Топ киберугроз этого года, о которых нужно знать каждому CISO.
Каждым летом в американском Лас-Вегасе проходит целый ряд крупнейших конференций по кибербезопасности, среди которых особое место занимает легендарная Black Hat.
Мероприятие традиционно становится площадкой для анонса и обсуждения самых актуальных киберугроз. Каждый год исследователи рассказывают о найденных уязвимостях в популярных технологиях и сервисах. Эти открытия неизменно заставляют многочисленных руководителей информационной безопасности (CISO) задуматься о рисках для своих компаний.
На Black Hat 2023 эксперты представили множество любопытных исследований и вот четыре самых опасных и громких уязвимостей, выявленных в этом году в сфере информационной безопасности.
Как и ожидалось, тема ИИ стала одной из доминирующих на Black Hat в этом году. Основатель конференции Джефф Мосс открыл мероприятие ключевым докладом, посвящённым рискам и возможностям искусственного интеллекта.
Особое внимание экспертов привлекла проблема безопасности облачных сервисов ИИ. Так, компания Trend Micro представила доклад об обнаруженных уязвимостях в Azure ML — платформе машинного обучения от Microsoft.
По словам старшего исследователя Trend Micro Нитеша Сураны, эти баги могут привести к крупной утечке учётных данных и раскрытию API, что грозит также утечкой внутренних журналов (логов) сервиса.
По мнению Сураны, найденные проблемы в Azure ML указывают на потенциальные риски и для других платформ MLaaS. «Базовые вопросы безопасности логирования, хранения конфиденциальных данных, раскрытия чувствительной информации и возможных механизмов закрепления в системе потенциально могут касаться и других облачных сервисов MLaaS», — пояснил эксперт.
Выявленные Trend Micro уязвимости уже устранены корпорацией Microsoft. Однако Сурана считает, что провайдерам облачных сервисов в целом не хватает прозрачности в вопросах кибербезопасности.
Ещё одной горячей темой конференции стали уязвимости облачных платформ. Отдельный доклад был посвящён ошибке конфигурации в Azure Active Directory, позволяющей злоумышленникам получить несанкционированный доступ к клиентским системам.
Этот новый вектор атак был впервые обнаружен в марте этого года исследовательской командой платформы облачной безопасности Wiz, которая подробно описала свои находки в наглядном отчёте.
Специалисты Wiz выявили уязвимости, затрагивающие ряд приложений Microsoft, включая систему управления контентом Bing.com. По их данным, проблема позволяла манипулировать результатами поиска Bing и осуществлять атаки межсайтового скриптинга (XSS) на пользователей этого сервиса.
Корпорация Microsoft оперативно устранила ошибку в настройках авторизации и выпустила рекомендации по безопасности для своих клиентов.
На конференции выступили исследователи компании Onapsis, которая специализируется на кибербезопасности и соответствии нормативам. Они рассказали о проблемах безопасности в программном обеспечении SAP P4/RMI, которые теоретически могут быть использованы для удалённого доступа в корпоративных системах SAP.
По словам докладчиков, злоумышленники способны комбинировать на первый взгляд совсем несерьёзные уязвимости, чтобы усилить воздействие атаки. И это даёт свои плоды.
«В большинстве случаев наиболее вероятный риск — это боковое перемещение и эскалация привилегий атакующими, уже получившими определённый доступ к целевой сети с использованием SAP P4, поскольку эти продукты обычно недоступны напрямую из интернета, — пояснил Олег Колесников из Securonix.
«В число ключевых сценариев атак в таком контексте может входить внутренний RCE, SQL-инъекции и утечка паролей», — добавил исследователь, отметив отдельно, что CISO определённо должны отнестись к этой проблеме со всей серьёзностью.
Старший научный сотрудник Google Даниэль Могими выступил с докладом об уязвимости Downfall, способной затронуть процессоры Intel. Эта ошибка допускает случайную утечку данных и потенциально представляет опасность для миллиардов устройств.
Корпорация Intel уже выпустила патч, однако для решения проблемы в корне может потребоваться модифицировать архитектуру процессоров в будущем.
По словам Ричарда Виберта, сооснователя и CEO компании Metomic, занимающейся DLP-решениями, ошибка Downfall открывает злоумышленникам возможность атаковать уязвимости ПО на процессорах Intel, используя всего одну инструкцию.
Эксперты считают, что пока Downfall остаётся в сфере теоретических угроз. Использование подобных ошибок на уровне ЦП, как Downfall, Spectre, Meltdown, в реальных атаках требует определённого предварительного доступа к системе и немалых заморочек. Тем не менее, с технической точки зрения такие атаки реальны и крайне опасны.
Подводя итог, можно констатировать, что уязвимости в информационной безопасности — это реальность, с которой приходится считаться всем компаниям.
Конференции вроде Black Hat помогают CISO быть в курсе новейших киберугроз и находить эффективные решения для снижения рисков. Однако в конечном счёте ответственность за защиту корпоративных данных лежит на самих организациях.
Руководители ИБ-подразделений должны комплексно подходить к вопросам кибербезопасности, проводить регулярные проверки и аудиты, обеспечивать непрерывное обучение сотрудников, не забывая следить за последними новостями отрасли.
Только так можно минимизировать ущерб от потенциальных инцидентов и сохранить доверие клиентов.
Гравитация научных фактов сильнее, чем вы думаете