Prognozy dotyczące zagrożeń cybernetycznych w 2023 roku

9 grudnia, 2022

Zagrożenia cybernetyczne w 2023 roku

security

Świat jeszcze nigdy nie był zależny od technologii w takim stopniu jak obecnie. Środowiska IT stają się coraz bardziej złożone, a niewielkie luki w zabezpieczeniach mogą mieć duży wpływ na zdolność organizacji do kontynuowania działalności pomimo incydentów lub naruszeń bezpieczeństwa. Poniżej przedstawiamy dziesięć trendów, które mogą ukształtować krajobraz cyberbezpieczeństwa w 2023 roku.

Uwierzytelnianie – czy to naprawdę Ty?

Uwierzytelnianie i zarządzanie dostępem do tożsamości (IAM) będą coraz częściej celem ataków  – i to z powodzeniem. Wielu atakujących już zaczęło kraść lub omijać tokeny uwierzytelniania wieloskładnikowego (MFA). W innych sytuacjach przytłaczanie ofiar żądaniami, na przykład w atakach zmęczeniowych MFA, może prowadzić do udanych logowań bez potrzeby wykorzystania luki w zabezpieczeniach. Ostatnie ataki na Okta i Twilio udowodniły, że takie usługi zewnętrzne również są naruszane. Jest to oczywiście związane ze stosowaniem słabych i powtarzalnych haseł, co stanowi powszechny problem od wielu lat. Dlatego tak ważne jest zrozumienie, jak działa uwierzytelnianie i kto ma dostęp do danych.


Ransomware nadal ma silną pozycję

Zagrożenie ransomware wciąż jest silne i ewoluuje. Chociaż obserwujemy zmianę w kierunku większej eksfiltracji danych, główni aktorzy kontynuują profesjonalizację swoich operacji. Większość dużych graczy rozszerzyła swoją działalność na MacOS i Linux oraz interesuje się także środowiskiem chmurowym. Nowe języki programowania takie jak Go i Rust są coraz bardziej powszechne i wymagają dostosowań w narzędziach analitycznych. Liczba ataków będzie rosła, ponieważ nadal są one opłacalne, zwłaszcza gdy ubezpieczenie cybernetyczne pokrywa część skutków ataku. Atakujący będą w coraz większym stopniu koncentrować się na odinstalowywaniu narzędzi zabezpieczających, usuwaniu kopii zapasowych i wyłączaniu planów odzyskiwania po awarii, jeśli to tylko możliwe. Techniki „Living of the Land” odegrają w tym główną rolę.


Naruszenie bezpieczeństwa na masową skalę

Złośliwe oprogramowanie kradnące informacje, takie jak Racoon i Redline, staje się normą wśród przestępców rozpowszechniających infekcje. Skradzione informacje często zawierają dane uwierzytelniające, które są następnie sprzedawane do dalszych ataków za pośrednictwem brokerów dostępu początkowego. Rosnąca liczba blobów danych w połączeniu ze złożonością powiązanych usług w chmurze utrudni organizacjom śledzenie swoich danych. Wymóg udzielenia wielu użytkownikom dostępu do danych utrudnia szyfrowanie i ochronę danych. Skradziony klucz dostępu API, na przykład w GitHub lub aplikacji mobilnej, może wystarczyć do kradzieży wszystkich danych. Doprowadzi to do postępów w przetwarzaniu danych z zachowaniem prywatności.


Wyłudzanie informacji nie tylko przez e-mail

Złośliwe wiadomości e-mail i ataki phishingowe są nadal wysyłane przez miliony nadawców. Atakujący będą nadal podejmować próby zautomatyzowania i spersonalizowania ataków przy użyciu wcześniej ujawnionych danych. Oszustwa dokonywane za pomocą technik socjotechnicznych, takie jak włamanie do poczty służbowej (BEC), będą w coraz większym stopniu rozprzestrzeniać się na inne usługi przesyłania wiadomości, takie jak wiadomości tekstowe, Slack, Teams itp., aby uniknąć filtrowania i wykrywania. Z drugiej strony wyłudzanie informacji będzie nadal wykorzystywało serwery proxy do przechwytywania tokenów sesji, kradzieży tokenów MFA i wykorzystywania przekierowań, takich jak kody QR, do dalszego ukrywania się.


