Kyberzločinci využívají nebezpečnou kombinaci podceňování bezpečnostních rizik a nedostatečných investic
Chester Wisniewski, technický ředitel pro aplikovaný výzkum ve společnosti Sophos
Pokud nás historie něčemu naučila, tak můžeme konstatovat, že prostředí hrozeb v roce 2024 bude vypadat podobně jako v roce předchozím – bude jen efektivnější a bude docházet ke zvratům v důsledku vnějších okolností a příležitostí. Zločincům jde stále pouze o jedno – o peníze. Na své cestě k bohatství budou pokračovat ve vydírání a vymáhání výkupného, přičemž rozdíly vidíme v tom, co jim tuto trestnou činnost usnadňuje a umožňuje. Rok od roku pozorujeme posuny tam a zpět mezi zneužíváním zranitelností nultého dne a využíváním ukradených přihlašovacích údajů pro získání přístupu do sítí obětí. Když je k dispozici čerstvá zranitelnost a je snadné ji zneužít – jak jsme nedávno pozorovali v případě Citrix Bleed (chyba CVE-2023-4966 v softwaru Citrix NetScaler, zneužívaná ransomwarem) – pak ji kyberzločinci využijí. Jakmile všechny potenciální oběti svoje systémy ošetří, nebo již budou kompromitovány, vrátí se k o něco méně efektivní metodě krádeže uživatelských oprávnění. Vzhledem k tomu, že organizace stále častěji zavádějí vícefaktorové ověřování, začali zločinci vyvíjet sofistikovanější způsoby, jak přístup do systémů obejít, a zaměřili se na krádeže cookies a session cookies. Výsledkem je kombinace škodlivých proxy útoků s využitím sociálního inženýrství, krádeží cookies a útoků prostřednictvím opakovaných žádostí o vícefaktorové ověření.
Rok 2023 ukázal také velký pokrok ve zneužívání dodavatelských řetězců ke kompromitaci obětí. Ať už jde o kompromitaci poskytovatelů řízených služeb (MSP), zařízení pro sdílení souborů nebo poskytovatelů ověřování, někdy je nejjednodušší proniknout zadními vrátky. Vzhledem k tomu, že nadále posilujeme vlastní sítě a přijímáme více modelů typu „as-a-service“, můžeme očekávat, že podobných útoků bude v roce 2024 přibývat.
Se stále širším nasazováním vícefaktorového ověřování budeme i nadále svědky používání škodlivých proxy, jako je Evilginx, a sociálního inženýrství, které se snaží přesvědčit koncové uživatele a pracovníky podpory IT, aby útočníkům umožnili přístup. Skupiny jako LAPSU$ a Scattered Spider zaujaly v letech 2022 a 2023 svým úspěchem při získávání přístupu do významných společností, a to pravděpodobně inspiruje i ostatní, aby si vypůjčili jejich osvědčené techniky.
Umělá inteligence
Vliv umělé inteligence na obranu se pravděpodobně projeví efektivnějším prováděním stávající práce bezpečnostních týmů. Umělá inteligence vyniká v tom, že dokáže zpracovat velké soubory dat a pomáhá provádět operace, které těmto datům dávají smysl. Lidé často vědí, co chtějí, a umělá inteligence jim pomůže se k tomu rychleji dostat. Umožní také lepší detekci anomálií ve velkých souborech dat, protože stroj „vidí“ všechny informace najednou a může pomoci upozornit lidi na věci, které se liší od normálu.
Na úrovni států
Domnívám se, že vlády velkých států po celém světě budou přijímat zásadnější opatření ke zmaření činnosti ransomwarových skupin, protože každodenní život lidí je stále více ovlivňován tím, že kvůli výpadkům způsobeným kybernetickými útoky nefungují nemocnice, školy, advokátní kanceláře nebo banky. Těžko říci, zda to bude účinné, ale dostáváme se do bodu, kdy lidé začnou požadovat, aby se s tím něco udělalo. Je těžké odhadnout, co přijde, ale byl bych velmi překvapen, kdyby se některé země nepokusily zákonem zakázat platby výkupného, protože epidemie ransomwaru si nadále žádá vysoké ekonomické náklady.
Ověřování identity
Systémy musí chránit běžného člověka, aniž by musel být vyškolen nebo o tom musel přemýšlet. Pokud ne, pak jsme selhali. Největším krokem, který můžeme udělat, aby se to stalo skutečností, je zbavit se hesel a přejít na ověřování odolné proti phishingu, jako jsou například přístupové klíče. Přístupové klíče umožňují uživateli jednoduše použít biometrický snímač na mobilním zařízení k ověření přístupu k e-mailu, sociálním médiím nebo oblíbenému nákupnímu webu. Pokud například ještě zjednodušíme a automatizujeme aktualizace softwaru, budou si lidé moci užívat online svět bez obav z hackerského útoku. Úkolem nás, jako bezpečnostních profesionálů, je urychlit zavádění těchto nástrojů, aby byl svět pro všechny bezpečnější.
Bezpečný IoT i open source
Obrovskou výzvou je ale také bezpečnost v digitálním světě obecně. Konkrétně se jedná o rychlý růst množství zařízení a frustrující nízkou kvalitu jejich zabezpečení. Zatímco ve zlepšování zabezpečení našich telefonů a internetových prohlížečů došlo k velkému pokroku, stejné úsilí nebylo vynaloženo na zařízení internetu věcí, nástroje na zabezpečení provozních technologií a na velkou část podnikového softwaru, na kterém je náš svět závislý. Příliš málo se investuje do zabezpečení ekosystému open source softwaru, na kterém jsou založeny naše cloudové služby a stále častěji i všechna zařízení, která vlastníme.
Společným problémem je, že nepostupujeme dostatečně rychle a zločinci jsou hbitější než naše vlády a bezpečnostní pravidla. Vidíme, že společnosti po celém světě mají tendenci podceňovat svá bezpečnostní rizika a nedostatečně investují do zlepšení své bezpečnostní situace.