Κορυφαίες απειλές για την ασφάλεια στον κυβερνοχώρο για το 2023

Κορυφαίες απειλές για την ασφάλεια στον κυβερνοχώρο για το 2023

November 30, 2022 0 Von admin
Έννοια κακόβουλου λογισμικού ή επίθεσης hack.
Εικόνα: WhataWin/Adobe Stock

Πηγαίνοντας στο 2023, η κυβερνοασφάλεια εξακολουθεί να βρίσκεται στην κορυφή κατάλογο των ανησυχιών CIO. Αυτό δεν αποτελεί έκπληξη. Το πρώτο εξάμηνο του 2022, υπήρχαν 2,8 δισεκατομμύρια παγκοσμίως επιθέσεις κακόβουλου λογισμικού και 236,1 εκατ επιθέσεις ransomware. Μέχρι το τέλος του έτους 2022, αναμένεται ότι έξι δισεκατομμύρια επιθέσεις phishing θα έχει δρομολογηθεί.

ΔΕΙΤΕ: Παραβίαση κωδικού πρόσβασης: Γιατί η ποπ κουλτούρα και οι κωδικοί πρόσβασης δεν συνδυάζονται (δωρεάν PDF) (TechRepublic)

Σε ένα νέα έρευνα από τη δημοσκόπηση της IEEE με 350 chief technology officers, chief information officers and IT Directors, το 51% των ερωτηθέντων ανέφερε την ευπάθεια στο cloud ως κύρια ανησυχία (από 35% το 2022) και το 43% ανέφερε την ευπάθεια των data center ως κύρια ανησυχία (από 27% το 2022).

Άλλοι τομείς ανησυχίας για τους επαγγελματίες της κυβερνοασφάλειας περιλαμβάνουν:

  • Επιθέσεις ransomware (30%)
  • Συντονισμένες επιθέσεις στο δίκτυο ενός οργανισμού (30%)
  • Έλλειψη επενδύσεων σε λύσεις ασφάλειας (26%)

Ακολουθούν 10 κορυφαίες απειλές ασφαλείας που είναι πιθανό να δει το IT το 2023.

Οι 10 κορυφαίες απειλές για την ασφάλεια για το επόμενο έτος

1. Κακόβουλο λογισμικό

Το κακόβουλο λογισμικό είναι κακόβουλο λογισμικό, συμπεριλαμβανομένων των ιών και των σκουληκιών, που εγχέεται σε δίκτυα και συστήματα με σκοπό την πρόκληση διακοπής. Το κακόβουλο λογισμικό μπορεί να εξάγει εμπιστευτικές πληροφορίες, να αρνηθεί την υπηρεσία και να αποκτήσει πρόσβαση σε συστήματα.

Τα τμήματα πληροφορικής χρησιμοποιούν λογισμικό προστασίας από ιούς και τείχη προστασίας για να παρακολουθούν και να παρεμποδίζουν το κακόβουλο λογισμικό προτού εισέλθει σε δίκτυα και συστήματα, αλλά οι κακοί παράγοντες συνεχίζουν να εξελίσσουν το κακόβουλο λογισμικό τους για να ξεφύγουν από αυτές τις άμυνες. Αυτό καθιστά απαραίτητη τη διατήρηση των τρεχουσών ενημερώσεων στο λογισμικό ασφαλείας και στα τείχη προστασίας. Υπάρχουν επίσης λύσεις υλικού για την αποτροπή κακόβουλου λογισμικού, όπως ο δρομολογητής πλέγματος Gryphon’s Guardian, ο οποίος χειρίζεται μια ποικιλία απειλών.

2. Ransomware

Το Ransomware είναι ένας τύπος κακόβουλου λογισμικού. Αποκλείει την πρόσβαση σε ένα σύστημα ή απειλεί να δημοσιεύσει ιδιόκτητες πληροφορίες. Οι δράστες ransomware απαιτούν από τις εταιρείες των θυμάτων τους να τους πληρώσουν λύτρα σε μετρητά για να ξεκλειδώσουν συστήματα ή να επιστρέψουν πληροφορίες.

