Trendem roku 2022 budou kybernetické útoky „zaměřené na vše“
Následující predikce na rok 2022 a další období pocházejí ze zprávy globálního výzkumného týmu FortiGuard Labs společnosti Fortinet.
„Kyberzločinci se vyvíjejí a stávají se z nich spíše tradiční skupiny šířící pokročilé perzistentní hrozby (APT). Jsou vybaveni útoky nultého dne, mají destruktivní schopnosti a dokáží rozšiřovat své techniky podle potřeby, aby dosáhli svých cílů. Budeme svědky útoků, které proniknou dále, mimo rozšířenou síť, dokonce i do vesmíru, kdy útočníci využijí fragmentovanost perimetru, izolovanost bezpečnostních týmů a nástrojů, a také značně zvětšený prostor pro útoky. Výsledkem bude přetížení IT týmů, které se budou s velkou námahou snažit pokrýt všechny možné směry útoku. Chtějí-li podniky proti vyvíjejícím se hrozbám bojovat, potřebují zavést platformu Security Fabric založenou na kyberbezpečnostní mesh architektuře,“ uvedl Derek Manky, ředitel laboratoří FortiGuard pro bezpečnostní zpravodajství a globální sdílení informací o hrozbách.
Útočníci provádějí rozsáhlejší předběžný průzkum, aby maximalizovali efektivitu útoků ransomwarem a jinými metodami
O útocích se často hovoří z hlediska levostranných a pravostranných hrozeb v kontextu celého řetězce kroků, příkladem je znalostní báze MITRE ATT&CK framework. Na levé straně útočného řetězce je úsilí vynaložené před útokem, které zahrnuje plánování, vývoj a strategie zbrojení. Na pravé straně se nachází obecně známější prováděcí fáze útoků. Laboratoře FortiGuard předpovídají, že kyberzločinci vynaloží více času a úsilí na průzkum a odhalování zranitelností nultého dne v nových technologiích, aby zvýšili úspěšnost útoků. Naneštěstí také vzroste rychlost, s jakou mohou být nové útoky realizovány na pravé straně řetězce kvůli rostoucímu trhu „počítačového zločinu ve formě služby“.
- Ransomware bude destruktivnější: Počítačová kriminalita nadále poroste a ransomware zůstane jejím významným nástrojem. Útočníci zesilují účinek ransomwaru tím, že jej kombinují s útoky typu DDoS ve snaze zahltit IT týmy a zabránit jim v podnikání rychlých kroků ke zmírnění škod způsobených útokem. Přidání „tikající časované bomby“ v podobě mazacího malwaru, který by mohl nejen zničit data, ale poškodit i systémy a hardware, zvyšuje tlak na rychlost zaplacení výkupného. Mazací malware se viditelně vrátil na scénu, cílí například na olympijské hry v Tokiu. Vzhledem k míře konvergence mezi metodami kyberzločineckých útoků a pokročilými perzistentními hrozbami (APT) je jen otázkou času, než se součástí ransomwarových nástrojů stanou destruktivní schopnosti, jako je mazací malware. To by mohlo představovat problém pro vznikající edge prostředí, kritickou infrastrukturu a dodavatelské řetězce.
- Kyberzločinci využívají AI k dokonalému ovládnutí techniky deepfake: Umělá inteligence (AI) již nachází široké uplatnění při obraně, například při detekci neobvyklého chování, které může naznačovat útok, typicky ze strany botnetů. Kyberzločinci naopak využívají AI k maření snahy složitých algoritmů detekovat jejich abnormální aktivitu. Tento trend bude pokračovat a stále větším problémem se bude stávat tzv. technika deepfake, kde umělá inteligence slouží k věrnému napodobování chování člověka. Zároveň lze tímto způsobem zefektivnit útoky založené na sociálním inženýrství. Kromě toho se laťka pro používání této techniky bude snižovat díky pokračující komercializaci pokročilých aplikací. To by nakonec mohlo vést k vystupování pod falešnou identitou v reálném čase v hlasových a video aplikacích k oklamání biometrické analýzy, což představuje výzvu pro bezpečné formy autentizace, jako je rozpoznání hlasu nebo tváře.
