Predykcje na rok 2022 by Mandiant
2021 był rokiem, gdy emocje związane z wymuszoną transformacją cyfrową nieco opadły a praca w środowisku rozproszonym stała się normą. Firmy udoskonaliły bądź wdrożyły systemy bezpieczeństwa dostosowane do nowych realiów, a cyberbezpieczeństwo wróciło na pozycję palącego (a nie krytycznego) problemu. I tak wchodzimy w Nowy Rok – 2022.
Wybrane predykcje zaczerpnęliśmy z raportu firmy Mandiant. Ich misja to coś, co podzielamy – „aby każda organizacja była zabezpieczona przed zagrożeniami cybernetycznymi i pewna swojej gotowości”. Mają również naprawdę solidne zaplecze informacji dotyczących zagrożeń, opracowywane przez ponad 300 osób badających hakerów za pomocą analizy incydentów, rekonstrukcji zaatakowanej infrastruktury i procesów wykorzystywanych przez malware.
Aha – oprócz tego, ich oczekiwania są zgodne z naszymi przeczuciami. Zobaczcie poniżej:
1. Nie ma końca w zasięgu wzroku: częściej, więcej, bardziej jeżeli chodzi o ataki cyfrowe
Ransomware będzie kontynuować trend wzrostowy – ta działalność jest po prostu zbyt lukratywna. Jedyna nadzieja to, że międzynarodowe rządy i innowacje technologiczne mogą zasadniczo zmienić kalkulację kosztów i korzyści atakującego. Spodziewamy się wzrostu liczby incydentów związanych z oprogramowaniem ransomware skierowanych przeciwko mniejszym organizacjom z krytycznych branż, w których należy pilnie zapłacić , aby uniknąć znaczącego wpływu na zdrowie i dobrostan ludności cywilnej. Podmioty zajmujące się zagrożeniami zaangażowane w wieloaspektowe wymuszenia będą nadal znajdować więcej sposobów na wyłudzanie płatności od swoich ofiar. Wieloaspektowe wyłudzenie zaczyna się od zablokowania ofiarom dostępu do ich własnych plików poprzez szyfrowanie (klasyczne oprogramowanie ransomware), a następnie dodanie zagrożeń, takich jak upublicznienie poufnych danych. W 2022 roku spodziewać się, że aktorzy rozwiną nowe taktyki, takie jak próba rekrutacji osób z wewnątrz ich ofiar lub celów. Spodziewamy się również, że więcej cyberprzestępców będzie karać ofiary, które zatrudniają profesjonalne firmy negocjacyjne, aby pomóc zmniejszyć ostateczną kwotę płatności za wymuszenie. W 2022 spodziewamy się, że taktyki będą ewoluować, gdy cyberprzestępcy staną się bardziej doświadczeni w biznesie i dowiedzą się, jakich sytuacji ich ofiary najbardziej chcą uniknąć.
2. Brak honoru wśród złodziei: więcej sporów między aktorami zagrożenia
Operacje Ransomware-as-a-Service to zorganizowane akcje, w których różne osoby wykonują określony element ataku za opłatą lub za procent wpływów. W 2022 r. między tymi podmiotami dojdzie do nasilenia konfliktów interesów. Konflikty mogą wystąpić, gdy cele się nie opłacają, lub jeśli organy ścigania zakłócają zdolność podmiotów do uzyskiwania zapłaty. Konflikty mogą również wystąpić, gdy organizacje ofiar w końcu płacą; określony aktor może czuć, że nie otrzymał wystarczającej zapłaty lub, że nie dostaje sprawiedliwego udziału. W ciągu najbliższych 12 miesięcy spodziewamy się wielu sytuacji, w których ofiary zapłacą milion dolarów lub więcej, aby uniemożliwić publikację skradzionych danych. W niektórych z tych sytuacji niektóre lub wszystkie dane mogą zostać opublikowane przez jednego z uczestników operacji z powodu konfliktu. Im częściej to się dzieje, tym bardziej wpłynie to na sposób, w jaki organizacje myślą o płaceniu okupu.
