Сотрудники пошли домой, и киберугрозы с ними

Переход к удаленной работе, произошедший из-за пандемии COVID-19, принес с собой целый веер новых киберугроз, а с ними и технологий кибербезопасности и бизнес-моделей. Отсутствие сетевого периметра в этом новом мире ускорило принятие принципов нулевого доверия, сервисов SASE и средств XDR, чтобы обеспечить защиту удаленных сотрудников и их данных.

Акторы атак воспользовались сложностью, созданной удаленным персоналом, выдавая себя за реальных пользователей после кражи их учетных данных, и усилили натиск, взяв прицел на участников цепочки поставок. Возможность монетизировать атаки вирусов-вымогателей, угрожая раскрытием конфиденциальных данных, сделала их более прибыльными. С другой стороны, организации хотят защититься от инсайдерских угроз, преследующих свои намерения.

Поветрие выхода на биржу через СПАКи (SPAC) проложило себе путь и в сегмент кибербезопасности: сразу три вендора договорились о слиянии или покупке SPAC-компанией в этом году, а хорошо известный венчурный фонд создал собственный SPAC. Наконец, за первые четыре месяца 2021 года в сегменте кибербезопасности еще больше стартапов достигли статуса единорога, т. е. оценки рыночной стоимости выше 1 млрд долл., чем за весь 2019 и 2020 гг., вместе взятые.

Чего ожидать в сегменте кибербезопасности в этом году? CRN/США выделил десять главных трендов на этом рынке.

Обход аутентификации

При взломе SolarWinds хакеры из российской Службы внешней разведки (СВР) воспользовались ограничениями архитектуры в процедуре аутентификации Microsoft, чтобы перескочить из локальной среды клиентов в облако и облачные приложения, говорит главный управляющий CrowdStrike Джордж Курц (George Kurtz). Данный вектор атаки был впервые документирован еще в 2017 году, сказал он.

«Актор воспользовался системной слабостью в архитектуре аутентификации Windows, что позволило ему идти вбок внутри сети, а также перейти из сети в облако, создавая подложные учетные данные под видом законных пользователей и обходя многофакторную аутентификацию», — пояснил Курц во время слушаний в Сенате США 24 февраля.

Президент Microsoft Брэд Смит (Brad Smith) в ответ заявил, что подложные данные идентификации были использованы лишь в 15% случаев, связанных со взломом SolarWinds. И во всех этих случаях был использован эксплойт Golden SAML, чтобы добавить возможность доступа лишь после того, как хакеры СВР уже были внутри сети и получили доступ с расширенными полномочиями, сказал Смит.

Киберстрахование

В 2020 году сумма принятых взносов только по страхованию от киберрисков выросла на 29%, поскольку компании любого размера требуют страховой защиты перед лицом значительно возросшего за последние два года количества взломов сетей, краж данных и случаев вымогательства с использованием шифровальщиков. Массовый переход к удаленной работе с началом COVID-19 вкупе с участившимися атаками фишинга еще больше увеличили уязвимость организаций.

Кибер-инциденты распространились по всему миру. У канадских страховщиков в 2020 году коэффициент чистых выплат по киберрискам составил 105% против 39% годом ранее, сообщает Fitch Ratings. Из-за этих потерь ставки по киберстрахованию резко выросли в 4 квартале, и взносы увеличились на 11% год к году.

Самыми частыми случаями обращений за страховой выплатой при киберстраховании являются взлом, вирусы-вымогатели, фишинг и халатность сотрудников, сообщает AdvisorSmith. Фирмы бухгалтерских, медицинских услуг и владельцы многоквартирных домов, располагающие номерами социального страхования клиентов с датами рождения и другой критичной информацией, как правило, платят самые большие взносы за киберстрахование, сообщает AdvisorSmith.

XDR (расширенная EDR)

Система XDR (extended detection and response) централизует данные ИБ, объединяя в себе управление событиями и данными информационной безопасности (SIEM), оркестрацию, автоматизацию и реагирование на кибератаки (SOAR), анализ сетевого трафика (NTA) и обнаружение на клиентских устройствах и реагирование (EDR). Обеспечение прозрачности с охватом сети, облака и удаленных клиентских устройств, а также сопоставление аналитики об угрозах от разных средств киберзащиты повышает эффективность обнаружения и реагирования.

Система XDR должна иметь возможность централизованного реагирования на инциденты, чтобы изменять состояние отдельных средств киберзащиты в рамках процесса реагирования, указывает Gartner. Главная цель платформы XDR — повысить точность обнаружения, сопоставляя аналитику киберугроз и сигналы от всех средств киберзащиты, повышая тем самым эффективность и результативность мер по обеспечению безопасности, поясняет Gartner.

