Trendy w ochronie aplikacji: wzrost eksfiltracji danych

Materiał Partnera
9 min

Tegoroczny raport F5 wykorzystuje dane z naruszeń ujawnianych przez organizacje i analizę skutecznych ataków. Generalnym trendem w ochronie aplikacji jest znaczący wzrost eksfiltracji danych. Wnioski przedstawiają się następująco:

  • Wysokie wskaźniki naruszeń firmowej poczty e-mail (24% wszystkich naruszeń) w połączeniu z niskim poziomem zgłoszeń ataków credential stuffing i phishingowych wskazują, że ataki te są trudne do wykrycia i zbyt rzadko zgłaszane, a nie na brak ich skuteczności.
  • Wykorzystanie złośliwego oprogramowania w atakach nadal rosło w latach 2020-2021 (z 17% w 2020 r. do 30% w 2021 r.), w tym ransomware nieszyfrowanego.
  • Liczba przypadków technik eksfiltracji znacznie wzrosła (zarówno w ransomware, jak samodzielne).
  • Wykorzystanie exploitów internetowych w cyberprzestępczości zmniejszyło się (z 19% w 2019 r. do 10% w 2021 r.). Ataki formjacking, takie jak Magecart, stanowią dominujący exploit internetowy, który prowadzi do ujawnienia naruszenia.
  • Ataki na dostęp (ponad 25% ataków) były najczęstsze kolejno w finansach i ubezpieczeniach, usługach profesjonalnych, naukowych i technicznych oraz sektorach opieki zdrowotnej i pomocy społecznej.
  • Ataki na branże: Najwięcej ataków złośliwego oprogramowania było w handlu hurtowym; produkcji; usługach profesjonalnych, naukowych i technicznych; oraz w finansach i ubezpieczenia. Organizacje detaliczne i stowarzyszenia wykorzystujące płatności online są zdecydowanie najbardziej narażone na ataki formjackingowe. Sektor produkcyjny odnotował znaczny wzrost liczby ataków ransomware.

Łagodzenie nowych fal Cyberataków

Celem raportu F5 jest udokumentowanie ewolucji zagrożeń, aby odpowiedzialni za bezpieczeństwo organizacji mogli dostosować obronę do zmian. Raport wyjaśnia związki między cechami, które wykazuje cel, a zachowaniem atakujących, tak aby każda organizacja mogła skupić się na zagrożeniach, które najbardziej jej dotyczą.

Poniższe zalecenia ochrony stanowią dla organizacji minimum zaleceń bezpieczeństwa:

Kopia zapasowa danych

REKLAMA

Kopie zapasowe danych muszą być częścią strategii każdej organizacji i często trudno jest ocenić niezawodność programu do tworzenia kopii zapasowych, dopóki nie zostanie przetestowany. Wiele dobrych programów do tworzenia kopii zapasowych wykorzystuje kilka różnych trybów, z długoterminowymi kopiami zapasowymi z air-gapps, przechowywanymi na nośnikach fizycznych poza siedzibą firmy, czy też używając innych środków ochrony.

Jednak począwszy od 2020 r. strategie ransomware ewoluowały w kierunku eksfiltracji danych przed uruchomieniem szyfrowania, co zmniejsza moc ochrony i kontrolowania ryzyka ransomware nawet dzięki dobrym kopiom zapasowym.  Oczywiście, dzięki odpowiednim kopiom zapasowym można przywrócić operacje po oczyszczeniu środowiska, ale gdy dane znikną organizacje nadal muszą radzić sobie z atakującymi i okupem. Solidna strategia ransomware zaczyna się od kopii zapasowych, ale należy też kontrolować początkowe zachowania atakujących – metody dostępu początkowego, musi zaczynać się od tworzenia kopii zapasowych, ale należy również kontrolować poprzednie zachowania atakującego, metody początkowego dostępu, ruch boczny, przebieg działań i eksfiltrację.

Izolacja aplikacji i sandboxing

Przyjmują one przede wszystkim postać różnych form wirtualizacji, takich jak maszyny wirtualne, kontenery i sandboxing przeglądarki. Ten typ kontroli może pomóc w ograniczeniu kilku technik opartych na exploitach zaobserwowanych w 2021 r., w tym Exploit for Client Execution, Exploit Public-Facing Application i Drive-by Compromise.

Ochrona przed exploitami

Oczywistą formą ochrony przed exploitami jest użycie zapory aplikacji internetowej (WAF). Pomimo malejącego rozpowszechnienia exploitów internetowych w danych, WAF jest nadal krytyczny dla obsługi nowoczesnej aplikacji internetowej. Jest to również wymóg dla PCI-DSS, który dotyczy typu danych i numerów kart kredytowych silnie narażonych na ataki formjacking. Istnieje również coraz więcej behawioralnych podejść do ochrony przed exploitami, które wydają się obiecujące w tym obszarze.

Segmentacja sieci

Segmentacja sieci jest szczególnie niedocenianą kontrolą, biorąc pod uwagę, w jaki sposób podejścia ransomware zmieniły zagrożenia w raportowanym okresie.

