Технології розвиваються та ускладнюються рік за роком, а разом з ними удосконалюються методики атак. Сучасні реалії вимагають онлайн-додатків, хмарних сервісів та платформ для віртуалізації, тому вже не вдасться сховатися за корпоративним файрволом — і не висовувати носа у «небезпечний інтернет». Все це разом із поширенням IoT/IIoT, розвитком фінтеху та зростаючою популярністю віддаленої роботи до невпізнанності змінило ландшафт загроз. Поговоримо про кібернапасті, які готує нам 2020 рік.
Експлуатація 0day-уразливостей випереджатиме вихід патчів
Складність програмних систем зростає, тому вони неминуче містять помилки. Розробники випускають виправлення, але для цього проблему потрібно спочатку виявити, витративши час у тому числі суміжних команд – тих самих тестувальників, які змушені проводити тести. Але часу якраз у багатьох команд катастрофічно не вистачає. Результатом стає неприпустимо довгий випуск патчу, а то й зовсім поява патча, який працює лише частково.
Випущений у 2018 році , тобто. не ліквідував проблему повністю.
У 2019 році Cisco випустила .
У вересні 2019 року дослідники Проте ті так і не виправили помилку протягом 90 днів.
Blackhat і Whitehat-хакери зосереджено шукають уразливості, тому ймовірність того, що вони першими виявлять проблему, значно більша. Хтось із них прагне отримати винагороди за програмами Bug Bounty, а інші мають цілком конкретні шкідливі цілі.
Більше атак із використанням дипфейків
Нейросети та штучний інтелект розвиваються, створюючи нові можливості для шахрайства. Слідом за фальшивими порнороликами за участю знаменитостей з'явилися цілком конкретні атаки із серйозними матеріальними збитками.
У березні 2019 року п. Керівник головної компанії віддав керівнику філії вказівку перерахувати гроші підряднику з Угорщини. Голос CEO було підроблено за допомогою штучного інтелекту.
Враховуючи стрімкий розвиток технології створення дипфейків, очікується, що кіберзлодії впровадять створення фальшивих аудіо- та відеороликів до складу BEC-атак та схем шахрайства з технічною підтримкою для підвищення довіри користувачів.
Головною мішенню для дипфейків стануть топ-менеджери, оскільки записи їхніх розмов та виступів перебувають у вільному доступі.
Атаки на банки через фінтех
Прийняття європейської директиви про платіжні послуги PSD2 уможливило проведення нових видів атак на банки та їх клієнтів. Це і фішингові кампанії проти користувачів фінтех-додатків, і DDoS-атаки на фінтех-стартапи, і розкрадання даних із банку через відкритий API.
Складні атаки через постачальників послуг
Компанії дедалі більше звужують свою спеціалізацію, віддаючи непрофільні види діяльності на аутсорсинг. Їхні співробітники переймаються довірою до аутсорсерів, які ведуть бухгалтерію, здійснюють технічну підтримку або забезпечують безпеку. В результаті для атаки на компанію достатньо скомпрометувати одного з постачальників послуг, щоб через нього впровадити в цільову інфраструктуру шкідливий код, викрасти гроші чи інформацію.
У серпні 2019 року хакери проникли в інфраструктуру двох ІТ-компаній, що надають послуги зберігання та резервного копіювання даних, а вже через неї
ІТ-компанія, що обслуговує Управління поліції Нью-Йорка, на кілька годин вивела з ладу базу даних відбитків пальців,
Оскільки ланцюжки поставок стають все довшими, з'являється більше слабких ланок, вразливістю яких можна скористатися, щоб атакувати найбільший видобуток.
Ще одним фактором, який полегшить атаки через ланцюжки поставок, стане масове поширення віддалених робочих місць. Фрілансери, які працюють через публічний Wi-Fi або з дому, є легким видобуванням, при цьому вони можуть взаємодіяти з кількома серйозними компаніями, тому їх скомпрометовані пристрої стають зручним плацдармом для підготовки та проведення наступних стадій кібернападу.
