RSA Conference är världens största och mest respekterade sammankomst för CISO:s, tekniker och cybersäkerhetsspecialister. När ett nytt årtionde närmar sig – och när nästa konferens sammanträder i februari i San Francisco – är en ny uppsättning utmaningar här.
Siktning genom de cirka 500 bidragen från cybersäkerhetsexperter som är angelägna om att ta plats på konferensen (jag sitter med i kommittén som väljer presentationer) ger en glimt av nya problem som djupa förfalskningar, stalkerware och övervakningsattacker, samtidigt som långvariga teman som DevOps och utpressningstrojaner får förnyad betydelse.
Om du är företagsledare bör du hålla utkik efter dessa trender (eller bekymmer). De kan påverka din organisation. Här är några av de största utmaningarna som vi ser baserat på inlämningarna.
1. Falska och djupa förfalskningar är de nya modeorden.
Djupa förfalskningar – förfalskade video- och ljudinspelningar som liknar de riktiga – är ett ämne av intresse för många experter. Vem som helst kan ladda ner programvara för att skapa djupa förfalskningar, vilket ger många möjligheter till skadlig verksamhet. En politiker kan förfalskas när han eller hon gör en röstförlorande kommentar före ett val. En förfalskad inspelning av en hög chef kan ge bokföringsavdelningen order om att göra en finansiell transaktion till en kriminell persons bankkonto. Nya former av ”stalkerware”, en typ av spionprogram, spårar smartphone-data från offren för att skapa sig en bild av deras aktiviteter. Säkerhetsbranschen håller fortfarande på att utarbeta sitt svar på detta nya hot.
2. Smartphones används i övervakningsattacker.
Med den ökande användningen av bankappar och beröringsfria betalningar blir smarttelefoner centrum för finansiella transaktioner. Detta har drivit fram en ökning av mobilövervakningsattacker, som installerar spårningsprogram på telefoner för att övervaka människors beteende utifrån deras smartphoneanvändning. Detta möjliggör bedrägerier med företags e-post, som kallas ”business email compromise”. Ju mer en angripare vet om offrets aktiviteter, desto lättare är det att skicka ett trickmejl som får dem att ladda ner en fil med skadlig kod. Användarna måste bli mer medvetna om farorna med mobilövervakning och de åtgärder som kan vidtas för att motverka den.
3. Ransomware blir allt mer sofistikerad i takt med att företagen betalar ut.
Vi såg många bidrag om utvecklingen av ransomware och katt-och-råtta-spelet mellan angripare som letar efter smarta sätt att kringgå detekteringsfunktioner och försvarare som söker nya sätt att blockera dem. Istället för att slumpmässigt kryptera alla data de kan, riktar brottslingarna in sig på högvärdiga affärsdata för att kryptera och kräva lösensumma. Jag anser att utpressningstrojaner befinner sig mitt i sin livscykel. Vi kommer att prata om det i många år framöver, men kommer så småningom att få bukt med det när vi skärper vårt försvar.
4. Attacker mot försörjningskedjan ökar.
I dessa fall injicerar cyberattacker kod i en webbplats – ofta e-handel eller finans – så att de kan stjäla uppgifter som kundernas personuppgifter och kreditkortsuppgifter. Angriparna har fördubblat sin satsning på den här typen av attacker och har nyligen lyckats med en del av dem. Under 2019 dömdes ett välkänt brittiskt företag till ett rekordstort bötesbelopp på 241 miljoner dollar för en attack i leveranskedjan. Den tros ha genomförts av hotgruppen Magecart. Andra stora företag har drabbats av liknande attacker. Fler attacker är troliga. Försvarare måste förbättra skyddet mot oseriös kod och vara ständigt vaksamma så att de kan identifiera och eliminera den.
