Топ-6 трендів кібербезпеки у 2024 році
11:05, 03.04.2024
2023 рік приніс багато інновацій у світі технологій. Сектор кібербезпеки не став винятком. Інтеграція штучного інтелекту в численні продукти та рішення на ринку змінила і підхід до кібербезпеки.
Тепер організації та підприємства використовують ШІ для вдосконалення своїх систем виявлення шкідливих програм і протоколів кібербезпеки. Однак хакери та зловмисники також не відстають від останніх оновлень в індустрії, а отже, розпізнавання вразливостей, їх використання та пов'язані з ними загрози кібербезпеці також еволюціонували.
З огляду на це, давайте розглянемо топ-6 трендів у сфері кібербезпеки в 2024 рік.
1. Вдосконалення у векторах атак
На основі нашого досвіду з'явилися нові типи та вектори кібератак. Знання можливих типів загроз може запобігти використанню вразливостей системи. Нові кібератаки відбуваються за протоколами технічних вразливостей та централізованого соціального планування.
Типи атак і потенційні вектори для них виглядають наступним чином.
Атаки з використанням програм-вимагачів
Вимагачі - це тип шкідливого програмного забезпечення, призначеного для запобігання аутентифікації та обмеження доступу користувачів до певних файлів. Обмеження здійснюється за допомогою протоколів шифрування.
Атаки програм-вимагачів часто пов'язані з вимогою оплати за надання доступу до файлів, часто з метою отримання фінансової вигоди.
“Тренд" на атаки з вимогою викупу розпочався у 2017 році, коли відбулася всесвітня атака вірусу-здирника WannaCry. Зараз цей тип атак продовжує з'являтися і загрожувати об'єктам критичної інфраструктури та відомим компаніям завдяки поєднанню технічних вразливостей і соціальної інженерії.
Для проведення атак можуть використовуватися кілька типів програм-вимагачів, зокрема:
- Блокувальники екрану - програми, які не дозволяють користувачеві отримати доступ до даних і вимагають оплати для продовження роботи.
- Програми-лякалки, які показують фальшиве попередження про те, що виявлено якийсь вірус.
- DDoS-здирництво, яке створює загрозу запуску DDoS-атаки.
Це лише кілька поширених способів, як можуть здійснюватися атаки з вимогою викупу. Цей тип атак залишається однією з найпоширеніших загроз кібербезпеці.
Загрози з кінцевих точок
Загрози з кінцевих точок включають дії, спрямовані на людей, які працюють в компаніях-мішенях, і можливе ненавмисне "зараження" корпоративних систем шкідливим програмним забезпеченням, здійснене їхніми ж руками. Це може виглядати як залишення USB-накопичувача зі шкідливим програмним забезпеченням в надії, що хтось знайде його і зацікавиться дослідженням вміст через корпоративну мережу; таким чином зловмисники отримують конфіденційні дані організації.
Атаки з кінцевих точок іноді включають в себе портативний пристрій, який доставляють і залишають в безпосередній близькості до фізичної інфраструктури організації. Цей тип загрози кібербезпеці складно реалізувати, оскільки він може бути дорогим, ризикованим для самих зловмисників і ресурсоємним, якщо здійснюється віддалено.
Цей тип атаки може бути здійснений і в інший спосіб. Зловмисники, які намагаються створити цілеспрямовані загрози, також використовують соціальну інженерію для компрометації кінцевих точок користувачів: це може виглядати як надсилання електронних листів на корпоративні адреси з метою компрометації кінцевих точок користувачів. Цей тип атак набагато легше здійснити (навіть віддалено); крім того, він більш доступний за ціною, оскільки ви можете націлити загрози на кількох користувачів одночасно в різні періоди часу.
Хоча фактичне виконання атак може відрізнятися за формою, вони завжди спрямовані на комп'ютери, телефони або IoT пристрої.
Атаки на основі ідентифікаційних даних
Атаки на основі ідентифікаційних даних використовують вразливості, пов'язані з ідентифікацією, автентифікацією та іншими конфіденційними даними або персоналізованими процесами.
Цей тип атак спрямований на отримання доступу до персональних даних з подальшою погрозою їх розголошення. Атаки на основі ідентифікаційних даних можуть здійснюватися через крадіжку ідентифікаційних даних, фішинг, атаки на системи SSO та протоколи MFA.
Хмарні атаки
Хмарні атаки націлені на слабкі або недосконалі алгоритми автентифікації для доступу до хмарних сховищ з метою втручання в роботу хмари.
Також заслуговують на увагу атаки на хмарні сховища, що ґрунтуються на експлуатації сервісів зберігання даних. Їх концепція передбачає зміщення фокусу з кінцевих точок на сервіси хмарної мережі.