3. Organizacje złapane między rządem a grupami dystrybuującymi ransomware
Rząd USA koncentruje się na oprogramowaniu ransomware i sposobach jego ograniczania, co może prowadzić do negatywnych konsekwencji dla organizacji. Na przykład organizacjom amerykańskim — oraz organizacjom, które nie mają siedziby w USA, ale prowadzą działalność gospodarczą w USA — nie wolno płacić podmiotom grożącym sankcjami ani żadnej grupie lub osobie znajdującej się na liście osób niepłacących Departamentu Skarbu Stanów Zjednoczonych. Podejrzewamy, że w 2022 inne Państwa również ustanowią wytyczne dotyczące postępowania w wypadku incydentu z użyciem ransomware. W przypadku EU może to być np. Aktualizacja dyrektywy NIS.
4. Systemy coraz bardziej zagrożone przez „n00bów”
Hakerzy zajmujący się zagrożeniami o niskim poziomie zaawansowania (znani również jako script kiddies) wywierają duży wpływ w przestrzeni technologii operacyjnej (OT) — być może nawet większy, niż zamierzali. Ci relatywnie nisko wyposażeni w umiejętności przestępcy będą nadal eksplorować przestrzeń OT w 2022 roku i coraz częściej będą wykorzystywać oprogramowanie ransomware w swoich atakach. Takie ukierunkowanie nastąpi ze względu na potrzebę utrzymania pełnej operacyjności środowisk OT, zwłaszcza gdy systemy są częścią infrastruktury krytycznej. Ataki na krytyczne środowiska OT mogą powodować poważne zakłócenia, a nawet zagrażać życiu ludzkiemu, zwiększając w ten sposób presję na organizacje, aby zapłaciły okup. Co więcej, wiele z tych urządzeń OT nie jest zbudowanych z zachowaniem priorytetyzacji cyberbezpieczeństwo, obserwujemy również ogromny wzrost liczby wykrywanych luk w środowiskach OT.
5. Rozpowszechnienie ataków z użyciem deepfakes
Skuteczność deepfake w operacjach informacyjnych była dyskutowana w społeczności zajmującej się bezpieczeństwem, ale sponsorowani przez państwo i motywowani finansowo aktorzy wykazali rosnące zainteresowanie tą technologią. Mandiant obserwował posty i reklamy dotyczące technologii deepfake na podziemnych rosyjskich i anglojęzycznych forach kryminalnych w latach 2020 i 2021. Użytkownicy tych podziemnych forów reklamowali spersonalizowane filmy i obrazy deepfake, a także szkolenia dla użytkowników, jak tworzyć własne zmanipulowane media. Deepfake audio ułatwił oszustwa z użyciem zmanipulowanego konta e-mail (BEC). Otwarte źródła podkreślają, w jaki sposób cyberprzestępcy wykorzystali zmanipulowane media, aby ominąć protokoły bezpieczeństwa uwierzytelniania wieloskładnikowego (MFA) i środki weryfikacji tożsamości Know Your Customer (KYC). Przewidujemy, że w miarę jak technologia deepfake stanie się szerzej dostępna w 2022 r. i później, przestępcy kryminalni i szpiedzy będą coraz częściej włączać zmanipulowane media do swoich działań, aby socjotechnika była bardziej przekonująca, łatwo dopasowywała treści do określonych celów i pokonała niektóre zautomatyzowane systemy weryfikacji tożsamości.
6. Cyber-outsourcing w świecie przestępczości zwiększa szybkość i różnorodność złośliwych działań
Outsourcing za pośrednictwem mechanizmów, takich jak programy partnerskie ransomware, dostawcy exploitów, kontrahenci komercyjni, producenci złośliwego oprogramowania i freelancerzy, przyczyniają się zarówno do rosnącej częstotliwości, jak i złożoności cyberzagrożeń. Zacieranie się różnic między motywacjami finansowymi sponsorowanych przez państwo operacji zarówno w zakresie narzędzi, jak i talentów, dojrzewających legalnych i nielegalnych rynków narzędzi i usług stron trzecich oraz rosnącej komercjalizacji umiejętności w zakresie tworzenia narzędzi i przeprowadzania ataków — wszystko to przyczynia się do zwiększenia poziomu ryzyka cybernetycznego w miarę wzrostu liczby, jakości i zdolności adaptacyjnych złośliwych operacji.
