News Pricer.lt

Paaiškinkite: kokie yra dažniausiai pasitaikantys kibernetinių atakų tipai?

Explainer: What are the most common types of cyberattack?

Iki 2027 m. kibernetinio saugumo rinka bus verta 290 mlrd.

Kadangi kibernetinės atakos gali sustabdyti verslą, o atakų plotas nuolat auga, įmonės turi sutelkti dėmesį į kibernetinio saugumo ir atsparumo didinimą, kad galėtų naršyti besikeičiančiame grėsmių pasaulyje.

Sausio mėnesį paskelbtoje metinėje kibernetinių atakų apžvalgoje grėsmių žvalgybos tyrėjas Check Point nustatė, kad organizacijos visame pasaulyje 2023 m. patyrė vidutiniškai 1 158 savaitines kibernetines atakas, ty 1 % daugiau nei 2022 m.

Naudokitės „GlobalData“ giliau

Duomenų įžvalgos

Auksinis verslo žvalgybos standartas.

Sužinoti daugiau

Tuo tarpu balandžio mėn. buvo atskleista, kad pusė JK įmonių (50 %), 70 % vidutinio dydžio įmonių (70 %) ir beveik trys ketvirtadaliai didelių įmonių (74 %) patyrė tam tikrą kibernetinę ataką. pastaruosius 12 mėnesių .

Realus poveikis, kurį gali sukelti kibernetinės atakos, neseniai buvo pabrėžtas, kai kibernetinė ataka prieš patologijos paslaugų teikėją Synnovis pristabdė kai kurias JK ligonines.

Kibernetinių atakų skirstymas į kategorijas

Kibernetinės atakos gali būti suskirstytos į tikslines ir netikslines atakas. Kaip rodo terminai, tikslinės atakos yra nukreiptos į konkrečią instituciją. Netikslinėmis atakomis bandoma nusitaikyti į kuo daugiau įrenginių ar tinklų, kad padidėtų sėkmės tikimybė.

Kaip iš tikrųjų gerai pažįstate savo konkurentus?

Pasiekite išsamiausius įmonių profilius rinkoje, kuriuos palaiko „GlobalData“. Sutaupykite tyrimų valandų. Įgykite konkurencinį pranašumą.

Įmonės profilis – nemokamas pavyzdys

Ačiū!

Netrukus gausite atsisiuntimo el. laišką

Dar nepasiruošę pirkti? Atsisiųskite nemokamą pavyzdį

Esame tikri dėl unikalios mūsų įmonės profilių kokybės. Tačiau norime, kad priimtumėte savo verslui naudingiausią sprendimą, todėl siūlome nemokamą pavyzdį, kurį galite atsisiųsti pateikę žemiau esančią formą

„GlobalData“ Pažymėkite čia, kad atsisakytumėte kuruojamų pramonės naujienų, ataskaitų ir įvykių atnaujinimų iš „Just Food“. Apsilankykite mūsų privatumo politikoje, jei norite gauti daugiau informacijos apie mūsų paslaugas, kaip galime naudoti, apdoroti ir dalytis jūsų asmens duomenimis, įskaitant informaciją apie jūsų teises, susijusias su jūsų asmens duomenimis, ir kaip galite atsisakyti būsimų rinkodaros pranešimų. Mūsų paslaugos yra skirtos verslo abonentams ir jūs garantuojate, kad pateiktas el. pašto adresas yra jūsų įmonės el. pašto adresas.

Kibernetinių atakų motyvai gali būti finansiniai, orientuoti į duomenis arba turto prievartavimas. „Hacktivistai“ nori sulaukti dėmesio savo reikalams, o teroristai siekia sutrikdyti ar sugadinti ypatingos svarbos infrastruktūros turtą arba tikslų pramoninį šnipinėjimą. Kiti grėsmės veikėjai gali būti nacionalinės valstybės ir nepatenkinti darbuotojai ar klientai.

Remiantis naujausia „GlobalData“ kibernetinio saugumo ataskaita , netikslios atakos dažniausiai pasireiškia sukčiavimu, kenkėjiškomis programomis, „vandens skylutėmis“ arba „zero-day“ išnaudojimais, o tikslinės atakos dažniausiai yra sukčiavimo „spear-phishing“ atakos, paskirstytos paslaugų atsisakymo (DDoS) atakos ir tiekimo grandinės atakos.