Μέχρι στιγμής το 2022, Οι επιθέσεις ransomware σε εταιρείες είναι 33% υψηλότερες από ό,τι ήταν το 2021. Πολλές εταιρείες συμφωνούν να πληρώσουν λύτρα για να πάρουν τα συστήματά τους πίσω μόνο για να χτυπηθούν ξανά από τους ίδιους δράστες ransomware.

Ο Rob Floretta, διευθυντής κυβερνοασφάλειας για έναν μεγάλο πάροχο υπηρεσιών κοινής ωφέλειας, προειδοποίησε ότι οι κακοί παράγοντες, είτε αναπτύσσουν κακόβουλο λογισμικό, λογισμικό υποκλοπής spyware, εκμεταλλεύονται πολύτιμα δεδομένα ή αναπτύσσουν άλλες ποικιλίες επιθέσεων, μπορούν να κρυφτούν μέσα στο δίκτυο μιας εταιρείας. Η μείωση του χρόνου παραμονής τους «μέσα» στα εταιρικά συστήματα είναι το κλειδί.

«Ο χρόνος παραμονής είναι πόσο καιρό κάποιος ζει μακριά από τη γη σας προτού τον εντοπίσετε», είπε. «Αυτό έχει μειωθεί σημαντικά τα τελευταία χρόνια, αλλά υπάρχει ακόμη δουλειά που πρέπει να γίνει».

Mandiant ανέφερε ότι ο παγκόσμιος διάμεσος χρόνος παραμονής για εισβολές που εντοπίστηκαν από εξωτερικά τρίτα μέρη και αποκαλύφθηκαν στα θύματα μειώθηκε σε 28 ημέρες από 73 ημέρες το 2020. Εν τω μεταξύ, το 2021, το 55% των ερευνών είχε χρόνο παραμονής 30 ημερών ή λιγότερο, με το 67% των Αυτά (37% των συνολικών εισβολών) ανακαλύπτονται σε μία εβδομάδα ή λιγότερο. Ωστόσο, η έκθεση έδειξε επίσης ότι ο συμβιβασμός της εφοδιαστικής αλυσίδας αντιπροσώπευε το 17% των εισβολών το 2021 σε σύγκριση με λιγότερο από 1% το 2020.

3. Τρωτά σημεία εφοδιαστικής αλυσίδας

Hacks αλυσίδας εφοδιασμού, οι οποίες περιλαμβάνουν την περιβόητη επίθεση SolarWinds που βρήκε το δρόμο της σε πολλές κρατικές υπηρεσίες και ίσως λιγότερο γνωστές εκμεταλλεύσεις που αφορούν τρωτά σημεία JS.nodeείναι ιδιαίτερα ολέθρια επειδή το μέγεθος της επιφάνειας απειλής είναι βασικά όπου πηγαίνει το μολυσμένο λογισμικό.

Στην περίπτωση της ενημέρωσης Orion της SolarWinds, αυτή η επιφάνεια περιλάμβανε εκατοντάδες συμβουλευτικές, τεχνολογικές, τηλεπικοινωνιακές και εξορυκτικές οντότητες στη Βόρεια Αμερική, την Ευρώπη, την Ασία και τη Μέση Ανατολή.

Ένα βήμα που μπορούν να κάνουν οι εταιρείες είναι να ελέγξουν τα μέτρα ασφαλείας που χρησιμοποιούν οι προμηθευτές και οι πωλητές τους για να διασφαλίσουν ότι η αλυσίδα εφοδιασμού από άκρο σε άκρο είναι ασφαλής.

Ο Justin Cappos, καθηγητής επιστήμης υπολογιστών στο NYU που δημιούργησε το πρωτόκολλο ασφαλείας ανοιχτού κώδικα που ονομάζεται in-toto, εξήγησε ότι οι άνθρωποι βασίζονται συνήθως στο SBOM (λογισμικό λογισμικού) για να «μάθουν» τι υπάρχει στην αλυσίδα εφοδιασμού λογισμικού τους.

