Globalna pandemia zmusiła organizacje do szybkiego modyfikowania procesów i działalności operacyjnej w celu dostosowania się do drastycznych zmian. W nadchodzącym roku organizacje jeszcze raz będą musiały przyspieszyć, aby przejść cyfrową transformację i wdrożyć hybrydowe metody pracy. Mimo że sytuacja nadal się zmienia, będą chciały osiągnąć postępy związane z trendami i technologiami, które stały się istotne po rozpoczęciu pandemii. Atakujący będą próbowali wykorzystać ten okres przejściowy z pomocą nowych i sprawdzonych zagrożeń.
Przedstawiamy problemy z bezpieczeństwem, które według nas będą dominować w 2022 roku, oraz przedstawiamy strategie i zalecenia związane z bezpieczeństwem, które pomogą organizacjom w ochronie przed szeroką gamą stale ewoluujących ataków.
01
Zagrożenia w chmurze
02
Zagrożenia ransomware
03
Wykorzystanie luk w zabezpieczeniach
04
Ataki z wykorzystaniem pozyskanego złośliwego oprogramowania
05
Zagrożenia IoT
06
Ataki na łańcuchy dostaw
Przedsiębiorstwa wdrożą podstawowe zabezpieczenia chmury, aby chronić swoje środowiska przed masą zagrożeń chmury i osiągnąć dopuszczalny poziom ryzyka
Atakujący chmurę będą zmieniać strategie i czekać; będą prowadzić testy i podążać za trendami technologicznymi, a także nadal wykorzystywać sprawdzone metody ataków, aby siać spustoszenie w systemach osób korzystających z rozwiązań chmurowych
Chmura umożliwia organizacjom wprowadzanie innowacji, rozwój i sprawne działanie. W związku z tym, że coraz więcej firm zaczyna korzystać z chmury, staje się ona coraz większym i cenniejszym celem w oczach atakujących. W nadchodzącym roku atakujący nadal będą prowadzić niewymagające zbyt wiele wysiłku, lecz mające poważne skutki ataki, a także rozpoczną nowe, które będą się wiązać z nowymi trendami technologicznymi.
Coraz więcej firm jest gotowych do tego, aby w 2022 r. zacząć korzystać z aplikacji i rozwiązań SaaS (oprogramowanie jako usługa). Czekają na nich atakujący, którzy dalej będą stosować dotychczasowe taktyki, techniki i procedury (TTP). Będą oni wysyłać phishingowe wiadomości e-mail, aby wykraść poświadczenia, nielegalnie kopać kryptowaluty i wykorzystywać nieprawidłowe konfiguracje w środowiskach chmurowych. Oprócz tego będą używać zasad testowania podczas swoich ataków na narzędzia DevOps oraz chmurowe zintegrowane środowiska projektowe (IDE).
Aby środowiska chmurowe były bezpieczne, przedsiębiorstwa muszą wprowadzić podstawowe zabezpieczenia, do których należą zrozumienie i stosowanie modelu współodpowiedzialności, używanie dobrze zaprojektowanej platformy i posiadanie odpowiedniego poziomu wiedzy specjalistycznej.
Aby nadal skutecznie chronić się przez zmieniającymi się zagrożeniami typu ransomware, przedsiębiorstwa muszą skupić się na zabezpieczaniu serwerów przy użyciu rygorystycznych zasad kontroli aplikacji i wzmacniających serwery.
Serwery staną się głównym celem ataków ransomware
Ransomware pozostaje ważnym cyberzagrożeniem, ponieważ może stale ewoluować. Punkty końcowe są głównym celem ataków, ale wysyłający ransomware skupiają się teraz na niechronionych usługach i związanych z nimi naruszeniach bezpieczeństwa. Wkrótce praca hybrydowa stanie się preferowaną metodą wykonywania zadań w organizacjach, ponieważ zapewnia elastyczność pracy w domu i w biurze. Zwiększona powierzchnia ataku utrudni zespołom ds. bezpieczeństwa natychmiastowe dostrzeganie i zatrzymywanie ataków ransomware.
