Google ‎начала‏ ‎внедрять квантово-устойчивые ‎алгоритмы ‎шифрования ‎ключей, ‎в‏ ‎том ‎числе‏ ‎гибридный‏ ‎механизм ‎инкапсуляции ‎(key‏ ‎encapsulation ‎mechanism)‏ ‎для ‎защиты ‎обмена ‎секретами‏ ‎симметричного‏ ‎шифрования ‎при‏ ‎установлении ‎безопасных‏ ‎сетевых ‎TLS-соединений. ‎Он ‎появится ‎в‏ ‎браузере‏ ‎Google ‎Chrome‏ ‎версии ‎116.

Chrome‏ ‎начнет ‎поддерживать ‎X25519Kyber768 ‎для ‎создания‏ ‎симметричных‏ ‎секретов‏ ‎в ‎TLS.‏ ‎Этот ‎гибридный‏ ‎механизм ‎объединяет‏ ‎выходные‏ ‎данные ‎двух‏ ‎криптографических ‎алгоритмов ‎для ‎создания ‎сеансового‏ ‎ключа:

• X25519 ‎—‏ ‎алгоритм‏ ‎эллиптической ‎кривой, ‎широко‏ ‎используемый ‎для‏ ‎согласования ‎ключей ‎в ‎TLS,
• Kyber-768‏ ‎—‏ ‎квантово-устойчивый ‎метод‏ ‎инкапсуляции ‎ключей.

KEM‏ ‎позволяет ‎двум ‎сторонам ‎установить ‎общий‏ ‎секретный‏ ‎ключ ‎с‏ ‎помощью ‎общедоступного‏ ‎канала. ‎Алгоритм ‎внедряют ‎на ‎серверы‏ ‎Google‏ ‎как‏ ‎по ‎TCP,‏ ‎так ‎и‏ ‎по ‎QUIC,‏ ‎чтобы‏ ‎отслеживать ‎возможные‏ ‎проблемы ‎совместимости.

Гибридная ‎схема ‎KEM ‎добавляет‏ ‎более ‎килобайта‏ ‎дополнительных‏ ‎данных ‎к ‎сообщению‏ ‎TLS ‎ClientHello.‏ ‎Администраторы ‎могут ‎отключить ‎X25519Kyber768‏ ‎в‏ ‎Chrome ‎с‏ ‎помощью ‎корпоративной‏ ‎политики ‎PostQuantumKeyAgreementEnabled. ‎Она ‎будет ‎предлагаться‏ ‎только‏ ‎в ‎качестве‏ ‎временной ‎меры.

В‏ ‎2022 ‎году ‎Национальный ‎институт ‎стандартов‏ ‎и‏ ‎технологий‏ ‎США ‎(NIST)‏ ‎объявил победителей ‎конкурса‏ ‎устойчивых ‎к‏ ‎атакам‏ ‎криптоалгоритмов. ‎Победителями‏ ‎стали ‎CRYSTALS-Kyber, ‎BIKE, ‎Classic ‎McEliece,‏ ‎HQC ‎и‏ ‎SIKE.

В ‎отчете‏ ‎Google ‎Mandiant, ‎подробно ‎описанном ‎в‏ ‎M-Trends ‎2024,‏ ‎подчеркивается‏ ‎значительное ‎сокращение ‎времени,‏ ‎необходимого ‎организациям‏ ‎для ‎обнаружения ‎кибератак, ‎что‏ ‎свидетельствует‏ ‎о ‎заметном‏ ‎улучшении ‎защиты‏ ‎от ‎кибербезопасности ‎во ‎всем ‎мире.‏ ‎Это‏ ‎дает ‎неоднозначный,‏ ‎но ‎осторожно‏ ‎оптимистичный ‎взгляд ‎на ‎текущее ‎состояние‏ ‎кибербезопасности.

