Konference RSA je největší a nejuznávanější světové setkání ředitelů CISO, technologů a odborníků na kybernetickou bezpečnost. S blížícím se novým desetiletím – a s příští konferencí, která se sejde v únoru v San Francisku – je tu nová sada výzev.
Procházení zhruba 500 příspěvků od odborníků na kybernetickou bezpečnost, kteří touží vystoupit na pódiu konference (jsem členem výboru, který vybírá prezentace), nabízí pohled na nové problémy, jako jsou deep fakes, stalkerware a sledovací útoky, zatímco dlouhodobá témata, včetně DevOps a ransomwaru, nabývají na významu.
Pokud jste vedoucí pracovník firmy, dávejte si pozor na tyto trendy (nebo obavy). Mohou mít vliv na vaši organizaci. Zde jsou některé z největších problémů, které vidíme na základě zaslaných příspěvků.
1. Novými módními slovy jsou falzifikáty a hluboké falzifikáty.
Hluboké padělky – falešná videa a zvukové nahrávky, které se podobají skutečným – jsou předmětem zájmu mnoha odborníků. Kdokoli si může stáhnout software pro vytváření deep fake, což nabízí mnoho možností pro škodlivou činnost. Politik může být zfalšován, když před volbami pronese komentář, který prohraje volby. Zfalšovaná nahrávka vedoucího pracovníka by mohla nařídit účetnímu oddělení, aby provedlo finanční transakci na bankovní účet zločince. Nové formy „stalkerwaru“, což je druh spywaru, sledují data z chytrých telefonů obětí, aby si vytvořily obrázek o jejich aktivitách; to lze využít k vytvoření falešných videí, hlasových záznamů nebo písemné komunikace. Bezpečnostní průmysl stále pracuje na reakci na tuto novou hrozbu.
2. Chytré telefony jsou využívány ke sledovacím útokům.
S rostoucím využíváním bankovních aplikací a bezdotykových plateb se chytré telefony stávají centry finančních transakcí. To vedlo k nárůstu mobilních sledovacích útoků, při nichž se do telefonů instaluje sledovací software, který sleduje chování lidí na základě používání chytrých telefonů. To umožňuje firemní e-mailové podvody, známé jako kompromitace firemních e-mailů. Čím více útočník ví o aktivitách oběti, tím snadněji jí může poslat podvodný e-mail, který ji přiměje stáhnout soubor obsahující škodlivý kód. Uživatelé potřebují větší povědomí o nebezpečí mobilního sledování a o krocích, jak mu čelit.
3. Ransomware je stále sofistikovanější, protože firmy vyplácejí.
Viděli jsme mnoho příspěvků o vývoji ransomwaru a hře na kočku a myš mezi útočníky, kteří hledají chytré způsoby, jak obejít detekční schopnosti, a obránci, kteří hledají nové způsoby, jak je zablokovat. Namísto náhodného zašifrování jakýchkoli dat se zločinci zaměřují na vysoce cenná obchodní data, která zašifrují a požadují za ně výkupné. Podle mého názoru je ransomware v polovině svého životního cyklu. Budeme o něm mluvit ještě mnoho let, ale nakonec si ho vylížeme, jakmile zdokonalíme naši obranu.
4. Útoky na dodavatelský řetězec jsou na vzestupu.
Ty spočívají v tom, že kybernetičtí útočníci vloží kód do webové stránky – často elektronické nebo finanční – a umožní jim ukrást údaje, jako jsou osobní údaje zákazníků a údaje o kreditních kartách. Protivníci tento typ útoku zdvojnásobili a v poslední době zaznamenali několik úspěchů. V roce 2019 dostala známá britská společnost za útok na dodavatelský řetězec rekordní pokutu 241 milionů dolarů. Předpokládá se, že jej provedla skupina hrozeb Magecart. Podobné útoky postihly i další velké společnosti. Další útoky jsou pravděpodobné. Obránci musí zlepšit ochranu proti podvodnému kódu a být stále ve střehu, aby jej mohli identifikovat a eliminovat.
