SANS ISC зафіксував значне зростання кількості та складності фішингових кампаній та атак із застосуванням соціальної інженерії. Ці атаки спрямовані на компрометацію облікових даних та отримання початкового доступу до корпоративних мереж. Особлива увага приділяється спробам використання вразливостей у ланцюжках поставок, що може призвести до масштабних інцидентів та подальшого розгортання шкідливого програмного забезпечення або витоку даних.
Зловмисники використовують високоякісні підроблені електронні листи, що імітують довірені джерела, такі як партнери, постачальники чи державні установи. Часто застосовуються складні техніки обходу систем безпеки, включаючи багатоетапні фішингові сторінки, використання легітимних, але скомпрометованих, сервісів для хостингу шкідливого контенту, а також вбудовування обфускованих скриптів. Після успішної компрометації облікових даних, атакуючі активно шукають відомі, але не виправлені вразливості у мережевому обладнанні, VPN-шлюзах та системах управління контентом (CMS) для подальшого горизонтального переміщення та закріплення в інфраструктурі жертви. Це дозволяє їм здійснювати тривалий прихований доступ та ексфільтрацію даних.
Загроза є універсальною і стосується організацій будь-якого розміру та галузі. Проте, особливо вразливими є компанії, що оперують чутливими даними, суб'єкти критичної інфраструктури, а також підприємства, які є частиною складних ланцюжків поставок. Малі та середні підприємства (МСП) часто стають мішенню через потенційно обмежені ресурси на кіберзахист та менш розвинені політики безпеки, що робить їх легшою ціллю для початкового доступу до більших екосистем.
Для мінімізації ризиків SANS ISC наголошує на необхідності впровадження комплексних заходів безпеки:
- Регулярне та своєчасне оновлення програмного забезпечення та операційних систем, а також всіх компонентів мережевої інфраструктури, включаючи прошивки пристроїв.
- Обов'язкове впровадження багатофакторної автентифікації (MFA) для всіх облікових записів, особливо для привілейованих та віддаленого доступу.
- Проведення постійного навчання персоналу з питань кібергігієни та розпізнавання фішингових атак, включаючи симуляції та тестування.
- Впровадження принципів найменших привілеїв та сегментації мережі для обмеження горизонтального переміщення зловмисників у разі компрометації.
- Регулярне резервне копіювання критично важливих даних та тестування планів відновлення після інцидентів для забезпечення безперервності бізнесу.
- Постійний моніторинг мережевого трафіку та системних журналів для раннього виявлення аномалій та підозрілої активності.