Inteligentne kontrakty nie takie inteligentne

Koniec ataków na giełdy kryptowalutowe i inteligentne kontrakty na różnych systemach blockchain nie wydaje się być w zasięgu wzroku. Nawet podmioty atakujące organizacje państwowe próbują ukraść setki milionów w walutach cyfrowych. Nadal pojawiają się bardziej wyrafinowane ataki na inteligentne kontrakty, monety algorytmiczne i rozwiązania DeFi, które uzupełniają klasyczne ataki związane z wyłudzaniem informacji i złośliwym oprogramowaniem.


Korzystanie z zasobów infrastruktury ofiary

Service Providerzy są coraz częściej celami ataków, a bezpieczeństwo ich usług jest naruszane. Atakujący nadużywają zainstalowanych narzędzi, takich jak PSA, RMM lub innych narzędzi służących do wdrażania, aby wykorzystać zasoby ofiary. Celami takich ataków są nie tylko dostawcy usług IT, lecz również firmy konsultingowe, organizacje wsparcia pierwszego stopnia i inni powiązani partnerzy. Takie podmioty z zewnątrz są często wykorzystywane jako najsłabsze ogniwo w docelowej organizacji, więc nie jest konieczne żmudne opracowywanie ataków na łańcuch dostaw oprogramowania.


Ataki z poziomu przeglądarki

Pojawi się więcej ataków w przeglądarce lub za jej pośrednictwem, które przeprowadzane będą z poziomu sesji. Do tego celu stosowane będą złośliwe rozszerzenia przeglądarki podmieniające adresy transakcji lub kradnące hasła w tle. Istnieje również tendencja do przejmowania kodu źródłowego takich narzędzi i dodawania backdoorów za pośrednictwem repozytorium GitHub. Z drugiej strony portale internetowe będą nadal śledzić użytkowników za pomocą JavaScript i udostępniać identyfikatory sesji przez odsyłacze HTTP do usług marketingowych. Atakujący rozwiną techniki Formjacking/Magecart, w których małe dodane fragmenty kradną wszystkie informacje w tle oryginalnej witryny. Wraz z rozwojem przetwarzania bezserwerowego analiza takiego ataku może stać się bardziej skomplikowana.


Automatyzacja w chmurze za pomocą interfejsów API

Dane, procesy i infrastruktury w dużym zakresie przeszły już do chmury. Proces ten będzie nadal trwać, przy czym pojawi się większa automatyzacja między różnymi usługami. Wiele urządzeń IoT będzie częścią tej dużej, hiperpołączonej chmury usług. Spowoduje to, że wiele interfejsów API będzie dostępnych w Internecie, co zwiększy liczbę ataków na nie. Ze względu na automatyzację może to wywołać ataki na dużą skalę.


Ataki na procesy biznesowe

Atakujący zawsze wpadają na nowe pomysły dotyczące tego, jak zmodyfikować procesy biznesowe dla własnej korzyści i zysku. Może to być na przykład zmiana danych konta bankowego odbiorcy w szablonie systemu rozliczeniowego organizacji lub dodanie zasobnika atakującego w chmurze jako miejsca docelowego kopii zapasowej dla serwera poczty e-mail. Przy tego typu atakach, złośliwe oprogramowanie często nie jest używane i wymagana jest dokładna analiza zachowań użytkowników, podobnie jak coraz częstsze ataki wewnętrzne.


Wszechobecne AI

Z procesów sztucznej inteligencji i uczenia maszynowego będą korzystać korporacje każdej wielkości i z różnych sektorów. Postępy w tworzeniu danych syntetycznych będą prowadzić do większego rozwoju oszustw dotyczących kradzieży tożsamości oraz kampanii dezinformacyjnych z wykorzystaniem fałszywych treści. Bardziej niepokojącym trendem będą ataki na same modele AI i ML. Atakujący będzie próbował wykorzystać słabe punkty w modelu, celowo wszczepić uprzedzenia (bias) do zbiorów danych lub po prostu użyć triggerów wyzwalających, aby zalać środowiska IT alertami.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]