2020 és 2021 igazán forradalmi évek voltak, és így pár hónappal a 2022-es év előtt, kíváncsiak lehetünk, hogy mi is várható a jövőben. Ami a kiberbiztonsági trendeket illeti, az eddig tapasztalt kiberpiaci tendenciák alapján, bizonyára számos eshetőségre gondolhatok.
Korábbi publikációim egyikében láthatják, hogy a 2021-es év legfontosabb tendenciái a következők: egyre nagyobb szükség van a zsarolóvírus titkosítás elleni védelemre, az EPDR-re és XDR-re, megnövekedett az igény az egységesítésre és egyesített végpontvédelemre, valamint a WorkFromHome és a WorkFromAnywhere modellek elképesztő elterjedése miatt fokozott figyelem irányult a PAM és az IAM megoldásokra.
Nos, mi várható akkor a 2022-es évtől?
Top kiberbiztonsági trend előrejelzések 2022-re
1. Az ellátási lánc elleni támadások- különösen a zsarolóvírus támadások -megtartják „a legnagyobb veszélyt jelentő támadás” címét a világ bármely vállalata számára.
A zsarolóvírusok 2022-es fejlődésével kapcsolatban két olyan dolog van, ami igazán zavar engem: a kézbesítés módja és a titkosítás mechanizmusa.
Kézbesítés módja
Az úgynevezett Ransomware-at-the-Source és a Brute Force támadások, melyeknek végső célja a zsarolóvírus támadás, az utóbbi évben nagy népszerűségre tettek szert a kiberbűnözők körében, és határozottan ez az a trend, amely 2022-ben tovább fog fejlődni.
- Mind a Windows, mind a Linux operációs rendszerek bizonyos mértékben sérülékenyek a Ransomware-at-the-Source trenddel szemben. Alig néhány hónappal ezelőtt egy biztonsági kutató felfedett egy nulladik napi biztonsági rést a Windows 10 rendszeren, amely könnyen adhat adminisztrációs jogokat és ezáltal teljes felügyeletet a végpont felett-bárkinek, aki csatlakoztat egy Razer egeret vagy egy hardverkulcsot.
- A Fantom ransomware egy másik aggodalomra okot adó hecker megközelítés volt a Windows operációs rendszerrel kapcsolatban. A jól ismert, megbízható alkalmazásokat utánzó fertőzések növekvő tendenciájának részeként a Fantom egy Windows Update-szerű képernyőt jelenített meg áldozatainak, amely valójában egy vírus volt és titkosította a fájlokat a háttérben.
Mivel a Windowsnak 76,13%-os részesedése van az operációs rendszerek piacán, fogadok, hogy 2022-ben a Rnsomware-at-the-Source/Supply-Chain támadások a Microsoft-ra fognak irányulni. Ha a Windows Update-et bármilyen módon kompromittálnák, a hatások teljesen elképesztőek lennének, és biztos vagyok abban, hogy van jó pár profi heckercsapat, akik már próbálják megtalálni az ellátási lánc útvonalat a Microsoftba és onnan a további ellátási láncot a Windows Update-et használó ügyfelekhez.
Tudja hogyan lehet gyorsan megszakítani a Windows 10 rendszerfrissítését?
- Ami a Linuxot illeti, repository-injektálások komoly veszélyt jelentenek. A Linux repository egy olyan tárhelyet képvisel, amely a rendszer által letöltött és telepített operációs rendszer frissítéseket és alkalmazásokat tárolja. Az adattárban tárolt szoftvergyüjteményeket távoli szervereken őrzik, amelyeknek rendkívül biztonságosnak kell lenniük, mivel alaposan teszteltek, és úgy vannak tervezve csak bizonyos verziókkal szemben legyenek kompatibilisek. Azonban, továbbra is sérülékenyek lehetnek az injekciós támadásokkal szemben. Ezek az egyik legrégebbi és legveszélyesebb kiberfenyegetések, melyek nem megbízható adatot adnak hozzá egy legitim programhoz. Bár ezek természetes lekérdezésként vagy parancsként lesznek értelmezve, továbbra is zavarni fogják a szoftver végrehajtását, és a telepített eszközt sérülékennyé teszik a zsarolóvírussal szemben.
