Perusahaan keamanan siber Red Canary telah merilis Laporan Deteksi Ancaman tahunannya yang keenam, yang mengkaji tren, ancaman, dan teknik musuh yang harus diprioritaskan oleh organisasi dalam beberapa bulan dan tahun mendatang.
Laporan ini melacak teknik MITRE ATT&CK yang paling sering disalahgunakan oleh musuh sepanjang tahun, dengan dua entri baru dan penting yang masuk 10 besar pada tahun 2023: Aturan Penerusan Email dan Akun Cloud.
Laporan terbaru Red Canary memberikan analisis mendalam terhadap hampir 60.000 ancaman yang terdeteksi dengan lebih dari 216 petabyte telemetri yang dikumpulkan dari titik akhir pelanggan, jaringan, infrastruktur cloud, identitas, dan aplikasi SaaS pada tahun 2023. Laporan ini membedakan dirinya dari laporan tahunan lainnya. dengan data dan wawasan unik yang diperoleh dari kombinasi cakupan deteksi yang luas dan penelitian pakar yang dipimpin manusia serta konfirmasi ancaman.
Penelitian menunjukkan bahwa meskipun lanskap ancaman terus berubah dan berkembang, motivasi penyerang tidak berubah. Peralatan dan teknik klasik yang digunakan musuh tetap konsisten—dengan beberapa pengecualian. Temuan utama meliputi:
- akun awan adalah teknik MITRE ATT&CK keempat yang paling sering terdeteksi pada tahun 2023, naik dari peringkat ke-46 pada tahun 2022, meningkatkan volume deteksi sebesar 16x dan memengaruhi pelanggan tiga kali lebih banyak pada tahun 2023 dibandingkan pada tahun 2022.
- Deteksi kejahatan aturan penerusan email meningkat hampir 600 persen, karena para penentang menyusupi akun email, mentransfer komunikasi sensitif ke folder arsip dan tempat lain yang tidak mungkin dilihat oleh pengguna, dan mencoba mengubah tujuan pembayaran gaji atau transfer bank, sehingga mengalihkan uang ke rekening penjahat.
- Setengah dari 10 ancaman teratas memanfaatkan malvertising dan/atau keracunan SEO, terkadang menyebabkan muatan yang lebih serius seperti prekursor ransomware.
- Setengah dari ancaman teratas adalah prekursor ransomware yang dapat menyebabkan infeksi ransomware jika tidak ditangani., dengan ransomware masih mempunyai dampak besar terhadap dunia usaha.
- Meski gelombang baru kerentanan perangkat lunakmanusia tetap menjadi kerentanan utama yang dieksploitasi oleh musuh pada tahun 2023, termasuk identitas untuk mengakses API layanan cloud, melakukan penipuan penggajian dan aturan penerusan email, meluncurkan serangan ransomware, dan banyak lagi.
- Peningkatan ancaman macOS – pada tahun 2023 Red Canary menemukan lebih banyak ancaman aktivitas pencurian di lingkungan macOS dibandingkan sebelumnya, dan contohnya pemuatan kode reflektif Dan menyalahgunakan AppleScript.
Red Canary mencatat beberapa tren yang lebih luas yang mempengaruhi lanskap ancaman, seperti munculnya AI generatif, semakin menonjolnya alat pemantauan dan manajemen penyalahgunaan (RMM), prevalensi pengiriman muatan berbasis web seperti keracunan SEO dan maliklan. , meningkatnya kebutuhan akan teknik penghindaran MFA, dan dominasi skema rekayasa sosial yang kurang ajar namun sangat efektif seperti phishing help desk.
“10 ancaman dan teknik teratas mengalami perubahan minimal setiap tahunnya, sehingga penyimpangan yang kami lihat dalam laporan tahun 2024 sangatlah signifikan. Peningkatan akun cloud yang disusupi dari peringkat 46 ke peringkat 4 belum pernah terjadi sebelumnya dalam kumpulan data kami—dan hal serupa juga terjadi pada penerusan email peraturan,” kata Keith McCammon, Chief Security Officer, Red Canary. “Benang emas yang menghubungkan mode serangan ini adalah identitas. Untuk mengakses akun cloud dan aplikasi SaaS, pihak yang tidak bertanggung jawab harus mengkompromikan beberapa bentuk identitas atau kredensial, dan pihak yang memiliki hak istimewa dapat memberikan pihak yang tidak dikenal akses ke akun yang berharga, hal ini menggarisbawahi pentingnya mengamankan identitas perusahaan dan penyedia identitas.
