Înainte ca atacatorii cibernetici să poată desfășura campanii de malware sau ransomware de succes, ei trebuie să obțină acces la mediile țintă. În 2022, jumătate din cazurile echipei Check Point Incident Response Team au rezultat din cauza accesului atacatorilor prin exploatarea vulnerabilităților cunoscute. În momentul în care activitățile rău intenționate – ransomware, e-mailuri falsificate sau falsificate, fișiere malware sau procese computerizate necunoscute – au devenit vizibile, atacatorii obțineau deja acces și au pus bazele unei campanii de succes.
Topul vulnerabilităților anului 2023
De ce vulnerabilități ar trebui să vă îngrijorați cel mai mult în 2023? Raportul de securitate cibernetică 2023 al Check Point Research descrie principalele vulnerabilități pe baza datelor colectate de rețeaua de senzori Check Point Intrusion Prevention System (IPS). Acesta arată că noile vulnerabilități sunt din ce în ce mai folosite – cele raportate în ultimii trei ani au fost folosite în 24% la sută din încercările de exploatare în 2022, comparativ cu doar 18% din încercările din 2021.
ProxyShell
ProxyShell este un lanț de atac care exploatează trei vulnerabilități în Microsoft Exchange Server — ProxyShell, ProxyLogon și ProxyNotShell. Combinarea acestor vulnerabilități permite atacatorilor neautentificați să lanseze Remote Code execution (RCE) pe servere vulnerabile. Chiar dacă aceste vulnerabilități au fost raportate și corectate în 2021, ele se află încă în fruntea listei de vulnerabilități cele mai exploatate în 2022 și adesea duc la breșe majore.
Follina în Microsoft Office
Chiar dacă Microsoft dezactivează acum macrocomenzile din documentele provenite din surse externe, atacatorii folosesc documente .docx și .rtf special create pentru a descărca și executa cod rău intenționat chiar și atunci când macrocomenzile sunt dezactivate sau documentul este în Protected Mode. Atacatorii au exploatat Follina în sistemele neactualizate pentru a implementa Qbot și alți troieni de acces la distanță (Remote Access Trojan – RAT), făcând din Follina una dintre vulnerabilitățile cele mai frecvent utilizate descoperite în 2022.
Fortinet
Două erori critice în produsele Fortinet raportate în octombrie 2022 (scor CVSS: 9,6) și decembrie (scor CVSS: 9,3) permit atacatorilor neautentificați să execute cod arbitrar folosind solicitări special concepute. Compania a emis actualizări în timp ce CISA a avertizat despre riscuri semnificative pentru organizațiile federale. Încercările de exploatare a CVE-2022-40684 la începutul anului 2023 au afectat 18% din organizații.
Cea mai bună prevenție: Virtual Patching cu un cloud IPS
Atacatorii exploatează adesea serviciile Windows Remote Desktop Protocol (RDP) expuse și vulnerabilitățile RCE (Remote Code Execution) neactualizate pentru a executa comenzi și a plasa cod rău intenționat într-o rețea. Serverele de e-mail sunt adesea veriga slabă. Multe organizații nu implementează produse de securitate pentru dispozitivele terminale sau anti-ransomware pe servere de teamă să nu compromită performanța. Cu un număr mare de vulnerabilități, expunerea rețelei și gestionarea slabă a corecțiilor, serverele sunt o ușă deschisă obișnuită pentru atacatori.
Actualizarea la timp este esențială, dar nu suficientă. O soluție Secure Access Service Edge (SASE), precum Check Point Harmony Connect, ajută la împiedicarea atacatorilor să exploateze vulnerabilități și să câștige persistență în rețeaua dvs. Aceasta combină patru capabilități puternice într-o soluție SASE completă.
- Sistemul de prevenire a intruziunilor (IPS) bazat pe cloud: Un IPS în cloud detectează și blochează amenințările care vizează sistemele și aplicațiile, inclusiv browserele obișnuite. Cu detectarea bazată pe semnături și anomalii, un IPS în cloud detectează și blochează amenințările cunoscute, cum ar fi vulnerabilitățile și expunerile comune (CVE), precum și principalele 10 riscuri comune de securitate OWASP, amenințările zero-day și conexiunile rău intenționate. De asemenea, ajută organizațiile să descarce corecțiile pentru sute sau mii de vulnerabilități ale sistemelor, serverelor și aplicațiilor software. Cu un IPS în cloud ca parte a Harmony Connect SASE, vulnerabilitățile nou descoperite în browsere, aplicații și sisteme sunt corectate virtual și automat. Un IPS în cloud oprește, de asemenea, atacurile autentice în timp real, cu performanțe ridicate și false pozitive minime, protejând activele corporative, cum ar fi serverele și aplicațiile, precum și stațiile de lucru individuale ale utilizatorilor cu browsere sau software învechit.
- Zero-Day Sandboxing: Harmony Connect SASE include sandboxing (emularea amenințărilor) avansat, care inspectează fișierele pentru sute de indicatori diferiți — tehnici obișnuite de evaziune, macrocomenzi de deschidere a fișierelor sau servicii în afara contextului — pentru a determina care sunt rău intenționați. În raportul recent Next Generation Firewall (NGFW) Security Benchmark 2023, Miercom a descoperit că tehnologia Check Point Quantum Next-Gen Security Gateway a împiedicat 99,7% din descărcările de noi programe malware. Aceasta este aceeași tehnologie de prevenire a amenințărilor furnizată de Harmony Connect SASE.
- Big Data Threat Intel și AI: Check Point ThreatCloud combină informații despre amenințările pentru big data colectate de la sute de milioane de senzori din întreaga lume cu peste 30 de motoare AI și de învățare automată pentru a identifica și bloca amenințările emergente, chiar și programele malware nou apărute pe care software-ul antivirus nu le poate detecta încă, din cauza absenței unui hash sau a unei semnături cunoscute.
- Inspecție completă a traficului: Folosind un client de mici dimensiuni pentru utilizatorii de PC și Mac ce se conectează de la distanță, Harmony Connect SASE efectuează o inspecție completă a traficului pe toate porturile și protocoalele, nu doar o verificare standard pentru web HTTP/HTTPS(!). Aceasta înseamnă că partajarea fișierelor P2P, serviciile de anonimizare și VPN-urile pentru utilizatori pot fi securizate împotriva potențialelor atacuri (și nu doar blocate în totalitate).
Singura soluție SASE de prevenire: Harmony Connect
Harmony Connect este singura soluție SASE axată pe prevenire ce protejează cu succes împotriva atacatorilor care încearcă să exploateze vulnerabilitățile. Soluția securizează 55 de milioane de tranzacții de acces corporativ și previne 240.000 de atacuri cibernetice pe lună.
În calitate de 4 Star Partner Check Point Software, K-Businesscom România deține competențe solide în domeniul securității cibernetice. Cu referințe solide de implementări de succes a soluțiilor Check Point Software, echipa de specialiști K-Businesscom România vă stă la dispoziție pentru a identifica eventualele modalități de îmbunătățire a sistemului de apărare cibernetică a organizației dumneavoastră la office-romania@k-business.com sau la telefon 021 408 73 73.