Nowa norma: prognozy Trend Micro dotyczące bezpieczeństwa na rok 2020
Rok 2020 to początek nowej dekady. Wejdą w nią też technologie cyberbezpieczeństwa. Dawno minęły te czasy, kiedy sieci firmowe były szczelnie odizolowane od świata przez zapory, a przedsiębiorstwa używały tylko ściśle wyselekcjonowanego zestawu aplikacji. Aby skutecznie działać w dzisiejszym świecie, trzeba posługiwać się szerokim wachlarzem aplikacji, usług i platform, które wymagają ochrony. Jeśli specjaliści od zabezpieczeń mają przewidywać ruchy cyberprzestępców posługujących się znanymi i nowymi technologiami oraz dotrzymać im kroku, będą musieli wykazać się wszechstronnością.
Stare metody ataku, takie jak wymuszenia, zaciemnianie i phishing, nie znikną, ale z pewnością pojawią się też nowe techniki. Na przykład rosnąca liczba wdrożeń chmurowych przyczyni się do zwiększenia liczby błędów ludzkich. Także sama ilość połączonych zasobów i infrastruktur otworzy drogę wielu zagrożeniom. Firmy będą borykać się z podobnymi problemami, grożą im ataki z użyciem nowych technologii, takie jak choćby oszustwa biznesowe z wykorzystaniem sztucznej inteligencji (AI).
Nasze prognozy związane z bezpieczeństwem na rok 2020 bazują na opiniach i analizach w zakresie rozwoju bieżących i nowych zagrożeń i technologii. W naszym raporcie opisujemy, jaki wpływ na kształt przyszłości, w której firmy będą podejmowały świadome decyzje na temat cyberbezpieczeństwa w 2020 r. i później, będzie miał postęp technologiczny oraz rozwój zagrożeń. Przyszłość wydaje się skomplikowana, najeżona niebezpieczeństwami i pełna błędów konfiguracyjnych — ale sytuacja nie wygląda beznadziejnie.
Niekompletne i naprędce przygotowane łaty to woda na młyn hakerów.
Administratorzy systemów znajdą się między młotem a kowadłem: z jednej strony będą musieli pilnować terminów, a z drugiej będzie się od nich wymagać, aby dostarczali wysokiej jakości poprawki. Niekompletne lub zawierające usterki poprawki mogą spowodować awarie i zaburzać działanie krytycznych systemów, z kolei zbyt późne wdrożenie poprawek naraża te systemy na niebezpieczeństwo. Znane są przypadki pokazujące, w jaki sposób można obejść niekompletne poprawki, aby wykorzystać luki, które miały załatać. Ponadto hakerzy będą wykorzystywać tzw. „luki poprawkowe” (patch gaps), czyli okresy od chwili naprawienia błędu w komponencie oprogramowania do jego wdrożenia w oprogramowaniu, które go używa.
Systemy bankowe znajdą się na celowniku złośliwego oprogramowania skierowanego na bankowość otwartą i bankomaty.
Złośliwe oprogramowanie skierowane na bankowość elektroniczną i systemy płatności będzie pojawiać się coraz częściej, ponieważ w Europie trwa rozkwit technik internetowych płatności mobilnych regulowanych przez dyrektywę PSD2 (Revised Payment Service Directive) Unii Europejskiej. Wdrożenie tej dyrektywy będzie miało wpływ na cyberbezpieczeństwo w branży bankowości — hakerzy będą wykorzystywać usterki w interfejsach API, jak i stosować nowe techniki phishingu.
W podziemiu wzrośnie sprzedaż złośliwego oprogramowania do bankomatów. Przewidujemy, że rodziny tego typu programów będą walczyć o dominację, konkurując między sobą na funkcje i ceny. Aktualnie w podziemiu już można kupić odmiany Cutlet Maker, Hello World i WinPot.
Kolejną techniką, która narazi firmy na oszustwa, będzie deepfake.