Teknik baru yang harus diwaspadai oleh pengguna MacOS, Microsoft, dan Linux
Bagian teknik dalam laporan ini menyoroti teknik yang paling umum dan dampak yang diamati terhadap ancaman yang dikonfirmasi pada basis pelanggan Red Canary pada tahun 2023. Sementara banyak teknik seperti PowerShell Dan Shell Perintah Windows Meski begitu, ada beberapa variasi yang menarik, antara lain:
- Musuh mengkompilasi penginstal berbahaya dengan alat pengemasan MSIX baru dari Microsoft—biasanya digunakan untuk memperbarui aplikasi desktop yang ada atau menginstal yang baru—untuk mengelabui korban agar menjalankan skrip berbahaya dengan kedok mengunduh perangkat lunak yang sah.
- Kontainer lolos – ketika musuh mengeksploitasi kerentanan atau kesalahan konfigurasi di kernel kontainer dan lingkungan runtime untuk ‘melarikan diri’ dari kontainer dan menginfeksi sistem host.
- Pemuatan kode reflektif memungkinkan musuh melewati kontrol keamanan macOS dan menjalankan kode berbahaya di titik akhir Apple yang paling rentan.
Penyerang tidak menargetkan vertikal; mereka menjadi sasaran sistem
Data menunjukkan bahwa musuh dapat dipercaya untuk memanfaatkan serangkaian 10-20 teknik ATT&CK terhadap organisasi, terlepas dari sektor atau industri korbannya. Namun, pihak yang tidak bertanggung jawab lebih memilih alat dan teknik yang dapat menargetkan sistem dan alur kerja yang umum pada sektor tertentu:
- Layanan Kesehatan: Visual Basic dan Unix Shell mungkin lebih umum karena perbedaan mesin dan sistem yang digunakan dalam industri tersebut.
- Pendidikan: Aturan penerusan dan penyembunyian email lebih umum, mungkin karena ketergantungan pada email.
- Produsen: Replikasi melalui media yang dapat dipindahkan, seperti USB, lebih umum terjadi – kemungkinan besar karena ketergantungan pada infrastruktur fisik dan sistem air-gapped atau sistem warisan semu.
- Layanan keuangan dan asuransi: Teknik yang kurang jelas, seperti kebingungan HTML dan Model Objek Komponen Terdistribusi lebih umum dilakukan, mungkin karena investasi yang lebih besar dalam pengendalian dan pengujian.
Tindakan yang disarankan:
- Validasi pertahanan Anda. Lihatlah ancaman-ancaman dan teknik-teknik utama dan tanyakan: ‘Apakah saya yakin dengan kemampuan saya untuk bertahan melawan ancaman-ancaman dan teknik-teknik ini?’ Pustaka pengujian sumber terbuka Red Canary Tim Merah Atom gratis dan mudah diadopsi.
- Menambal kerentanan adalah kuncinya. Ini tetap teruji dan benar sebagai salah satu cara terbaik untuk melindungi diri Anda dari risiko.
- Menjadi ahli cloud – pastikan izin dan konfigurasi Anda diatur dengan benar, dan ketahui cara semua orang di organisasi Anda menggunakan infrastruktur cloud, karena perbedaan antara aktivitas mencurigakan dan sah tercermin di cloud dan memerlukan pemahaman mendalam tentang apa yang normal di lingkungan Anda.
Lihat yang akan datang Konferensi Transformasi Cloud, acara virtual gratis bagi para pemimpin bisnis dan teknologi untuk menjelajahi lanskap transformasi cloud yang terus berkembang. Pesan tiket virtual gratis Anda untuk mengetahui lebih dalam tentang praktik dan peluang seputar adopsi cloud. Pelajari lebih lanjut di sini.