Az RSA konferencia a világ legnagyobb és legelismertebb CISO-k, technológusok és kiberbiztonsági szakemberek találkozója. Az új évtized közeledtével – és a következő konferencia februári, San Franciscó-i összejövetelének idején – a kihívások új csoportja következik.
A konferencián színpadra lépni vágyó kiberbiztonsági szakértők mintegy 500 beadványát átnézve (én az előadásokat kiválasztó bizottság tagja vagyok) bepillantást nyerhetünk olyan újonnan felmerülő problémákba, mint a mély hamisítványok, a stalkerware és a megfigyelési támadások, miközben a régóta ismert témák, köztük a DevOps és a zsarolóvírus, újból fontosságra tesznek szert.
Ha üzleti vezető vagy, figyelj ezekre a trendekre (vagy aggodalmakra). Ezek érinthetik az Ön szervezetét. Íme néhány a legnagyobb kihívások közül, amelyeket a beérkezett beadványok alapján látunk.
1. A hamisítványok és a mély hamisítványok az új divatszavak.
A mély hamisítványok – hamisított videók és hangfelvételek, amelyek hasonlítanak a valódiakra – számos szakértőt foglalkoztatnak. Bárki letölthet mély hamisítványok létrehozására alkalmas szoftvert, ami számos lehetőséget kínál rosszindulatú tevékenységre. Lehet hamisítani egy politikust, aki szavazatvesztő megjegyzést tesz a választások előtt. Egy vezető beosztású vezető hamisított felvétele utasíthatja a könyvelési osztályt, hogy pénzügyi tranzakciót hajtson végre egy bűnöző bankszámlájára. A “stalkerware”, egyfajta kémprogram új formái nyomon követik az áldozatok okostelefon-adatait, hogy képet alkossanak tevékenységükről; ez felhasználható hamisított videók, hangfelvételek vagy írásbeli kommunikáció létrehozására. A biztonsági iparág még mindig dolgozik az új fenyegetésre adott válaszán.
2. Az okostelefonokat megfigyelési támadásokhoz használják.
A banki alkalmazások és az érintés nélküli fizetések növekvő használatával az okostelefonok a pénzügyi tranzakciók központjaivá válnak. Ez a mobilmegfigyelési támadások növekedéséhez vezetett, amelyek nyomkövető szoftvert telepítenek a telefonokra, hogy az emberek viselkedését az okostelefon-használatukból figyeljék. Ez lehetővé teszi a vállalati e-mail csalást, az úgynevezett üzleti e-mail kompromittálást. Minél többet tud a támadó az áldozat tevékenységéről, annál könnyebb olyan trükkös e-mailt küldeni neki, amely ráveszi egy rosszindulatú kódot tartalmazó fájl letöltésére. A felhasználóknak jobban tudatosítaniuk kell a mobilmegfigyelés veszélyeit és az ellene való védekezés lépéseit.
3. A zsarolóprogramok egyre kifinomultabbak, ahogy a vállalatok fizetnek.
Sok beadványt láttunk a zsarolóvírusok fejlődéséről és a macska-egér játékról a támadók között, akik okos módszereket keresnek az észlelési képességek megkerülésére, és a védők között, akik új módszereket keresnek a blokkolásukra. Ahelyett, hogy véletlenszerűen titkosítanának bármilyen adatot, a bűnözők a nagy értékű üzleti adatokat célozzák meg titkosításra és váltságdíj követelésére. Véleményem szerint a zsarolóvírusok az életciklusuk közepén járnak. Még sok évig fogunk beszélni róla, de végül megszabadulunk tőle, ahogy élesítjük a védelmünket.
4. Az ellátási láncot érő támadások száma növekszik.
Ezekben a kibertámadók kódot juttatnak be egy – gyakran e-kereskedelmi vagy pénzügyi – weboldalba, ami lehetővé teszi számukra, hogy adatokat, például a vásárlók személyes adatait és hitelkártyaadatokat lopjanak el. A támadók megduplázták az ilyen típusú támadások számát, és a közelmúltban sikereket értek el. 2019-ben egy ismert brit vállalatot rekordösszegű, 241 millió dolláros bírsággal sújtottak egy ellátási láncot érintő támadás miatt. A támadást vélhetően a Magecart fenyegetőcsoport hajtotta végre. Más nagyvállalatokat is értek már hasonló támadások. További támadások valószínűsíthetőek. A védőknek javítaniuk kell a gazember kódok elleni védelmet, és folyamatosan ébernek kell lenniük, hogy azonosítani és kiiktatni tudják azokat.
