A kiberbűnözők a támadások 90 százalékában a távoli asztal protokollal éltek vissza

A kívülről elérhető távoli szolgáltatások, például az RDP voltak a leggyakoribb vektorok, amelyek révén a támadók megszerezték a kezdeti hozzáférésüket a hálózatokhoz; 2023-ban az IR esetek 65 százalékában így törtek be először a rendszerekbe. Az aktív ellenfelekről szóló jelentések 2020-as megjelenése óta folyamatosan a külső távoli szolgáltatások jelentik a kiberbűnözők kezdeti hozzáférésének leggyakoribb forrását, és a védőknek ezt egyértelmű jelnek kell tekinteniük arra vonatkozóan, hogy e szolgáltatások kezelését prioritásként kezeljék a vállalatot érintő kockázatok kiértékelésekor.

„A külső távoli szolgáltatások szükséges, de kockázatos igények sok vállalkozás számára. A támadók tisztában vannak azzal, hogy ezek a szolgáltatások milyen kockázatot jelentenek, és aktívan törekednek ezek kihasználására a rajtuk keresztül megszerezhető javak miatt. A szolgáltatások szabadon elérhetővé tétele gondos mérleges és a kockázataik csökkentése nélkül elkerülhetetlenül kompromittációhoz vezet. Nem tart sokáig, amíg egy támadó megtalálja és feltöri a külvilág számára hozzáférhető RDP-szervert és további vezérlők, korlátok nélkül a túloldalon váró Active Directory szerver megtalálása sem sok idő számára” – mondta John Shier, a Sophos field CTO-ja.

Egy vásárló esetében a támadók hat hónapon belül négyszer törték fel sikeresen az áldozatot, minden alkalommal az ügyfél nyíltan hozzáférhető RDP portjain keresztül szerezve meg a kezdeti hozzáférést. A bejutást követően a támadók laterálisan mozogtak az ügyfél hálózat belül, ártó célú futtatható programokat töltöttek le, letiltották a végpontvédelmet és távoli hozzáférést hoztak létre.

A rossz kezekbe került hitelesítő adatok és a biztonsági rések kihasználása továbbra is a támadások két leggyakoribb kiváltó oka. A tavaly augusztusban kiadott 2023-as Active Adversary Report for Tech Leaders azonban megállapította, hogy az év első felében a kompromittált hitelesítő adatok első alkalommal megelőzték a sebezhetőségeket, mint a támadások leggyakoribb kiváltó okait. Ez a trend 2023 hátralévő részében is folytatódott, és az egész éves IR-esetek több mint 50százalék-ának a hitelesítő adatok kompromittálódása volt a kiváltó oka.

Ha az Active Adversary adatait 2020 és 2023 között összesítve vizsgáljuk, akkor a kompromittált hitelesítő adatok szintén a támadások első számú gyakori kiváltó okai voltak, mert az IR esetek közel harmadának képezték részét. Mégis, annak ellenére, hogy a historikus adatok mutatják a rossz kézbe került hitelesítő adatok elterjedtségét a kibertámadások során, 2023-ban az IR-esetek 43 százalékában a szervezetek nem konfiguráltak többtényezős hitelesítést. A sérülékenységek kihasználása volt a támadások második leggyakoribb kiváltó oka, mind 2023-ban, mind a 2020 és 2023 közötti adatok kumulatív elemzésekor: az IR esetek 16 százalékában, illetve 30 százalékában volt a kiváltó ok.

„A kockázatkezelés aktív folyamat. Azok a szervezetek, amelyek ezt jól végzik, jobb biztonsági helyzeteket tapasztalnak meg az elszánt támadók folyamatos fenyegetéseivel szembesülve, mint azok, amelyek nem. A biztonsági kockázatok kezelésének egyik fontos aspektusa az azonosításukon és a prioritásuk meghatározásán túl az információ alapján történő cselekvés. Ennek ellenére bizonyos kockázatok túl régóta sújtják a szervezeteket, amilyen például a nyitott RDP is, azon támadók nagy örömére, akik a szervezet „főbejáratán” tudnak besétálni. A hálózat biztonságossá tétele a nyíltan hozzáférhető és sérülékeny szolgáltatások csökkentésével és a hitelesítés megerősítésével általánosságban biztonságosabbá teszi a szervezeteket, és lehetővé teszi számukra, hogy jobban le tudják küzdeni a kibertámadásokat” – mondta John Shier.