Na podstawie incydentów dotyczących bezpieczeństwa, które zaobserwowaliśmy w tym roku, spodziewamy się, że w nadchodzącym roku zobaczymy dwa główne sposoby prowadzenia ataków ransomware. Operatorzy ransomware będą przeprowadzać coraz bardziej ukierunkowane i bardzo widoczne ataki. TTP prawdopodobnie pozostaną takie same, ale będą wykorzystywane do atakowania trudniejszych celów, prawdopodobnie większych niż główne cele w poprzednich latach. Jednocześnie operatorzy ransomware będą przypuszczać ataki z zastosowaniem nowocześniejszych i bardziej wyrafinowanych metod wymuszania. Jeśli chodzi o główne metody wymuszeń, atakujący przestaną się skupiać na odmowie dostępu do danych o krytycznym znaczeniu, a częściej będą wybierać przecieki informacji i drążenie wykradzionych danych w celu wykorzystania ich na niekorzyść innych.
Aby chronić systemy i środowiska o krytycznym znaczeniu przed atakami ransomware, przedsiębiorstwa powinny wprowadzić najlepsze praktyki ochrony serwerów i stosować się do poprawiających ich bezpieczeństwo wytycznych odnoszących się do wszystkich istotnych systemów i aplikacji.
Zespoły ds. bezpieczeństwa będą musiały mieć odpowiednie narzędzia do walki z atakującymi, którzy będą chcieli wykorzystać starsze luki w zabezpieczeniach i nowo wykryte w ciągu kilku dni, jeśli nie godzin.
Przedsiębiorstwa wzmogły czujność z powodu rekordowo dużej liczny exploitów zero-day w 2021 r., będą więc zwracać szczególną uwagę na potencjalnie niezainstalowane poprawki, spodziewając się kolejnych luk w zabezpieczeniach
Przewidujemy, że liczba exploitów zero-day wzrośnie w porównaniu z rokiem 2021. Zamiast szukać słabych punktów w samej infrastrukturze IT, atakujący będą próbowali wyprzedzić zespoły ds. bezpieczeństwa i wykorzystać poprawki, które zostaną wydane w 2022 r., wraz z lukami w ich zabezpieczeniach. Dzięki temu będą mogli sprawniej wykorzystanie nowo odkryte wady i przyspieszyć wdrożenie exploitów, co oznacza, że przedsiębiorstwa muszą priorytetowo potraktować instalację brakujących poprawek.
Luki w zabezpieczeniach ujawnione w minionych latach nie stracą na popularności wśród cyberprzestępców, którzy nadal będą je wykorzystywać. Spodziewamy się, że atakujący będą przeprowadzać więcej ataków mieszanych, które połączą luki w eskalacji uprawnień z innymi ujawnionymi wadami.
Aby pomóc w ograniczeniu tych zagrożeń, które z pewnością pojawią się w wyniku wzrostu liczby znanych luk w zabezpieczeniach, przedsiębiorstwa muszą zadbać o to, aby ich zespoły ds. bezpieczeństwa IT posiadały odpowiednie narzędzia do właściwego zarządzania zasobami, wdrażania wirtualnych poprawek i reagowania na wszelkie aktualizacje zabezpieczeń wydawane przez dostawców. Organizacje korzystające z rozwiązań chmurowych muszą korzystać z natywnych zabezpieczeń lepiej chroniących biblioteki, w oparciu o które zbudowano ich projekty chmurowe.
Przestępcy nadal będą traktować mniejsze przedsiębiorstwa jak łatwą zdobycz, ale małe i średnie firmy korzystające z licznych rozwiązań chmurowych będą dobrze przygotowane na ataki z wykorzystaniem pozyskanych złośliwych rozwiązań (ang. commodity attacks)
Gdy cała uwaga będzie kierowana na ransomware, przeprowadzający tradycyjne ataki z wykorzystaniem zakupionego złośliwego oprogramowania i ataki w modelu attack-as-a-service będą mieli czas na wytworzenie bardziej wyrafinowanych narzędzi
Spodziewamy się, że w informatycznym podziemiu do powszechnego użytku wejdą bardziej zaawansowane narzędzia malware, które będzie można łatwiej nabywać, a to z kolei doprowadzi do rozszerzenia arsenału osób prowadzących ataki ransomware-as-a-service (RaaS) i początkujących cyberprzestępców.
