hackermetode

Hackere scanner overalt indenfor 15 minutter efter et nyt sikkerhedshul opstår

Alle IP adresser scannes hele tiden, døgnet rundt af hackernes superscannere. En IP adresse har 65535 TCP porte og tilsvarende 65535 UDP pprte, langt de fleste porte benyttes ikke men standarder til web, mail, ftp m.v. I en Firewall åbner man kun for de porte der bruges og det er oftest dem der scannes efter sikkerhedshuller.

Softwaresårbarheder forbliver en vigtig vej til indledende adgang for angribere i henhold til 2022 Unit 42 Incident Response Report. Selvom dette understreger behovet for, at organisationer opererer med en veldefineret patch management-strategi, har vi observeret, at angribere bliver stadig hurtigere til at udnytte højt profilerede nul-dages sårbarheder, hvilket yderligere øger tidspresset på organisationer, når en ny sårbarhed afsløres.

2022 Unit 42 Incident Response Report analyserer mere end 600 responssager, der er gennemført i løbet af det sidste år sammen med dybdegående interviews med vores eksperter i hændelsesrespons for at identificere nøglemønstre og tendenser, der kan bruges af forsvarere til at prioritere, hvor og hvordan man implementerer beskyttelser.

Her deler vi vigtige indsigter fra rapporten, herunder statistikker om formodede midler til indledende adgang blandt vores sager, hvilke softwaresårbarheder angribere udnyttede mest, og vores observationer af, hvordan angriberadfærd omkring nul-dages sårbarheder skifter. For mere dybdegående analyse, download den fulde rapport.

Vore Palo Alto Networks kunder modtager beskyttelse mod de specifikke sårbarheder, der diskuteres i disse indlæg gennem vore abonnementer, så du behøver ikke gøre noget men her er meget nyttig information om hvordan hackere arbejder.

Softwaresårbarheder og indledende adgang

Softwaresårbarheder forbliver en af de mest observerede adgangsvektorer for trusselsaktører. Vi fandt ud af, at de var den formodede indledende adgangsvektor for indtrængen i 31% af vores tilfælde, kun overgået af phishing på 37%.

billede-1-2
Figur 1. Hackerens arbejdsmetoder til indledende adgang

Sårbarheder, der oftest udnyttes til indledende adgang

I tilfælde, hvor respondenterne positivt identificerede den sårbarhed, der blev udnyttet af trusselsaktøren, faldt over 87 % af dem ind under en af seks CVE-kategorier, som vist i figur 2.

ProxyShell 55%, Log4j 14%, SonicWall CVEs 7%, ProxyLogon 5%, Zoho ManageEngine ADSelfService Plus 4%, FortiNet CVEs 3%, Other vulnerabilities 13%Figur 2. Udnyttede sårbarheder i Unit 42 incident response cases.

Bemærk, at topkategorier inkluderer Log4j og Zoho ManageEngine ADSelfService Plus, som begge var højt profilerede nul-dages sårbarheder, der blev afsløret mod slutningen af 2021.

Hver gang en ny sårbarhed offentliggøres, observerer vores trusselsefterretningsteam udbredt scanning efter sårbare systemer. Vores sikkerhedskonsulenter siger, at de også ser trusselsaktører – lige fra de sofistikerede til script-kiddies – bevæge sig hurtigt for at drage fordel af offentligt tilgængelige PoC’er til at forsøge udnyttelser.

Tiden til at patche bliver kortere

Mens nogle trusselsaktører fortsat er afhængige af ældre, upatchede sårbarheder, ser vi i stigende grad, at tiden fra sårbarhed til udnyttelse bliver kortere. Faktisk kan det praktisk talt falde sammen med afsløringen, hvis sårbarhederne i sig selv og den adgang, der kan opnås ved at udnytte dem, er betydelige nok. For eksempel udgav Palo Alto Networks en Threat Prevention-signatur til F5 BIG-IP Authentication Bypass Vulnerability (CVE-2022-1388), og inden for kun 10 timer udløste signaturen 2,552 gange på grund af sårbarhedsscanning og aktive udnyttelsesforsøg.

I sidste års undersøgelse fandt man, at angribere typisk begynder at scanne for sårbarheder inden for 15 minutter efter, at en CVE blev annonceret.

Derudover forbliver udtjente (EoL) systemer upatchbare og tilgængelige for en opportunistisk angriber til udnyttelse. For eksempel, den samme rapport fandt, at næsten 32% af udsatte organisationer kører EoL-versionen af Apache Web Server, som er åben for fjernudførelse af kode fra sårbarhederne CVE-2021-41773 og CVE-2021-42013.

Vi forventer, at denne tendens vil fortsætte og blive forstærket af den igangværende stigning i interneteksponeret angrebsoverflade.

Konklusion

Organisationer kan tidligere have vænnet sig til at tage tid mellem afsløringen af en sårbarhed og patching af den, men selvom det stadig er nødvendigt at udføre due diligence på en patch, betyder angribernes evne til at scanne internettet på jagt efter sårbare systemer, at det er vigtigere end nogensinde at forkorte den tid, det tager at patche. Organisationer er nødt til at øge patch management og orkestrering for at forsøge at lukke disse kendte huller så hurtigt som muligt.

En løsning til styring af angrebsoverfladen kan hjælpe organisationer med at identificere sårbare interneteksponerede systemer og kan ofte fange systemer, som organisationer måske ikke er klar over, kører på netværket.

Oplysningerne i denne blog er baseret på 2022 Unit 42 Incident Response Report, som indeholder dybdegående information om angriberadfærd indsamlet fra hundredvis af hændelsesresponssager samt en række interviews med erfarne hændelsesresponsere. Forsvarere kan bruge denne indsigt til at prioritere ressourcer og lukke huller i cybersikkerheden, som angribere leder efter og ofte udnytter.

Rapporten indeholder:

  • De syv mest almindelige medvirkende faktorer, når der sker et brud.
  • Kapaciteter angribere oftest bruge efter oprindeligt at have kompromitteret et netværk.
  • Vores incident responders forudsigelser for angrebstendenser i det kommende år.
  • De seks vigtigste beskyttelser, som vores eksperter anbefaler, at organisationer indfører.

Kilde: Palo Alto

Fotokredit: Palo Alto Networks

Scroll til toppen