- Hasonlóképpen, az eszközgyártóknak figyelniük kell arra, hogy ne váljanak a bűnöző operátorok eszközévé azáltal, hogy kompromittált végpontokat bocsátanak ki a piacra.
Brute Force támadások
A brute force típusú támadás lett a heckerek kedvenc módszere a zsarolóvírusok célba juttatására és biztos vagyok abban, hogy ez egyhamar nem is fog eltűnni.
A brute force támadás módszere egyszerű, de nagyon hatékony: egy találgatós játékot játszik a céleszköz felhasználónevének és jelszavának meghatározására, majd kriptográfiai funkciókat használ, hogy megszerezze az azonosítási jelszavakat.
Hogy megkerüljék a hitelesítési folyamatokat, a támadók olyan szkriptelt alkalmazásokat és botokat használhatnak, amelyek tesztelik a dark weben elérhető adatszivárgási listák népszerű vagy akár valódi hitelesítő adatait. 2022-ben vélhetően láthatunk majd olyan brute force támadást, amelyek az API-kat és az SSH- használják ki arra, hogy hozzáférjenek a célzott eszközökhöz, valamint riasztó módon fejlődnek majd azok az eszközök, amelyeket a heckerek a bonyolult (remélem) klasszikus formátumú betű, speciális karakter és számból álló jelszavak feltárására használnak.
Azzal, hogy sikeres brute-force-al bejutnak a végpontjaiba, a heckereknek hozzáférésük lesz mindenhez, amihez ön is hozzáfér, és innentől teljes mértékben övék az irányítás. Ez minden bizonnyal azt fogja jelenteni, hogy eltűnnek fontos adatai, időt veszít, sőt talán ügyfeleket, fontos üzleti partnereket és természetesen rengeteg pénzt, amit máskülönben a vállalata fejlesztésére használhatott volna.
Amikor a megelőzési stratégiákról beszélünk, a többtényezős hitelesítés bevezetése és egy olyan sokoldalú privilegizált hozzáférés-felügyeleti megoldások telepítése, amely szigorúan ellenőrizhetik a belépési jogok megadását, valamint fenyegetés észlelésekor csökkenthetik a jogosultságokat is, minden bizonnyal elképesztő módszerek arra, hogy csökkentsék ezt a rettentő kiberbiztonsági piaci kihívást.
Titkosítási mechanizmusok
A klasszikus zsarolóvírus törzsek a fájlok aszimmetrikus titkosítási technikákkal történő titkosításával működnek. Ezek után a malware egy üzenetet jelenít meg arról, hogy mi történt és hogyan kell az áldozatnak váltságdíjat fizetni, hogy megkaphassa cserébe a fájlok visszafejtéséhez szükséges kulcsot.
A kiberbűnözők azonban innovátorok is, és folyamatosan új módszerekkel jönnek elő, jogellenes céljaik elérése érdekében.
- Ami a zsarolóvírus fejlesztést illeti jelenleg ez a helyzet és biztosan ez is marad az elkövetkező években. Láttunk már egy olyan evolúciót, amely a szerveren található lemezmeghajtók titkosításának irányába mutat és egyébként törvényes harmadik féltől származó lemeztitkosítási eszközök használatával hajtottak végre. Ilyet találtunk idén augusztus elején egy új zsarolóvírus törzsben, a DeepBleMagicRansomware-ben.
- Egy másik friss példája annak, hogy hogyan tudják a kiberbűnözők kihasználni a Windows összetevőit és folyamatait, a Microsoft Windows Encrypting Filesystem eltérítésével kapcsolatos, amely megengedi a felhasználóknak, hogy bizonyos mappákat és fájlokat titkosítsanak. Ez a kritikus megközelítés megköveteli a kiberbiztonsági gyártóktól, hogy minél hamarabb megtalálják a legjobb megelőzési vagy enyhítési módszereket, természetesen azokat, amelyek túlmutatnak a piacon található klasszikus aláírás-alapú eszközökön.
- Továbblépve, figyelnünk kell egy másik innovatív zsarolóvírus titkosítási mechanizmusra – a Sophos által nem régen felfedezett LockFile fenyegetés „szakaszos titkosítására”. A LockFile zsarolóvírus úgy működik, hogy titkosítja a fájlok minden 16-ik bájtját, így a sérült fájl nagyon hasonlít a titkosítatlan eredetihez és nagyon nehéz azonosítani.