7. Adopcja chmury wprowadza nowe wrażliwe punkty architektury
Organizacje będą coraz częściej polegać na usługach zewnętrznych w chmurze i hostowanych w chmurze w przypadku podstawowych zadań biznesowych, wywierając na te firmy większą presję w zakresie utrzymania zarówno dostępności, jak i bezpieczeństwa. Jeśli którakolwiek z tych funkcji zostanie zakłócona, organizacje muszą: być przygotowanym na obejście przerw oraz diagnozowanie, rozwiązywanie i przywracanie sprawności po incydencie, gdy nie były one głównym celem i mogą nie mieć dostępu do pełnego obrazu cyklu życia ataku w logach wewnętrznych. Przewidujemy, że problemy z chmurą i nadużycia będą rosły wraz z przyjęciem chmury korporacyjnej w 2022 roku. Podejrzewamy, że organizacje korzystające z usług chmurowych i dostawców hostowanych w chmurze mogą stać się bardziej podatne na zagrożenia, a także luki w zabezpieczeniach, błędne konfiguracje lub przerwy w działaniu zasobów w chmurze.
8. IoT – nowe podatności i zwiększona powierzchnia ataku
W nadchodzących latach spodziewamy się stałego wzrostu liczby urządzeń Internetu rzeczy (IoT), z których wiele będzie niedrogich i stworzonych bez prawdziwego rozważenia problemu bezpieczeństwa. Liczba luk w oprogramowaniu i sprzęcie — utrudni łowcom podatności nadążyć za ich zabezpieczeniem. Niestety, w podstawowych projektach urządzeń IoT nie położono wystarczającego nacisku na bezpieczeństwo, aby rozwiązać te problemy, więc w nadchodzących latach sytuacja będzie się tylko pogarszać. Większość użytkowników może nigdy nie zdawać sobie sprawy, że aktualizacja jest wymagana, a jeśli tak, może ich to nawet nie obchodzić. Nie było skoordynowanej inicjatywy bezpieczeństwa dla urządzeń IoT. Technologie, takie jak Secure Boot, pomagają, ale dopiero są dopiero wdrażane przez większe organizacje i nowsze produkty. Prawdą jest, że firmy takie jak Microsoft i Amazon tworzą platformy, które zapewnią mniejszym firmom możliwość budowania bezpieczniejszych urządzeń IoT. To są kroki w we właściwym kierunku, ale upłynie kilka lat, zanim urzeczywistni się paradygmat IoT projektowanego z myślą o cyberbezpieczeństwie.
Firma Mandiant przedstawia oczekiwania dotyczące przyszłości opierające się na trendach, które zaobserwowali w aktywnościach takich jak badania nad złośliwym oprogramowaniem, dochodzenia oraz analiza ex post środowisk dotkniętych cyberatakami. I nie chodzi tylko o zachowania napastników; ale i wszystko inne, od technologii i trendów w miejscu pracy po zmieniające się przepisy i regulacje. Już od dwóch lat ransomware gra pierwsze skrzypce. Hakerzy stają się coraz bardziej agresywni, zamieniając te niegdyś stosunkowo proste ataki w bardziej wyrafinowane – i lukratywne – wielopłaszczyznowe operacje wymuszeń. Międzynarodowe wysiłki przeciwko oprogramowaniu ransomware, ale nie wpłynęły one na model biznesowy oprogramowania ransomware jako usługi. W okrutny sposób wysiłki rządu mogą prowadzić do negatywnych skutków dla organizacji.
Organizacje mają wiele do zapamiętania w 2022 r., ale zachowanie czujności pozwoli im bronić się przed nadchodzącymi zagrożeniami – i reagować na te, które nieuchronnie przetrwają. Nie ukrywajmy – wraz z postępującą cyfryzacją cyberbezpieczeństwo będzie coraz częściej gościło w agendzie spotkań Zarządu.
