Zagrożenia cybernetyczne w 2023 roku
Świat jeszcze nigdy nie był zależny od technologii w takim stopniu jak obecnie. Środowiska IT stają się coraz bardziej złożone, a niewielkie luki w zabezpieczeniach mogą mieć duży wpływ na zdolność organizacji do kontynuowania działalności pomimo incydentów lub naruszeń bezpieczeństwa. Poniżej przedstawiamy dziesięć trendów, które mogą ukształtować krajobraz cyberbezpieczeństwa w 2023 roku.
Uwierzytelnianie – czy to naprawdę Ty?
Uwierzytelnianie i zarządzanie dostępem do tożsamości (IAM) będą coraz częściej celem ataków – i to z powodzeniem. Wielu atakujących już zaczęło kraść lub omijać tokeny uwierzytelniania wieloskładnikowego (MFA). W innych sytuacjach przytłaczanie ofiar żądaniami, na przykład w atakach zmęczeniowych MFA, może prowadzić do udanych logowań bez potrzeby wykorzystania luki w zabezpieczeniach. Ostatnie ataki na Okta i Twilio udowodniły, że takie usługi zewnętrzne również są naruszane. Jest to oczywiście związane ze stosowaniem słabych i powtarzalnych haseł, co stanowi powszechny problem od wielu lat. Dlatego tak ważne jest zrozumienie, jak działa uwierzytelnianie i kto ma dostęp do danych.
Ransomware nadal ma silną pozycję
Zagrożenie ransomware wciąż jest silne i ewoluuje. Chociaż obserwujemy zmianę w kierunku większej eksfiltracji danych, główni aktorzy kontynuują profesjonalizację swoich operacji. Większość dużych graczy rozszerzyła swoją działalność na MacOS i Linux oraz interesuje się także środowiskiem chmurowym. Nowe języki programowania takie jak Go i Rust są coraz bardziej powszechne i wymagają dostosowań w narzędziach analitycznych. Liczba ataków będzie rosła, ponieważ nadal są one opłacalne, zwłaszcza gdy ubezpieczenie cybernetyczne pokrywa część skutków ataku. Atakujący będą w coraz większym stopniu koncentrować się na odinstalowywaniu narzędzi zabezpieczających, usuwaniu kopii zapasowych i wyłączaniu planów odzyskiwania po awarii, jeśli to tylko możliwe. Techniki „Living of the Land” odegrają w tym główną rolę.
Naruszenie bezpieczeństwa na masową skalę
Złośliwe oprogramowanie kradnące informacje, takie jak Racoon i Redline, staje się normą wśród przestępców rozpowszechniających infekcje. Skradzione informacje często zawierają dane uwierzytelniające, które są następnie sprzedawane do dalszych ataków za pośrednictwem brokerów dostępu początkowego. Rosnąca liczba blobów danych w połączeniu ze złożonością powiązanych usług w chmurze utrudni organizacjom śledzenie swoich danych. Wymóg udzielenia wielu użytkownikom dostępu do danych utrudnia szyfrowanie i ochronę danych. Skradziony klucz dostępu API, na przykład w GitHub lub aplikacji mobilnej, może wystarczyć do kradzieży wszystkich danych. Doprowadzi to do postępów w przetwarzaniu danych z zachowaniem prywatności.
Wyłudzanie informacji nie tylko przez e-mail
Złośliwe wiadomości e-mail i ataki phishingowe są nadal wysyłane przez miliony nadawców. Atakujący będą nadal podejmować próby zautomatyzowania i spersonalizowania ataków przy użyciu wcześniej ujawnionych danych. Oszustwa dokonywane za pomocą technik socjotechnicznych, takie jak włamanie do poczty służbowej (BEC), będą w coraz większym stopniu rozprzestrzeniać się na inne usługi przesyłania wiadomości, takie jak wiadomości tekstowe, Slack, Teams itp., aby uniknąć filtrowania i wykrywania. Z drugiej strony wyłudzanie informacji będzie nadal wykorzystywało serwery proxy do przechwytywania tokenów sesji, kradzieży tokenów MFA i wykorzystywania przekierowań, takich jak kody QR, do dalszego ukrywania się.
