Fortinet, globalny lider cyberbezpieczeństwa, który dąży do konwergencji sieci i rozwiązań ochronnych, zaprezentował najnowszy półroczny raport FortiGuard Labs dotyczący globalnego krajobrazu zagrożeń. W pierwszej połowie 2023 r. eksperci FortiGuard Labs zaobserwowali spadek liczby firm wykrywających oprogramowanie ransomware we własnym środowisku IT, znaczną aktywność wśród grup dokonujących zaawansowanych, uporczywych ataków, zmianę technik zdefiniowanych w MITRE ATT&CK stosowanych przez cyberprzestępców oraz wiele więcej.
Oprócz przedstawionych poniżej najważniejszych informacji, pełną analizę można znaleźć w dokumencie 1H 2023 Global Threat Landscape Report.
Firmy nadal przyjmują reaktywną postawę ze względu na rosnące wyrafinowanie złośliwych działań i eskalację ukierunkowanych ataków. Jako system wczesnego ostrzegania o potencjalnych zagrożeniach oraz pomoc dla osób odpowiedzialnych za bezpieczeństwo w ustaleniu priorytetów strategii ochronnej i wysiłków związanych z łataniem mogą posłużyć dla nich cenne informacje zgromadzone w dokumencie Global Threat Landscape Report z pierwszej połowy 2023 r., których źródłem jest nieustanna analiza krajobrazu zagrożeń. Najważniejsze wnioski zawarte w raporcie są następujące:
Liczba podmiotów wykrywających oprogramowanie ransomware spada – FortiGuard Labs udokumentował znaczny wzrost liczby wariantów ransomware w ostatnich latach, co w dużej mierze było skutkiem rosnącej popularności modelu Ransomware-as-a-Service (RaaS). Eksperci FortiGuard Labs stwierdzili jednak, że mniej firm wykryło oprogramowanie ransomware w swoim środowisku IT w pierwszej połowie 2023 r. (13%), w porównaniu z tym samym okresem pięć lat temu (22%). Pomimo spadku tej wartości, konieczne jest zachowanie czujności. Potwierdza to trend, który FortiGuard Labs zaobserwował w ciągu ostatnich kilku lat, że ransomware i inne ataki stają się coraz bardziej ukierunkowane dzięki rosnącemu wyrafinowaniu atakujących oraz chęci zwiększenia zwrotu z inwestycji (ROI) z każdego ataku. Badanie wykazało również, że liczba wykrytych ataków ransomware nadal jest zmienna – w pierwszej połowie 2023 r. była 13 razy większa niż pod koniec 2022 roku.
Cyberprzestępcy są 327 razy bardziej skłonni do atakowania najważniejszych podatności (według rankingu EPSS) w ciągu siedmiu dni od ich ujawnienia, w porównaniu ze wszystkimi innymi CVE (Common Vulnerabilities and Exposures)
Od samego początku Fortinet jest głównym dostawcą danych dotyczących aktywności w zakresie exploitów wykorzystywanych do tworzenia rankingu Exploit Prediction Scoring System (EPSS). Projekt ten ma na celu zebranie danych z niezliczonych źródeł do przewidywania prawdopodobieństwa i czasu wykorzystania podatności do atakowania.
Eksperci FortiGuard Labs przeanalizowali dane z sześciu lat, obejmujące ponad 11 tys. opublikowanych luk CVE w zabezpieczeniach, które były wykorzystywane przez exploity. Odkryli, że prawdopodobieństwo wykorzystania w ciągu siedmiu dni luk CVE sklasyfikowanych z wysokim wynikiem EPSS (stanowiące 1% luk o najwyższym poziomie dotkliwości) jest 327 razy większe niż w przypadku jakiejkolwiek innej luki.
To pierwsza tego typu analiza, która może przyczynić się do skuteczniejszego wykrywania zagrożeń, dając osobom na stanowisku CISO oraz zespołom ds. bezpieczeństwa informacje o wczesnych symptomach dotyczących ukierunkowanych ataków na ich przedsiębiorstwa. Podobnie jak czerwona strefa (Red Zone), zdefiniowana w ostatnim raporcie o zagrożeniach, analiza ta może pomóc zespołom ds. bezpieczeństwa w systematycznym ustalaniu priorytetów łatania w celu zminimalizowania ryzyka.
