Rok 2024 przyniósł kolejny zbiór różnorodnych historii ze świata cyberbezpieczeństwa, na które warto zwrócić uwagę, szczególnie w dziedzinie sztucznej inteligencji (AI), która przez cały czas dominowała na pierwszych stronach gazet.
W tym roku odchodzimy od strachu, niepewności i wątpliwości związanych ze sztuczną inteligencją, aby skupić się na innych ważnych kwestiach, takich jak prywatność i ochrona danych, naruszenia na dużą skalę oraz trudne kwestie związane z bezpieczeństwem powszechnie używanych komponentów open source.
Problemy dotyczyły także samych firm zajmujących się bezpieczeństwem cybernetycznym, o których często trafiano na pierwsze strony gazet, często po tym, jak uprzywilejowany dostęp zapewniany przez ich produkty i usługi został wykorzystany do ataku na ich klientów. Ivanti, Microsoft i Okta znalazły się w tym roku w naszej pierwszej dziesiątce – nie moglibyśmy nie wspomnieć o CrowdStrike.
Oto 10 najważniejszych artykułów dotyczących bezpieczeństwa cybernetycznego w 2024 r. opublikowanych przez Computer Weekly.
1. Wyciek 26 miliardów rekordów może okazać się „matką wszystkich naruszeń”
Pod koniec stycznia 2024 r. badacze odkryli zrzut danych zawierający 26 miliardów rekordów i o łącznej wielkości ponad 25 GB. Okrzyknięty największym wyciekiem w historii, a „matka wszystkich naruszeń”, większość danych dotyczyła chińskich platform mediów społecznościowych, ale uwzględniono także Adobe, Dropbox, LinkedIn, MyFitnessPal, Telegram i X.
Wyglądało na to, iż większość danych została zebrana na podstawie różnych mniejszych wycieków, prawdopodobnie pochodzących od brokera, który zamierzał sprzedać je innym w celu wykorzystania ich do kradzieży tożsamości, ataków phishingowych i przejęć kont.
2. Okta zwiększa siły w cyberprzestrzeni po głośnych naruszeniach
W lutym dostawca usług zarządzania tożsamością i dostępem (IAM) Okta ogłosił, iż w ciągu najbliższych 12 miesięcy podwoi swoje inwestycje w bezpieczeństwo i uruchomiła zobowiązanie dotyczące bezpiecznej tożsamości. Nastąpiło to w następstwie wykorzystania jej produktów i usług podczas serii cyberataków w 2023 r. i wcześniej.
Kierownictwo firmy stwierdziło, iż jako lider bezpieczeństwa zdaje sobie sprawę, iż musi znacznie ciężej pracować, aby powstrzymać ne’er-do-well przed wykorzystaniem danych tożsamości powierzanych jej przez klientów.
3. Powszechne luki w zabezpieczeniach Ivanti robią furorę
Na początku 2024 r. w wiadomościach pojawiała się kolejna firma cybernetyczna. Ivanti, specjalistka w dziedzinie zarządzania aktywami, tożsamością i łańcuchem dostaw, znalazła szereg luk w zabezpieczeniach swojej Polityki Bezpiecznej kontroli dostępu do sieci (NAC), wirtualnej sieci prywatnej Ivanti Connect Secure Secure Socket Layer (SSL VPN) i Ivanti Neurons w zakresie produktów o zerowym zaufaniu (ZTA) wzbudziły obawy w organizacjach na całym świecie po tym, jak wykorzystywane przez osobę stanowiącą zagrożenie.
Trzy omawiane luki umożliwiły atakującym uzyskanie dostępu do uprzywilejowanych danych i uzyskanie podwyższonych uprawnień dostępu do systemów ofiar.
4. Alarm open source dotyczący celowo umieszczonego backdoora
W kwietniu użytkownicy biblioteki kompresji danych XZ Utils o otwartym kodzie źródłowym o włos uniknęli padnięcia ofiarą na poważny atak na łańcuch dostaw, po ujawnieniu dowodów na najwyraźniej celowo umieszczonego backdoora w kodzie. Szkodliwy kod osadzony w wersjach 5.6.0 i 5.6.1 biblioteki umożliwił nieautoryzowany dostęp do dotkniętych dystrybucji Linuksa.
Później okazało się, iż podejrzany kod został tam umieszczony przez złośliwego aktora, który celowo i przez długi czas ciężko pracował, aby zdobyć zaufanie twórców projektów. Bezpieczeństwo powszechnie używanych komponentów open source miało być jednym z najważniejszych tematów roku.
5. Microsoft wzmacnia inicjatywę cybernetyczną po uderzającym raporcie z USA
W maju Microsoft podwoił swoje możliwości Inicjatywa „Bezpieczna przyszłość”. (SFI), rozszerzając program – którego celem było rozwiązanie problemów z oprogramowaniem i lukami w zabezpieczeniach często wykorzystywanymi przez podmioty zagrażające – w następstwie potępiającego raportu Komisji Przeglądu Bezpieczeństwa Cybernetycznego (CSRB) rządu USA.
Redmond stwierdził, iż szybka ewolucja krajobrazu zagrożeń uwypukliła powagę zagrożeń, przed którymi stoi zarówno jego własna działalność, jak i działania jego klientów, i przyznał, iż biorąc pod uwagę jego kluczową rolę w światowym ekosystemie IT, ponosi „krytyczną odpowiedzialność” za zarabianie i utrzymać zaufanie.
