Противостоять кибератакам
Киберугрозы нашего времени по версии Positive Technologies

Компания Positive Technologies выпустила очередной журнал Positive Research 2020 с анализом трендов и актуальных технологий ИБ за 2019 г. и первую половину 2020 г. Под основным ударом находятся традиционно финансовая и промышленная отрасли, медицина, образовательные и госучреждения – на них приходится более половины кибератак. 2020 год отметился крупнейшими утечками персональных данных: файлы Collection #1-#5, утечки из социальных сетей Facebook, Twitter, LinkedIn и GitHub, утечки из Apple, обнародование данных полумиллиона жителей Дели. Атаки с целью получения данных уверено конкурируют с атаками, направленными на прямую финансовую выгоду.

В числе наиболее распространённых угроз удерживают свои позиции фишинговые атаки, целенаправленные атаки, заражения вымогательским ПО и вирусами-шифровальщиками, инфостиллеры, JS-снифферы MegaCart. Также набирали обороты атаки с подбором учетных данных, подменой легитимных утилит на зараженные.

Наиболее опасными уязвимостями этого периода времени эксперты Positive Technologies отмечают:

  • CVE-2019-19781 или Кнопка «Взломать интернет» - уязвимость ПО Citrix Application Delivery Controller, (NetScaler ADС) и Citrix Gateway (NetScaler Gateway), позволяющая удаленное выполнения кода без авторизации.

  • CVE-2019-11043 или Next day, NextCry – уязвимость PHP-FPM и в том числе nginx с включенным FPM, позволяющая неавторизованному пользователю выполнять произвольный код.

  • CVE-2019-0708 или BlueKeep – уязвимость Microsoft Windows Remote Desktop Services, позволяющая неавторизованному пользователю выполнять произвольный код, в частности распространять вредоносное ПО.

  • CVE-2019-11510 или Pulse – уязвимость VPN агента Pulse Secure Pulse Connect Secure (PCS), позволяющая позволяет неавторизованному пользователю читать произвольные файлы.

Эксперты группы компаний Angara дополняют этот список уязвимостью ZeroLogon – опасной уязвимостью протокола NetLogon, использующегося в контроллерах домена Microsoft и Samba, позволяющему злоумышленнику получить права администратора домена.

Отдельное внимание уделено атакам MageCart – внедрение в web-сайты JS-снифферов и хищение платежных данных клиентов. В 2019-2020 годах наблюдается бум распространения этих атак. Жертвами внедрения этого вредоносного ПО становятся самые разнообразные сферы экономики: от интернет-магазинов по продаже продукции легкой и пищевой промышленности, до сферы услуг, образовательных учреждений и СМИ. Эксперты группы компаний Angara в качестве средств защиты рекомендуют следующие подходы:

  • Регулярное сканирование кода Web-приложений на наличие нелегитимных включений с использованием следящих решений:

o   PT Application Inspector

o   InfoWatch Attack Killer,

o   Fortify Static Code Analyzer,

o   HCL AppScan.

  • Использование Web Application Firewall для предотвращения попыток эксплуатации нелегитимного кода в Web-приложении осуществить можно силами следующих решений:

o   PT Application Firewall

o   F5 Advanced Web Application Firewall.

Среди наиболее распространенных внутренних угроз ИБ для корпоративного сектора эксперты Positive Technologies отмечают:

  • сокрытие трафика – проксирование, туннелирование, Tor и т.д.

  • нарушение политик ИБ пользователями

  • сбор информации (о пользователях и других единицах домена, об активных сетевых сессиях на узлах, открытых портах),

  • сканирования сети на теневые подключения к сети Интернет,

  • использование легитимных утилит для вредоносных действий (PowerShell, WMI, PsExec).

Для обнаружения злонамеренных действий в описанных случаях наиболее эффективными инструментами будут средства выявления аномалий:

  • На уровне сети используются Network Behavior Analysis & Anomaly Detection для отслеживания аномальной сетевой активности и горизонтального распространения вредоносного ПО. Эксперты группы компаний Angara рекомендует следующие средства этого класса:

o   Flowmon Anomaly Detection System

o   Cisco Lancope StealthWatch,

o   PT Network Attack Discovery.

  • На уровне ПК пользователей и серверов используются Endpoint Detection and Response для отслеживания аномальной активности приложений рекомендуем следующие решения:

o   Kaspersky EDR

o   Palo Alto XDR,

o   Cisco AMP,

o   Trend Micro XDR.

Эксперты группы компаний Angara имеют обширный опыт работы со всеми указанными системами и решениями и готовы помочь в решении любых ваших задач. По всем вопросам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.

Другие публикации

Информационная безопасность – больше не виртуальная угроза для компаний

Илья Четвертнев, заместитель генерального директора и технический директор Angara Security, в интервью для CyberMedia о том, каких ИБ-решений не хватает на российском рынке и почему растет спрос на MSS-сервисы

18.04.2024

Управление уязвимостями с помощью ИИ

Процесс управления уязвимостями играет важную роль в деле защиты инфраструктуры.

01.04.2024

Мошенники оценили СМС-сообщения

Мошенники стали выводить деньги с банковских счетов с помощью детей. Схема реализуется с помощью функции перевода денег через СМС-команды, доступной для клиентов Сбербанка.

26.02.2024

Отзыв лицензии у «Киви банка» спровоцировал всплеск подделок его сайта

Новость об отзыве лицензии у «Киви банка» спровоцировала всплеск регистрации и обновления доменных имен, похожих на имя кредитной организации, - qiwi.com. 

22.02.2024

Обнаружена группировка русскоязычных хакеров, которая пишет на неудобном языке программирования

В России обнаружена новая хакерская группировка, которая при атаке на корпорацию маскирует вредоносный код под аккаунты действующих сотрудников.

12.02.2024

Остались вопросы?

Получить консультацию

Понравилась статья?

Подпишитесь на уведомления о новых материалах

Подписаться