- Více útoků proti méně často napadaným systémům v dodavatelském řetězci: V mnoha sítích slouží Linux k provozu různých back-endových výpočetních systémů a až donedávna nebyl primárním cílem kyberzločinecké komunity. Nedávno byly detekovány nové škodlivé binární soubory zacílené na Microsoft WSL (subsystém Windows pro Linux), což je vrstva kompatibility pro spouštění binárních linuxových souborů nativně v operačních systémech Windows 10, Windows 11 a Windows Server 2019. Pro platformy Linux již navíc vzniká i botnetový malware. To dále rozšiřuje prostor pro útok na jádro sítě a posiluje hrozby, proti nimž je obecně nutné se bránit. To má dopady na zařízení provozních technologií (OT) a obecně na dodavatelské řetězce, které běží na linuxových platformách.
Kyberzločinci cílí na vše – na vaši peněženku, vesmír i vaši domácnost
Obránci budou čelit podstatně větším výzvám, než je rostoucí počet útoků nebo nové útočné techniky. Útočníci zkoumají nové oblasti, které by mohli napadnout, a zvětšují tak množství směrů potenciálního útoku. To přinese značné komplikace, protože podniky po celém světě zároveň pokračují v rozšiřování svých sítí o nová periferní prostředí v souvislosti s prací odkudkoli, distanční výukou a novými cloudovými službami. Podobně jsou v domácnostech běžné online hry a výuka, navíc jejich obliba roste. Související nárůst rychlého připojení, všude a neustále, představuje nesmírnou příležitost k útoku. Vedle cílení na hlavní podnikové sítě budou kyberzločinci vynakládat značné prostředky i na útoky proti nově vznikajícím edge prostředím a vzdáleně připojovaným systémům.
- Kyberzločin míří do vesmíru: Experti laboratoří FortiGuard očekávají, že se během roku vyskytnou nové hrozby typu ověření konceptu (POC) zaměřené na satelitní sítě v souvislosti s rozvojem satelitního přístupu k internetu. Nejvýznamnějšími cíli budou organizace, které spoléhají na satelitní konektivitu pro činnosti, kde je požadována nízká latence, jako je hraní online her nebo poskytování kritických služeb na vzdálených místech, vzdálené terénní pobočky, produktovody nebo námořní plavba a letectví. Prostor pro potenciální útoky se rozšíří také připojením systémů, které se dříve nacházely mimo síť, například vzdálená OT zařízení, k podnikovým sítím pomocí satelitního spojení. Jakmile k tomu dojde, budou pravděpodobně následovat útoky typu ransomware a další.
- Chraňte své digitální kapsy: Podvody s bankovními převody jsou pro kyberzločince stále obtížnější, protože finanční instituce šifrují transakce a vyžadují vícefaktorové ověřování. Digitální peněženky mohou být na druhou stranu v některých případech méně bezpečné. I když jednotlivé peněženky dnes nemusí vynést příliš mnoho, situace se může změnit s tím, jak podniky začnou větší měrou využívat digitální peněženky jako měnu pro online transakce. Až k tomu dojde, je pravděpodobné, že bude vznikat větší množství malwaru specificky zaměřeného na odcizení uložených přístupových údajů a vyčerpání digitálních peněženek.
- E-sporty jsou také cílem: E-sporty jsou organizované videoherní soutěže pro více hráčů, mnohdy na profesionální úrovni. Jde o lukrativní odvětví, jehož výnosy mohou letos překonat miliardu dolarů. E-sporty jsou lákavým cílem pro kyberzločince, ať už používají útoky DDoS, ransomware, finanční a transakční krádeže nebo útoky založené na sociálním inženýrství, protože vyžadují neustálé připojení a často se hrají z nekonzistentně zabezpečených domácích sítí nebo v prostředích s otevřenými Wi-Fi sítěmi. Vzhledem k interaktivní povaze hraní jsou hráči také cílem léček sociálního inženýrství. Vzhledem k tempu růstu a rostoucímu zájmu budou e-sporty a online hraní pravděpodobně v roce 2022 významným cílem útoků.
Přežívání na okraji
Další edge prostředí vznikají v souvislosti s rostoucím množstvím zařízení internetu věcí (IoT) a OT a chytrých zařízení využívajících připojení 5G a AI, která umožňují transakce a aplikace fungující v reálném čase. Nové hrozby v edge prostředích se budou objevovat i nadále, protože kyberzločinci cílí na celou rozšířenou síť jako na vstupní bránu pro útok. Budou se snažit maximálně využití případné bezpečnostní nedostatky v inteligentním edge prostředí a nárůst výpočetního výkonu k vytváření pokročilých a destruktivnějších hrozeb v bezprecedentním rozsahu. Nárůst výkonu a rozšiřování schopností edge zařízení povedou k tomu, že nové typy útoků budou „žít z okraje“. Vzhledem k pokračující konvergenci sítí IT a OT je pravděpodobný nárůst útoků zaměřených na OT, zejména na periferii sítě.