6. Aktualizacja CrowdStrike powoduje ogólnoświatowy chaos
Największa historia IT roku 2024 – prawdopodobnie – nie była ściśle mówiąc incydentem związanym z bezpieczeństwem, ale pojawia się tutaj, ponieważ miała swój początek w firmie ochroniarskiej. 19 lipca profesjonaliści IT w całej Wielkiej Brytanii i poza nią zbudzili się w obliczu gwałtownie rozprzestrzeniającej się awarii IT, powodującej awarię kluczowych systemów, pochodzący z cyber firmy CrowdStrike po tym, jak wypchnął wadliwą aktualizację szybkiego reagowania do kluczowych czujników wykrywania zagrożeń, która spowodowała, iż komputery z systemem Windows weszły w tak zwaną pętlę rozruchową.
Rozległe zakłócenia nie spowodowały wówczas żadnych poważnych incydentów związanych z bezpieczeństwem, ale konsekwencje realizowane są do dziś – kadra kierownicza CrowdStrike musi zmierzyć się z konsekwencjami prawnymi, a choćby zostać wezwana do odpowiedzialności za incydent przed politykami. Podobnie jak w przypadku paniki związanej z XZ Utils kilka miesięcy wcześniej, incydent z CrowdStrike ponownie pokazuje, jak ważne jest zwracanie szczególnej uwagi na swój kod.
Ci, którzy śledzili Kampania CyberUp na rzecz reformy prawa w ciągu ostatnich kilku lat dobrze wiedzą, jakie trudności miała ta grupa w przekonaniu brytyjskich polityków, iż nadszedł czas na zreformowanie przestarzałej ustawy o nadużyciach komputerowych z 1990 r., która – dzięki archaicznemu sformułowaniu w odniesieniu do przestępstwa „nieuprawnionego” dostępu do komputer – naraża specjalistów ds. bezpieczeństwa w Wielkiej Brytanii na ryzyko oskarżenia za samo wykonywanie swojej pracy.
Wraz z przeprowadzką Keira Starmera na Downing Street 10 zespół kampanii skorzystał z okazji, aby latem wystosować nowe wezwanie do przedstawienia dowodów i poglądów, stwierdzając, iż około jedna trzecia brytyjskich firm ochroniarskich poniosła straty pieniężne z powodu przepisów, narażając się na ryzyko. 3 miliardy z rocznego wkładu sektora w gospodarkę wynoszącego 10,5 miliarda funtów.
8. NCSC świętuje osiem lat, gdy pojawia się Horne
Na ósmym miejscu zestawienia Computer Weekly pt Narodowe Centrum Cyberbezpieczeństwa obchodziła w tym roku ósme urodziny, choć jej nowy lider, Richard Horne, który objął to stanowisko w październiku, jest dopiero trzecim oficjalnym dyrektorem generalnym organizacji.
Osiem lat może nie jest szczególnie długim okresem – referendum w sprawie Brexitu odbyło się osiem lat temu – ale krajobraz bezpieczeństwa cybernetycznego zmienił się w tym czasie radykalnie i patrząc w przyszłość, ponieważ współzależność między bezpieczeństwem a wywiadem stanie się bardziej krytyczna, a ryzyko i zwiększają się możliwości związane z nowymi technologiami i bardziej wyrafinowanymi zagrożeniami, NCSC kontynuuje prace nad poprawą kwestii bezpieczeństwa tych technologii i sposobów ich wykorzystania na korzyść Wielkiej Brytanii.
9. Exploity dnia zerowego są coraz bardziej poszukiwane przez atakujących
W listopadzie NCSC i jej amerykański odpowiednik CISA opublikowały nowe roczne dane ujawniające, iż spośród 15 najczęściej wykorzystywanych luk w 2023 r. większość z nich to dni zerowe w porównaniu z mniej niż połową w 2022 r. Tendencja ta utrzyma się do 2024 r., a NCSC ostrzegło, iż obrońcy muszą radykalnie ulepszyć swoje działania, jeżeli chodzi o zarządzanie lukami w zabezpieczeniach i łatanie.
Do najbardziej wykorzystywanych CVE należą te, które są w tej chwili szeroko znane, w tym niesławne problemy z programami MOVEit Transfer, Log4Shell i Citrix firmy Progress Software, a wiele z nich ma korzenie sprzed wielu lat.
10. Zakaz TikTok w USA niedługo po odrzuceniu odwołania
Pod koniec 2024 roku przyszła wiadomość, iż TikTok prawdopodobnie zostanie zbanowany w USA zaledwie kilka tygodni po tym, jak sąd apelacyjny w Waszyngtonie odrzucił oświadczenia należącej do Chin platformy mediów społecznościowych, która twierdziła, iż naruszane są jej prawa wynikające z Pierwszej Poprawki.
Uzasadnione obawy dotyczące praktyk firmy w zakresie ochrony danych i prywatności – a także możliwości wykorzystania danych przechowywanych przez TikTok przez chiński rząd – leżą u podstaw potencjalnego zakazu, który miałby konsekwencje globalne i dotknąłby miliony użytkowników, osoby wpływowe i firmy .
Jak na ironię, biorąc pod uwagę, iż kiedyś sam próbował tego zakazać, największą nadzieję platformy na ułaskawienie może teraz wiązać z prezydentem-elektem Donaldem Trumpem, który niewątpliwie będzie wpływową siłą w świecie cyberbezpieczeństwa w 2025 roku.
