Egyetlen év leforgása alatt világszinten 71 százalékkal nőtt az érvényes felhasználói azonosítók segítségével elkövetett kibertámadások száma, ami azt mutatja, hogy a taktikát váltó rosszindulatú szereplők immár a bejelentkezés elegánsabb módszerét részesítik előnyben a vállalati rendszerek körülményesebb feltörésével szemben - állapította meg éves fenyegetésfelderítési jelentésében (2024 X-Force Threat Intelligence Index) az IBM Consulting offenzív és defenzív biztonsági szolgáltatásokat kínáló üzletága.
Fenyegetésfelderítési jelentésében az IBM X-Force megfigyeléseit és felismeréseit összegzi, amelyekre naponta több mint 150 millió kiberbiztonsági esemény monitorozásával jut a világ 130-nál több országában. A jelentést emellett az X-Force több más - például incidenskezelő, behatolástesztelő és menedzselt - szolgáltatásából, valamint a Red Hat Insights hibrid felhős felügyeleti platformjáról és az Intezer mesterséges intelligenciára épülő, automatizált biztonsági műveleti (SOC) platformjáról érkező adatok elemzése teszi teljessé.
A jelentés szerint tavaly világszerte a támadások közel 70 százaléka kritikus infrastruktúrák ellen irányult, az incidensek mintegy 85 százalékában azonban a vállalatok olyan egyszerű módszerekkel is csökkenthették volna az okozott kár mértékét, mint a szoftverjavítások telepítése, a többfaktoros azonosítás vagy például a felhasználói jogosultságok lehető legalacsonyabb szinten tartása. Mindez arra hívja fel a figyelmet, hogy felhasználói oldalon a szervezetek számára még a biztonsági szakma által egyébként alapszintűnek tartott védelem kialakítása is nagyobb kihívást jelent, mint azt hinni szeretnénk.
Jeff Crume, az IBM Security kiberbiztonsági szakértője a fenyegetéskörnyezet trendjeit...
- Bár a kibervédelem alapjai nem tűnnek olyan izgalmasnak, mint a mesterséges intelligenciát bevető támadások, a vállalatok legnagyobb biztonsági problémái valójában nem az új és ismeretlen fenyegetésekből erednek, hanem továbbra is az alapvető, ismert dolgokra vezethetők vissza - mondta a jelentés közreadásakor Charles Henderson, az IBM X-Force vezetője. - Az illetéktelen kezekbe kerülő azonosítókat újra és újra bevetik a szervezetek ellen, és a helyzet még rosszabbra fordul, mivel a támadók ezt a módszert a mesterséges intelligencia képességeivel is optimalizálni fogják.
Kritikus infrastruktúrák könnyű belépéssel
A kiberbűnözők számára a legkisebb ellenállás útja az érvényes felhasználói fiókokon keresztül vezet a megcélzott hálózatokba, mivel a sötét weben a fiókokhoz tartozó azonosítók milliárdjaihoz férnek hozzá. A múlt évben az X-Force megfigyelte, hogy a támadók minden eddiginél nagyobb erővel igyekeznek felhasználói azonosítók birtokába jutni - a személyazonosításra alkalmas információk, a levelezéshez, közösségimédia- és üzenetküldő appokhoz, online bankoláshoz és kriptopénztárcákhoz használt azonosítók eltulajdonítására szolgáló, rosszindulatú szoftverek használata 266 százalékkal szökött fel.
Míg a kiberbűnözők érvényes azonosítókkal könnyebben bejuthatnak áldozataik hálózatába, az ilyen behatolás észlelése sokkal nehezebb, következésképp költségesebb művelet a védelem számára. A nagy biztonsági incidensek, amelyek során az elkövetők hiteles azonosítók mögé rejtőztek, az X-Force szerint egy átlagos incidens kezeléséhez képest közel 200 százalékkal növelték a válaszadáshoz szükséges intézkedések összetettségét - a védelemnek ugyanis ki kell szűrnie a hálózat jogosult felhasználói közül azokat, akiknek a viselkedése rosszindulatra vall. Tavalyi jelentésében (2023 Cost of a Data Breach Report) az IBM szintén megállapította, hogy az eltulajdonított azonosítókkal elkövetett támadások észlelése és az elszenvedett kár utáni helyreállítás nagyjából 11 hónapba telik a vállalatoknál, ami bármilyen más típusú biztonsági incidenssel összevetve a legidőigényesebb válaszadásnak számít.
Az online felhasználói tevékenység nagy mértékű kitettségéről tanúskodik, hogy az európai bűnüldöző szervek és az FBI által tavaly áprilisban lekapcsolt globális kiberbűnözői fórum több mint 80 millió felhasználói fiók azonosítóit halmozta fel, emlékeztet rá a jelentés. A sötét web fórumain az X-Force emellett már 800 ezernél több AI és GPT vonatkozású közzétételt is megfigyelt a múlt évben, ami jelzi, hogy a technológiai innovációk milyen gyorsan felkeltik a kiberbűnözők figyelmét.