Czerwona strefa pomaga osobom na stanowisku CISO w ustalaniu priorytetów działań związanych z aktualizacjami – Analiza przeprowadzona przez FortiGuard Labs dotycząca wykorzystania informacji zgromadzonych w EPSS pozwoliła na zdefiniowanie czerwonej strefy (Red Zone), która pomaga określić ilościowo odsetek luk obecnych w urządzeniach końcowych, które są aktywnie wykorzystywane do ataków. W drugiej połowie 2022 r. czerwona strefa wynosiła 8,9%, co oznacza, że około 1500 podatności CVE (z ponad 16,5 tys. znanych) zostało zaatakowanych. W pierwszej połowie 2023 r. liczba ta nieznacznie spadła do 8,3%. Różnica między drugą połową 2022 r. a pierwszą połową 2023 r. jest minimalna, wydaje się więc, że prowadzenie ataków poprzez odkryte luki w urządzeniach końcowych jest najskuteczniejszą metodą działań cyberprzestępców.
Należy jednak zauważyć, że liczba wykrytych, obecnych i wykorzystywanych luk bezpieczeństwa stale się zmienia. Te ulegające modyfikacjom obszary oraz skuteczność strategii zarządzania poprawkami w przedsiębiorstwach mogą znacznie przyczynić się do zmniejszenia powierzchni czerwonej strefy. Podobnie jak w przypadku powyższej analizy EPSS, FortiGuard Labs nadal inwestuje w skuteczniejsze sposoby pomagania firmom w ustalaniu priorytetów i szybszym usuwaniu luk w zabezpieczeniach.
Prawie jedna trzecia grup APT była aktywna w pierwszej połowie 2023 r. – Po raz pierwszy w historii publikacji dokumentu Global Threat Landscape Report, eksperci FortiGuard Labs prześledzili liczbę cyberprzestępców, których działania wpływają na obserwowane trendy. Badania wykazały, że 41 (30%) ze 138 grup tworzących cyfrowe zagrożenia śledzonych przez MITRE było aktywnych w pierwszej połowie 2023 roku. Spośród nich najbardziej aktywne, biorąc pod uwagę ilość tworzonego złośliwego oprogramowania, były Turla, StrongPity, Winnti, OceanLotus i WildNeutron.
W kolejnych raportach należy spodziewać się informacji o ewolucji i zwiększeniu skali aktywności cyberprzestępczej, przy czym kampanie APT i sponsorowane przez państwa będą krótkotrwałe ze względu na ich ukierunkowany charakter, natomiast klasyczne kampanie cyberprzestępców będą rozciągnięte w czasie.
Porównanie okresu pięciu lat ujawnia eksplozję unikalnych exploitów, wariantów złośliwego oprogramowania oraz trwałości botnetów:
- Rośnie liczba unikalnych exploitów – W pierwszej połowie 2023 r. laboratoria FortiGuard Labs wykryły ponad 10 tys. unikalnych exploitów, co stanowi wzrost o 68% w porównaniu z okresem sprzed pięciu lat. Gwałtowny wzrost liczby wykrytych unikalnych exploitów obrazuje ogromną liczbę złośliwych ataków, których zespoły ds. bezpieczeństwa muszą być świadome, oraz to, jak ataki zostały zwielokrotnione i zdywersyfikowane w stosunkowo krótkim czasie. Raport pokazuje również spadek o ponad 75% prób zainstalowania exploitów w każdej z badanych firm w ciągu pięciu lat oraz spadek o 10% liczby poważnych exploitów, co sugeruje, że chociaż exploity nadal aktywnie są stosowane przez cyberprzestępców, ataki z ich wykorzystaniem są znacznie bardziej ukierunkowane niż pięć lat temu.