Inteligentne kontrakty nie takie inteligentne
Koniec ataków na giełdy kryptowalutowe i inteligentne kontrakty na różnych systemach blockchain nie wydaje się być w zasięgu wzroku. Nawet podmioty atakujące organizacje państwowe próbują ukraść setki milionów w walutach cyfrowych. Nadal pojawiają się bardziej wyrafinowane ataki na inteligentne kontrakty, monety algorytmiczne i rozwiązania DeFi, które uzupełniają klasyczne ataki związane z wyłudzaniem informacji i złośliwym oprogramowaniem.
Korzystanie z zasobów infrastruktury ofiary
Service Providerzy są coraz częściej celami ataków, a bezpieczeństwo ich usług jest naruszane. Atakujący nadużywają zainstalowanych narzędzi, takich jak PSA, RMM lub innych narzędzi służących do wdrażania, aby wykorzystać zasoby ofiary. Celami takich ataków są nie tylko dostawcy usług IT, lecz również firmy konsultingowe, organizacje wsparcia pierwszego stopnia i inni powiązani partnerzy. Takie podmioty z zewnątrz są często wykorzystywane jako najsłabsze ogniwo w docelowej organizacji, więc nie jest konieczne żmudne opracowywanie ataków na łańcuch dostaw oprogramowania.
Ataki z poziomu przeglądarki
Pojawi się więcej ataków w przeglądarce lub za jej pośrednictwem, które przeprowadzane będą z poziomu sesji. Do tego celu stosowane będą złośliwe rozszerzenia przeglądarki podmieniające adresy transakcji lub kradnące hasła w tle. Istnieje również tendencja do przejmowania kodu źródłowego takich narzędzi i dodawania backdoorów za pośrednictwem repozytorium GitHub. Z drugiej strony portale internetowe będą nadal śledzić użytkowników za pomocą JavaScript i udostępniać identyfikatory sesji przez odsyłacze HTTP do usług marketingowych. Atakujący rozwiną techniki Formjacking/Magecart, w których małe dodane fragmenty kradną wszystkie informacje w tle oryginalnej witryny. Wraz z rozwojem przetwarzania bezserwerowego analiza takiego ataku może stać się bardziej skomplikowana.
Automatyzacja w chmurze za pomocą interfejsów API
Dane, procesy i infrastruktury w dużym zakresie przeszły już do chmury. Proces ten będzie nadal trwać, przy czym pojawi się większa automatyzacja między różnymi usługami. Wiele urządzeń IoT będzie częścią tej dużej, hiperpołączonej chmury usług. Spowoduje to, że wiele interfejsów API będzie dostępnych w Internecie, co zwiększy liczbę ataków na nie. Ze względu na automatyzację może to wywołać ataki na dużą skalę.
Ataki na procesy biznesowe
Atakujący zawsze wpadają na nowe pomysły dotyczące tego, jak zmodyfikować procesy biznesowe dla własnej korzyści i zysku. Może to być na przykład zmiana danych konta bankowego odbiorcy w szablonie systemu rozliczeniowego organizacji lub dodanie zasobnika atakującego w chmurze jako miejsca docelowego kopii zapasowej dla serwera poczty e-mail. Przy tego typu atakach, złośliwe oprogramowanie często nie jest używane i wymagana jest dokładna analiza zachowań użytkowników, podobnie jak coraz częstsze ataki wewnętrzne.
Wszechobecne AI
Z procesów sztucznej inteligencji i uczenia maszynowego będą korzystać korporacje każdej wielkości i z różnych sektorów. Postępy w tworzeniu danych syntetycznych będą prowadzić do większego rozwoju oszustw dotyczących kradzieży tożsamości oraz kampanii dezinformacyjnych z wykorzystaniem fałszywych treści. Bardziej niepokojącym trendem będą ataki na same modele AI i ML. Atakujący będzie próbował wykorzystać słabe punkty w modelu, celowo wszczepić uprzedzenia (bias) do zbiorów danych lub po prostu użyć triggerów wyzwalających, aby zalać środowiska IT alertami.
Czy ten artykuł był pomocny?
Oceniono: 0 razy