Широке використання IoT/IIoT для шпигунства та здирництва
Швидке зростання числа IoT-пристроїв, серед яких смарт-телевізори, «розумні» колонки і різні голосові асистенти в сукупності з великою кількістю вразливостей, що виявляються в них, створить безліч можливостей для їх несанкціонованого використання.
Компрометація розумних пристроїв та розпізнавання мови людей за допомогою ІІ дозволяє ідентифікувати об'єкт стеження, що перетворює такі девайси на набір для здирництва або корпоративного шпигунства.
Ще один напрямок, в якому, як і раніше, будуть використовуватися пристрої IoT — створення бот-мереж для різних шкідливих кіберпослуг: розсилки спаму, анонімізації та проведення .
Збільшиться кількість атак на об'єкти критичної інфраструктури, оснащені компонентами . Їхньою метою може стати, наприклад, вимагання викупу під загрозою зупинення роботи підприємства.
Чим більше хмар, тим більше небезпек
Масовий переїзд ІТ-інфраструктур у хмари призведе до появи нових об'єктів для атак. Помилки під час розгортання та налаштування хмарних серверів успішно експлуатуються зловмисниками. Кількість витоків, пов'язаних із небезпечними налаштуваннями БД у хмарі, зростає з кожним роком.
У жовтні 2019 року у відкритому доступі було виявлено сервер ElasticSearch, що містить
В кінці листопада 2019 року , у яких були повні імена абонентів, адреси електронної пошти та номери телефонів, а також тексти SMS-повідомлень.
Витоку розміщених у хмарах даних не тільки завдадуть шкоди репутації компаній, а й призведуть до накладення штрафів та стягнень.
Недостатні обмеження доступу, неправильне керування дозволами та недбалість при веденні логів — лише частина помилок, які компанії допускатимуть при налаштуванні своїх «хмарних» мереж. У міру міграції до хмар до цього процесу все більше залучатимуться сторонні постачальники послуг з різною компетенцією в галузі безпеки, що забезпечить додаткові можливості для атак.
Загострення проблем віртуалізації
Контейнеризація сервісів полегшує розробку, супровід та розгортання ПЗ, проте водночас створює додаткові ризики. Вразливості у популярних образах контейнерів, як і раніше, будуть проблемою для всіх, хто їх використовує.
Компаніям також доведеться зіткнутися з уразливістю у різних компонентах контейнерної архітектури від помилок у середовищі виконання до оркестраторів та середовищ складання. Зловмисники будуть шукати та використовувати будь-які слабкі місця, щоб скомпрометувати процес DevOps.
Ще одна тенденція, що стосується віртуалізації, пов'язана з безсерверними обчисленнями. За прогнозом Gartner, . Ці платформи пропонують розробникам виконувати код як послугу, позбавляючи необхідності платити за цілі сервери або контейнери. Проте перехід на безсерверні обчислення не забезпечує імунітету проблем безпеки.
Точками входу для атак на безсерверні програми стануть застарілі та скомпрометовані бібліотеки та неправильно настроєне оточення. Зловмисники будуть використовувати їх для збирання конфіденційної інформації та проникнення у мережі підприємств.
Як протистояти загрозам у 2020 році
Враховуючи зростаючу складність кіберзлочинних впливів, компаніям буде потрібно розширити взаємодію з фахівцями з безпеки, щоб знизити ризики у всіх секторах своєї інфраструктури. Це дозволить захисникам та розробникам отримати додаткову інформацію та краще контролювати підключені до мережі пристрої та усувати їх вразливості.
Ландшафт загроз, що постійно змінюється, вимагатиме впровадження багаторівневого захисту, заснованого на таких механізмах безпеки, як:
- виявлення успішних атак та пом'якшення їх наслідків,
- кероване виявлення та запобігання атак,
- поведінковий моніторинг: проактивне блокування нових загроз та виявлення аномальної поведінки,
- захист кінцевих точок.
Нестача навичок та низька якість знань у галузі кібербезпеки визначатиме загальний рівень захищеності організацій, тому ще одним стратегічним завданням їхнього керівництва має стати систематичне тренування безпечної поведінки співробітників у поєднанні з підвищенням поінформованості у сфері інформаційної безпеки.
Джерело: habr.com