«Αυτές μοιάζουν λίγο με τις διατροφικές ετικέτες στα τρόφιμα», εξήγησε. «Εάν δεν μπορείτε να επιβεβαιώσετε την ακρίβεια αυτών των ετικετών, έχετε πρόβλημα. Εδώ μπαίνουν πράγματα όπως το in-toto: Δημιουργείτε ουσιαστικά υπογεγραμμένες δηλώσεις ή βεβαιώσεις, ότι ορισμένα άτομα, και μόνο αυτά τα άτομα, έκαναν νόμιμες ενέργειες όπως έλεγχος κώδικα ή κάνοντας πράγματα με εξαρτήσεις.»

4. Ψάρεμα

Το λογισμικό μπορεί να κάνει τόσα πολλά για να αμυνθεί ενάντια στην κοινωνική μηχανική. Σχεδόν όλοι έχουν λάβει ένα ύποπτο email — ή ακόμα χειρότερα, ένα email που φαίνεται να είναι νόμιμο και από ένα αξιόπιστο μέρος, αλλά δεν είναι. Αυτό το τέχνασμα ηλεκτρονικού ταχυδρομείου είναι γνωστό ως ηλεκτρονικό ψάρεμα.

Το ηλεκτρονικό ψάρεμα (phishing) είναι μια μεγάλη απειλή για τις εταιρείες, επειδή είναι εύκολο για ανυποψίαστους υπαλλήλους να ανοίγουν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου και να εξαπολύουν ιούς. Η εκπαίδευση των εργαζομένων σχετικά με το πώς να αναγνωρίζουν τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου, να τα αναφέρουν και να μην τα ανοίγουν ποτέ μπορεί πραγματικά να βοηθήσει. Το ΙΤ θα πρέπει να συνεργαστεί με το HR για να διασφαλίσει ότι διδάσκονται υγιείς συνήθειες ηλεκτρονικού ταχυδρομείου.

Υπάρχουν πολλοί πωλητές που προσφέρουν εκπαίδευση και συσκευασμένες λύσεις για εταιρείες που αναζητούν κάτι που προσεγγίζει μια λύση με το κλειδί στο χέρι. Υπάρχουν και τεχνολογικές λύσεις.

Ο Cappos είπε ότι οι διαχειριστές κωδικών πρόσβασης είναι μια κρίσιμη πρώτη γραμμή άμυνας.

„Δεν υπάρχει ποτέ κανένας λόγος για τον οποίο θα πρέπει να κοινοποιήσετε ποτέ έναν κωδικό επαλήθευσης με κανέναν“, είπε. „Θα πρέπει να χρησιμοποιείτε εφαρμογές ελέγχου ταυτότητας και όχι αυτές που σας στέλνουν μήνυμα κειμένου.“

Σημείωσε επίσης ότι το Android και το iPhone έχουν βελτιωμένα μέτρα προστασίας, όπως η λειτουργία κλειδώματος στο iPhone και οι λειτουργίες στο ανοιχτού κώδικα GrapheneOS για Pixel.

5. IoT

το 2020, Το 61% των εταιρειών χρησιμοποιούσαν IoT, και αυτό το ποσοστό συνεχίζει μόνο να αυξάνεται. Με την επέκταση του IoT, αυξάνονται και οι κίνδυνοι για την ασφάλεια, ιδιαίτερα με την εμφάνιση των τηλεπικοινωνιών 5G, του de facto δικτύου επικοινωνιών για συνδεδεμένες συσκευές.

Οι προμηθευτές IoT είναι διαβόητοι για την εφαρμογή ελάχιστης έως καθόλου ασφάλειας στις συσκευές τους, μια απειλή που μπορεί να βελτιωθεί μέσω ισχυρότερου ελέγχου των προμηθευτών IoT εκ των προτέρων στη διαδικασία RFP για ασφάλεια και επαναφέροντας τις προεπιλογές ασφάλειας IoT στις συσκευές, ώστε να συμμορφώνονται με τα εταιρικά πρότυπα.

