Prognozy dotyczące zagrożeń cybernetycznych w 2023 roku

avlab.pl 1 rok temu
Zdjęcie: Prognozy dotyczące zagrożeń cybernetycznych w 2023 roku


Zagrożenia cybernetyczne w 2023 roku

Świat jeszcze nigdy nie był zależny od technologii w takim stopniu jak obecnie. Środowiska IT stają się coraz bardziej złożone, a niewielkie luki w zabezpieczeniach mogą mieć duży wpływ na zdolność organizacji do kontynuowania działalności pomimo incydentów lub naruszeń bezpieczeństwa. Poniżej przedstawiamy dziesięć trendów, które mogą ukształtować krajobraz cyberbezpieczeństwa w 2023 roku.

Candid Wuest jest wiceprezesem Cyber Protection Research w Acronis, szwajcarsko-singapurskiej firmie zajmującej się cyberbezpieczeństwem. Wcześniej przez ponad szesnaście lat pracował jako kierownik techniczny w globalnym zespole reagowania na zagrożenia w firmie Symantec. Wuest jest doradcą szwajcarskiego rządu federalnego ds. zagrożeń cybernetycznych.
Candid Wuest Wiceprezes Cyber Protection Research w Acronis

Uwierzytelnianie – czy to naprawdę Ty?

Uwierzytelnianie i zarządzanie dostępem do tożsamości (IAM) będą coraz częściej celem ataków – i to z powodzeniem. Wielu atakujących już zaczęło kraść lub omijać tokeny uwierzytelniania wieloskładnikowego (MFA). W innych sytuacjach przytłaczanie ofiar żądaniami, na przykład w atakach zmęczeniowych MFA, może prowadzić do udanych logowań bez potrzeby wykorzystania luki w zabezpieczeniach. Ostatnie ataki na Okta i Twilio udowodniły, iż takie usługi zewnętrzne również są naruszane. Jest to oczywiście związane ze stosowaniem słabych i powtarzalnych haseł, co stanowi powszechny problem od wielu lat. Dlatego tak ważne jest zrozumienie, jak działa uwierzytelnianie i kto ma dostęp do danych.


Ransomware przez cały czas ma silną pozycję

Zagrożenie ransomware wciąż jest silne i ewoluuje. Chociaż obserwujemy zmianę w kierunku większej eksfiltracji danych, główni aktorzy kontynuują profesjonalizację swoich operacji. Większość dużych graczy rozszerzyła swoją działalność na MacOS i Linux oraz interesuje się także środowiskiem chmurowym. Nowe języki programowania takie jak Go i Rust są coraz bardziej powszechne i wymagają dostosowań w narzędziach analitycznych. Liczba ataków będzie rosła, ponieważ przez cały czas są one opłacalne, zwłaszcza gdy ubezpieczenie cybernetyczne pokrywa część skutków ataku. Atakujący będą w coraz większym stopniu koncentrować się na odinstalowywaniu narzędzi zabezpieczających, usuwaniu kopii zapasowych i wyłączaniu planów odzyskiwania po awarii, jeżeli to tylko możliwe. Techniki „Living of the Land” odegrają w tym główną rolę.


Naruszenie bezpieczeństwa na masową skalę

Złośliwe oprogramowanie kradnące informacje, takie jak Racoon i Redline, staje się normą wśród przestępców rozpowszechniających infekcje. Skradzione informacje często zawierają dane uwierzytelniające, które są następnie sprzedawane do dalszych ataków za pośrednictwem brokerów dostępu początkowego. Rosnąca liczba blobów danych w połączeniu ze złożonością powiązanych usług w chmurze utrudni organizacjom śledzenie swoich danych. Wymóg udzielenia wielu użytkownikom dostępu do danych utrudnia szyfrowanie i ochronę danych. Skradziony klucz dostępu API, na przykład w GitHub lub aplikacji mobilnej, może wystarczyć do kradzieży wszystkich danych. Doprowadzi to do postępów w przetwarzaniu danych z zachowaniem prywatności.


Wyłudzanie informacji nie tylko przez e-mail

Złośliwe wiadomości e-mail i ataki phishingowe są przez cały czas wysyłane przez miliony nadawców. Atakujący będą przez cały czas podejmować próby zautomatyzowania i spersonalizowania ataków przy użyciu wcześniej ujawnionych danych. Oszustwa dokonywane dzięki technik socjotechnicznych, takie jak włamanie do poczty służbowej (BEC), będą w coraz większym stopniu rozprzestrzeniać się na inne usługi przesyłania wiadomości, takie jak wiadomości tekstowe, Slack, Teams itp., aby uniknąć filtrowania i wykrywania. Z drugiej strony wyłudzanie informacji będzie przez cały czas wykorzystywało serwery proxy do przechwytywania tokenów sesji, kradzieży tokenów MFA i wykorzystywania przekierowań, takich jak kody QR, do dalszego ukrywania się.