Ahogyan a TreatPost megjegyzi:
„A zsarolóvírus először a javítás nélküli ProxyShellhibákat használja ki, majd az úgynevezett PetitPotam NTLM váltó támadást alkalmazza, hogy átvegye az áldozatok domainjének irányítását – magyarázták a kutatók. Egy ilyen támadás során a támadó a Microsoft titkosító fájlrendszer távoli protokollját/ Microsoft’s Encrypting File System Remote Protocol (MS-EFSRPC)-t használja, hogy csatlakozzon egy szerverhez, eltérítse a hitelesítési munkamenetet és manipulálja az eredményeket úgy, hogy a szerver azt higgye a támadóról, hogy hivatalos hozzáférési joga van.”
Ami a technikákat illeti, amelyekkel a kiberbűnözők végrehajtják a zsarolóvírus támadásokat, érdemes megemlítenünk a duplán zsaroló ransomware típusokat, mivel ez még inkább megnyomorítja ezt a monumentális kiberfenyegetést. Egy duplán zsaroló támadás esetén az adatot először megszerzik, majd titkosítják, így, ha az áldozat megtagadja a váltságdíj kifizetését, azokat kiszivárogtatják az internetre vagy eladják a legmagasabb ajánlatot tevőnek. A Maze, Egregor, Sodinokibi és Nefilim csak néhány példa olyan zsarolóvírus támadásra ahol a támadók ezt a technikát használták.
Erősen merek fogadni arra, hogy 2022-ben a hagyományos titkosítás helyett adatkorrumpálással végrehajtott dupla zsarolási támadásokat fogunk látni, mivel sokkal egyszerűbb korrumpálni egy meghajtót, mint titkosítani.
Függetlenül attól, hogy egy zsarolóvírus hogyan kerül kézbesítésre és figyelmen kívül hagyva az általa használt titkosítási mechanizmust, nyilvánvaló, hogy a zsarolóvírus mára egy globális problémává nőtte ki magát és nemzetközi stratégiákra van szükségünk, hogy védekezzünk ellene. Alig várom, hogy üzleti vezetőket, kormányzati képviselőket és intézményeket lássak együtt dolgozni, mivel a váltságdíj kifizetése és ezáltal a kiberbűnözők ösztönzése nem lehet opció az áldozatok számára.
2. A távmunka kihívásai örvénylő ütemben fognak gyorsulni
Úgy gondolom, hogy a távmunka legsürgetőbb kihívásai a következő évre, olyan szempontokhoz kapcsolódnak, mint az IoT, BYOD (Bring Your Own Device) és a felhőbiztonság, de ott van az olyan email fenyegetés mint az adathalászat, és nyilvánvalóan a PAM és a Zero-Trust problémák is.
- Nagyra értékelem a technológiának köszönhető eredményeket, de tudom, hogy nagyon sokan próbálják kihasználni mások aggodalmát és profitot szerezni belőle. Hasonló a helyzet az IoT eszközökkel, melyek továbbra is értékes célpontjai lesznek a heckereknek, legyen szó akár routerekről vagy babakamerákról.
- A távoli munka maradni fog és vele együtt marad a BYOD trend is. Mindazonáltal, bármennyire is csábító lehet a vállalatoknak, hogy hagyják a dolgozóikat saját eszközeiket használni és ezzel költséget csökkentsenek, a mobil eszközök sajnos jó táptalajt jelentenek az olyan fenyegetéseknek, mint az adatok keresztfertőződése, az adatszivárgás, a kiszervezett biztonság és eszközfertőzés.
- Az online tárhely szolgáltatások és a szolftver mint szolgáltatás megoldások egyaránt példák a felhőhasználatra. Nem mindegyik olyan biztonságos, mint amilyennek lennie kellene, emiatt az ügyfelek és adataik sérülékennyé válnak a betolakodók számára. A következő évben véleményem szerint várható, hogy a leggyakoribb felhőbiztonsági fenyegetés a hitelesítő adatok ellopása és a felhőalkalmazás sérülékenységeinek kihasználása lesz.
- Bármennyire is egyszerűnek tűnhetnek az adathalász rendszerek, továbbra is nagyon hatékonyak és úgy gondolom, hogy 2022-ben tovább fognak bővülni, sokkal személyre szabottabbak lesznek, sőt földrajzilag célzottabbá válnak. Egyre több kompromittáló üzleti email támadásnak leszünk tanúi, valamint súlyos vezérigazgatói csalásoknak és whaling támadásoknak (magas szintű hozzáféréssel rendelkező felhasználók fiókjai elleni támadás).