ΔΕΙΤΕ: Μια σύντομη ιστορία του βιομηχανικού IoT (TechRepublic)

«Οι συσκευές IoT περιέχουν γενικά διαπιστευτήρια που μπορούν να μαντέψουν εύκολα ή οι προεπιλεγμένοι κωδικοί τους είναι άμεσα διαθέσιμοι στο διαδίκτυο», είπε η Floretta. «Η παρακολούθηση απλών βέλτιστων πρακτικών ασφάλειας στον κυβερνοχώρο, όπως η αλλαγή κωδικών πρόσβασης μετά την εγκατάσταση, θα καταστήσει πολύ πιο δύσκολο τον συμβιβασμό από κακούς παράγοντες».

Εάν ο οργανισμός σας αναζητά περισσότερη καθοδήγηση σχετικά με την ασφάλεια του IoT, οι ειδικοί στο TechRepublic Premium έχουν δημιουργήσει ένα ebook για ηγέτες πληροφορικής που είναι γεμάτο με τι πρέπει να προσέξετε και στρατηγικές για την αντιμετώπιση απειλών.

6. Εσωτερικοί υπάλληλοι

Οι δυσαρεστημένοι υπάλληλοι μπορούν να σαμποτάρουν δίκτυα ή να ξεφύγουν από την πνευματική ιδιοκτησία και τις ιδιοκτησιακές πληροφορίες, και οι εργαζόμενοι που ασκούν κακές συνήθειες ασφάλειας μπορούν κατά λάθος να μοιραστούν κωδικούς πρόσβασης και να αφήσουν τον εξοπλισμό απροστάτευτο. Αυτός είναι ο λόγος για τον οποίο σημειώθηκε αύξηση στον αριθμό των εταιρειών που χρησιμοποιούν ελέγχους κοινωνικής μηχανικής για να ελέγξουν πόσο καλά λειτουργούν οι πολιτικές και οι διαδικασίες ασφάλειας των εργαζομένων.

Το 2023, οι έλεγχοι κοινωνικής μηχανικής θα συνεχίσουν να χρησιμοποιούνται, ώστε το ΙΤ να μπορεί να ελέγξει την ευρωστία των πολιτικών και πρακτικών ασφάλειας του εργατικού δυναμικού του.

7. Δηλητηρίαση δεδομένων

Μια μελέτη της IBM 2022 διαπίστωσε ότι το 35% των εταιρειών χρησιμοποιούσαν τεχνητή νοημοσύνη στις δραστηριότητές τους και Το 42% το εξερευνούσε. Η τεχνητή νοημοσύνη πρόκειται να ανοίξει νέες δυνατότητες για τις εταιρείες σε κάθε κλάδο. Δυστυχώς και οι κακοί ηθοποιοί το ξέρουν αυτό.

Δεν χρειάζεται να κοιτάξουμε περισσότερο από το Log4J Σφάλμα Log4Shell για απόδειξη ότι η δηλητηρίαση δεδομένων σε συστήματα τεχνητής νοημοσύνης είναι ανοδική. Σε μια δηλητηρίαση δεδομένων, ένας κακόβουλος ηθοποιός βρίσκει έναν τρόπο να εισάγει κατεστραμμένα δεδομένα σε ένα σύστημα τεχνητής νοημοσύνης που θα παραμορφώσει τα αποτελέσματα μιας έρευνας τεχνητής νοημοσύνης, επιστρέφοντας πιθανώς ένα αποτέλεσμα AI στους υπεύθυνους λήψης αποφάσεων της εταιρείας που είναι ψευδές.

