Компания Positive Technologies выпустила очередной журнал Positive Research 2020 с анализом трендов и актуальных технологий ИБ за 2019 г. и первую половину 2020 г. Под основным ударом находятся традиционно финансовая и промышленная отрасли, медицина, образовательные и госучреждения – на них приходится более половины кибератак. 2020 год отметился крупнейшими утечками персональных данных: файлы Collection #1-#5, утечки из социальных сетей Facebook, Twitter, LinkedIn и GitHub, утечки из Apple, обнародование данных полумиллиона жителей Дели. Атаки с целью получения данных уверено конкурируют с атаками, направленными на прямую финансовую выгоду.
В числе наиболее распространённых угроз удерживают свои позиции фишинговые атаки, целенаправленные атаки, заражения вымогательским ПО и вирусами-шифровальщиками, инфостиллеры, JS-снифферы MegaCart. Также набирали обороты атаки с подбором учетных данных, подменой легитимных утилит на зараженные.
Наиболее опасными уязвимостями этого периода времени эксперты Positive Technologies отмечают:
-
CVE-2019-19781 или Кнопка «Взломать интернет» - уязвимость ПО Citrix Application Delivery Controller, (NetScaler ADС) и Citrix Gateway (NetScaler Gateway), позволяющая удаленное выполнения кода без авторизации.
-
CVE-2019-11043 или Next day, NextCry – уязвимость PHP-FPM и в том числе nginx с включенным FPM, позволяющая неавторизованному пользователю выполнять произвольный код.
-
CVE-2019-0708 или BlueKeep – уязвимость Microsoft Windows Remote Desktop Services, позволяющая неавторизованному пользователю выполнять произвольный код, в частности распространять вредоносное ПО.
-
CVE-2019-11510 или Pulse – уязвимость VPN агента Pulse Secure Pulse Connect Secure (PCS), позволяющая позволяет неавторизованному пользователю читать произвольные файлы.
Эксперты группы компаний Angara дополняют этот список уязвимостью ZeroLogon – опасной уязвимостью протокола NetLogon, использующегося в контроллерах домена Microsoft и Samba, позволяющему злоумышленнику получить права администратора домена.
Отдельное внимание уделено атакам MageCart – внедрение в web-сайты JS-снифферов и хищение платежных данных клиентов. В 2019-2020 годах наблюдается бум распространения этих атак. Жертвами внедрения этого вредоносного ПО становятся самые разнообразные сферы экономики: от интернет-магазинов по продаже продукции легкой и пищевой промышленности, до сферы услуг, образовательных учреждений и СМИ. Эксперты группы компаний Angara в качестве средств защиты рекомендуют следующие подходы:
- Регулярное сканирование кода Web-приложений на наличие нелегитимных включений с использованием следящих решений:
o Fortify Static Code Analyzer,
o HCL AppScan.
- Использование Web Application Firewall для предотвращения попыток эксплуатации нелегитимного кода в Web-приложении осуществить можно силами следующих решений:
o PT Application Firewall
o F5 Advanced Web Application Firewall.
Среди наиболее распространенных внутренних угроз ИБ для корпоративного сектора эксперты Positive Technologies отмечают:
-
сокрытие трафика – проксирование, туннелирование, Tor и т.д.
-
нарушение политик ИБ пользователями
-
сбор информации (о пользователях и других единицах домена, об активных сетевых сессиях на узлах, открытых портах),
-
сканирования сети на теневые подключения к сети Интернет,
-
использование легитимных утилит для вредоносных действий (PowerShell, WMI, PsExec).
Для обнаружения злонамеренных действий в описанных случаях наиболее эффективными инструментами будут средства выявления аномалий:
- На уровне сети используются Network Behavior Analysis & Anomaly Detection для отслеживания аномальной сетевой активности и горизонтального распространения вредоносного ПО. Эксперты группы компаний Angara рекомендует следующие средства этого класса:
o Flowmon Anomaly Detection System
o Cisco Lancope StealthWatch,
o PT Network Attack Discovery.
- На уровне ПК пользователей и серверов используются Endpoint Detection and Response для отслеживания аномальной активности приложений рекомендуем следующие решения:
o Kaspersky EDR
o Palo Alto XDR,
o Cisco AMP,
o Trend Micro XDR.
Эксперты группы компаний Angara имеют обширный опыт работы со всеми указанными системами и решениями и готовы помочь в решении любых ваших задач. По всем вопросам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.