Twórcy deepfake — czyli tworzonych przy użyciu sztucznej inteligencji fałszywych zdjęć, filmów i nagrań dźwiękowych — nie poprzestaną na preparowaniu fałszywych filmów pornograficznych z udziałem celebrytów, lecz zaczną manipulować pracownikami firm, aby nakłonić ich do przelewania środków lub podejmowania ważnych decyzji po swojej myśli. Jako przykład może posłużyć przypadek firmy, którą podstępem nakłoniono do przelania 243 000 USD dzięki wygenerowanemu przez sztuczną inteligencję głosowi dyrektora generalnego. Technologia ta stanie się kolejną bronią w arsenale cyberprzestępców i zastąpi tradycyjne wykorzystywanie fałszywych biznesowych wiadomości e-mail (BEC). Głównym celem tego typu oszustw będą kadry najwyższego szczebla, które często wykonują rozmowy telefoniczne, uczestniczą w konferencjach, występują w telewizji oraz pojawiają się w filmach publikowanych w internecie.
Ponadto hakerzy będą wykorzystywać luki i błędy deserializacji typu „wormable”.
Zostanie ujawnionych więcej prób wykorzystania krytycznych i bardzo niebezpiecznych luk, takich jak luka typu „wormable” BlueKeep. Będą zdarzać się próby włamań do systemów przez wykorzystanie powszechnie używanych protokołów, takich jak Server Message Block (SMB) i Remote Desktop Protocol (RDP). Ten drugi już jest popularnym wektorem ataku oprogramowania ransomware.
Poważne zagrożenie, szczególnie dla bezpieczeństwa aplikacji firmowych, będą stanowić błędy i słabe punkty narzędzi do deserializacji niezaufanych danych. Zagrożenia wykorzystujące ten typ luk mogą zmieniać dane uważane za bezpieczne, co otwiera drogę do wykonywania kodu kontrolowanego przez hakera. Hakerzy raczej nie będą starali się znajdować i łączyć po kilka luk bezpieczeństwa na raz, tylko coraz częściej będą próbować wykorzystywać błędy deserializacji, aby w łatwiejszy sposób uzyskać kontrolę nad systemami nawet w złożonych środowiskach.
Urządzenia IoT będą wykorzystywane do szpiegostwa i wymuszeń.
Technologie machine learning (ML) i sztuczna inteligencja (AI) będą wykorzystywane do podsłuchiwania połączonych ze sobą urządzeń, takich jak telewizory smart i głośniki, co umożliwi szpiegowanie osób prywatnych i rozmów biznesowych, a zdobyte w ten sposób materiały będą wykorzystywane do wymuszeń i szpiegostwa korporacyjnego.
Jeśli chodzi o inne sposoby monetyzacji ataków na IoT, to cyberprzestępcy muszą jeszcze znaleźć skalowalny model biznesowy, który pozwoli im czerpać zyski z tego szerokiego pola. Jedną z głównych metod odnoszenia zysków z ataków na IoT będą cyfrowe wymuszenia. Pierwszymi ofiarami będą użytkownicy urządzeń domowych, dopiero potem nastąpi przeskok na maszyny przemysłowe — przewidujemy to na podstawie tego, co ostatnio widywaliśmy w podziemiu.
W podziemiu dalej będzie kwitł handel botnetami zdobytych urządzeń IoT, takich jak routery, oraz dostępem do strumieni z kamer internetowych i inteligentnych liczników ze zmodyfikowanym oprogramowaniem układowym.
Firmy wdrażające sieć 5G będą mierzyć się z zagrożeniami związanymi z przejściem na sieci oparte na oprogramowaniu.
Pełne wdrożenie technologii 5G w 2020 r. będzie wiązało się z powstaniem nowych wyzwań: pojawią się luki bezpieczeństwa typowe dla nowych technologii i wynikające z braku przygotowania dostawców na zagrożenia, które mogą je wykorzystywać. Jako że sieci 5G są oparte na oprogramowaniu, dotyczące ich zagrożenia będą bazowały na lukach tego oprogramowania i rozproszonej topologii. Haker, który zdoła przejąć kontrolę nad oprogramowaniem obsługującym sieć 5G będzie miał nad nią kontrolę. Uaktualnienia związane z technologią 5G będą w dużym stopniu podobne do aktualizacji smartfonów i będą wprowadzać luki bezpieczeństwa. Już nawet udowodniono, że luki bezpieczeństwa sieci 5G można wykorzystać, posługując się tanimi sprzętem i tanimi platformami programowymi.
