През последната година активността на киберпрестъпниците се измести към уязвимости в периферията на корпоративните мрежи и инфраструктурните системи. Атаките се осъществяват в рамките на все по-кратки времеви прозорци.
Според данни на Google Threat Intelligence Group (GTIG) за 2024 г., 44% от атаките чрез „нулев ден“ (zero-day) са насочени към технологии, фокусирани върху корпоративния сегмент, спрямо 37% през 2023 г. Повечето от тези заплахи са насочени към продукти за сигурност и мрежови решения, като защитни стени (firewalls), виртуални частни мрежи (VPN) и устройства, свързани с облачни услуги.
Защо се променя фокусът на атаките?
Периферните устройства за сигурност като VPN, бизнес рутери, балансьори на натоварване и уеб апликационни защитни стени (WAF) често притежават разширени привилегии. Това означава, че ако нападател успее да компрометира едно такова устройство, той може да получи широк достъп до цялата корпоративна мрежа.
Освен това тези системи обикновено функционират извън обхвата на традиционните средства за сигурност като антивирусен софтуер или дори EDR (endpoint detection and response) решения, инсталирани на крайни устройства. Атаките, насочени към инфраструктурата, често водят до компрометиране на цели среди, което предоставя значително по-висока възвръщаемост за хакерите. За разлика от това, експлоатирането на браузъри или мобилни приложения обикновено засяга само отделен потребител.
Какво означава това за компаниите?
За да се адаптират към новата реалност, организациите трябва да оценят как тази еволюция в експлоатацията на уязвимости влияе върху тяхната сигурност и да идентифицират нуждите от подобрение в следните ключови области:
🔹 Подобрено управление на пачове
Атакуващите стават все по-бързи и по-прецизни. Те експлоатират критични уязвимости почти веднага след разкриването им, затова е жизненоважно фирмите да усъвършенстват процесите си по актуализиране, особено при ключови системи.
🔹 Изолация при атаки върху периферни системи
Технологии като VPN и защитни стени трябва да бъдат защитени чрез многофакторна автентикация (MFA), непрекъснат мониторинг и временна защита (например чрез IPS правила), докато се приложат пачове. Добра практика е и да се изолират от пълен достъп до Active Directory.
🔹 Одит и напреднала детекция
Хибридните среди (on-prem + облак) увеличават риска от „слепи зони“. Връзките между вътрешната мрежа и облачната среда усложняват видимостта. Затова е необходимо да се провеждат одити и да се генерират аларми както за вътрешната, така и за облачната инфраструктура, за да се откриват навреме съмнителни действия.
XDR: Засилена отбрана
В среда, в която заплахите могат да се прехвърлят от периферията към облака и обратно, използването на изолирани инструменти затруднява ефективния отговор. Необходим е цялостен преглед, който да корелира сигнали от различни източници, да разпознава модели на атака и да реагира своевременно.
Решенията от типа Extended Detection and Response (XDR) интегрират данни от крайни точки, периферни устройства и облачни услуги, подобрявайки откриването на инциденти и ускорявайки реакцията.
За MSP доставчици (Managed Service Providers) XDR е и основен инструмент за наблюдение на множество клиентски среди чрез една платформа. Това позволява ранно откриване на заплахи и координирани действия по ограничаване на щетите, без зависимост от разнородни, несвързани системи — водещо до повишено ниво на сигурност за клиента.