- A Privileged Access Management és a Zero-Trust koncepció fő célja, hogy egy vállalaton belül csak a megfelelő emberek lássák és dolgozhassanak az adatokkal, illetve rendszerekkel. Ahogy el tudja képzelni, a kiberbűnözők, akik törvénytelen hozzáférést és belső fenyegetést próbálnak elérni, nem fognak a közeljövőben eltűnni. Így a hozzáféréskezelés alapvető norma kell legyen, mivel a WorkFromHome és a WorkFromAnywhere modellek állandóak maradnak a munkavégzésben. A ZeroTrust keretrendszer felállítása kötelezővé kell váljon -lehet, hogy már az is- minden vállalat számára.
3. Az adatvédelem óriási hatással lesz a hitelesítés fejlődésére.
A hitelesítés nyilvánvalóan az adatok biztonságos tárolásának alapvető eleme. Biztos vagyok abban, hogy 2022-ben túl fogunk azon lépni, hogy a klasszikus erős, bonyolult jelszót bizonyos időközönként változtatni kell. Amint azt a CYBER Protection Magazine-nak adott interjúban is elmondtam, arra tippelek, hogy a biztonság és a felhasználói élmény javítása érdekében a jelszavakat más azonosítási módszerekkel kombinálják, mint például az intelligens kártyák, három tényezős és biometrikus azonosítás. Számíthatunk továbbá a dinamikusan generált jelszavakra is.
4. A gépi tanulás/machine-learning és a mesterséges intelligencia/artificial intelligence valódi játékszabály módosítók lesznek az enyhítés helyett a megelőzés felé vezető fejlődésben.
Biztos vagyok abban, hogy eddig mindenki megértette a gépi tanulás (ML) és a mesterséges intelligencia (MI) előnyeit a kiberbiztonságban. Egy másik szempont, ami kristálytiszta számomra, hogy a piacon még mindig érvényesülő enyhítő és egyéb reaktív megoldások már egyszerűen nem standardok: azt feltételezik, hogy a fenyegetés elérte a rendszert.
A Heimdal végső célja a megelőzés és a megelőzés több oldalról is, egy egyedülálló csomagban, ahol a legjobb hatékonyság elérése érdekében a termékek egymással kommunikálnak. Örömmel mondhatom, hogy egyre több beszállító követi a példánkat.
A gépi tanulás azáltal, hogy valós időben látja előre és ténylegesen reagál is a fenyegetésekre, nagyban elősegíti, hogy a kiberbiztonsági megoldások erősebbek és egyben kényelmesebbek legyenek.
5. Az adatok valós idejű láthatósága alapvető követelmény lesz minden biztonsági szoftver számára
Bármennyire is sajnálatos a cégtulajdonosok nagy része nem rendelkezik alapvető információkkal a vállalkozásáról. Például nem rendelkezik teljes informatikai eszközleltárral, ami tartalmazza az általuk használt összes hardvert és szoftvert, külső beszállítók listájával, arról nem is beszélve, hogy egy teljes körű áttekintésük legyen arról, hogy milyen lehetséges számítógépes fenyegetésekkel szembesülhetnek vagy szembesülhettek.
Ezen határozottan változtatniuk kell, ha el szeretnék kerülni egy kellemetlen kibertámadás következményeit- pénz- és időveszteséget, reputáció vesztést, stb... Így az automatizálást és a valós idejű adatok láthatóságát minden jövőbe mutató, csúcs kiberbiztonsági megoldás kulcsfontosságú elemeként kell kezelni.
6. A Extended Detection and Response (XDR) and Unification (kiterjesztett észlelés és reagálás, illetve az egyesítés) minden kiberbiztonsági stratégia elsődleges szempontja lesz
Ami a kiberbiztonsági trendeket illeti a kiterjesztett észlelés és reagálás, valamint az egyesített végpontfelügyelet irányába történtő elmozdulás a legfontosabb. Az XDR többrétegű észlelési és reagálási megközelítést kínál, javítva a biztonságot a végpontok, szerver, felhő, hálózatok és email agentek figyelésével, valamint növeli a termelékenységet a költségek lényeges csökkentése mellett.
