego przemieszczania ataków są utrudnione ze względu na ograniczony kontekst systemów.
Niezależnie od zawirowań na rynku i rosnących zagrożeń opisanych w raporcie, specjaliści ds. bezpieczeństwa podejmują walkę – 87% z nich twierdzi, że jest w stanie zakłócić działania cyberprzestępców czasami (50%) lub bardzo często (37%). Wykorzystują w tym celu również nowe techniki. Trzy czwarte respondentów twierdzi, że obecnie wdraża wirtualne patchowanie jako mechanizm awaryjny. W każdym przypadku im większą widoczność mają defensorzy na coraz szerszej powierzchni ataku, tym lepiej będą przygotowani do stawienia czoła niebezpieczeństwu.
Metodologia
VMware przeprowadziło w czerwcu 2022 r. ankietę online dotyczącą trendów w zakresie reagowania na incydenty, w której wzięło udział 125 specjalistów ds. cyberbezpieczeństwa i reagowania na incydenty z całego świata. Procenty w niektórych pytaniach przekraczają 100 procent, ponieważ respondenci zostali poproszeni o zaznaczenie wszystkich odpowiedzi, które mają zastosowanie. Ze względu na zaokrąglenia, wartości procentowe we wszystkich pytaniach mogą nie sumować się do 100 procent. Aby przeczytać zeszłoroczny raport, odwiedź stronę Global Incident Response Threat Report: Manipulating Reality.
Pobierz pełny raport tutaj.