Infrastruktury o krytycznym znaczeniu będą jeszcze częściej nękane przez ataki i przestoje produkcji.
Dla przestępców stosujących wymuszenia będą one doskonale widocznymi celami. Oprogramowanie typu ransomware nadal będzie podstawowym narzędziem hakerów ze względu na jego moc destrukcji, ale pojawią się też inne rodzaje cyberataków: botnety realizujące ataki typu distributed denial-of-service (DDoS) na sieci technologii operacyjnych (OT); ataki na systemy produkcyjne wykorzystujące usługi chmurowe; ataki na łańcuchy dostaw polegające na wykorzystaniu innych dostawców jako trampoliny dającej dostęp do krytycznych sektorów docelowych.
Cyberprzestępcy obrali za cel i rozpracowali kilka przedsiębiorstw energetycznych na całym świecie, próbując ukraść dane uwierzytelniające do systemów kontroli przemysłowej (ICS) oraz systemów sterowania i pozyskiwania danych (SCADA). Oprócz tego przewidujemy także ataki na przedsiębiorstwa z branży wytwórstwa żywności, transportu oraz produkcji, które coraz częściej korzystają z aplikacji IoT i interfejsów człowiek-maszyna (HMI).
Największym zmartwieniem zespołów DevOps będą luki bezpieczeństwa w komponentach kontenerowych.
W technologiach kontenerowych dużo się dzieje: często pojawiają się nowe wersje, cały czas dochodzi do integracji różnych architektur, a kolejne wersje oprogramowania są regularnie aktualizowane. Tradycyjne metody zabezpieczeń nie dotrzymają tempa tym zmianom. Dana aplikacja może wymagać zabezpieczenia setek kontenerów rozmieszczonych w wielu maszynach wirtualnych działających na różnych platformach chmurowych. Firmy muszą dbać o bezpieczeństwo różnych komponentów architektury kontenerowej — od środowisk uruchomieniowych kontenerów (np. Docker, CRI-O, Containerd i runC), przez narzędzia orkiestracji (np. Kubernetes), po środowiska budowania (np. Jenkins).
Platformy bezserwerowe staną się celem ataków wykorzystujących błędy konfiguracji i luki bezpieczeństwa w kodzie.
Platformy bezserwerowe zapewniają „funkcje jako usługi”, co pozwala na wykonywanie kodu przez organizacje bez konieczności płacenia za cały serwer lub kontener. Przestarzałe biblioteki, błędy konfiguracji oraz znane i nieznane luki bezpieczeństwa będą wykorzystywane przez cyberprzestępców jako punkty wejścia do aplikacji bezserwerowych. Zasadnicze znaczenie dla korzystania z aplikacji nie wykorzystujących serwera będzie miało zwiększenie widoczności sieci, udoskonalenie procesów oraz lepsza dokumentacja procedur pracy. Środowiska bezserwerowe mogą także odnieść korzyści dzięki wdrożeniu DevSecOps, czyli procesów DevOps z naciskiem na bezpieczeństwo.
Platformy chmurowe będą padać ofiarą ataków polegających na wstawianiu kodu przez biblioteki zewnętrzne.