Нещодавні хмарні атаки були пов'язані з розповсюдженням інструментів через канали Telegram, які розкривали дані авторизації в хмарі.
Останнім часом кількість хмарних атак зростає, а найпоширенішою причиною їх здійснення є потенційна фінансова вигода. І те, як вони здійснюються, доводить, що весь ландшафт загроз кібербезпеки розвивається разом з інноваціями на технологічному фронті.
2: Інтеграція машинного навчання та штучного інтелекту в кібератаках
Штучний інтелект прискорив процес інтеграції технологій у різні сфери, деякі з яких мають вирішальне значення для нашого повсякденного життя, як, наприклад, охорона здоров'я. Але, незважаючи на те, що він впливає на все інше, ШІ, мабуть, найбільше вплинув на кібербезпеку.
ШІ продовжує розвиватися, як і кіберзагрози, а зловмисники використовують можливості штучного інтелекту. Машинне навчання може допомогти виявити вразливості системи та скористатися ними, а також визначити програмні патерни. Наприклад, фішингові атаки, що проводяться з використанням ШІ, можуть включати неймовірно переконливі повідомлення, проаналізувавши шаблони спілкування.
Яким би тривожним це не здавалося, ШІ також допомагає інтегрувати передові механізми безпеки для посилення її захисту. Машинне навчання може допомогти проаналізувати потенційні загрози та схеми атак, передбачити вектори атак, а також увімкнути сповіщення для швидкої реакції та впровадження стратегій захисту.
3. Використання консолідованих стратегій захисту від виробників
Оскільки потенційний спектр кібератак постійно зростає, компанії, які використовують багато (або занадто багато) додатків, піддають себе підвищеному ризику кібервторгнення через складність управління додатками та недостатній рівень захисту.
В якості оптимальної стратегії безпеки компаніям і підприємствам рекомендується впроваджувати безперервне управління загрозами, що передбачає розширену оцінку потенційних загроз. Виходячи з нашого досвіду, це, в свою чергу, може призвести до полегшення крос-платформного управління, широкого охоплення та послідовної стратегії безпеки, а також ефективного реагування на загрози безпеці.
4. Поява Ransomware2.0
Ransomware 2.0 - це наступний рівень еволюції програм-вимагачів, який включає в себе вдосконалення з використанням останніх інновацій в техніці атак і їх більшу персоналізацію.
Ransomware 2.0 не тільки шифрує дані для подальшого використання, але й адаптується до поведінкових шаблонів, фільтрує конфіденційні дані перед шифруванням і в цілому створює більш продуману тактику атаки.
Ось як здійснюються атаки Ransomware 2.0:
- Доступ до даних та їх викрадення
Атаки починаються з використання різних методів, таких як фішинг, шкідливі програми та скомпрометоване програмне забезпечення для доступу до системи. Потім відбувається викрадення критично важливих даних, які можуть бути попередньо відфільтровані.
- Шифрування та обмеження доступу до даних
Після того, як зловмисники заволоділи конфіденційними даними, вони шифрують їх таким чином, щоб унеможливити їх використання або доступ до них. У цьому сценарії шифрування виконується таким чином, що відновити доступ до даних можуть лише самі зловмисники.
Користувачі часто отримують повідомлення про заблокований доступ разом із вимогою заплатити (часто в криптовалюті) за ключ до розшифрування або не розголошувати дані.
- Здійснення тиску
Саме "2.0" аспект означає в "Ransomware 2.0" - подвійне вимагання і подвійний тиск. Мало того, що окремий користувач зазнає стресу від того, що його конфіденційні дані скомпрометовані, він ще й ризикує, як стверджують зловмисники, потрапити в загальний доступ. Крім того, атаки ransomware 2.0 часто передбачають копіювання даних в інше місце перед їх шифруванням.
Коли мова йде про бізнес, оприлюднення корпоративних даних може зашкодити репутації компанії, призвести до фінансових втрат та юридичних наслідків.
- Оплата та потенційне відновлення даних
Ми хочемо підкреслити, що немає жодних гарантій, що ваші дані будуть відновлені після того, як ви здійсните платіж.
За нашими спостереженнями, більшість шахраїв вимагають, щоб оплата була здійснена на криптогаманець. Після успішного здійснення платежу зловмисники стверджують, що нададуть вам ключ розшифровки, який потенційно може відновити ваш доступ до даних.
Однак немає жодних гарантій, що ваші дані не були перенесені на інший пристрій або сховище, або що вже не стався виток інформації.