Системы XDR особенно привлекательны для прагматичных клиентов из среднего корпоративного сегмента, у которых нет ресурсов и навыков для интеграции лучших продуктов киберзащиты, говорит Gartner. Ведущие вендоры XDR стремятся охватить все каналы потенциальной уязвимости, обеспечивая интеграцию с управлением идентификацией, защитой данных, брокерами безопасного доступа к облаку (CASB) и периферийным сервисом безопасного доступа (SASE), чтобы надежнее защитить бизнес-ценность при любом инциденте.

Инсайдерские угрозы

Об «угрозах изнутри» вновь заговорили летом 2019 года, когда бывшая сотрудница Amazon Web Services Пейдж Томпсон (Paige Thompson) сумела добыть персональные данные владельцев и заявителей на выдачу кредитных карт банка Capital One и выкрала данные у более чем 30 других компаний. Ошибка в конфигурации брандмауэра позволила ей добраться до папок (buckets) данных в хранилище Capital One на AWS.

Capital One (Маклейн, шт. Вирджиния) признал в июле 2019 года, что Томпсон получила доступ к персональной информации 106 миллионов владельцев и заявителей на выдачу кредитных карт в США и Канаде. Гигант финансовых услуг сообщил, что в итоге было скомпрометировано более 1 миллиона номеров социального страхования (1 млн в Канаде и 140 тыс. в США) и 80 тысяч номеров привязанных банковских счетов клиентов Capital One.

Прокуратура выяснила, что помимо Capital One Томпсон выкачала несколько терабайт данных из хранилищ различных компаний, учебных заведений и др. «Даже если у нее нет другой копии данных Capital One, техническая изощренность Томпсон означает, что она могла совершить и другие кибервторжения, вероятно, нанеся этим дополнительный ущерб в сотни миллионов долларов», — говорится в заявлении прокуратуры.

Атаки программ-вымогателей

Атаки вирусов-шифровальщиков берут прицел выше. Теперь это уже не мелкие MSP, обслуживающие стоматологии и местные юридические фирмы, а хорошо обеспеченные поставщики услуг, которые управляют данными и веб-трафиком крупнейших компаний Fortune 500. Имея деньги, чтобы нанять лучших ИТ-специалистов и внедрить первоклассные системы защиты, эти гиганты канала всё же подверглись атакам вымогателей.

С 2020 года от инфицирования вирусом-шифровальщиком пострадали пять из 50 крупнейших в мире поставщиков решений: Cognizant, CompuCom, Conduent, DXC Technology и Tyler Technologies. Их совокупный доход составляет 42,78 млрд долл., а совокупная рыночная капитализация — 54,36 млрд долл.

Появление громко заявляющих о себе, занимающихся вымогательством групп, таких как операторы Maze, означает совсем новую угрозу для отрасли ИТ-услуг. Они избирают новый подход, выдвигая угрозу публичного раскрытия данных частной компании, а не просто шифрования корпоративных файлов с требованием выкупа за дешифрование.

Сервисы SASE

Периферийный сервис безопасного доступа (SASE) стал одной из самых горячих тем в отрасли с тех пор, как Gartner ввел в обиход этот термин в августе 2019 года, и вендоры кибербезопасности создают новые руководящие должности и совершают крупные покупки, чтобы укрепить свои позиции в этой новой области.

SASE объединяет в себе глобальную сеть (WAN) с функциями сетевой безопасности, такими как безопасный веб-шлюз (SWG), брокер безопасного доступа к облаку (CASB), брандмауэр-как-услуга (FWaaS) и доступ к сети с нулевым доверием (ZTNA), обеспечивая поддержку динамично меняющихся потребностей организаций в защищенном доступе. Инструменты SASE могут идентифицировать конфиденциальные данные или вредоносное ПО, дешифровать контент со скоростью передачи и непрерывно отслеживать сеансы на предмет рисков и уровней доверия.

SASE скрещивает разрозненные технологии, требуя, чтобы вендоры могли предоставить эти возможности как услугу через облако. Этот подход призван удовлетворить завтрашние потребности в сетевых технологиях и безопасности, так как пользователи, устройства, приложения, услуги и данные быстро выходят за рамки корпоративного ЦОДа.

СПАКи

Впервые в истории отрасли несколько фирм кибербезопасности, желающих выйти на биржевые площадки, отказываются от IPO в пользу слияния или покупки компанией-оболочкой, уже являющейся публичной (так называемой SPAC, специализированной компанией по целевым слияниям и поглощениям).

Первым на этом пути стал вендор защищенного доступа Appgate, договорившись в феврале о слиянии с Newtown Lane Marketing с оценкой в 1 млрд долл. спустя лишь год после своего отделения от поставщика услуг ЦОДов Cyxtera.