Сокращение‏ ‎среднего‏ ‎времени ‎ожидания

Глобальное‏ ‎среднее ‎время‏ ‎ожидания, ‎которое‏ ‎измеряет‏ ‎среднюю ‎продолжительность‏ ‎пребывания ‎злоумышленников ‎незамеченными ‎в ‎сети,‏ ‎снизилось ‎до‏ ‎самого‏ ‎низкого ‎уровня ‎более‏ ‎чем ‎за‏ ‎десятилетие. ‎В ‎2023 ‎году‏ ‎этот‏ ‎показатель ‎составил‏ ‎10 ‎дней‏ ‎по ‎сравнению ‎с ‎16 ‎днями‏ ‎в‏ ‎2022 ‎году‏ ‎и ‎был‏ ‎значительно ‎ниже ‎показателя ‎в ‎78‏ ‎дней,‏ ‎наблюдавшегося‏ ‎шесть ‎лет‏ ‎назад

Увеличение ‎числа‏ ‎обнаруживаемых ‎программ-вымогателей

В‏ ‎отчете‏ ‎частично ‎объясняется‏ ‎сокращение ‎времени ‎ожидания ‎из-за ‎увеличения‏ ‎числа ‎инцидентов‏ ‎с‏ ‎программами-вымогателями, ‎которые, ‎как‏ ‎правило, ‎легче‏ ‎обнаружить ‎из-за ‎их ‎разрушительного‏ ‎характера.‏ ‎В ‎2023‏ ‎году ‎доля‏ ‎вторжений, ‎связанных ‎с ‎программами-вымогателями, ‎составила‏ ‎23%‏ ‎от ‎общего‏ ‎числа, ‎по‏ ‎сравнению ‎с ‎18% ‎в ‎2022‏ ‎году.‏ ‎Такие‏ ‎инциденты, ‎как‏ ‎правило, ‎выявляются‏ ‎быстрее: ‎программа-вымогатель‏ ‎обнаруживается‏ ‎примерно ‎через‏ ‎шесть ‎дней, ‎когда ‎уведомление ‎поступает‏ ‎из ‎внутреннего‏ ‎источника,‏ ‎и ‎через ‎пять‏ ‎дней ‎—‏ ‎при ‎получении ‎внешних ‎уведомлений

Улучшение‏ ‎возможностей‏ ‎внутреннего ‎обнаружения

Способность‏ ‎организаций ‎выявлять‏ ‎взломы ‎внутри ‎компании ‎заметно ‎улучшилась.‏ ‎В‏ ‎2023 ‎году‏ ‎46% ‎вторжений‏ ‎были ‎обнаружены ‎внутри ‎компании, ‎по‏ ‎сравнению‏ ‎с‏ ‎37% ‎в‏ ‎2022 ‎году.‏ ‎Это ‎говорит‏ ‎о‏ ‎том, ‎что‏ ‎инвестиции ‎в ‎инструменты ‎кибербезопасности ‎и‏ ‎обучение ‎приносят‏ ‎положительные‏ ‎результаты.

Географические ‎и ‎отраслевые‏ ‎различия

📌Хотя ‎глобальная‏ ‎тенденция ‎показывает ‎улучшение, ‎не‏ ‎во‏ ‎всех ‎регионах‏ ‎наблюдается ‎одинаковый‏ ‎прогресс. ‎Например, ‎в ‎организациях ‎Азиатско-Тихоокеанского‏ ‎региона‏ ‎среднее ‎время‏ ‎ожидания ‎значительно‏ ‎сократилось ‎до ‎девяти ‎дней, ‎в‏ ‎то‏ ‎время‏ ‎как ‎в‏ ‎Европе, ‎на‏ ‎Ближнем ‎Востоке‏ ‎и‏ ‎в ‎Африке‏ ‎среднее ‎время ‎ожидания ‎немного ‎увеличилось

📌Финансовые‏ ‎услуги, ‎бизнес‏ ‎и‏ ‎профессиональные ‎услуги, ‎высокие‏ ‎технологии, ‎розничная‏ ‎торговля, ‎гостиничный ‎бизнес ‎и‏ ‎здравоохранение‏ ‎были ‎определены‏ ‎в ‎качестве‏ ‎наиболее ‎уязвимых ‎секторов ‎для ‎кибератак,‏ ‎в‏ ‎первую ‎очередь‏ ‎из-за ‎конфиденциального‏ ‎характера ‎обрабатываемых ‎ими ‎данных