Все це свідчить про те, що Ransomware 2.0 є серйозною загрозою, і слід застосовувати найкращі практики кібербезпеки, щоб запобігти атаці або мати можливість захистити свої дані після інциденту.
Статистика атак Ransomware 2.0
Компанія Panda Security повідомила про нещодавнє зростання кількості атак з подвійним вимаганням. Зокрема, почастішали випадки переміщення даних на інші пристрої або в цифрові простори, що є проявом еволюції атак з вимогами викупу. Зловмисники не лише вимагають викуп за ключ до розшифрування даних, але й вимагають оплату в якості превентивного заходу, щоб не допустити витоку скопійованих даних користувачів організацій. Так створюється контекст подвійного вимагання.
Серед найяскравіших прикладів атак вірусів-вимагачів у 2023 році - діяльність угруповання LAPSU$, яке націлилося на Microsoft, Uber і Nvidia, а потім оприлюднило викрадені дані, коли вимога викупу не була виконана.
Коли справа доходить до захисту від атак вірусів-здирників, таких методів, як резервне копіювання та протоколи відновлення, вже недостатньо для запобігання загрозі. Основне занепокоєння викликає те, що групи зловмисників будують бізнес на атаках у “темному” інтернеті, де кіберзлочинці можуть придбати всю інфраструктуру програм-вимагачів, а потім використовувати її для здійснення кібератак. Це свідчить про те, що ландшафт програм-вимагачів розширився, і багато зловмисних хитромудрих програм, можливо, розміщуються на авторитетних платформах. Таким чином, підхід підприємств та організацій до атак з використанням Ransomware 2.0 слід охарактеризувати як серйозний і широкомасштабний.
5. Подолання викликів, пов'язаних з використанням інфраструктури для віддаленої роботи
Дистанційна робота вже давно стала звичайним аспектом повсякденного життя. Багато компаній використовують платформи та інструменти для надання віддаленого доступу своїм співробітникам, і часто алгоритми віддаленого доступу стають мішенню кібератак. Прикладом вразливості, пов'язаної з віддаленим доступом, може бути вразливість Citrix.
Нещодавно було випущено рекомендації щодо запобігання експлуатації конкретної уразливості - CVE-2023-3519, яка виникла в контролері доставки додатків NetScaler Application Delivery Controller та шлюзі NetScaler Gateway компанії Citrix. Через цю вразливість Citrix NetScaler був атакований протягом майже трьох місяців, і баг не вдалося повністю виправити за допомогою звичайних методів безпеки.
Група вимагачів LockBit 3.0, яка, ймовірно, базується в Росії, здійснила атаку на міжнародну корпорацію Boeing та інші компанії, використовуючи вразливості в програмному забезпеченні Citrix. Група змогла обійти механізми автентифікації та проникнути в сеанси користувачів.
Ознайомлення з подібними випадками може допомогти вашій організації зорієнтуватися і виявити вразливості у вашому віддаленому робочому середовищі.
6. Ескалація загроз у сфері IoT-атак
У 2023 році, згідно зі звітами SonicWall, було здійснено понад 77 мільйонів атак, що на 20 мільйонів більше, ніж у 2022 році, частина з них була спрямована на IoT пристрої. Таким чином, безпека IoT - це окрема тема, яка заслуговує на увагу.
Тенденції кібербезпеки, які, як очікується, з'являться в контексті IoT-пристроїв, включають кращі протоколи автентифікації та шифрування, а також політики доступу. Завдяки цьому посилення безпеки в секторі IoT може мати величезне значення, оскільки обмін даними між пристроями IoT буде більш безпечним і захищеним від будь-яких атак.
Що можна зробити додатково для підвищення безпеки, так це інтегрувати периферійні обчислення в структури IoT. Периферійні пристрої можуть обробляти дані локально без необхідності регулярної або частої передачі даних мережею.
Очікується також, що аспект кібербезпеки буде враховуватися в підході до проектування і розробки пристроїв Інтернету речей. Впровадження принципів безпечного дизайну в конструкцію пристрою зменшує кількість вразливостей до мінімуму.
Підсумки
Адаптуватися до нових принципів кібербезпеки нелегко, особливо з урахуванням технологічних досягнень, які так часто з'являються в наш час. Однак ми повинні пам'ятати, що з розвитком технологій зловмисники стають розумнішими, коли справа доходить до їх використання.
Тому, щоб випередити їх, не варто нехтувати відстеженням тенденцій у сфері кібербезпеки та зволікати з їх впровадженням. Ніколи не знаєш, куди буде спрямована наступна атака, але її можна певною мірою передбачити. Суть полягає в тому, щоб достатньо захистити свою організацію і переконатися, що ви слідуєте останнім тенденціям кібербезпеки.