Исследователи из аналитической компании CrowdStrike выпустили отчет Global Threat Report 2020 о тенденциях в действиях злоумышленников и их тактиках, техниках и процедурах (Tactics, Techniques, and Procedures - TTP). Основные выводы:
- Активное развитие у злоумышленников концепций Ransomeware-as-a-Service (RaaS) и Malware-as-a-Service (MaaS) – можно описать как сервис или «аренда» вредоносного ПО от разработчика вируса, не требующая высокой квалификации от злоумышленника при планировании атаки. И также Download-as-a-Service (DaaS) – распространение среди своих заказчиков семейства вариаций вредоносного ПО, что подразумевает постоянную адаптацию атаки под современные реалии и конкретную жертву, и усложняет сам ход атаки для специалиста ИБ.
- Заметный рост числа бесфайловых вторжений - в 2019 году они занимают уже 51% атак по сравнению с 40% 2018 года. Активно развивается этот вид атак в Северной Америке, Европейском и Ближневосточном регионе, то есть для этих регионов тренд атак даже несколько выше озвученного 51%. По всей видимости по причине достаточного развития защищенности компаний в этих регионах и большей эффективности бесфайловых атак по сравнению с традиционными malware-атаками.
- Среднее время реакции на атаку (breakout time) в 2019 году выросло в более чем два раза по сравнению с 2018 годом и составляет 9 часов.
Опасность бесфайловых атак заключается в сложности их детектирования и блокирования. Антивирусные решения работают в первую очередь на уровне записи вредоносного ПО на диск, а именно этого в данном типе атак не происходит. Вирус живет в оперативной памяти автоматизированного рабочего места (АРМ) пользователя.
В сравнении с прошлыми периодами значительно вырос показатель использования техники Masquerading – достаточно простой техники сокрытия вредоносного ПО от детектирования путем присваивания ему системных доверенных имен или простых техник обфускации, что, вероятно, подтверждает распространение RaaS/MaaS/DaaS модели. Исследователи также предполагают, что это связано с активным использованием EternalBlue эксплоиты. Ранее другие исследования упоминали, что данная эксплоита была широко доступна на черном рынке бесплатно и распространилась среди злоумышленников.
Рекомендации
Эксперты компании Angara Professional Assistance рекомендуют:
- Направить фокус внимания команды ИБ на снижение времени реагирования на атаку. Важность этой метрики очевидна для повышения уровня защищенности, но как показывает исследование, этот временной лаг значительно вырос по сравнению с предыдущими годами. Во многом это связано с ростом сложности атак. Для усиления квалифицированного ответа на атаку эффективным является привлечение сервисных команд MSSP для мониторинга и расследования инцидентов. Компания Angara Professional Assistance предлагает услуги (SOC ACRC) с фиксированным высоким SLA.
- Использовать средства EDR в дополнение к антивирусным решениям. За счет аналитического механизма средства EDR позволяют определять сокрытия вредоносного ПО, путем анализа аномалий на защищаемом АРМ. Компания Angara Assistance предлагает уникальный MSSP сервис ACRС, реализующий функции EDR и Anti-APT для клиента.