A hatékony kiberbiztonsági stratégia, a fokozott termelékenység és a költségek csökkentése szempontjából kulcsfontosságú szerepe lesz az egyesített végpontfelügyeletnek. Ez továbbá biztosítja a legfontosabb adatok valós idejű láthatóságát, amellyel minden vállalattulajdonosnak bármikor rendelkeznie kell.
7. A kiberbiztonsági tudatosság fantasztikus növekedést fog elérni mind az otthoni mind a szakmai felhasználók körében
A megelőzés első lépése, ha van elképzelésünk arról, hogy mi romolhat el a kiberbiztonság terén és kíváncsiak vagyunk arra, hogy mit lehet tenni a probléma megelőzése érdekében. Míg az irodában általában vannak olyan szabályozások, amelyek arra kényszerítik a dolgozókat, hogy vegyék komolyan a kiberbiztonságot és léteznek olyan kiberbiztonsági tréningek, amelyek alapvető tudást kínálnak, sok otthoni felhasználó hajlamos arra, hogy elhanyagolja a kiberbiztonságot.
Szerencsére, úgy hiszem, hogy ez most változóban van és 2022-ben óriási növekedést fogunk látni a kiberbiztonsági tudatosságot illetően, mivel végre egyre többen értik meg, hogy egy kiberbiztonsági incidens bármikor, bárkinél előfordulhat (nem szalaszthatom el az alkalmat, hogy megemlítsem példaként az otthoni Synology szerverem elleni legutóbbi brute force támadást) és mindenkinek felelőssége megelőzni azt.
Végső gondolatok a 2022-es kiberbiztonsági trendekről
A legfontosabb kiberbiztonsági trendek amelyek 2022-ben várhatóak: az ellátási láncok támadásainak(főleg zsarolóvírus) masszív növekedése, főként olyan globálisan elérhető ellátási láncok esetében mint a Microsoft Update; óriási kihívások a távmunka esetében, adatvédelem és hitelesítés megváltozása; gépi tanulás és mesterséges intelligencia támogatja a megelőzést az enyhítéssel szemben; megnövekedett igény az adatok valós idejű láthatóságára;, a kiterjesztett észlelésre és reagálásra (XDR), valamint az egységesített végpontkezelésre, valamint a régen várt felhasználói tudatosság növekedésre.
A Heimdal™ Security már most egyedülálló helyzetben van az általunk vélt közelgő piaci kihívások és legégetőbb problémák elleni védekezés tekintetében, és ügyfeleinek a következőket kínálja:
- Kiváló Ransomware Encryption Protection modul amely univerzálisan kompatibilis minden víruskereső megoldással és 100%-ban aláírásmentes, valamint függetlenül attól, hogy egy zsarolóvírus file alapú vagy fájl nélküli (beleértve a legújabb LockFile típusút is) biztosítja annak kiváló észlelését és kármentesítését.
- Piacvezető Threat Prevention/fenyegetésmegelőzés/ mind a hálózat mind a végpont számára, amely feltárja és megelőzi a támadásokat DNS, http és HTTPS szinten, így sokkal többet távol tarthat a mostani és jövőbeni számítógépes fenyegetésekből, mint bármely más víruskereső.
- Egy igazán egyedi, nagymértékben automatizált Patch management megoldás, amely lehetővé teszi a biztonságos Microsoft, harmadik féltől származó és egyéni frissítések telepítését, amikor csak akarja és bárhol a világon.
- A Privileged Access Management megoldás, amely teljesen leegyszerűsíti az adminisztrátori jogok megadásnak folyamatát és csökkenti a jogosultságokat a fenyegetések észlelésekor, ha együtt használják a Threat Prevention and Endpoint Detection megoldással.
- Két fantasztikus email biztonsági modul, amelyek segítenek elkerülni az emailben telepített rosszindulatú programokat és zsarolóvírusokat, üzleti email támadásokat, adathalászatot, vezérigazgatói csalásokat és botnet támadásokat.
Természetesen, továbbra is úgy alakítjuk megoldáscsomagunkat, hogy a kiberbiztonsági piac legsürgetőbb szükségleteit és a kibertámadások fejlődését szem előtt tartva, maximális védelmet és megelőzést biztosítsunk.