Konferencja RSA to największe na świecie i najbardziej szanowane spotkanie dyrektorów ds. bezpieczeństwa wewnętrznego, technologów i specjalistów ds. bezpieczeństwa cybernetycznego. W miarę jak zbliża się nowa dekada – a następna konferencja odbędzie się w lutym w San Francisco – pojawia się nowy zestaw wyzwań.
Przeglądanie około 500 zgłoszeń od ekspertów ds. cyberbezpieczeństwa, którzy chcą wystąpić na konferencji (jestem w komitecie wybierającym prezentacje), daje wgląd w pojawiające się problemy, takie jak głębokie fałszerstwa, stalkerware i ataki inwigilacyjne, podczas gdy długotrwałe tematy, w tym DevOps i ransomware, nabierają nowego znaczenia.
Jeśli jesteś dyrektorem biznesowym, zwróć uwagę na te trendy (lub obawy). Mogą one mieć wpływ na Twoją organizację. Oto niektóre z największych wyzwań, które obserwujemy na podstawie zgłoszeń.
1. Fałszerstwa i głębokie fałszerstwa to nowe słowa kluczowe.
Głębokie fałszerstwa – sfałszowane nagrania wideo i audio, które przypominają prawdziwe – to temat, którym interesuje się wielu ekspertów. Każdy może pobrać oprogramowanie do tworzenia głębokich podróbek, oferując wiele możliwości złośliwej działalności. Polityk może zostać sfałszowany, wygłaszając przed wyborami komentarz, który spowoduje utratę głosów. Sfałszowane nagranie członka wyższej kadry kierowniczej może nakazać działowi księgowości dokonanie transakcji finansowej na konto bankowe przestępcy. Nowe formy „stalkerware”, rodzaju oprogramowania szpiegowskiego, śledzą dane ze smartfonów ofiar, aby stworzyć obraz ich aktywności; można to wykorzystać do stworzenia fałszywych nagrań wideo, nagrań głosowych lub komunikacji pisemnej. Branża bezpieczeństwa wciąż pracuje nad odpowiedzią na to nowe zagrożenie.
2. smartfony są wykorzystywane w atakach inwigilacyjnych.
Wraz z rosnącym wykorzystaniem aplikacji bankowych i płatności bezdotykowych, smartfony stają się węzłami transakcji finansowych. Spowodowało to wzrost liczby mobilnych ataków inwigilacyjnych, w których instaluje się oprogramowanie śledzące na telefonach w celu monitorowania zachowań ludzi na podstawie korzystania przez nich ze smartfonów. To z kolei umożliwia oszustwa z wykorzystaniem korporacyjnej poczty elektronicznej, znane jako business email compromise. Im więcej atakujący wie o działaniach ofiary, tym łatwiej jest wysłać jej podstępny e-mail, który nakłania ją do pobrania pliku zawierającego złośliwy kod. Użytkownicy muszą mieć większą świadomość zagrożeń związanych z inwigilacją mobilną oraz kroków, które należy podjąć, aby im przeciwdziałać.
3. Ransomware staje się coraz bardziej wyrafinowane, ponieważ firmy wypłacają pieniądze.
Widzieliśmy wiele zgłoszeń dotyczących ewolucji oprogramowania ransomware i gry w kotka i myszkę między atakującymi, którzy szukają sprytnych sposobów na obejście możliwości wykrywania, a obrońcami poszukującymi nowych sposobów ich blokowania. Zamiast losowo szyfrować dowolne dane, przestępcy wybierają dane biznesowe o wysokiej wartości, aby zaszyfrować je i żądać okupu. Moim zdaniem, oprogramowanie ransomware znajduje się w połowie swojego cyklu życia. Będziemy o nim mówić jeszcze przez wiele lat, ale w końcu się z nim uporamy, ponieważ wzmocnimy naszą obronę.
4. Ataki na łańcuch dostaw są coraz częstsze.
Oto ataki, w których cyberprzestępcy wstrzykują kod do strony internetowej – często związanej z handlem elektronicznym lub finansami – umożliwiając im kradzież danych, takich jak dane osobowe klientów i dane kart kredytowych. Adwersarze podwoili się na ten rodzaj ataku i zaliczyli kilka ostatnich sukcesów. W 2019 r. znana brytyjska firma została ukarana rekordową grzywną w wysokości 241 milionów dolarów za atak na łańcuch dostaw. Uważa się, że został on przeprowadzony przez grupę zagrożeń Magecart. Inne duże firmy doznały podobnych ataków. Niewykluczone są kolejne ataki. Obrońcy muszą udoskonalić zabezpieczenia przed nieuczciwym kodem i być stale czujni, aby móc go zidentyfikować i wyeliminować.
5. DevOps przyspiesza rozwój oprogramowania, ale zwiększa ryzyko związane z bezpieczeństwem.
DevOps to transformacyjna metoda tworzenia kodu, która łączy rozwój i operacje w celu przyspieszenia innowacji oprogramowania. DevOps kontrastuje z tradycyjnymi formami rozwoju oprogramowania, które są monolityczne, powolne, bez końca testowane i łatwe do zweryfikowania. Zamiast tego DevOps jest szybki i wymaga wielu małych, iteracyjnych zmian. To jednak zwiększa złożoność i otwiera nowy zestaw problemów związanych z bezpieczeństwem. Dzięki DevOps, istniejące luki w bezpieczeństwie mogą być powiększone i przejawiać się na nowe sposoby. Szybkość tworzenia oprogramowania może oznaczać, że nowe luki są tworzone w sposób niezauważalny dla programistów. Rozwiązaniem jest wbudowanie monitorowania bezpieczeństwa w proces DevOps od samego początku. Wymaga to współpracy i zaufania pomiędzy CISO i zespołem DevOps.
6. środowiska emulacji i wabików muszą być wiarygodne.
Duże firmy poszukują możliwości tworzenia „środowisk emulacyjnych” w celu śledzenia nieznanych zagrożeń. Imitują one wiarygodne serwery i strony internetowe, ale tak naprawdę służą do wabienia złych aktorów w celu obserwowania ich zachowania i zbierania danych o ich metodach. Wabiki działają w podobny sposób. Wyzwaniem jest stworzenie środowisk emulacyjnych, które są na tyle dobre, aby oszukać przeciwnika, że myśli, iż jest to prawdziwy serwer lub strona internetowa.
7. reagowanie na incydenty w chmurze wymaga nowych narzędzi i umiejętności dla wewnętrznych zespołów bezpieczeństwa.
Organizacje są przyzwyczajone do radzenia sobie z incydentami związanymi z bezpieczeństwem cybernetycznym we własnych sieciach. Ale kiedy ich dane są przechowywane w chmurze, zespoły bezpieczeństwa mogą mieć trudności. Nie mają one pełnego dostępu do danych bezpieczeństwa, ponieważ są one kontrolowane przez dostawcę chmury. Mogą więc mieć trudności z odróżnieniem codziennych zdarzeń związanych z przetwarzaniem danych od incydentów bezpieczeństwa. Istniejące zespoły reagowania na incydenty potrzebują nowych umiejętności i narzędzi do przeprowadzania analizy śledczej danych w chmurze. Liderzy biznesowi powinni zadać swoim zespołom pytanie, czy są przygotowane i zdolne do zarządzania i reagowania na ataki bezpieczeństwa w chmurze.
8. Sztuczna inteligencja i uczenie maszynowe.
Otrzymaliśmy niezliczoną ilość dokumentów na temat AI i ML. Technologie te znajdują się na wczesnym etapie rozwoju w dziedzinie cyberbezpieczeństwa. Atakujący badają, w jaki sposób sieci wykorzystują ML do obrony bezpieczeństwa, aby móc opracować sposób ich naruszenia. Przyglądają się sposobowi, w jaki eksperci AI próbują oszukać systemy rozpoznawania obrazów, aby zidentyfikowały kurczaka lub banana jako człowieka. Wymaga to zrozumienia, jak działa silnik ML systemu, a następnie wymyślenia sposobów na skuteczne oszukanie go i złamanie modelowania matematycznego. Atakujący stosują podobne techniki, aby oszukać modele ML wykorzystywane w cyberbezpieczeństwie. Sztuczna inteligencja i ML są również wykorzystywane do wzmacniania głębokich fałszerstw. Gromadzą one i przetwarzają ogromne ilości danych, aby zrozumieć swoje ofiary oraz to, czy atak typu deep fake lub oszustwo się powiedzie.
9. Ataki na sprzęt i oprogramowanie sprzętowe powracają.
Narastają obawy związane z lukami w zabezpieczeniach sprzętu, takimi jak Spectre i Meltdown. Są one częścią rodziny podatności, ujawnionych w 2018 roku, które wpływają na prawie każdy chip komputerowy wyprodukowany w ciągu ostatnich 20 lat. Do tej pory nie doszło jeszcze do żadnych poważnych ataków. Ale eksperci ds. bezpieczeństwa prognozują, co mogłoby się stać, gdyby haker był w stanie wykorzystać takie słabości w sprzęcie i firmware.
10. Zaawansowani użytkownicy potrzebują ochrony.
Utworzenie bezpiecznych połączeń dla wyższej kadry kierowniczej i innych pracowników najwyższego szczebla, którzy mają dostęp do najbardziej wrażliwych danych korporacyjnych na swoich własnych urządzeniach, ma kluczowe znaczenie. Jakie środki należy podjąć, aby zapewnić im bezpieczeństwo?
11. Branża zabezpieczeń w końcu podejmuje działania w sprawie spoofingu DNS.
Adresy IP to ciągi liczb, które identyfikują komputery w sieci internetowej. Domain Name System przypisuje nazwę do każdego adresu IP, aby można go było znaleźć w sieci. DNS jest znany jako książka telefoniczna Internetu. Źli aktorzy mogą jednak podrabiać te nazwy, przekierowując użytkowników do zagrożonych witryn, w przypadku których istnieje ryzyko kradzieży danych. Branża w końcu zaczęła zbierać więcej informacji o DNS, aby zidentyfikować te problemy i zapobiec spoofingowi DNS.