Протоколы-предатели и коварный ИИ: анатомия современных атак на предприятия

Cato Networks выпустила свой первый отчет , посвященный анализу киберугроз для корпоративных сетей и IT-инфраструктуры предприятий. Документ был подготовлен с использованием возможностей архитектуры SASE (Secure Access Service Edge), которую развивает Cato Networks.

SASE объединяет сетевые и обеспечивающие безопасность сервисы в единую облачную платформу для защищенного доступа. По словам Cato, обычно угрозы анализируются изолированно, отдельными системами. Однако SASE позволяет провести комплексную оценку внешних данных, входящего и исходящего трафика, а также сетевой активности, давая целостное представление о статусе защищенности организации.

Отчет основан на колоссальном объеме данных, собранных от более чем 2200 клиентов Cato по всему миру - 1,26 триллиона сетевых потоков и 21,45 миллиарда отраженных атак. Анализ информации проводился с использованием фирменных алгоритмов искусственного интеллекта и машинного обучения Cato, сотен источников данных о киберугрозах, а также за счет экспертизы целой команды специалистов - бывших военных аналитиков и ученых.

Применяя общепризнанную структуру MITRE ATT&CK, отчет всесторонне освещает все опасности со стратегической, тактической и оперативной точек зрения, включая вредоносную и подозрительную активность, а также приложения, протоколы и инструменты, используемые в корпоративных сетях.

Среди ключевых выводов отчета:

1. Предприятия активно внедряют инструменты искусственного интеллекта, в частности Microsoft Copilot, ChatGPT от OpenAI и приложение Emol для общения с «эмоциональными» ИИ-ассистентами.

2. В хакерских сообществах активно обсуждается применение технологий искусственного интеллекта для улучшения вредоносного ПО. Например, предполагается, что он поможет повысить эффективность инструмента SQLMap в поиске и эксплуатации уязвимостей. Кроме того, хакеры предлагают коллегам услуги по генерации фальшивых учетных данных и созданию дипфейков. Также ведется набор специалистов для разработки злонамеренного аналога ChatGPT.

3. Известные бренды, например Booking, Amazon и eBay, активно эксплуатируются злоумышленниками для мошенничества и других противоправных целей с помощью методов спуфинга.

4. В корпоративных сетях по-прежнему широко применяются незащищенные протоколы, такие как HTTP (62% веб-трафика), Telnet (54%) и SMBv1/v2 (46%), что позволяет атакующим беспрепятственно перемещаться по сети.

5. Главную угрозу для предприятий представляют не 0-day уязвимости, а устаревшие незакрытые проблемы. В частности, бреши в Log4J (CVE-2021-44228) остаются одними из наиболее активно эксплуатируемых.

6. Векторы кибератак существенно различаются в зависимости от отрасли предприятия. Так, для развлекательного бизнеса, телекоммуникационной и горнодобывающей отраслей характерны атаки типа DoS (отказ в обслуживании), а в сферах услуг и гостиничного бизнеса - активная эксплуатация уязвимостей для кражи учетных данных.

7. При анализе угроз крайне важен контекст, поскольку на первый взгляд безобидная активность может на самом деле указывать на вредоносные действия. Для их своевременного обнаружения требуется комплексное понимание шаблонов сетевого трафика в сочетании с применением технологий искусственного интеллекта и машинного обучения.

8. Несмотря на критически важную роль DNS для операций предприятий, лишь 1% организаций использует защищенный DNS (DNSSEC). Причины его «непопулярности» пока что неясны.

Для получения максимально актуальной и исчерпывающей информации об угрозах, тенденциях в сфере кибербезопасности, деятельности хакерских сообществ и способах противодействия, Cato рекомендует ознакомиться с полным текстом отчета о киберугрозах для SASE.