В следующем месяце компания с платформой анализа рисков QOMPLX, купив двух разработчиков, договорилась стать публичной через слияние со SPAC-компанией Tailwind Acquisition Corp. с оценкой в 1,4 млрд долл. Также в марте, вендор обнаружения сетевых угроз и реагирования IronNet Cybersecurity договорился стать публичной компанией через слияние с LGL Systems Acquisition Corp. с оценкой 1,2 млрд долл.

А на стороне покупателей венчурная фирма NightDragon создала SPAC-компанию, ориентированную на сегменты кибербезопасности, защиты и конфиденциальности, и выручила более 300 млн долл. в ходе IPO в начале марта. SPAC-компанию возглавляет Дейв ДеУолт (Dave DeWalt), основатель и исполнительный директор NightDragon и бывший главный управляющий FireEye и McAfee.

Атаки на цепочку поставок

Прицельная атака на цепочку поставок через платформу сетевого мониторинга Orion компании SolarWinds, тонко осуществленная вручную, вызвала резонанс во всем мире. Хакеры российской Службы внешней разведки (СВР) проникли в сети девяти важнейших государственных органов США и примерно ста известных компаний частного сектора с помощью вредоносного обновления Orion.

Хакеры СВР впервые проверила возможность внедрения кода в Orion в октябре 2019 года, а затем реально внедрили троянский код в обновления платформы, загруженные в период с марта по июнь 2020 года. Почти 18 тысяч клиентов SolarWinds установили версию Orion, содержащую троянский код, но могли подвергнуться дальнейшим злонамеренным действиям, только если Orion была установлена на сервере с доступом в Интернет, сообщила тогда SolarWinds.

SolarWinds не знает точно, когда и как хакеры впервые получили доступ к ее среде, но сузила поле возможностей до трех самых вероятных способов. Скорее всего, это произошло через: уязвимость нулевого дня в стороннем приложении или устройстве, методом грубой силы, например с помощью «распыления пароля», либо с использованием социальной инженерии, например через прицельные фишинговые атаки.

Единороги множатся

Финансирование стартапов в кибербезопасности шло на ура в этом году: лишь за первые четыре месяца года 14 стартапов достигли рыночной оценки стоимости более 1 млрд долл. Это намного больше, чем в прошлые годы: за весь 2020 год лишь 5 стартапов кибербезопасности достигли статуса единорога, а за весь 2019 год — восемь таких стартапов, согласно информации PitchBook.

Год начался с того, что разработчик безопасности облака Lacework завершил раунд финансирования в размере 525 млн долл., а OwnBackup закрыла раунд финансирования в 167,5 млн долл. В феврале вендор киберстрахования Coalition закрыла раунд в 175 млн долл., а Plume — в 270 млн долл. После этого в апреле вендор безопасности контейнеров Sysdig привлек 188 млн долл., а вендор обнаружения киберугроз и реагирования Vectra закрыл раунд в 130 млн долл.

В марте 2021 года сразу восемь стартапов кибербезопасности достигли статуса единорога: разработчик безопасности приложений Snyk (привлек 300 млн долл. финансирования), стартап облачной безопасности Orca Security (210 млн долл.), Feedzai (200 млн долл.), Aqua Security (135 млн долл.), фирма безопасности облака Wiz (130 млн долл.), Axonius (100 млн долл.), ID.me (100 млн долл.) и Socure (100 млн долл.).

Переход к нулевому доверию

Пандемия COVID-19 ускорила переход к платформам с нулевым доверием, так как практически весь персонал в мире оказался вне защищенного периметра сети, заставив организации защитить сотрудников, работающих удаленно, а также устранить аномалии и ошибки конфигурации, выявленные при новом подходе, пишет Forrester Research.

Принцип нулевого доверия в безопасности включает четыре правила: ни одному пользователю нельзя доверять по умолчанию, поскольку их аккаунт может быть скомпрометирован; одна лишь VPN и брандмауэр не могут обеспечить безопасность, поскольку защищают лишь периметр; проверка подлинности и аутентификация устройства должны выполняться по всей сети, а не только на периметре; должна использоваться микросегментация, реально помогающая минимизировать ущерб от хакеров, создавая внутренние «стены и запоры».

Хорошие платформы с нулевым доверием интегрируют функции безопасности в почти невидимый инструментарий, говорит Forrester, так что пользователям не остается иного выбора, кроме как работать более безопасно. Самые умелые вендоры таких платформ могут вводить новые функции поверх имеющихся компонентов инфраструктуры безопасности, так что клиенты не теряют уже сделанные инвестиции в ИБ.


Источник: Майкл Новинсон, CRN/США

Версия для печати (без изображений)   Все новости