Netikslus

Sukčiavimas: apgaulingų pranešimų siuntimas dideliam skaičiui žmonių, prašant neskelbtinos informacijos, pvz., banko duomenų, arba skatinant juos apsilankyti netikroje svetainėje. Sukčiavimas ir toliau yra populiarus dėl savo paprastumo ir efektyvumo. Tai nukreipta į silpniausią saugos grandinės grandį: vartotoją. Sukčiautojai dažniausiai apsimetė patikimais subjektais.

Kenkėjiška programinė įranga: šis terminas, sutrumpintas iš kenkėjiškos programinės įrangos, reiškia bet kokią kibernetinių nusikaltėlių sukurtą programinę įrangą, skirtą pavogti duomenis ir sugadinti ar sunaikinti kompiuterius bei kompiuterių sistemas. Įprastų kenkėjiškų programų pavyzdžiai yra virusai, kirminai, šnipinėjimo programos, reklaminės programos ir išpirkos reikalaujančios programos.

Vandens skylė: reiškia suklastotos svetainės sukūrimą arba teisėtos svetainės sukompromitavimą, siekiant išnaudoti apsilankiusius naudotojus.

Nulinės dienos išnaudojimai: atakos, nukreiptos į saugos trūkumą, apie kurią anksčiau nežinojo programinės įrangos pardavėjas arba saugos teikėjas. Paprastai užpuolikas tikrina sistemą, kol aptinka pažeidžiamumą. Jei apie tai niekada nebuvo pranešta, tai yra nulinės dienos trūkumas, nes kūrėjai turėjo nulį dienų jį ištaisyti. Saugos trūkumas yra nulinės dienos išnaudojimas, dėl kurio dažnai pažeidžiama tikslinė sistema. Nulinės dienos pažeidžiamumai gali egzistuoti daugelį metų, kol jie bus aptikti.

Tiksliniai

Sukčiavimo sukčiavimo ataka : pranešimų siuntimas tiksliniams asmenims su priedu, kuriame yra kenkėjiška programinė įranga, arba nuoroda, kuria atsisiunčiama kenkėjiška programinė įranga.

DDoS ataka: koordinuota ataka, kurios metu keli robotų tinkle sujungti įrenginiai, paprastai užkrėsti kenkėjiška programine įranga arba kitaip pažeisti, kad galėtų juos įtraukti į ataką, užtvindo tinklą, serverį ar svetainę duomenimis, todėl jis sugenda.

Tiekimo grandinės ataka: ataka, kurios metu grėsmės veikėjai pažeidžia įmonių tinklus naudodami prijungtas programas arba paslaugas, priklausančias arba naudojamas išorės partneriams, pvz., tiekėjams. Išorinis tiekėjas jau įgijo teisę naudoti ir manipuliuoti įmonės tinklu, programomis ar neskelbtinais duomenimis, todėl užpuolikui tereikia įsiskverbti į trečiosios šalies apsaugą arba užprogramuoti tiekėjo siūlomo sprendimo spragą, kad įsiskverbtų į sistemą.

Pramonės įžvalgos

Kalbėdamas su „Just Food“ seserine svetaine „Verdict “, minios saugos platformos „Bugcrowd“ generalinis direktorius Dave'as Gerry sako, kad įmonė per pastaruosius metus pastebėjo, kad sėkmingiausi įsilaužėliai daugiausia dėmesio skyrė leidimais pagrįstoms atakoms.

„Skirtingai nuo autentifikavimo pažeidžiamumo, kuris gali būti susijęs su apsimetinėjimu vartotoju arba kredencialų vagyste, autorizavimo problemos kyla po to, kai vartotojas yra autentifikuotas, tačiau gali atlikti neleistinus veiksmus“, – aiškina jis.

„Dėl jų sudėtingumo šiuos pažeidžiamumus yra sunkiausiai aptikti. Leisti įsilaužėliams apie juos pranešti ir pasiūlyti kompensaciją yra labai svarbūs norint išlaikyti brandžią saugumo poziciją.