Világszinten az X-Force által megválaszolt támadások közel 70 százaléka a kritikus fontosságú infrastruktúrákat működtető vállalatokat célozta. A riasztóan magas arány mutatja, a kiberbűnözők mindinkább arra pályáznak, hogy az értékes célpontok számára létfontosságú rendelkezésre állás aláásásával jussanak zsákmányhoz.
A szektort érő támadások mintegy 85 százalékában a kiberbűnözők a nyilvános, ügyfelek felé forduló alkalmazásokat használták ki, adathalászati módszereket vetettek be, illetve lopott azonosítókat használtak. Az X-Force szerint mindez arra figyelmezteti az érintett szervezeteket, hogy informatikai környezetük kitettségét és állóképességét gyakrabban kell tesztelniük, és a biztonsági incidensek megválaszolásához megfelelő intézkedési terveket kell kidolgozniuk.
...és a jobb védekezéshez javasolt lépéseket ismerteti a jelentés eredményeit összefoglaló videóban
Védelemre váró generatív AI
A kiberbűnözői kampányok annál nagyobb zsákmányt hoznak - így jobb megtérüléssel járnak -, minél elterjedtebbek a technológiák a vállalatok körében, amelyeket célba vesznek. A minta, amelyet a korábbiakban a zsarolóvírusok és a piacot uraló Windows Server, az üzleti levelekkel elkövetett (BEC típusú) csalások és a domináns Microsoft 365 alkalmazások, vagy a kriptopénzek bányászásához eltérített számítógépek (cryptojacking) és az infrastruktúra szolgáltatások (IaaS) estében már láttunk, várhatóan meg fog ismétlődni a mesterséges intelligencia piaci térhódításával is, mutat rá a jelentés.
Az X-Force valószínűsíti, hogy amint megvalósul a generatív AI piaci dominanciája - valamely technológiájának piaci penetrációja megközelíti az 50 százalékot, vagy a piac három, illetve annál kevesebb technológia körül konszolidálódik -, a kiberbűnözők szemében érdemi támadási felületté válik, és kiaknázásához újabb eszközöket fognak fejleszteni. Bár a generatív AI térhódítása még nem jár ebben a szakaszban, döntően fontos, hogy a vállalatok már azt megelőzően védelem alá vonják AI modelljeiket, hogy a támadók azokra is kiterjesztik tevékenységüket. A szervezetek meglévő infrastruktúrája átjárót képez az AI modellekhez, megtámadásukhoz a rosszindulatú szereplőknek nem kell új módszereket keresniük. Szükséges, hogy a szervezetek ezt felismerjék, és a mesterséges intelligencia korszakába lépve biztonsági stratégiájukban olyan átfogó, holisztikus megközelítést alkalmazzanak, amilyet vonatkozó keretrendszerében (Framework for Securing Generative AI) az IBM is felvázolt.
A jelentés néhány további megállapítása szerint a világszinten megfigyelt kibertámadások csaknem harmada (32 százaléka) európai célpontok ellen irányult az elmúlt évben, ráadásul régiónk vonzza az összes zsarolóvírus-támadás több mint negyedét (26 százalékát) is.
Úgy tűnik ugyanakkor, hogy a ransomware-ben utazó bűnözői csoportok karcsúsítják üzleti modelljüket. Az X-Force tavaly ugyanis a vállalatok ellen indított zsarolóvírus-támadások számában 12 százalékos csökkenést látott. A váltságdíj megfizetése és a titkosított adatok visszafejtése helyett a nagyobb szervezetek inkább infrastruktúrájuk újjáépítésére és védelmi képességeik fejlesztésére költenek, a növekvő ellenállás pedig rontja a támadók bevételszerzési kilátásait. A mostanáig zsarolóvírusokra szakosodott kiberbűnözői csoportok közül ezért mind több nyergel át az infostealer - személyazonosításra alkalmas információkat lopó - szoftverekre.
Bár az adathalászat továbbra kedvelt módszer a kiberbűnözők körében, az X-Force szerint az ilyen típusú támadások száma a 2022-es adatokhoz képest 44 százalékkal csökkent. Az IBM kutatásai azonban azt mutatják, hogy a mesterséges intelligencia közel két nappal rövidítheti az ilyen támadásokhoz szükséges időt, ezért nem várható, hogy a bűnözők egyhamar felhagynának velük. A Red Hat Insights az ügyfelek 92 százalékánál talált legalább egy általánosan ismert, de kezeletlenül hagyott sérülékenységet vagy kitettséget 2023-ban, ráadásul a tíz leggyakoribb sérülékenység 80 százaléka a nagyon vagy kritikusan súlyos kategóriába tartozott.
Száz százalékos növekedést figyelt meg ugyanakkor az X-Force a kerberoasting típusú támadások számában, amelyek során a felhasználók azonosítói mögé rejtőző kiberbűnözők a Microsoft Active Directoryban a Kerberos autentikációs protokollal visszaélve próbálnak maguknak kiváltságos jogosultságokat adni. Az X-Force Red behatolástesztelő szolgáltatás tapasztalatai pedig azt mutatták az elmúlt évben, hogy az összes azonosított biztonsági kitettség közel harmadát (30 százalékát) a vállalatok maguk idézték elő a biztonsági megoldások félrekonfigurálásával, és a kiberbűnözők 140-nél is több módot találtak a téves beállítások kihasználására.