5. DevOps snabbar upp programvaruutvecklingen men ökar säkerhetsriskerna.
DevOps är en omvälvande metod för att skapa kod som knyter samman utveckling och drift för att påskynda mjukvaruinnovation. DevOps står i kontrast till traditionella former av mjukvaruutveckling, som är monolitiska, långsamma, ändlöst testade och lätta att verifiera. DevOps är i stället snabb och kräver många små, iterativa ändringar. Men detta ökar komplexiteten och ger upphov till nya säkerhetsproblem. Med DevOps kan befintliga säkerhetssårbarheter förstoras och visa sig på nya sätt. Hastigheten i skapandet av programvara kan innebära att nya sårbarheter skapas utan att utvecklarna ser dem. Lösningen är att bygga in säkerhetsövervakning i DevOps-processen från början. Detta kräver samarbete och förtroende mellan CISO och DevOps-teamet.
6. Emulering och lockbete-miljöer måste vara trovärdiga.
Stora företag vill skapa ”emuleringsmiljöer” för att spåra okända hot. Dessa efterliknar trovärdiga servrar och webbplatser men är egentligen till för att locka in dåliga aktörer för att observera deras beteende och samla in data om deras metoder. Decoys fungerar på ett liknande sätt. Utmaningen är att skapa emuleringsmiljöer som är tillräckligt bra för att lura motståndaren att tro att det är en riktig server eller webbplats.
7. Svar på incidenter i molnet kräver nya verktyg och färdigheter för interna säkerhetsteam.
Organisationer är vana vid att hantera cybersäkerhetsincidenter i sina egna nätverk. Men när deras data lagras i molnet kan säkerhetsteamen få det svårt. De har inte full tillgång till säkerhetsdata, eftersom dessa kontrolleras av molnleverantören. De kan därför ha svårt att skilja mellan vardagliga datorhändelser och säkerhetsincidenter. Befintliga incidenthanteringsteam behöver nya färdigheter och verktyg för att kunna utföra kriminaltekniska undersökningar av molndata. Företagsledare bör utmana sina team om huruvida de är förberedda och kapabla att hantera och reagera på säkerhetsattacker i molnet.
8. Artificiell intelligens och maskininlärning.
Vi har fått otaliga artiklar om AI och ML. Dessa tekniker befinner sig i ett tidigt skede när det gäller cybersäkerhet. Angripare studerar hur nätverken använder ML för säkerhetsförsvar så att de kan räkna ut hur de ska bryta sig in i dem. De tittar på hur AI-experter försöker lura bildigenkänningssystem att identifiera en kyckling eller en banan som en människa. Detta kräver att man förstår hur systemets ML-motor fungerar och att man sedan hittar sätt att effektivt lura den och bryta den matematiska modelleringen. Angripare använder liknande tekniker för att lura ML-modeller som används inom cybersäkerhet. AI och ML används också för att förstärka djupa förfalskningar. De samlar in och bearbetar enorma mängder data för att förstå sina offer och om en attack eller ett bedrägeri med djupa falska kommer att lyckas.
9. Hårdvaru- och firmwareattacker är tillbaka.
Det finns en växande oro för sårbarheter i hårdvara som Spectre och Meltdown. Dessa ingår i en familj av sårbarheter som avslöjades 2018 och som påverkar nästan alla datorchip som tillverkats under de senaste 20 åren. Inga allvarliga attacker har ännu ägt rum. Men säkerhetsexperter förutspår vad som skulle kunna hända om en hackare kunde utnyttja sådana svagheter i hårdvara och fast programvara.
10. Power users behöver skydd.
Det är viktigt att skapa säkra anslutningar för ledande befattningshavare och annan topppersonal som har tillgång till de mest känsliga företagsdata på sina egna enheter. Vilka åtgärder måste vidtas för att hålla dem säkra?
11. Säkerhetsbranschen vidtar äntligen åtgärder mot DNS-spoofing.
IP-adresser är de siffersträngar som identifierar datorer i ett Internetnätverk. Domännamnssystemet tilldelar varje IP-adress ett namn så att den kan hittas på webben. DNS är känt som internets telefonbok. Men dåliga aktörer kan förfalska dessa namn och leda användare till komprometterade webbplatser där de riskerar att få sina uppgifter stulna. Branschen har äntligen börjat samla in mer DNS-information för att identifiera dessa problem och förhindra DNS-spoofing.