Меняющаяся ‎тактика‏ ‎борьбы‏ ‎с‏ ‎угрозами

📌В ‎отчете‏ ‎также ‎отмечается‏ ‎изменение ‎тактики‏ ‎злоумышленников,‏ ‎которые ‎уделяют‏ ‎больше ‎внимания ‎методам ‎предотвращения ‎обнаружения.‏ ‎Кибератаки ‎все‏ ‎чаще‏ ‎нацелены ‎на ‎современные‏ ‎устройства ‎и‏ ‎используют ‎уязвимости ‎нулевого ‎дня,‏ ‎чтобы‏ ‎оставаться ‎незамеченными‏ ‎в ‎сетях‏ ‎в ‎течение ‎длительного ‎времени

📌Активизировалась ‎шпионская‏ ‎деятельность,‏ ‎особенно ‎со‏ ‎стороны ‎групп,‏ ‎предположительно ‎связанных ‎с ‎Китаем, ‎которые‏ ‎сосредоточились‏ ‎на‏ ‎разработке ‎уязвимостей‏ ‎нулевого ‎дня‏ ‎и ‎нацелены‏ ‎на‏ ‎платформы ‎с‏ ‎минимальными ‎мерами ‎безопасности

Проблемы ‎и ‎рекомендации

📌 Несмотря‏ ‎на ‎улучшения,‏ ‎в‏ ‎отчете ‎подчеркиваются ‎сохраняющиеся‏ ‎проблемы ‎в‏ ‎области ‎кибербезопасности. ‎Злоумышленники ‎быстро‏ ‎адаптируются,‏ ‎используя ‎сложные‏ ‎методы, ‎такие‏ ‎как ‎тактика ‎LOTL ‎и ‎эксплойты‏ ‎нулевого‏ ‎дня

📌Компания ‎Mandiant‏ ‎подчеркивает ‎важность‏ ‎надежных ‎стратегий ‎обеспечения ‎безопасности, ‎которые‏ ‎включают‏ ‎эффективные‏ ‎программы ‎поиска‏ ‎угроз, ‎а‏ ‎также ‎всесторонние‏ ‎расследования‏ ‎и ‎меры‏ ‎по ‎устранению ‎последствий ‎нарушений

The ‎Google‏ ‎Mandiant ‎report, ‎as ‎detailed ‎in‏ ‎the ‎M-Trends‏ ‎2024,‏ ‎highlights ‎a ‎significant‏ ‎reduction ‎in‏ ‎the ‎time ‎it ‎takes‏ ‎for‏ ‎organizations ‎to‏ ‎detect ‎cyber‏ ‎intrusions, ‎marking ‎a ‎notable ‎improvement‏ ‎in‏ ‎cybersecurity ‎defenses‏ ‎globally. ‎It‏ ‎provides ‎a ‎mixed ‎but ‎cautiously‏ ‎optimistic‏ ‎view‏ ‎of ‎the‏ ‎current ‎state‏ ‎of ‎cybersecurity.

Reduction‏ ‎in‏ ‎Median ‎Dwell‏ ‎Time

The ‎global ‎median ‎dwell ‎time,‏ ‎which ‎measures‏ ‎the‏ ‎average ‎duration ‎attackers‏ ‎remain ‎undetected‏ ‎within ‎a ‎network, ‎has‏ ‎decreased‏ ‎to ‎its‏ ‎lowest ‎point‏ ‎in ‎over ‎a ‎decade. ‎In‏ ‎2023,‏ ‎this ‎figure‏ ‎was ‎recorded‏ ‎at ‎10 ‎days, ‎down ‎from‏ ‎16‏ ‎days‏ ‎in ‎2022,‏ ‎and ‎significantly‏ ‎lower ‎than‏ ‎the‏ ‎78 ‎days‏ ‎observed ‎six ‎years ‎ago

Increase ‎in‏ ‎Ransomware ‎Detection

The‏ ‎report‏ ‎attributes ‎part ‎of‏ ‎the ‎reduction‏ ‎in ‎dwell ‎time ‎to‏ ‎an‏ ‎increase ‎in‏ ‎ransomware ‎incidents,‏ ‎which ‎are ‎typically ‎easier ‎to‏ ‎detect‏ ‎due ‎to‏ ‎their ‎disruptive‏ ‎nature. ‎Ransomware-related ‎intrusions ‎accounted ‎for‏ ‎23%‏ ‎of‏ ‎the ‎total‏ ‎in ‎2023,‏ ‎up ‎from‏ ‎18%‏ ‎in ‎2022.‏ ‎These ‎incidents ‎are ‎generally ‎identified‏ ‎more ‎quickly,‏ ‎with‏ ‎ransomware ‎being ‎detected‏ ‎in ‎about‏ ‎six ‎days ‎when ‎the‏ ‎notification‏ ‎comes ‎from‏ ‎an ‎internal‏ ‎source, ‎and ‎in ‎five ‎days‏ ‎from‏ ‎external ‎notifications