Segmentacja może uniemożliwić dużą liczbę wektorów ataku, z których pięć zaobserwowano w danych z 2021 r.: Exploit Public-Facing Application, Automated Exfiltration, Exfiltration Over Web Service, External Remote Services i Exploitation of Remote Services. Ponadto szczególnie utrudnia eksfiltrację i ruch poprzeczny.

Wprawdzie niektóre aplikacje natywne dla chmury mogą implementować te same cele kontroli przy użyciu zarządzania tożsamością i dostępem, ale dla organizacji ze środowiskami hybrydowymi lub starszymi aplikacjami w procesie przechodzenia do chmury jest to nadal ważne podejście.

Zarządzanie kontami uprzywilejowanymi

Tworzenie uprzywilejowanych kont jest proste, ale ich usuwanie jest często pomijane, dlatego należy je regularnie kontrolować, aby upewnić się, że zostaną wycofane, gdy nie będą już potrzebne.

Aktualizacja oprogramowania

Kampania log4shell, która rozpoczęła się pod koniec grudnia 2021 r., przypomina o znaczeniu utrzymania i aktualizacji oprogramowania, nie tylko tego, które organizacje produkują lub używają, ale wszystkich komponentów i bibliotek niezbędnych do bezpiecznego funkcjonowania.

Skanowanie luk w zabezpieczeniach

Regularne skanowanie luk w zabezpieczeniach zwiększa świadomość sytuacyjną i elastyczność programu zarządzania lukami w zabezpieczeniach. Powinno to obejmować skanowanie publiczne z Internetu i skanowanie wewnętrzne, aby ocenić, jak środowisko organizacji wygląda dla atakujących.

Code signing

Podpisywanie kodu jest kolejnym niedostatecznie wykorzystywanym podejściem.

Przykładowo nagłówki integralności podzasobów (SRI) mogą zapewnić, że skrypty zewnętrzne nie zostały zmodyfikowane podczas wywoływania ich w czasie wykonywania. Ponieważ aplikacje coraz częściej polegają na zewnętrznych skryptach celem pobierania nowych funkcji, SRI jest potężnym narzędziem do utrudniania technik atakujących, w tym wielu początkowych technik dostępu tak ważnych w atakach formjacking i Magecart.

Ograniczanie kontentu dostępnego przez Internet

Ten cel można realizować na wiele sposobów, ale wszystkie koncentrują się na kontrolowaniu ścieżek zarówno nieautoryzowanego dostępu, jak i eksfiltracji, takich jak blokowanie określonych typów plików, znanych złośliwych adresów IP i skryptów zewnętrznych. Takie podejście może wyłączyć szeroki zakres wektorów ataku, w tym wstrzykiwanie złośliwych skryptów, phishing i złośliwe kopiowanie.

Zasady bezpieczeństwa treści (CSP) wydają się niedostatecznie w tym obszarze. Podczas skanowania przeprowadzonego przez F5 Labs w sierpniu 2021 r. dla raportu telemetrycznego TLS 2021 zebrano również nagłówki odpowiedzi HTTP dla 1 miliona najlepszych witryn Tranco. A 6,17% z 1 miliona najlepszych miało nagłówek CSP w odpowiedzi serwera. Najczęstszą dyrektywą Rhe w tych CSP były upgrade-insecure-requests, które zapewniają, że żądania między witrynowe idą przez HTTPS. Niezabezpieczone żądania uaktualnień pojawiły się w 2,5% witryn.

Zapobieganie włamaniom do sieci

Systemy zapobiegania włamaniom nie są już wiodącymi kontrolami, jakimi były jeszcze dziesięć lat temu i dawniej. Ponieważ jednak ruch boczny i wdrażanie złośliwego oprogramowania rosną, jest to cenny element kompleksowego podejścia do ochrony, które wykorzystuje również WAF i inne kontrole.

Antywirus/ochrona przed złośliwym kodem

Złośliwe oprogramowanie musi być umieszczone w systemie, aby zadziałało, co nigdy nie jest pierwszym krokiem w ataku. W rezultacie ochrona przed złośliwym oprogramowaniem musi być częścią holistycznej strategii.

Wyłączanie lub usuwanie funkcji lub programów

Wyłączenie lub usunięcie funkcji czy programów złagodzi pięć technik wykorzystywanych przez atakujących w 2021 r., jak tłumacz poleceń i skryptów, eksfiltracja przez usługę internetową, zewnętrzne usługi zdalne, wykorzystanie luk usług zdalnych i Cloud Instance Metadata API (zaobserwowane w 12% łańcuchów ataków). Ponieważ aplikacje i środowiska stają się coraz bardziej złożone, log4shell z grudnia 2021 r. przypomina, że Zero Trust i niskie uprawnienia muszą dotyczyć zarówno systemów, jak i ludzi.

Specjalna uwaga na zarządzanie konfiguracją chmury

Historyczny (on-premise) brak zarządzania konfiguracją lub struktur zarządzania zmianami w czasach on-premise nie eliminuje potrzeby stosowania odpowiedniej struktury w chmurze.

Istnieją bogate przewodniki i instrukcje dotyczące zarządzania konfiguracją chmury dla wszystkich chmur publicznych, a organizacje korzystające z aplikacji skierowanych do klientów w chmurze powinny traktować te przewodniki jak doktrynę.


Autor: Sander Vinberg, Senior Threat Evangelist w F5 Labs