2022 może okazać się spektakularny pod względem incydentów, porażek i innowacji, które przewidujemy w obszarze cyberbezpieczeństwa. Poniżej przegląd kluczowych trendów od grupy architektów rozwiązań, analityków, inżynierów, specjalistów od oszustw, byłych funkcjonariuszy organów ścigania i wywiadu, a także CISO w F5.
Sponsorowane przez państwa struktury przyjmą zestawy narzędzi od cyberprzestępców
Dobrze znane zagrożenia oparte na bogatych zasobach (inaczej: zaawansowane trwałe zagrożenia; ang. APT) rozumiane jako najbardziej szkodliwe techniki i grupy atakujących, są wskazywane jako najuciążliwsze w walce o bezpieczną organizację. W tym roku spodziewamy się więcej APT.
Szczególnie w sponsorowanych przez państwo strukturach, które będą modyfikować znane odmiany złośliwego oprogramowania i wykorzystywać techniki cyberprzestępcze, takie jak konfigurowanie funkcji dowodzenia i kontroli (C&C) w komunikatorze Telegram. Innymi słowy, miejscem poszukiwania najlepszego wsparcia przeciw APT będzie czołówka operacji przestępczych.
Remi Cohen, Senior Threat Intelligence Engineer at F5
Fintechy w czołówce gromadzących dane uwierzytelniające
Korzystanie z usług fintechu jest możliwe, dopiero gdy umożliwi się połączenia między organizacją, która je świadczy, a rachunkami finansowymi usługobiorców. Oznacza to, że trzeba przekazać nazwy użytkownika i hasła do wszystkich odpowiednich kont.
Tylko niektóre fintechy mają ugruntowaną pozycję i renomę. W 2022 roku spodziewamy się, że przynajmniej jeden taki usługodawca okaże się tylko przykrywką dla organizacji przestępczej utworzonej wyłącznie po to, by zbierać nazwy użytkowników i hasła.
Dan Woods, Global Head of Intelligence at F5
Chmura zje tradycyjne IT
Zbliżamy się do punktu, w którym chmura stanie się częścią domyślnych umiejętności IT. Ponieważ multi-cloud staje się nową normą1, wzrosną oczekiwania wobec specjalistów IT.
Zmienią się paradygmaty zarządzania IT, w których praca on-premises będzie bardziej przypominać wzorce przyjęte dla chmury (np. w zakresie zarządzania lokalnym sprzętem). Większość narzędzi wielochmurowych i hybrydowych opiera się na takiej samej metodzie, więc używanie dwóch wzorców postępowania do zarządzania technologią staje się zbędne.
Raymond Pompon, Director of F5 Labs
Oprogramowanie ransomware będzie atakować najzamożniejszych
Jest tylko kwestią czasu, zanim ktoś zacznie tą metodą atakować wyjątkowo zamożnych obywateli w ich osobistych sieciach. Takie „cele” mają środki na zapłacenie okupu, a ich systemy informatyczne są często tak złożone, jak systemy małych przedsiębiorstw. Z afer finansowych możemy się domyślać, że wiele osób o bardzo wysokich dochodach może mieć coś do ukrycia w swoich finansach. Mogą więc wahać się, czy w razie ataku wezwać organy ścigania.
Sander Vinberg, Threat Research Evangelist at F5 Labs
Cyberprzestępczość i cyberwojna będą coraz trudniejsze do rozróżnienia
Ubezpieczyciele coraz bardziej interesują się coraz częściej występującymi cyberkonfliktami. W 2021 roku do kategorii „wojny” zakwalifikowano ponad sto incydentów.
Technologia może być wykorzystywana w dobrych, jak i złych celach. Np. narzędzia do testów penetracyjnych wykorzystywane mogą być zarówno przez stronę ataku, jak i obrony. Wszystkie narzędzia do cyberataków, są wykorzystywane także w cyberwojnie, od DDoS przez ransomware po kryptokoparki.
Widzieliśmy już wiele ataków sponsorowanych przez państwa, takich jak WannaCry, które
mają znamiona oszustwa. Jeśli firma zostanie zaatakowana przez takie oprogramowanie ransomware, trudno jednoznacznie sklasyfikować, czy był to akt wojny, czy cyberprzestępstwo. Szczególnie niejasne są granice definicji w przypadku infrastruktury krytycznej będącej często w cywilnych, prywatnych rękach. Podobne rozróżnienie wojna/przestępstwo wydaje się mieć jeszcze znaczenie tylko dla ubezpieczycieli i polityków.
Raymond Pompon, Director of F5 Labs
Organizacje będą miały więcej „kluczowych” problemów
Niedawno, jedna z giełd kryptowalut doświadczyła kradzieży różnych tokenów o wartości 200 milionów dolarów po tym, jak prywatny klucz giełdy uległ naruszeniu.
Tymczasem w 2021 roku udostępniono kilka nowych opcji bezpieczniejszego przechowywania kluczy, dzięki udostępnieniu sprzętowych modułów bezpieczeństwa (HSM) w chmurze. Narzędzia te mogą być drogie i wymagają sporej infrastruktury, aby działały poprawnie i zapewniły dostęp do kluczy przez całą dobę.
Można oczywiście zabezpieczyć klucze prywatne, szyfrując ich pliki i używając haseł, ale wraz ze wzrostem liczby zarządzanych kluczy może się to szybko wymknąć spod kontroli (scenariusz powielania hasła).
Usługi HSM w chmurze są najrozsądniejszą drogą dla przedsiębiorstw i dużych organizacji, ale mają sens nawet w przypadku indywidualnych, zaawansowanych użytkowników. Klucze są hakowane stale i będą także w 2022 roku. Warto zabezpieczyć narzędzie do ich przechowywania i upewnić się, że nie jesteśmy w grupie tych, których klucze zostały naruszone.
Peter Scheffler, Senior Solution Architect at F5
Cyberprzestępcy jak korporacje
Mamy coraz więcej wiedzy na temat społeczności cyberkryminalistów – nasila się w niej trend specjalizacji, podziałów prac i zadań. Niepokoi fakt, że oferenci cyberprzestępstw coraz bardziej zaczynają przypominać korporacje zatrudniające pracowników o zróżnicowanych rolach oraz zlecające określone czynności na zewnątrz.
Trend odchodzenia od specjalizacji zaznacza się tylko w podgrupach atakujących — na przykład wśród Rosjan lub FIN6 — w kierunku uogólnionego rynku specjalistów, którzy będą pracować w zasadzie dla każdego zleceniodawcy.
Dziś nie tylko poszczególni hakerzy lub grupy podejmują decyzje jak biznes, ale cała społeczność przestępcza stanowi dojrzały, kapitalistyczny przemysł złożony z firm, które łączą się ze sobą w razie potrzeby.
Sander Vinberg i Remi Cohen
Kłopoty z łańcuchami dostaw z nami zostaną
Źródłem problemów łańcucha dostaw w bezpieczeństwie aplikacji są przyjmowane założenia i brak cierpliwości, czasu. Sprawdzanie kodu jest pracochłonne, a zdecentralizowany sposób, w jaki budujemy aplikacje, sprawia, że pracy jest więcej.
Dlatego kolejna duża luka w zabezpieczeniach stron trzecich, taka jak Log4Shell lub Apache Struts sprzed kilku lat, znowu się pojawi. Skutecznym sposobem zabezpieczenia będzie nieustanne sprawdzanie poprawności kodu, stosu aplikacji i inwentaryzowanie bibliotek2.
Peter Scheffler, Senior Solution Architect at F5