Improvement‏ ‎in ‎Internal‏ ‎Detection ‎Capabilities

There ‎has ‎been ‎a‏ ‎notable‏ ‎improvement‏ ‎in ‎the‏ ‎ability ‎of‏ ‎organizations ‎to‏ ‎detect‏ ‎compromises ‎internally.‏ ‎In ‎2023, ‎46% ‎of ‎intrusions‏ ‎were ‎detected‏ ‎internally,‏ ‎up ‎from ‎37%‏ ‎in ‎2022.‏ ‎This ‎suggests ‎that ‎investments‏ ‎in‏ ‎cybersecurity ‎tools‏ ‎and ‎training‏ ‎are ‎yielding ‎positive ‎results.

Geographic ‎and‏ ‎Sectoral‏ ‎Variations

📌While ‎the‏ ‎global ‎trend‏ ‎shows ‎improvement, ‎not ‎all ‎regions‏ ‎experienced‏ ‎the‏ ‎same ‎level‏ ‎of ‎progress.‏ ‎For ‎instance,‏ ‎organizations‏ ‎in ‎the‏ ‎Asia-Pacific ‎region ‎saw ‎a ‎dramatic‏ ‎decrease ‎in‏ ‎median‏ ‎dwell ‎time ‎to‏ ‎nine ‎days,‏ ‎whereas ‎in ‎Europe, ‎the‏ ‎Middle‏ ‎East, ‎and‏ ‎Africa, ‎the‏ ‎median ‎dwell ‎time ‎slightly ‎increased

📌Financial‏ ‎services,‏ ‎business ‎and‏ ‎professional ‎services,‏ ‎high ‎technology, ‎retail ‎and ‎hospitality,‏ ‎and‏ ‎health‏ ‎sectors ‎were‏ ‎identified ‎as‏ ‎the ‎most‏ ‎targeted‏ ‎by ‎cyber‏ ‎attackers, ‎primarily ‎due ‎to ‎the‏ ‎sensitive ‎nature‏ ‎of‏ ‎the ‎data ‎they‏ ‎handle

Evolving ‎Threat‏ ‎Tactics

📌The ‎report ‎also ‎highlights‏ ‎a‏ ‎shift ‎in‏ ‎attacker ‎tactics,‏ ‎with ‎an ‎increased ‎focus ‎on‏ ‎evasion‏ ‎techniques. ‎Cyber‏ ‎attackers ‎are‏ ‎increasingly ‎targeting ‎edge ‎devices ‎and‏ ‎exploiting‏ ‎zero-day‏ ‎vulnerabilities ‎to‏ ‎maintain ‎their‏ ‎presence ‎undetected‏ ‎within‏ ‎networks ‎for‏ ‎extended ‎periods

📌Espionage ‎activities, ‎particularly ‎by‏ ‎groups ‎allegedly‏ ‎linked‏ ‎to ‎China, ‎have‏ ‎intensified, ‎with‏ ‎these ‎groups ‎focusing ‎on‏ ‎acquiring‏ ‎zero-day ‎exploits‏ ‎and ‎targeting‏ ‎platforms ‎with ‎minimal ‎security ‎measures

Challenges‏ ‎and‏ ‎Recommendations

📌Despite ‎the‏ ‎improvements, ‎the‏ ‎report ‎underscores ‎the ‎ongoing ‎challenges‏ ‎in‏ ‎cybersecurity.‏ ‎Attackers ‎are‏ ‎adapting ‎quickly,‏ ‎utilizing ‎sophisticated‏ ‎methods‏ ‎such ‎as‏ ‎«living ‎off ‎the ‎land» ‎tactics‏ ‎and ‎zero-day‏ ‎exploits

📌Mandiant‏ ‎emphasizes ‎the ‎importance‏ ‎of ‎robust‏ ‎security ‎strategies ‎that ‎include‏ ‎effective‏ ‎threat ‎hunting‏ ‎programs ‎and‏ ‎comprehensive ‎investigations ‎and ‎remediations ‎following‏ ‎breaches