Кибератаки редко ограничиваются взломом одной системы — получив доступ к сети, злоумышленники начинают перемещаться между ресурсами, чтобы расширить масштаб проникновения и нанести максимальный ущерб. Понимание векторов этих перемещений позволяет компаниям выстраивать более эффективную эшелонированную оборону.
На основе данных из Отчета о глобальном реагировании на инциденты Unit 42 портал visualcapitalist.com рассказывает, куда чаще всего нацелены удары хакеров при кибервторжениях, сообщают Dengi.ua.
Читай также: Хакеры и ИИ протестировали одну из систем Минобороны: результаты проверки
Анализ показывает, что 87% инцидентов затрагивают как минимум две различные поверхности атаки, а 67% — три и более. Поскольку эти категории часто пересекаются, один успешный взлом может одновременно охватывать сразу несколько уровней IT-инфраструктуры компании.
Компрометация цифровой идентичности (учетных данных) встречается в 89% случаев, что делает эту поверхность атаки самой распространенной. В то же время конечные точки (61%) и корпоративные сети (50%) остаются главными стартовыми площадками для дальнейшего горизонтального перемещения хакеров внутри системы.
Электронная почта (27%) и различные приложения (26%) занимают средние позиции в рейтинге угроз, а уязвимости облачных сервисов фигурируют в 20% инцидентов. Эксперты подчеркивают важность даже «нижних» категорий, поскольку злоумышленники часто объединяют серию мелких успехов для получения более масштабного доступа. Люди причастны к 45% инцидентов — чаще всего именно неосторожные действия пользователей позволяют хакерам продвинуться дальше.
Активность хакеров сразу на нескольких поверхностях означает, что использование точечных решений безопасности неэффективно — они могут просто упустить общий контекст атаки при переходе взломщиков между уровнями. Службам кибербезопасности необходимы интегрированные решения, собирающие общие сигналы по идентичности, конечным точкам, сетям, приложениям и облаку для раннего обнаружения подозрительных цепочек действий.
В 10% случаев злоумышленники целенаправленно атакуют и изучают сами инструменты и рабочие процессы операций безопасности (SecOps). Поэтому интегрированное обнаружение и оперативное реагирование помогают заблокировать перемещение хакеров еще до того, как они доберутся до критически важных баз данных (которые фигурируют лишь в 1% успешных инцидентов).
Ниже список девяти основных поверхностей кибератак:
- Идентичность (учетные данные) — 89%
- Конечные точки — 61%
- Сети — 50%
- Человеческий фактор — 45%
- Электронная почта — 27%
- Приложения — 26%
- Облачные сервисы — 20%
- Операции безопасности (SecOps) — 10%
- Базы данных — 1%
Ранее мы писали, что «Абанк» заявил, что в результате масштабной хакерской атаки мошенникисписали деньги со счетов ряда клиентов.
Также мы уже писали, что большинство современных нарушений безопасности начинаются не с поиска редких программных ошибок, а с компрометации личности.