Η δηλητηρίαση δεδομένων είναι ένας νέος φορέας επίθεσης στα εταιρικά συστήματα. Ένας τρόπος προστασίας από αυτό είναι να παρακολουθείτε συνεχώς τα αποτελέσματα της τεχνητής νοημοσύνης σας. Αν ξαφνικά δείτε ένα σύστημα να απομακρύνεται σημαντικά από αυτό που είχε αποκαλύψει στο παρελθόν, ήρθε η ώρα να εξετάσετε την ακεραιότητα των δεδομένων.

8. Νέα τεχνολογία

Οι οργανισμοί υιοθετούν νέα τεχνολογία όπως τα βιομετρικά. Αυτές οι τεχνολογίες αποφέρουν τεράστια οφέλη, αλλά εισάγουν επίσης νέους κινδύνους για την ασφάλεια, δεδομένου ότι το IT έχει περιορισμένη εμπειρία με αυτές. Ένα βήμα που μπορεί να κάνει το IT είναι να ελέγξει προσεκτικά κάθε νέα τεχνολογία και τους προμηθευτές της πριν υπογράψει μια συμφωνία αγοράς.

«Η βιομετρία περιλαμβάνει μια σειρά τεχνολογιών: Θα μπορούσε να είναι φωνή, σάρωση αμφιβληστροειδούς και ακόμη και συμπεριφορά», είπε η Floretta.

Ένα σημαντικό πλεονέκτημα είναι ότι ορισμένα βιομετρικά στοιχεία είναι αμετάβλητα, σε αντίθεση με τους κωδικούς πρόσβασης.

Ο έλεγχος ταυτότητας με βάση τα συμφραζόμενα (ή ο προσαρμοστικός έλεγχος ταυτότητας) είναι ένας έλεγχος ταυτότητας που βασίζεται στη συμπεριφορά, η ουσία του οποίου είναι: «Είμαι σίγουρος ότι ξέρω ποιος είσαι με βάση τη συμπεριφορά σου, αλλά αν βλέπω κάτι που δεν είναι φυσιολογικό για σένα, χρειάζομαι να δράσει.“

9. Ασφάλεια πολλαπλών επιπέδων

Πόση ασφάλεια είναι αρκετή; Εάν έχετε τείχος προστασίας στο δίκτυό σας, έχετε εγκαταστήσει λογισμικό παρακολούθησης και παρακολούθησης ασφαλείας, προστατεύσατε τους διακομιστές σας, έχετε εκδώσει συνδέσεις αναγνώρισης πολλαπλών παραγόντων σε υπαλλήλους και εφαρμόσατε κρυπτογράφηση δεδομένων, αλλά ξεχάσατε να κλειδώσετε τις φυσικές εγκαταστάσεις που περιέχουν διακομιστές ή να εγκαταστήσετε τις πιο πρόσφατες ενημερώσεις ασφαλείας σε smartphone, είσαι καλυμμένος;

Υπάρχουν πολλά επίπεδα ασφάλειας που το IT πρέπει να καταρρίψει και να παρακολουθήσει. Το IT μπορεί να ενισχύσει την ασφάλεια δημιουργώντας μια λίστα ελέγχου για κάθε σημείο παραβίασης ασφάλειας σε μια ροή εργασιών.

ΔΕΙΤΕ: Οδηγός αξιολόγησης ελέγχου ταυτότητας δύο παραγόντων (TechRepublic Academy)

«Πολλαπλά επίπεδα άμυνας είναι κρίσιμα», δήλωσε ο Ed Amoroso, Διευθύνων Σύμβουλος της TAGCyber ​​και πρώην CISO της AT&T. «Οι κωδικοί πρόσβασης είναι ένα κρίσιμο επίπεδο, αλλά η κρυπτογράφηση δεδομένων και στα δύο άκρα είναι το επόμενο, και ούτω καθεξής. Η ουσία: Το ότι μπήκες δεν σημαίνει ότι σε εμπιστεύομαι. Το μόνο εμπόδιο σε πολλαπλά επίπεδα ασφάλειας, ειλικρινά, είναι απλώς το κόστος».