- Kyberzločincům se daří žít i z prostředků dostupných na periferii sítě: Objevuje se nová hrozba zneužívající legitimní prostředky v edge prostředích. Princip „přežívání z dostupného“ umožňuje malwaru využívat sady nástrojů a schopnosti již existující v napadených prostředích, takže útoky a vyvádění dat vypadají jako běžná systémová aktivita a zůstávají nepovšimnuty. Útoky Hafnium proti serverům Microsoft Exchange využily tuto techniku, aby mohly přežívat v doménových řadičích. Útoky tohoto typy jsou efektivní, protože k provádění svých nekalých aktivit užívají legitimní nástroje. Kombinace využívání legitimních prostředků a trojských koní na přístupu do sítě (EAT) by mohla znamenat, že nové útoky budou koncipovány tak, aby využívaly nejen síťové, ale i periferní prostředky, které získávají na výkonu, schopnostech a samozřejmě na oprávněních. Malware v edge prostředích by mohl monitorovat zdejší aktivity a data a následně ukrást, unést nebo zablokovat kritické systémy, aplikace a informace za účelem získání výkupného, aniž by byl odhalen.
- Dark web umožňuje škálovatelné útoky na kritickou infrastrukturu: Kyberzločinci zjistili, že mohou vydělávat peníze prodejem svého malwaru přes internet ve formě služby. Namísto soutěžení s ostatními, kteří nabízí podobné nástroje, rozšíří svá portfolia tak, aby zahrnovala útoky založené na OT, zejména s ohledem na pokračující konvergencí OT a IT na periferii. Ovládnutí takových systémů a kritické infrastruktury za účelem vymáhání výkupného bude výnosné, ale mohlo by mít také závažné následky, včetně ohrožení bezpečnosti a životů lidí. Vzhledem k tomu, že sítě jsou stále propojenější, prakticky jakýkoli přístupový bod se může stát cílem k získání přístupu do IT sítě. Tradičně byly útoky na systémy OT doménou specializovanějších útočníků, ale dnes se příslušné schopnosti stále častěji stávají součástí sad útočných nástrojů, které lze zakoupit na dark webu, což je zpřístupňuje mnohem širší skupině škůdců.
Platforma Security Fabric založená na bezpečnostní architektuře typu mesh
Perimetr je fragmentovanější a kyberbezpečnostní týmy mnohdy nespolupracují. Zároveň mnoho podniků přechází na multicloudový nebo hybridní model. Všechny tyto faktory pomáhají kyberzločincům přistupovat ke svým aktivitám komplexně a sofistikovaně. Kyberbezpečnostní mesh architektura začleňuje bezpečnostní prvky do rozsáhle distribuovaných sítí a prostředků. V kombinaci s přístupem Security Fabric mohou podniky těžit z integrované bezpečnostní platformy, která zabezpečuje všechna aktiva v lokálním prostředí, v datovém centru, v cloudu a na periferii. Obránci se budou muset na takový vývoj připravit a využívat umělou inteligenci a strojové učení k urychlení prevence, detekce a neutralizace hrozeb. Pokročilé technologie pro koncové body, jako jsou systémy detekce a reakce EDR, mohou pomoci rozpoznávat hrozby na základě chování. Přístup k síti na principu nulové důvěry (ZTNA) bude mít zásadní význam pro bezpečný přístup k aplikacím pro mobilní pracovníky a studenty, zatímco Secure SD-WAN je důležitá kvůli ochraně rozvíjejících se prostředí WAN. Mimoto zůstane segmentace základní strategií bránění útočníkům v laterálním postupu sítí a omezení průniků na menší ohraničenou část sítě. Vzhledem ke stoupající rychlosti provádění útoků může okamžitě využitelné a integrované zpravodajství o hrozbách zlepšit schopnost podniku chránit se v reálném čase. Sdílení dat a partnerská spolupráce mezi všemi sektory a typy subjektů může vést k efektivnější reakci a pomoci lépe předvídat budoucí útočné techniky, a tedy odrazovat nepřátelské snahy. Prioritou musí být společný postup při rozbíjení dodavatelských řetězců kyberzločinu, než se pokusí o totéž.
Podrobnější informace a nejdůležitější závěry studie jsou k dispozici na blogu.