Ataki polegające na wstawianiu kodu, bezpośrednio do kodu lub przez bibliotekę zewnętrzną, będą ważnym zagrożeniem dla platform chmurowych. Ataki te — od wywoływania skryptów między witrynami po wstrzyknięcia kodu SQL — będą miały na celu podsłuchiwanie, przejęcie kontroli, a nawet modyfikowanie wrażliwych plików i danych przechowywanych w chmurze. Cyberprzestępcy będą także wstawiać złośliwy kod do bibliotek zewnętrznych, które użytkownicy bez zastanowienia pobierają i wykonują. Popularność modeli przetwarzania w chmurze typu SaaS, IaaS i PaaS (software-as-a-service, infrastructure-as-a-service i platform-as-a-service) spowoduje wzrost liczby przypadków wycieku danych z chmury. Aby zapobiec włamaniom do chmury, programiści będą musieli zachować szczególną staranność oraz będzie trzeba bardzo uważnie dobierać dostawców i platformy, jak również ulepszyć strategie zabezpieczeń chmury.
Od 2020 r. ataki będą lepiej zaplanowane i skoordynowane. Także braki w kadrowe w branży cyberbezpieczeństwa oraz niski poziom wiedzy na ten temat będą ważnymi czynnikami w najbliższym czasie. Ryzyko naruszenia bezpieczeństwa przez zaawansowane ataki, trwałe złośliwe oprogramowanie, phishing i ataki typu zero-day można zmniejszyć dzięki analizie zagrożeń i ochronie. Analiza zagrożeń umożliwiająca podjęcie działań wbudowana w procesy zarządzania bezpieczeństwem i ryzykiem umożliwi organizacjom aktywną ochronę swoich środowisk przez identyfikację luk bezpieczeństwa, eliminację słabych ogniw oraz rozpoznanie strategii hakerów. Informacje na temat infrastruktury internetowej w szerokim kontekście decydenci i dyrektorzy działów IT mogą uzyskiwać od ekspertów, na przykład analityków z centrum operacji zabezpieczeń (SOC, security operations center), którzy mogą korelować swoje ustalenia z wynikami globalnej analizy zagrożeń. Takie dane pozwalają zdobyć lepsze rozeznanie niż tylko wiedza o sytuacji w punktach końcowych, ponieważ obejmują pocztę elektroniczną, serwery, chmurę oraz sieci.
Ciągle zmieniający się krajobraz wymusi stosowanie wielowarstwowych i połączonych technik obrony różnej generacji wspomaganych przez następujące mechanizmy bezpieczeństwa:
- Kompletna widoczność — zoptymalizowane badanie zagrożeń wg stopnia ważności przy użyciu narzędzi i wiedzy pozwalających ograniczyć szkody i zmniejszyć ryzyko.
- Zapobieganie zagrożeniom dzięki skutecznemu zmniejszaniu ryzyka — automatyczne ograniczanie ryzyka zagrożeń dzięki ich wizualizacji i identyfikacji i jednoczesne stosowanie ochrony przed złośliwym oprogramowaniem, wykorzystanie technologii machine learning i AI, kontrolę aplikacji, sprawdzanie reputacji oraz wdrożenie technik antyspamowych.
- Zarządzane wykrywanie i reagowanie — dostarcza danych na temat bezpieczeństwa, dzięki którym można skorelować alarmy z wykryciami w celu wyszukiwania zagrożeń, wykonywania pełnych analiz oraz natychmiastowego usuwania zagrożeń przy użyciu zoptymalizowanych narzędzi analitycznych.
- Monitoring zachowań — aktywniej blokuje zaawansowane złośliwe oprogramowanie i techniki oraz wykrywa nietypowe zachowania i procedury charakterystyczne dla złośliwego oprogramowania.
- Zabezpieczenia punktów końcowych — chronią użytkowników przez użycie środowiska testowego, wykrywanie naruszeń oraz wykorzystanie czujników w punktach końcowych.
- Wykrywanie włamań i zapobieganie im — powstrzymuje podejrzany ruch sieciowy, taki jak komunikacja C&C (command-and-control) i eksfiltracja danych.
Dowiedz się, co będzie kształtować krajobraz zagrożeń w 2020 r. oraz jak mogą się w nim odnaleźć użytkownicy i organizacje z naszego raportu „Nowa norma: prognozy Trend Micro dotyczące bezpieczeństwa na rok 2020”.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers