Conferința RSA este cea mai mare și cea mai respectată adunare din lume a CISO-urilor, a tehnologilor și a specialiștilor în securitate cibernetică. Pe măsură ce se apropie un nou deceniu – și pe măsură ce următoarea conferință se reunește în februarie la San Francisco – un nou set de provocări este aici.
Peste cele aproximativ 500 de prezentări ale experților în securitate cibernetică dornici să urce pe scena conferinței (fac parte din comitetul care alege prezentările) oferă o privire asupra problemelor emergente, cum ar fi deep fakes, stalkerware și atacurile de supraveghere, în timp ce temele de lungă durată, inclusiv DevOps și ransomware, capătă o importanță reînnoită.
Dacă sunteți un director de afaceri, fiți atenți la aceste tendințe (sau îngrijorări). Ele ar putea să vă afecteze organizația. Iată câteva dintre cele mai mari provocări pe care le observăm, pe baza prezentărilor.
1. Fakes și deep fakes sunt noile cuvinte la modă.
Fake-urile profunde – înregistrări video și audio falsificate care seamănă cu cele reale – reprezintă un subiect de interes pentru mulți experți. Oricine poate descărca software pentru a crea falsuri profunde, oferind multe posibilități pentru activități rău intenționate. Un politician ar putea fi falsificat în timp ce face un comentariu de pierdere a voturilor înainte de alegeri. O înregistrare falsificată a unui director executiv de rang înalt ar putea ordona departamentului de contabilitate să efectueze o tranzacție financiară în contul bancar al unui infractor. Noile forme de „stalkerware”, un tip de spyware, urmăresc datele de pe smartphone-uri ale victimelor pentru a-și face o imagine a activităților acestora; acestea pot fi folosite pentru a crea videoclipuri, înregistrări vocale sau comunicări scrise falsificate. Industria de securitate este încă în curs de elaborare a răspunsului la această nouă amenințare.
2. Smartphone-urile sunt folosite în atacuri de supraveghere.
Cu utilizarea din ce în ce mai frecventă a aplicațiilor bancare și a plăților fără atingere, smartphone-urile devin hub-uri pentru tranzacții financiare. Acest lucru a determinat o creștere a atacurilor de supraveghere mobilă, care instalează software de urmărire pe telefoane pentru a monitoriza comportamentul oamenilor din utilizarea smartphone-urilor. Acest lucru permite fraudarea e-mailurilor corporative, cunoscută sub numele de compromiterea e-mailurilor de afaceri. Cu cât un atacator știe mai multe despre activitățile unei victime, cu atât este mai ușor să îi trimită un e-mail înșelător care să o determine să descarce un fișier care conține un cod malițios. Utilizatorii trebuie să fie mai conștienți de pericolele supravegherii mobile și de măsurile de contracarare a acestora.
3. Ransomware-ul devine tot mai sofisticat, pe măsură ce companiile plătesc.
Am văzut o mulțime de prezentări despre evoluția ransomware-ului și jocul de-a șoarecele și pisica între atacatorii care caută modalități inteligente de a ocoli capacitățile de detecție și apărătorii care caută noi modalități de a-i bloca. În loc să cripteze la întâmplare orice date pe care le pot, infractorii vizează date de afaceri de mare valoare pe care să le cripteze și să le păstreze pentru răscumpărare. În opinia mea, ransomware se află la jumătatea ciclului său de viață. Vom mai vorbi despre el mulți ani de acum încolo, dar în cele din urmă îl vom lichida pe măsură ce ne vom ascuți apărarea.
4. Atacurile asupra lanțului de aprovizionare sunt în creștere.
Aceștia sunt cazurile în care atacatorii cibernetici injectează cod într-un site web – adesea de comerț electronic sau financiar – permițându-le să fure date precum detaliile personale ale clienților și datele cardurilor de credit. Adversarii s-au dublat pe acest tip de atac și au înregistrat câteva succese recente. În 2019, o companie britanică bine-cunoscută a fost amendată cu suma record de 241 de milioane de dolari pentru un atac asupra lanțului de aprovizionare. Se crede că acesta a fost organizat de grupul de amenințări Magecart. Alte companii mari au suferit atacuri similare. Sunt probabile și alte atacuri. Apărătorii trebuie să îmbunătățească protecțiile împotriva codurilor necinstite și să fie mereu vigilenți, astfel încât să le poată identifica și elimina.
5. DevOps accelerează dezvoltarea de software, dar crește riscurile de securitate.
DevOps este o metodă transformațională de creare a codului care leagă dezvoltarea și operațiunile împreună pentru a accelera inovația software. DevOps contrastează cu formele tradiționale de dezvoltare software, care sunt monolitice, lente, testate la nesfârșit și ușor de verificat. În schimb, DevOps este rapidă și necesită o mulțime de schimbări mici, iterative. Dar acest lucru crește complexitatea și deschide un nou set de probleme de securitate. Cu DevOps, vulnerabilitățile de securitate existente pot fi amplificate și se pot manifesta în moduri noi. Viteza de creare a software-ului poate însemna că noi vulnerabilități sunt create fără a fi văzute de către dezvoltatori. Soluția este de a încorpora monitorizarea securității în procesul DevOps încă de la început. Acest lucru necesită cooperare și încredere între CISO și echipa DevOps.
6. Mediile de emulare și momeală trebuie să fie credibile.
Întreprinderile mari caută să creeze „medii de emulație” pentru a depista amenințările necunoscute. Acestea imită servere și site-uri web credibile, dar în realitate sunt acolo pentru a atrage actorii răi pentru a le observa comportamentul și a colecta date despre metodele lor. Momelile funcționează într-un mod similar. Provocarea constă în crearea unor medii de emulație care să fie suficient de bune pentru a-l păcăli pe adversar să creadă că este vorba de un server sau de un site web din lumea reală.
7. Răspunsul la incidente în cloud necesită noi instrumente și competențe pentru echipele interne de securitate.
Organizațiile sunt obișnuite să se ocupe de incidente de securitate cibernetică în propriile rețele. Dar atunci când datele lor sunt stocate în cloud, echipele de securitate pot întâmpina dificultăți. Ele nu au acces deplin la datele de securitate, deoarece acestea sunt controlate de furnizorul de cloud. Prin urmare, acestea pot întâmpina dificultăți în a distinge între evenimentele informatice de zi cu zi și incidentele de securitate. Echipele existente de răspuns la incidente au nevoie de noi competențe și instrumente pentru a efectua expertize criminalistice asupra datelor din cloud. Liderii de afaceri ar trebui să își provoace echipele să stabilească dacă sunt pregătite și capabile să gestioneze și să răspundă la atacurile de securitate în cloud.
8. Inteligența artificială și învățarea automată.
Am primit nenumărate lucrări despre AI și ML. Aceste tehnologii se află într-un stadiu incipient în domeniul securității cibernetice. Atacatorii studiază modul în care rețelele folosesc ML pentru apărările de securitate, astfel încât să poată afla cum să le spargă. Aceștia analizează modul în care experții în inteligență artificială încearcă să păcălească sistemele de recunoaștere a imaginilor pentru a identifica o găină sau o banană ca fiind un om. Acest lucru necesită înțelegerea modului în care funcționează motorul ML al sistemului și apoi găsirea unor modalități de a-l înșela în mod eficient și de a sparge modelarea matematică. Atacatorii folosesc tehnici similare pentru a înșela modelele ML utilizate în domeniul securității cibernetice. Inteligența artificială și ML sunt, de asemenea, folosite pentru a stimula falsurile profunde. Aceștia adună și procesează cantități uriașe de date pentru a-și înțelege victimele și pentru a ști dacă un atac deep fake sau o fraudă va reuși.
9. Atacurile hardware și firmware au revenit.
Există îngrijorări tot mai mari cu privire la vulnerabilitățile hardware, cum ar fi Spectre și Meltdown. Acestea fac parte dintr-o familie de vulnerabilități, dezvăluite în 2018, care afectează aproape toate cipurile de calculator fabricate în ultimii 20 de ani. Deocamdată nu au avut loc atacuri grave. Dar experții în securitate prognozează ce s-ar putea întâmpla dacă un hacker ar reuși să exploateze astfel de slăbiciuni în hardware și firmware.
10. Utilizatorii puternici au nevoie de protecție.
Crearea unor conexiuni sigure pentru directorii executivi și alți angajați de top care au acces la cele mai sensibile date corporative pe propriile dispozitive este vitală. Ce măsuri trebuie luate pentru a-i menține în siguranță?
11. Industria de securitate ia în sfârșit măsuri cu privire la DNS spoofing.
Adresele IP sunt șiruri de numere care identifică computerele dintr-o rețea de internet. Sistemul de nume de domeniu atribuie un nume fiecărei adrese IP pentru ca aceasta să poată fi găsită pe web. DNS este cunoscut ca fiind cartea de telefon a internetului. Însă actorii răi pot falsifica aceste nume, direcționând utilizatorii către site-uri web compromise, unde riscă să li se fure datele. Industria a început în sfârșit să adune mai multe informații despre DNS pentru a identifica aceste probleme și pentru a preveni falsificarea DNS.