- Liczba rodzin i wariantów złośliwego oprogramowania eksplodowała, odpowiednio o 135% i 175% – Oprócz znacznego wzrostu liczby rodzin i wariantów szkodliwego kodu, kolejnym zaskakującym odkryciem jest to, że liczba takich jego rodzin, które rozprzestrzeniają się na co najmniej 10% globalnych firm (taki współczynnik określany jest jako znacząca ilość) podwoiła się w ciągu ostatnich pięciu lat. Ten wzrost ilości i poziomu rozpowszechnienia złośliwego oprogramowania można przypisać większej liczbie cyberprzestępców i grup APT, które w ostatnich latach rozszerzyły swoją działalność i zdywersyfikowały swoje ataki.
- Istotnym elementem ostatniego raportu Global Threat Landscape był wzrost liczby złośliwego oprogramowania typu wiper, w dużej mierze związany z konfliktem rosyjsko-ukraińskim. Wzrost ten utrzymywał się przez cały 2022 r., ale spowolnił w pierwszej połowie 2023 r. FortiGuard Labs nadal obserwuje, że wipery są wykorzystywane przez cyberprzestępców działających na zlecenie państw, a popularność tego typu złośliwego oprogramowania wśród cyberprzestępców nadal rośnie, ponieważ ich celem są firmy z branży technologicznej, produkcyjnej, administracyjnej, telekomunikacyjnej i ochrony zdrowia.
- Botnety pozostają w środowiskach IT dłużej niż kiedykolwiek – W raporcie podkreślono większą liczbę aktywnych botnetów (+27%) i wyższy wskaźnik liczby incydentów wśród firm w ciągu ostatnich pięciu lat (+126%). Jednak jednym z bardziej szokujących ustaleń jest wykładniczy wzrost całkowitej liczby „aktywnych dni”, które FortiGuard Labs definiuje jako czas upływający między pierwszym odczytem obecności botnetu przez czujnik a ostatnim. W ciągu pierwszych sześciu miesięcy 2023 r. średni czas utrzymywania się botnetów przed ustaniem komunikacji z serwerami command and control (C2) wynosił 83 dni, co stanowi ponad 1000-krotny wzrost w porównaniu z okresem sprzed pięciu lat. Jest to kolejny przykład, w którym skrócenie czasu reakcji ma kluczowe znaczenie, ponieważ im dłużej botnety mogą działać w firmach, tym większe szkody i ryzyko dla ich działalności.
Derek Manky, Chief Security Strategist & Global VP Threat Intelligence, FortiGuard Labs
– Zwalczanie cyberprzestępczości to globalny wysiłek, w ramach którego nawiązywane są silne, zaufane relacje oraz współpraca pomiędzy sektorem publicznym i prywatnym. Dokonywane są także inwestycje w usługi ochronne bazujące na sztucznej inteligencji, które pomagają przeciążonym zespołom ds. bezpieczeństwa koordynować w czasie rzeczywistym informacje o zagrożeniach w całej firmie. Nie mogą one pozwolić sobie na bezczynność w obliczu wysokiego poziomu ukierunkowanych zagrożeń. FortiGuard Labs firmy Fortinet nieustannie dostarcza przydatnych informacji za pomocą innowacyjnych usług, takich jak Red Zone i nowy ranking Exploit Prediction Scoring System, aby pomóc zespołom ds. bezpieczeństwa proaktywnie ustalać priorytety dotyczące łatania systemów i reagować na zagrożenia szybciej niż kiedykolwiek.
Informacje o raporcie
Najnowszy dokument „Global Threat Landscape Report” zawiera zbiór informacji wywiadowczych, pozyskanych przez FortiGuard Labs z ogromnej liczby czujników znajdujących się w rozwiązaniach Fortinet, które zebrały dane dotyczące miliardów zdarzeń związanych z zagrożeniami zaobserwowanymi na całym świecie w pierwszej połowie 2023 roku. W raporcie tym opisano – bazując na metodologii MITRE ATT&CK, która klasyfikuje taktyki, techniki i procedury (TTP) stosowane przez cyberprzestępców – w jaki sposób namierzają oni luki w środowisku ofiary, budują złośliwą infrastrukturę oraz dokonują szkód lub wykorzystują pozyskane dane.