5. DevOps urychluje vývoj softwaru, ale zvyšuje bezpečnostní rizika.
DevOps je transformační metoda tvorby kódu, která propojuje vývoj a provoz a urychluje inovace softwaru. DevOps kontrastuje s tradičními formami vývoje softwaru, které jsou monolitické, pomalé, nekonečně testované a snadno ověřitelné. DevOps je naopak rychlý a vyžaduje spoustu malých, iterativních změn. To však zvyšuje složitost a otevírá novou sadu bezpečnostních problémů. Díky DevOps se mohou stávající bezpečnostní zranitelnosti zvětšit a projevit se novými způsoby. Rychlost tvorby softwaru může znamenat, že nové zranitelnosti vznikají bez povšimnutí vývojářů. Řešením je zabudovat monitorování zabezpečení do procesu DevOps od samého počátku. To vyžaduje spolupráci a důvěru mezi CISO a týmem DevOps.
6. Emulace a návnady prostředí musí být důvěryhodné.
Velké podniky se snaží vytvářet „emulační prostředí“, aby mohly sledovat neznámé hrozby. Ta napodobují důvěryhodné servery a webové stránky, ale ve skutečnosti slouží k nalákání zlých aktérů, aby bylo možné pozorovat jejich chování a shromažďovat údaje o jejich metodách. Podobně fungují i návnady. Úkolem je vytvořit emulační prostředí, které je dostatečně dobré na to, aby protivníka oklamalo a přesvědčilo ho, že se jedná o skutečný server nebo webovou stránku.
7. Reakce na cloudové incidenty vyžaduje nové nástroje a dovednosti pro interní bezpečnostní týmy.
Organizace jsou zvyklé řešit kybernetické bezpečnostní incidenty ve vlastních sítích. Když jsou však jejich data uložena v cloudu, mohou mít bezpečnostní týmy problémy. Nemají plný přístup k bezpečnostním datům, protože ta jsou pod kontrolou poskytovatele cloudu. Proto mohou mít problém rozlišit mezi běžnými počítačovými událostmi a bezpečnostními incidenty. Stávající týmy pro řešení incidentů potřebují nové dovednosti a nástroje, aby mohly provádět forenzní analýzu cloudových dat. Vedoucí pracovníci firem by měli vyzvat své týmy, zda jsou připraveny a schopny řídit a reagovat na bezpečnostní útoky v cloudu.
8. Umělá inteligence a strojové učení
O umělé inteligenci a strojovém učení jsme obdrželi nespočet dokumentů. Tyto technologie jsou v oblasti kybernetické bezpečnosti v rané fázi. Útočníci studují, jak sítě používají ML pro bezpečnostní obranu, aby mohli zjistit, jak ji prolomit. Zkoumají, jak se odborníci na umělou inteligenci snaží oklamat systémy rozpoznávání obrazu, aby identifikovaly kuře nebo banán jako člověka. K tomu je třeba pochopit, jak funguje ML engine systému, a pak přijít na způsob, jak ho účinně oklamat a prolomit matematické modelování. Útočníci používají podobné techniky k oklamání ML modelů používaných v kybernetické bezpečnosti. Umělá inteligence a ML se také používají k posílení hlubokých podvrhů. Shromažďují a zpracovávají obrovské množství dat, aby porozuměli svým obětem a zjistili, zda bude útok hlubokou falzifikací nebo podvod úspěšný.
9. Útoky na hardware a firmware se vracejí.
Rostou obavy z hardwarových zranitelností, jako jsou Spectre a Meltdown. Ty jsou součástí rodiny zranitelností, odhalených v roce 2018, které se týkají téměř všech počítačových čipů vyrobených za posledních 20 let. K žádným závažným útokům zatím nedošlo. Bezpečnostní experti však předpovídají, co by se mohlo stát, kdyby se hackerům podařilo tyto slabiny v hardwaru a firmwaru zneužít.
10. Výkonní uživatelé potřebují ochranu.
Vytvoření bezpečného připojení pro vedoucí pracovníky a další špičkové zaměstnance, kteří mají na svých vlastních zařízeních přístup k nejcitlivějším firemním datům, je životně důležité. Jaká opatření je třeba přijmout, aby byli v bezpečí?
11. Bezpečnostní průmysl konečně přijímá opatření proti podvržení DNS.
IP adresy jsou řetězce čísel, které identifikují počítače v internetové síti. Systém doménových jmen přiřazuje každé IP adrese jméno, aby ji bylo možné najít na webu. Systém DNS je známý jako telefonní seznam internetu. Zločinci však mohou tato jména podvrhnout a přesměrovat uživatele na podvržené webové stránky, kde hrozí odcizení dat. Odvětví konečně začalo shromažďovat více informací o DNS, aby tyto problémy identifikovalo a zabránilo podvržení DNS.