Уязвимостта е грешка в софтуерния код, която хакерите могат да използват, за да получат пряк достъп до ИТ система. “Излагане на риск” е инцидент, при който предварително открита слабост е била използвана от неупълномощен участник в мрежата.
Последните проучвания показват, че само 2% от всички експозиции дават на атакуващите безпроблемен достъп до критични активи, докато 75% от инцидентите с експозиции по пътищата на атаката водят до “задънени улици”, което не позволява на киберпрестъпниците да достигнат до чувствителна информация. Друго ключово прозрение, предоставено от това проучване, е, че 71% от организациите имат експонирани локални мрежи, които излагат на риск техните критични облачни активи. Това означава, че след като хакер получи достъп до локалната мрежа, 92% от тези критични активи стават уязвими.
3 основни експозиции, които често се пренебрегват
В допълнение към използването на уязвимостите, киберпрестъпниците се възползват от комбинирани експозиции, за да извършват скрити атаки срещу инфраструктурата на организацията и да крадат критични данни.
Локалната мрежова среда: Тъй като вниманието е насочено към облака, много предприятия пренебрегват значението на инвестициите в изграждането на ефективни и гъвкави механизми за контрол на локалните мрежи. Това излага на риск критични активи, дори ако те се намират в Облака.
Привилегирован достъп до идентичностите: Потребителските акаунти, ролите и услугите в Облака продължават да предоставят твърде много разрешения, за да улеснят управлението им, но и да позволят на киберпрестъпниците да разширят маршрутите си за атака, след като успеят да пробият първия слой на защита. Ето защо нулевото доверие, при което се въвежда ограничен достъп, се разглежда като стратегия, която се използва от много ИТ директори. Въпреки това схващането, че тя увеличава триенето в ежедневното натоварване на потребителите, понякога възпира предприятията да прилагат този подход. Трябва да се намери баланс, защото работата с философията, че всеки потребител е привилегирован, също предизвиква успешни атаки. Акаунтите с ограничени права значително намаляват възможностите на хакера да причини щети или да открадне ценна информация.
Неправилни конфигурации: Неправилно конфигурираните контроли за сигурност все още са често срещани и киберпрестъпниците се възползват от тази грешка. В своя консултация CISA отбелязва, че злонамерените лица използват инструменти за сканиране, за да откриват отворени портове, и често ги използват като първоначален вектор на атака. Тя също така посочва, че те често използват следните услуги за достъп до мрежите: RDP, Server Message Block (SMB), Telnet и NetBIOS.
Как да предотвратим открит достъп до критични активи?
Днес екипите по сигурността често са затрупани с твърде много доброкачествени и несвързани сигнали за уязвимости. Предвид това голямо натоварване, организациите трябва да се съсредоточат върху идентифицирането на областите, в които излагането на риск се превръща в път за атака.
При ограничен персонал тези екипи се нуждаят от помощ за приоритизиране на това кои кръпки да се прилагат въз основа на оценката на сериозността по Общата скала за сериозност на уязвимостите (CVSS), за да се избегне умората от диагностиката. Внедряването на инструмент за управление на кръпките като този на WatchGuard осигурява решение на този проблем, тъй като той опростява управлението на уязвимостите и позволява планиране на инсталациите на кръпки според тяхната критичност, като снема напрежението от екипите да поддържат постоянно всички софтуерни издания в актуално състояние.
Съществува и друг начин да се гарантира, че уязвимостите не представляват опасност за сигурността на организацията, който допълва традиционното управление на кръпките: поведенчески лов на заплахи. Това е проактивно търсене на признаци на дейност след експлоатиране, фокусирано върху поведението на противника, което показва активна заплаха. Това помага да се определят приоритетите и да се балансира необходимостта от прилагане на пачове, като позволява на организациите да управляват ефективно ресурсите си, за да останат една крачка пред потенциалните заплахи.
Възприемането на този подход е по-лесно, ако внедрите технологията XDR, която корелира телеметрията от различни решения, за да осигури контекста на заплахата, необходим за предотвратяване на превръщането ѝ в инцидент в областта на киберсигурността.