Modułowy charakter tych dostępnych w sprzedaży narzędzi polega na tym, że wielu przestępców musi opracować tylko niestandardową część złośliwego kodu, który pomoże ich partnerom w przeprowadzeniu ataku. Wśród coraz bardziej złożonych złośliwych rozwiązań, których spodziewamy się w 2022 roku, jest nowa sieć botnet-as-a-service przypominająca botnet ZeuS. Potencjalnie może ona złamać zabezpieczenia platform chmurowych i Internetu rzeczy (IoT) oraz przejąć nad nimi kontrolę.
Więcej ataków z wykorzystaniem pozyskanych złośliwych rozwiązań doświadczą też małe i średnie firmy (SMB), które przestępcy uznają za mniej zwracające uwagę i słabiej chronione cele. Ich ograniczone zasoby finansowe sprawią, że małe i średnie firmy będą priorytetowo traktować ochronę punktów końcowych i sieci. Jednak te przedsiębiorstwa, których operacje o krytycznym znaczeniu w dużej mierze opierają się na chmurze, prawdopodobnie będą zwracać uwagę na zagrożenie, jakie stanowią ataki z wykorzystaniem pozyskanych złośliwych rozwiązań dla ich działalności biznesowej, i podejmą kroki w celu wzmocnienia ochrony.
Przedsiębiorstwa będą dążyć do lepszego monitorowania sieci i widoczności, aby chronić swoje środowiska IT przed zagrożeniami wynikającymi z wdrożenia IoT
Informacje związane z Internetem rzeczy staną się gorącym towarem w cyberprzestępczym podziemiu, skłaniając przedsiębiorstwa do zwracania uwagi na luki w zabezpieczeniach, które mogą prowadzić do wycieku danych lub sabotażu
Coraz więcej organizacji przyspiesza cyfrową transformację, w związku z czym przewidujemy przejście na hybrydowe metody pracy i korzystanie ze zdalnych połączeń, co doprowadzi do powiększenia powierzchni ataku na przedsiębiorstwa, których pracownicy będą używać urządzeń łączących się z siecią w 2022 roku. Firmy te będą zmagać się z atakującymi, którzy będą chcieli wykorzystać ograniczenia obliczeniowe urządzeń połączonych z IoT, co spowoduje, że będą wdrażać rozwiązania zabezpieczające pomagające w monitorowaniu aktywności sieciowej, takie jak systemy zapobiegania włamaniom i ich wykrywania (IPS/IDS) oraz narzędzia do wykrywania zagrożeń sieciowych (NDR) i reagowania na nie.
W 2022 r. informacje związane z urządzeniami łączącymi się z IoT będą dla cyberprzestępców kolejną granicą, którą będą chcieli przekroczyć na wiele sposobów. Dotyczy to między innymi sprzedaży danych samochodów inteligentnych przez ich producentów klientom komercyjnym. Ten rynek może osiągnąć wartość nawet 750 mld USD do 2030 roku — to z kolei stworzy zapotrzebowanie w podziemiu na nielegalne filtry danych, które mogłyby blokować raportowanie danych na temat ryzyka, albo na cyberprzestępców do wynajęcia, którzy mogliby usuwać dane z rekordów dotyczących kierowania pojazdami inteligentnymi.
Aby chronić te dane przed naruszenie, branża motoryzacyjna i dostawcy zabezpieczeń będą musieli współpracować ze sobą w 2022 r., aby wkroczyć na drogę rozwoju systemu operacyjnego, który mógłby stać się standardem branżowym dla wszystkich połączonych pojazdów, co z kolei pomoże znormalizować funkcje zabezpieczeń.
