Nová bezpečnostní mezera

Dispositivos edge: la nueva brecha de la seguridad empresarial 3 — **^{Eusebio Nieva, technický ředitel softwaru Check Point pro Španělsko a Portugalsko}**

Edge -roupters, Firewalls, VPNS – se staly prioritními cíli pro kybernetické zločince. To, co dříve bylo taktikou státních aktérů, kteří se skryti infiltrovali, je dnes také územím trestních skupin, které hledají ekonomické výhody. V kontextu, kde je konektivita klíčem k obchodním operacím, představují tato zařízení (často podceňovaná) kritické vstupní dveře a často nechráněné.

Její přitažlivost je, že ve srovnání s jinými oblastmi systému obvykle mají nižší kontroly zabezpečení. Kromě toho je složité používat záplaty nebo aktualizace bez generování viditelných přerušení služeb, které často zpožďují údržbu. Tato situace z nich činí ideálním cílem pro směrované útoky.

Jednou z nejvíce znepokojivějších taktik je vytvoření operačních reléových boxů (Orbs), okrajových zařízení ohrožených a znovu použity jako anonymita a komunikační infrastruktura útočníků. Tyto inteligentní mola působí jako mosty mezi sítěmi operačních technologií (OT) a IT prostředími a plní klíčovou roli v průmyslové automatizaci. Představují však také kritické kontrolní body: angažovaná Orb může být použita k pohybu laterálně prostřednictvím sítě, citlivé informace na exfraktu nebo dokonce sabotážní procesy.

Nová slabý bod sítí

V loňském roce bylo pozorováno jasné zvýšení využívání zranitelnosti v tomto typu zařízení. Případy, jako jsou případy Ivanti Connect Secure a Pan -oS GlobalProtect, které představovaly selhání, které umožňovaly vzdálené provádění kódu a úniky multifaktorové autentizace, byly použity jak ransomware skupiny, tak státními aktéry. Dilema pro společnosti je jasné: Oprava znamená operační riziko, ale neznamená to přímé expozice.

Kromě dobře známých exploitů se skupiny jako Magnet Goblin, detekované v roce 2024, specializují na využívání nově publikovaných zranitelnosti na široce používaných okrajových zařízeních, jako je Ivanti VPN. Tato skupina používá nástroje, jako je Nerbianrat, multiplatform Remote Access Trojan, k infiltru sítí a zobrazení personalizovaného malwaru. Jeho schopnost rychle jednat po zveřejnění zranitelnosti prokazuje změnu strategie mezi kybernetickými zločinci, která se stále více zaměřuje na složky kritické infrastruktury.

Hranová zařízení se stala prioritními cíli pro kybernetické zločince: Co bylo dříve taktikou státních aktérů, aby infiltrovali skryté, dnes je také území zločineckých skupin, které hledají ekonomické výhody

„Inteligentní“ koule, s kapacitou uplatňovat zásady, organizovat pracovní postupy nebo údaje o předběžném procesu, jsou ještě atraktivnější. Jejich ústřední role jim dává úplnou viditelnost provozu, který cirkuluje mezi systémy. Pokud spadají do nesprávných rukou, útočníci mohou manipulovat s hodnotami senzorů, měnit klíčové procesy nebo se otáčet směrem k jádru sítě, to vše bez detekování.

Tento trend není omezen na organizovaný zločin. Skupiny sponzorované státy nadále fungují s vysokou úrovní sofistikovanosti. Kampaň Arcanedor, zaměřená na zařízení Cisco ASA, umožnila svým útočníkům infiltrovat vládní a průmyslové sítě za účelem

prodloužená špionáž. Podobně Pacifik RIM, připisovaný čínským aktérům, explodoval selhání ve firewallech SoFos, aby vytvořil tajné koule sítí, které jsou schopny udržovat příkazové a kontrolní kanály (C2) nedetekovatelné po dlouhou dobu. Techniky, jako je použití rootkitů a falešných aktualizací, jim umožnily udržovat přístup bez zdvihu.

Na druhé straně zůstávají tradiční hrozby, jako jsou útoky DDOS, aktivní. V roce 2024 Cloudflare zmírnil největší útok na odmítnutí v historii, který byl spuštěn z tisíců kompromitovaných okrajových zařízení (směrovače Mikrotik, webové servery, DVR atd.). Mnoho z nich bylo porušeno tím, že nepoužily základní záplaty. Botnety, jako je Raptor Train nebo Faceless, používají decentralizovanou infrastrukturu C2, která se pohybuje mezi kompromitovanými zařízeními, aby se zabránilo detekci, což jim umožňuje udržovat přístup k kritickým sítím týdny nebo dokonce měsíce. Některé slané oblečení, jako je TheMono, používají pokročilé vyhýbavé techniky, provádějí pouze v paměti a neustále se mění IP.

V tomto novém scénáři již Edge zařízení již nejsou sekundární součástí. Jak se útoky zvyšují, potřeba chránit tyto vstupní body je naléhavá. Organizace musí přijmout okamžitá opatření: Posílit autentizaci, aplikovat segmentaci sítě, nepřetržitě provádět analýzu zranitelnosti a bez prodlení spravovat záplaty. Ignorovat bezpečnost na okraji může otevřít dveře útokům, které se dostanou k srdci podnikání.