10. Ασφάλεια στο cloud

Ναι, η παραβίαση δεδομένων του 2019 από έναν χάκερ του Σιάτλ είχε ως αποτέλεσμα την κλοπή περίπου 100 εκατομμυρίων αιτήσεων πίστωσης, αλλά η διείσδυση ενός κακώς διαμορφωμένου κάδου αποθήκευσης AWS στο cloud οδήγησε σε κάτι άλλο – ρυθμιστικούς πονοκεφάλους για την εταιρεία.

Τα πιθανά πρόστιμα από τη ρυθμιστική επίβλεψη των εμπορευματοκιβωτίων είναι, παραδόξως, μια από τις μεγαλύτερες προκλήσεις στον κυβερνοχώρο που επισημαίνουν οι ειδικοί για το 2023. Όσον αφορά την εταιρική φήμη και το χαρτζιλίκι, η ανατροπή μπορεί να είναι τόσο κακή όσο η διάρρηξη.

Στην παραπάνω υπόθεση, ένα ομοσπονδιακό δικαστήριο έκρινε την Capital One αμελή επειδή απέτυχε να εξασφαλίσει οικονομικά δεδομένα. Αυτό ήρθε με πρόστιμο 80 εκατομμυρίων δολαρίων, συν αγωγές πελατών για 190 εκατομμύρια δολάρια.

«Υπάρχει κίνδυνος για τις εταιρείες εάν δεν κάνουν τη διαχείριση των παραμέτρων τους και δεν παρακολουθούν τη συμμόρφωσή τους με τους κανονισμούς που πρέπει να ακολουθήσουν», δήλωσε η Kayne Mcgladrey, CISO του τομέα Hyperproof και ανώτερο μέλος της IEEE.

Εξήγησε ότι η σύγχρονη κυβερνοασφάλεια και τα συναφή ρυθμιστικά πλαίσια απαιτούν κρυπτογράφηση δεδομένων σε κατάσταση ηρεμίας και κατά τη μεταφορά.

«Αν οι εταιρείες κρυπτογραφούν, είναι μια εύκολη μέρα και δεν υπάρχει πρόβλημα», είπε. «Ο πραγματικός κίνδυνος που αρχίζω να βλέπω σε τέτοιες διαπραγματεύσεις πωλητών όπως οι συμφωνίες αγοράς B-to-B είναι ότι οι εταιρείες θέλουν μια βεβαίωση ότι [vendor] παρακολουθεί την κρυπτογράφηση όλου του αποθηκευτικού χώρου cloud τους. Οι εταιρείες ρωτούν η μία την άλλη: Μπορείτε να επαληθεύσετε και να ελέγχετε τακτικά ότι ο αποθηκευτικός σας χώρος στο cloud είναι κρυπτογραφημένος;»

Από την άποψη της τεχνολογίας, αυτό είναι αρκετά εύκολο να γίνει, αλλά όπως σημείωσε ο Mcgladrey, οποιοσδήποτε σε έναν οργανισμό που έχει δικαιώματα σε πλατφόρμες υπολογιστικού νέφους όπως το AWS, το Microsoft Azure ή το Google Cloud μπορεί να αντέξει έναν κάδο αποθήκευσης. Μπορούν να δημιουργήσουν μια τοποθεσία αποθήκευσης στο cloud, αλλά δεν χρειάζεται απαραίτητα να τα κρυπτογραφήσουν.

«Από όλους τους CISO και τους ηγέτες ασφαλείας με τους οποίους μίλησα τους τελευταίους τρεις μήνες, το κύριο θέμα του 2023 θα είναι «η χρονιά του κινδύνου» και για μεγάλο μέρος αυτού του κινδύνου μιλάμε σε αυτό το επίπεδο είναι ρυθμιστικό», δήλωσε ο Mcgladrey.

Αυτό το άρθρο έχει ενημερωθεί και ερευνηθεί από τον Karl Greenberg.