Inteligentne kontrakty nie takie inteligentne

Koniec ataków na giełdy kryptowalutowe i inteligentne kontrakty na różnych systemach blockchain nie wydaje się być w zasięgu wzroku. choćby podmioty atakujące organizacje państwowe próbują ukraść setki milionów w walutach cyfrowych. przez cały czas pojawiają się bardziej wyrafinowane ataki na inteligentne kontrakty, monety algorytmiczne i rozwiązania DeFi, które uzupełniają klasyczne ataki związane z wyłudzaniem informacji i złośliwym oprogramowaniem.


Korzystanie z zasobów infrastruktury ofiary

Service Providerzy są coraz częściej celami ataków, a bezpieczeństwo ich usług jest naruszane. Atakujący nadużywają zainstalowanych narzędzi, takich jak PSA, RMM lub innych narzędzi służących do wdrażania, aby wykorzystać zasoby ofiary. Celami takich ataków są nie tylko dostawcy usług IT, ale również firmy konsultingowe, organizacje wsparcia pierwszego stopnia i inni powiązani partnerzy. Takie podmioty z zewnątrz są często wykorzystywane jako najsłabsze ogniwo w docelowej organizacji, więc nie jest konieczne żmudne opracowywanie ataków na łańcuch dostaw oprogramowania.


Ataki z poziomu przeglądarki

Pojawi się więcej ataków w przeglądarce lub za jej pośrednictwem, które przeprowadzane będą z poziomu sesji. Do tego celu stosowane będą złośliwe rozszerzenia przeglądarki podmieniające adresy transakcji lub kradnące hasła w tle. Istnieje również tendencja do przejmowania kodu źródłowego takich narzędzi i dodawania backdoorów za pośrednictwem repozytorium GitHub. Z drugiej strony portale internetowe będą przez cały czas śledzić użytkowników dzięki JavaScript i udostępniać identyfikatory sesji przez odsyłacze HTTP do usług marketingowych. Atakujący rozwiną techniki Formjacking/Magecart, w których małe dodane fragmenty kradną wszystkie informacje w tle oryginalnej witryny. Wraz z rozwojem przetwarzania bezserwerowego analiza takiego ataku może stać się bardziej skomplikowana.


Automatyzacja w chmurze dzięki interfejsów API

Dane, procesy i infrastruktury w dużym zakresie przeszły już do chmury. Proces ten będzie przez cały czas trwać, przy czym pojawi się większa automatyzacja między różnymi usługami. Wiele urządzeń IoT będzie częścią tej dużej, hiperpołączonej chmury usług. Spowoduje to, iż wiele interfejsów API będzie dostępnych w Internecie, co zwiększy liczbę ataków na nie. Ze względu na automatyzację może to wywołać ataki na dużą skalę.


Ataki na procesy biznesowe

Atakujący zawsze wpadają na nowe pomysły dotyczące tego, jak zmodyfikować procesy biznesowe dla własnej korzyści i zysku. Może to być na przykład zmiana danych konta bankowego odbiorcy w szablonie systemu rozliczeniowego organizacji lub dodanie zasobnika atakującego w chmurze jako miejsca docelowego kopii zapasowej dla serwera poczty e-mail. Przy tego typu atakach, złośliwe oprogramowanie często nie jest używane i wymagana jest dokładna analiza zachowań użytkowników, podobnie jak coraz częstsze ataki wewnętrzne.


Wszechobecne AI

Z procesów sztucznej inteligencji i uczenia maszynowego będą korzystać korporacje każdej wielkości i z różnych sektorów. Postępy w tworzeniu danych syntetycznych będą prowadzić do większego rozwoju oszustw dotyczących kradzieży tożsamości oraz kampanii dezinformacyjnych z wykorzystaniem fałszywych treści. Bardziej niepokojącym trendem będą ataki na same modele AI i ML. Atakujący będzie próbował wykorzystać słabe punkty w modelu, celowo wszczepić uprzedzenia (bias) do zbiorów danych lub po prostu użyć triggerów wyzwalających, aby zalać środowiska IT alertami.

Idź do oryginalnego materiału