Pénzcentrum • 2024. április 10. 18:01
A Sophos közzétette az aktív ellenfelekről szóló 2024-es elemzését, amely megállapította, hogy a kiberbűnözők a támadások 90 százalékában éltek vissza a távoli asztal protokollal (RDP-vel), amely egy általános módszer a távoli hozzáférés megoldására a Windows rendszereken – olvasható a kiberbiztonsági vállalat közleményében. Ez volt az RDP-vel való visszaélések legmagasabb előfordulási gyakorisága azóta, hogy a Sophos a 2020-ra vonatkozó adatok alapján 2021-ben elkezdte közzétenni az aktív ellenségekről szóló jelentéseket.
Ezen kívül a kívülről elérhető távoli szolgáltatások, például az RDP voltak a leggyakoribb vektorok, amelyek révén a támadók megszerezték a kezdeti hozzáférésüket a hálózatokhoz; 2023-ban az IR esetek 65 százalékában így törtek be először a rendszerekbe. Az aktív ellenfelekről szóló jelentések 2020-as megjelenése óta folyamatosan a külső távoli szolgáltatások jelentik a kiberbűnözők kezdeti hozzáférésének leggyakoribb forrását, és a védőknek ezt egyértelmű jelnek kell tekinteniük arra vonatkozóan, hogy e szolgáltatások kezelését prioritásként kezeljék a vállalatot érintő kockázatok kiértékelésekor.
“A külső távoli szolgáltatások szükséges, de kockázatos igények sok vállalkozás számára. A támadók tisztában vannak azzal, hogy ezek a szolgáltatások milyen kockázatot jelentenek, és aktívan törekednek ezek kihasználására a rajtuk keresztül megszerezhető javak miatt. A szolgáltatások szabadon elérhetővé tétele gondos mérleges és a kockázataik csökkentése nélkül elkerülhetetlenül kompromittációhoz vezet. Nem tart sokáig, amíg egy támadó megtalálja és feltöri a külvilág számára hozzáférhető RDP-szervert és további vezérlők, korlátok nélkül a túloldalon váró Active Directory szerver megtalálása sem sok idő számára.” mondta John Shier, a Sophos field CTO-ja.
Egy konkrét esetben a támadók hat hónapon belül négyszer törték fel sikeresen az áldozatot, minden alkalommal az ügyfél nyíltan hozzáférhető RDP portjain keresztül szerezve meg a kezdeti hozzáférést. A bejutást követően a támadók laterálisan mozogtak az ügyfél hálózat belül, ártó célú futtatható programokat töltöttek le, letiltották a végpontvédelmet és távoli hozzáférést hoztak létre.
A rossz kezekbe került hitelesítő adatok és a biztonsági rések kihasználása továbbra is a támadások két leggyakoribb kiváltó oka. A tavaly augusztusban kiadott 2023-as Active Adversary Report for Tech Leaders azonban megállapította, hogy az év első felében a kompromittált hitelesítő adatok első alkalommal megelőzték a sebezhetőségeket, mint a támadások leggyakoribb kiváltó okait. Ez a trend 2023 hátralévő részében is folytatódott, és az egész éves IR-esetek több mint 50 százalékának a hitelesítő adatok kompromittálódása volt a kiváltó oka.
LAKÁST, HÁZAT VENNÉL, DE NINCS ELÉG PÉNZED? VAN OLCSÓ MEGOLDÁS!
A Pénzcentrum lakáshitel-kalkulátora szerint ma 19 173 855 forintot 20 éves futamidőre már 6,54 százalékos THM-el, havi 141 413 forintos törlesztővel fel lehet venni az UniCredit Banknál. De nem sokkal marad el ettől a többi hazai nagybank ajánlata sem: a K&H Banknál 6,64% a THM, míg a CIB Banknál 6,68%; a MagNet Banknál 6,75%, a Raiffeisen Banknál 6,79%, az Erste Banknál pedig 6,89%. Érdemes még megnézni magyar hitelintézetetek további konstrukcióit is, és egyedi kalkulációt végezni, saját preferenciáink alapján különböző hitelösszegekre és futamidőkre. Ehhez keresd fel a Pénzcentrum kalkulátorát. (x)
Ha az Active Adversary adatait 2020 és 2023 között összesítve vizsgáljuk, akkor a kompromittált hitelesítő adatok szintén a támadások első számú gyakori kiváltó okai voltak, mert az IR esetek közel harmadának képezték részét. Mégis, annak ellenére, hogy a historikus adatok mutatják a rossz kézbe került hitelesítő adatok elterjedtségét a kibertámadások során, 2023-ban az IR-esetek 43 százalékában a szervezetek nem konfiguráltak többtényezős hitelesítést. A sérülékenységek kihasználása volt a támadások második leggyakoribb kiváltó oka, mind 2023-ban, mind a 2020 és 2023 közötti adatok kumulatív elemzésekor: az IR esetek 16 százalékában, illetve 30 százalékában volt a kiváltó ok.
“A kockázatkezelés aktív folyamat. Azok a szervezetek, amelyek ezt jól végzik, jobb biztonsági helyzeteket tapasztalnak meg az elszánt támadók folyamatos fenyegetéseivel szembesülve, mint azok, amelyek nem. A biztonsági kockázatok kezelésének egyik fontos aspektusa az azonosításukon és a prioritásuk meghatározásán túl az információ alapján történő cselekvés. Ennek ellenére bizonyos kockázatok túl régóta sújtják a szervezeteket, amilyen például a nyitott RDP is, azon támadók nagy örömére, akik a szervezet “főbejáratán” tudnak besétálni. A hálózat biztonságossá tétele a nyíltan hozzáférhető és sérülékeny szolgáltatások csökkentésével és a hitelesítés megerősítésével általánosságban biztonságosabbá teszi a szervezeteket, és lehetővé teszi számukra, hogy jobban le tudják küzdeni a kibertámadásokat.” mondta Shier.