5. A DevOps felgyorsítja a szoftverfejlesztést, de növeli a biztonsági kockázatokat.
A DevOps a kód létrehozásának olyan átalakító módszere, amely összekapcsolja a fejlesztést és az üzemeltetést a szoftverinnováció felgyorsítása érdekében. A DevOps ellentétben áll a szoftverfejlesztés hagyományos formáival, amelyek monolitikusak, lassúak, végtelenül teszteltek és könnyen ellenőrizhetők. Ehelyett a DevOps gyors, és sok apró, iteratív változtatást igényel. Ez azonban növeli a komplexitást, és új biztonsági problémákat vet fel. A DevOps segítségével a meglévő biztonsági sebezhetőségek felnagyíthatók és új módon nyilvánulhatnak meg. A szoftverek létrehozásának sebessége azt jelentheti, hogy a fejlesztők számára észrevétlenül új sebezhetőségek jönnek létre. A megoldás az, hogy a biztonsági felügyeletet kezdettől fogva beépítjük a DevOps folyamatba. Ehhez együttműködésre és bizalomra van szükség a CISO és a DevOps-csapat között.
6. Az emulációs és csalikörnyezeteknek hitelesnek kell lenniük.
A nagyvállalatok “emulációs környezeteket” kívánnak létrehozni az ismeretlen fenyegetések felkutatására. Ezek hiteles szervereket és webhelyeket imitálnak, de valójában arra szolgálnak, hogy becsalogassák a rossz szereplőket, hogy megfigyeljék a viselkedésüket és adatokat gyűjtsenek a módszereikről. A csalik hasonló módon működnek. A kihívás az, hogy olyan emulációs környezeteket hozzunk létre, amelyek elég jók ahhoz, hogy az ellenfél azt higgye, hogy egy valós szerverről vagy weboldalról van szó.
7. A felhőalapú incidensek kezelése új eszközöket és készségeket igényel a házon belüli biztonsági csapatok számára.
A szervezetek megszokták, hogy a kiberbiztonsági incidenseket saját hálózataikon kezeljék. Amikor azonban adataikat a felhőben tárolják, a biztonsági csapatoknak nehéz dolguk lehet. Nincs teljes hozzáférésük a biztonsági adatokhoz, mivel azokat a felhőszolgáltató ellenőrzi. Így nehezen tudnak különbséget tenni a mindennapi számítástechnikai események és a biztonsági incidensek között. A meglévő incidenskezelő csapatoknak új készségekre és eszközökre van szükségük ahhoz, hogy a felhőalapú adatokon törvényszéki vizsgálatokat végezzenek. Az üzleti vezetőknek meg kell kérdőjelezniük a csapataikat, hogy felkészültek és képesek-e a felhőben történő biztonsági támadások kezelésére és az azokra való reagálásra.
8. Mesterséges intelligencia és gépi tanulás.
A mesterséges intelligenciáról és az ML-ről számtalan tanulmányt kaptunk. Ezek a technológiák a kiberbiztonságban még korai stádiumban vannak. A támadók tanulmányozzák, hogy a hálózatok hogyan használják az ML-t a biztonsági védekezéshez, hogy kitalálhassák, hogyan törhetik át azokat. Azt vizsgálják, hogy a mesterséges intelligencia szakértői hogyan próbálják a képfelismerő rendszereket becsapni, hogy egy csirkét vagy banánt emberként azonosítsanak. Ehhez meg kell érteni, hogyan működik a rendszer ML-motorja, majd ki kell találni, hogyan lehet azt hatékonyan megtéveszteni és megtörni a matematikai modellezést. A támadók hasonló technikákat alkalmaznak a kiberbiztonságban használt ML-modellek megtévesztésére. A mesterséges intelligenciát és az ML-t a mélységi hamisítások fokozására is használják. Hatalmas mennyiségű adatot gyűjtenek és dolgoznak fel, hogy megértsék az áldozataikat és azt, hogy egy mélyhamisításos támadás vagy csalás sikeres lesz-e.
9. A hardver- és firmware-támadások visszatértek.
A hardveres sebezhetőségek, például a Spectre és a Meltdown miatt egyre nagyobb az aggodalom. Ezek egy 2018-ban felfedett sebezhetőségi család részét képezik, amelyek szinte minden, az elmúlt 20 évben gyártott számítógépes chipet érintenek. Komoly támadásra még nem került sor. Biztonsági szakértők azonban előre jelzik, mi történhet, ha egy hacker képes lenne kihasználni a hardver és a firmware ilyen gyengeségeit.
10. A főfelhasználóknak védelemre van szükségük.
Elkerülhetetlen a biztonságos kapcsolatok megteremtése a felsővezetők és más vezető munkatársak számára, akik saját eszközeiken férnek hozzá a legérzékenyebb vállalati adatokhoz. Milyen intézkedéseket kell tenni a biztonságuk érdekében?
11. A biztonsági iparág végre lépéseket tesz a DNS-spoofing ellen.
Az IP-címek azok a számsorok, amelyek az internetes hálózaton lévő számítógépeket azonosítják. A tartománynévrendszer minden IP-címhez nevet rendel, hogy az interneten megtalálható legyen. A DNS-t az internet telefonkönyveként ismerik. A rosszfiúk azonban meghamisíthatják ezeket a neveket, és a felhasználókat olyan veszélyeztetett weboldalakra irányítják, ahol az adatlopás veszélye áll fenn. Az iparág végre elkezdett több DNS-információt gyűjteni, hogy azonosítani tudja ezeket a problémákat és megakadályozza a DNS-hamisítást.