Przedsiębiorstwa skupiające się na umacnianiu łańcuchów dostaw poprzez dywersyfikację i regionalizację, będą wdrażać zasady zero trust, aby ich środowiska były bardziej bezpieczne
Globalne łańcuchy dostaw znajdą się na celowniku poczwórnych technik wymuszeń, w miarę jak firmy będą rozwijać działalność operacyjną związaną z łańcuchem dostaw
Początek globalnej pandemii pokazał, jak wrażliwe były łańcuchy dostaw — a cyberprzestępcy szybko zauważyli zakłócenia w tym łańcuchu i wykorzystali powstałe luki w zabezpieczeniach. W tym roku byliśmy świadkami połączonych ataków ransomware i na łańcuch dostaw, których ofiarą padły znane marki, w szczególności platforma zarządzania IT Kaseya.
W 2022 r. pośrednicy dostępu jako usługi (AaaS) skupią się na łańcuchach dostaw narażonych na atak. Gdy zabezpieczenia środowisk firmowych zostaną naruszone, pośrednicy AaaS mogą sprzedać ważne poświadczenia cyberprzestępcom. Oprócz tego dojdzie do fali poczwórnych wymuszeń, które będą stosowane w celu pozyskania środków finansowych i składają się z przetrzymywania krytycznych danych ofiary dla okupu, grożenia udostępnieniem danych i opublikowaniem informacji o naruszeniu bezpieczeństwa, a także grożenia atakiem na klientów ofiary i łańcuch dostaw lub partnerów będących dostawcami.
W związku z tym, że firmy inwestują w procesy rozwoju łańcucha dostaw poprzez dywersyfikację, mogą również nieświadomie dopuszczać do zagrożeń bezpieczeństwa. Nowi dostawcy mogą oferować usługi i aplikacje chmurowe z zasadami bezpieczeństwa, które mogą nie zaspokajać rzeczywistych potrzeb, albo nie traktować zabezpieczeń chmury priorytetowo.
Firmy podczas realizacji strategii zabezpieczenia łańcucha dostaw powinny stosować podejście zero trust.
Cała naprzód w drodze do cyberbezpieczeństwa
W 2022 r. osoby podejmujące decyzje będą musiały radzić sobie ze starymi i nowymi zagrożeniami czyhającymi na coraz bardziej połączone, pozbawione granic środowiska, które będą definiować postpandemiczne miejsca pracy. Przewidywania naszych ekspertów stanowią cenne informacje, które mają pomóc organizacjom w stworzeniu wielowarstwowej strategii cyberbezpieczeństwa, odpornej na zakłócenia i naruszenia bezpieczeństwa. Strategia ta powinna obejmować:
Powrót do podstaw bezpieczeństwa. Należy stosować najlepsze praktyki w dziedzinie bezpieczeństwa, w tym rygorystyczne zasady zarządzania poprawkami, aby wyeliminować luki, które mogliby wykorzystać atakujący.
Stosowanie podejścia zero trust. Należy weryfikować wszystkich użytkowników i urządzenia — czy są już w sieci organizacji, czy jeszcze nie — przed zapewnieniem im dostępu do zasobów przedsiębiorstwa.
Wzmocnienie zabezpieczeń serwerów i stosowanie mechanizmów kontroli dostępu. Należy wdrożyć zasady zabezpieczeń chroniące każdą warstwę działalności operacyjnej i wziąć pod uwagę hybrydowe metody pracy, które umożliwiają pracownikom zdalny dostęp do wrażliwych zasobów firmy.
Priorytetowe traktowanie widoczności. Należy upewnić się, że zespoły ds. bezpieczeństwa mogą monitorować aktywność na platformach dostawców chmurowych organizacji, kontach i w usługach, aby ograniczać ryzyko naruszenia zabezpieczeń i stosowania nieprawidłowej konfiguracji.
Przejście na skuteczniejsze zabezpieczenia obejmujące odpowiednie rozwiązania i poziom wiedzy specjalistycznej. Coraz bardziej złożone zagrożenia cybernetyczne wymagają zaawansowanych i zautomatyzowanych rozwiązań we wszystkich warstwach zabezpieczeń, a także informacji uzyskanych dzięki globalnemu wywiadowi dotyczącemu zagrożeń od dedykowanych analityków ds. bezpieczeństwa.
Aby uzyskać więcej informacji o naszych prognozach na nadchodzący rok, należy przeczytać cały raport “Nadchodzi nowe. Prognozy Trend Micro dotyczące bezpieczeństwa na rok 2022.”