Kitur NetScout pagrindinis grėsmių analitikas Filippo Vitale teigia, kad nuo 2022 m. pradžios priešininkai krypo į taikomųjų sluoksnių ir tiesioginio kelio atakas. Jis pridūrė, kad DDoS atakose „dabar daugiausia naudojami tiesioginio kelio vektoriai, nes vis daugiau paslaugų teikėjų taiko apsaugos nuo sukčiavimo metodus, tokius kaip šaltinio adreso patvirtinimas“.

Edas Williamsas, „Trustwave“ viceprezidentas konsultacijoms ir profesionalioms paslaugoms EMEA, pažymi, kad daugelį kibernetinių atakų galima suskirstyti į fazes, o pirmasis etapas įsitvirtina.

Paaiškindamas, kad žūklės povandeninės žūklės nuorodos, galiojančios sąskaitos ir išorinės nuotolinės paslaugos sudaro maždaug 90 % pradinio įsitvirtinimo etapo, jis komentuoja: „Jei organizacijoms pavyktų visiškai išnaikinti ir valdyti šį etapą, manau, kad sumažėtų bendras sėkmingų atakų skaičius. Nors reikėtų pasakyti, kad tai sudėtingos problemos, kurias sunku išspręsti sudėtingose ir vis didėjančiose aplinkose.

Atsižvelgdamas į vis sudėtingesnę kibernetinio saugumo aplinką, Williamsas perspėjo: „Kasmetinių 20 minučių trukmės kibernetinio sąmoningumo ugdymo mokymų nebepakanka“, pridūrė, kad reikia daugiau specialių įrankių ir mokymų.

Kibernetinis reguliavimas

Tobulėjant kibernetinių grėsmių aplinkai, keičiasi ir reguliavimo aplinka. Naujausia naujovė yra NIS2 direktyva – visos ES teisės aktas, kuriuo siekiama padidinti bendrą kibernetinio saugumo lygį. 2023 m. priimtas priemones ES valstybės narės turi įgyvendinti iki 2024 m. spalio mėn.

Direktyva siekiama tinkamai aprūpinti valstybes nares kibernetinėms atakoms, taip pat palengvinti bendradarbiavimą ginantis nuo atakų visoje ES. Be to, ES kibernetinio atsparumo akte (CRA) buvo aptarti galimi kibernetinių nusikaltėlių patekimo į aparatinę ir programinę įrangą taškai, ypatingą dėmesį skiriant daiktų interneto įrenginių apsaugai.

Anksčiau kalbėdamas su Verdict , grėsmių aptikimo ir reagavimo į incidentus bendrovės „Graylog“ viceprezidentas ir EMEA vykdomasis direktorius Rossas Breweris pabrėžė, kad nors šios reguliavimo sistemos yra žingsnis teisinga linkme, jis baiminasi, kad dažnai atitikties pratybos yra traktuojamos kaip žymės langelio pratybos. sumažina reglamento veiksmingumą.

Be NIS2 ir CRA, Europos Komisija taip pat turėtų priimti reglamentų projektus, kuriais bus sukurta Europos kibernetinio saugumo sertifikavimo sistema (ECCS). Pagal šią schemą bus įvertintos IRT pagrįstų produktų ir paslaugų saugumo savybės, siekiant informuoti vartotojus apie tam tikrų produktų kibernetinio saugumo riziką.

Kitur JK ir JAV per pastaruosius porą metų sugriežtino taisykles įmonėms, kurios atskleidžia kibernetines atakas.

SEC 2023 m. pabaigoje sutvirtino naują taisyklę, pagal kurią valstybinės įmonės privalo atskleisti kibernetinio saugumo incidentus per keturias darbo dienas. Jungtinėje Karalystėje paslaugų teikėjams buvo įvestos privalomos ataskaitų teikimo prievolės, o valdomiems paslaugų teikėjams gali būti skirta 17 mln. GBP (22 mln. USD) bauda už reikalavimų nesilaikymą.

El. pašto naujienlaiškio piktograma

Registruotis Dalintis

Naujienų šaltinis

Dalintis:
0 0 balsai
Straipsnio vertinimas
guest
0 Komentarai
Seniausi
Naujausi Daugiausiai įvertinti
Inline Feedbacks
Rodyti visus komentarus

Taip pat skaitykite: