| +44 голоса |
|
Команда аналитиков FortiGuard Labs представила отчет
«Киберпреступники эволюционируют и становятся все более похожими на традиционные группы APT (advanced persistent threat – постоянная серьезная угроза), они оперируют инструментами zero-day и постоянно совершенствуют методики для достижения своих преступных целей. В будущем мы увидим атаки, распространяющиеся все дальше за пределы расширенной сети, даже в космос, поскольку злоумышленники используют преимущества фрагментированного периметра, разрозненных команд и инструментов безопасности, а также значительно расширенной поверхности атаки. Эти угрозы заставят перегруженные ИТ-команды искать все возможные направления атак и адекватные методы защиты от них», – считает Дерек Мэнки (Derek Manky), руководитель отдела аналитики безопасности и Global Threat Alliances, FortiGuard Labs.
Атаки часто рассматриваются с точки зрения угроз с одной и с другой стороны – если воспринимать их как цепочку атак, такую как фреймворк MITER ATT & CK. Слева от цепочки атаки показаны усилия, затраченные на ее подготовку, которые включают в себя стратегии планирования, разработки и размещения ресурсов. Справа – фаза выполнения. FortiGuard Labs прогнозирует, что киберпреступники будут тратить больше времени и усилий на разведку и обнаружение возможностей нулевого дня для повышения степени успешности атак. К сожалению, также будет увеличиваться скорость, с которой могут быть запущены новые атаки справа, из-за расширения рынка «Преступность-как-услуга» (Crime-as-a-Service).
Продолжится развитие программ-вымогателей, они остаются в центре внимания и будут становиться все более разрушительными. К примеру, злоумышленники уже комбинируют атаки посредством шифровальщиков с распределенным отказом в обслуживании (DDoS), надеясь перегрузить ИТ-команды, чтобы они не могли своевременно предпринять действия для уменьшения ущерба от атаки. Учитывая уровень конвергенции, наблюдаемой между методами атаки киберпреступников и продвинутыми постоянными угрозами (APT), добавление деструктивных возможностей, таких как вредоносные программы-очистители, в наборы инструментов вымогателей, – лишь вопрос времени. Это может стать проблемой для новых периферийных сред, критической инфраструктуры и цепочек поставок.
Киберпреступники используют ИИ для совершенствования Deep Fake. Искусственный интеллект (ИИ) все шире применяется для защиты во многих областях, например, для обнаружения необычного поведения, которое может указывать на атаку, как правило, со стороны ботнетов. Со своей стороны киберпреступники также используют ИИ, чтобы помешать защитным алгоритмам обнаружить их аномальную активность. В дальнейшем эта тенденция будет развиваться, поскольку Deep Fake становится все более серьезной проблемой, так как они используют ИИ для имитации человеческих действий и могут быть задействованы для усиления атак социальной инженерии. Кроме того, барьер для создания таких подделок будет снижаться за счет дальнейшей коммерциализации передовых приложений. В конечном итоге это может привести к созданию имитаций в реальном времени в голосовых и видеоприложениях, которые смогут преодолеть биометрический анализ, создавая проблемы для безопасных форм аутентификации, таких как голосовые отпечатки или распознавание лиц.
Во многих корпоративных сетях Linux работает в серверных вычислительных системах, и до последнего времени он не был основной целью сообщества киберпреступников. Между тем, недавно были обнаружены новые вредоносные двоичные файлы, нацеленные на Microsoft WSL (подсистема Windows для Linux), которая представляет собой уровень совместимости для запуска двоичных исполняемых файлов Linux изначально в Windows 10, Windows 11 и Windows Server 2019. Кроме того, вредоносное ПО для бот-сетей уже создается для платформ Linux. Это еще больше расширяет поверхность атаки до ядра сети и увеличивает угрозы, от которых нужно защищаться в целом, и очевидно будет имееть последствия для устройств операционных технологий (ОТ) и цепочек поставок в целом, которые работают на платформах Linux.
Проблема, стоящая перед защитниками, гораздо серьезнее, чем просто рост числа атак или развитие методов киберпреступников. Исследуются новые области использования, охватывающие еще более широкую поверхность атаки. Это будет особенно сложно, потому что параллельно организации по всему миру продолжают расширять свои сети за счет подходов работы из любого места (WFA), удаленного обучения и облачных сервисов. Точно так же и дома, интерактивное обучение и игры становятся обычным делом и получают все большее распространение. Рост скорости подключения повсюду и в любое время предоставляет киберпреступникам огромные возможности для атак. Злоумышленники будут направлять значительные ресурсы для нацеливания и использования новых периферийных и любых сред в расширенной сети.
Кроме того, FortiGuard Labs ожидает, что в следующем году появятся новые угрозы, направленные на спутниковые сети. Поскольку масштаб доступа к интернету через спутник продолжает расти. Крупнейшими мишенями очевидно станут организации, которые полагаются на спутниковое соединение для поддержки деятельности с низкой задержкой, такие как онлайн-игры или предоставляющие критически важные услуг в удаленных местах, а также удаленные полевые офисы, трубопроводы, круизные лайнеры и авиалинии. Это также приведет к расширению потенциальной поверхности атак, поскольку организации добавляют спутниковые сети для подключения к своим взаимосвязанным сетям ранее автономных систем, таких как удаленные OT-устройства. Вполне возможно при этом также будут использоваться программы-вымогатели.
Взлом электронных переводов становится все труднее для киберпреступников, поскольку финансовые учреждения шифруют транзакции и требуют многофакторной аутентификации (MFA). С другой стороны, цифровые кошельки иногда могут быть менее безопасными. Хотя индивидуальные кошельки, возможно, не приносят такой большой выгоды, ситуация может измениться, когда предприятия начнут все чаще использовать их в качестве источника валюты для онлайн-транзакций. В связи с этим, вероятно, будет создано больше вредоносных программ, нацеленных на системы хранения учетных данных и опустошение цифровых кошельков.
Киберспорт – это организованные многопользовательские соревнования по видеоиграм, в которых часто участвуют профессиональные игроки и команды. Это быстро развивающаяся отрасль, выручка которой вскоре превысит 1 млрд. долл. Что делает ее привлекательной целью для киберпреступников, будь то с помощью DDoS-атак, программ-вымогателей, финансовых и транзакционных краж или атак социальной инженерии. Поскольку киберспорт требует постоянного подключения, а участники часто присоединяются из непоследовательно защищенных домашних сетей или посредством открытого доступа к Wi-Fi. Из-за интерактивного характера игр они также являются мишенями для атак социальной инженерии. С учетом темпов роста и растущего интереса к киберспорту и онлайн-играм они, по всей видимости, станут крупными целями атак в 2022 г.
Увеличение объема периферии подпитывается растущим числом устройств Интернета вещей (IoT) и ОТ, а также интеллектуальных устройств на базе 5G и искусственного интеллекта, которые позволяют обмениваться данными в режиме реального времени. Новые угрозы для периферии будут появляться и дальше, поскольку киберпреступники продолжают нацеливаться на всю расширенную сеть как на точку входа для атаки.
Злоумышленники будут работать над максимизацией любых потенциальных брешей в безопасности, обусловленных интеллектуальными границами и достижениями в области вычислительной мощности, для создания сложных и более разрушительных угроз в беспрецедентном масштабе. По мере того, как пограничные устройства будут становиться все более мощными, с более широкими встроенными возможностями, новые атаки будут разрабатываться так, чтобы «жить на периферии». Рост числа атак, направленных на ОТ, в частности, на границе, вероятен, поскольку конвергенция сетей ИТ и ОТ продолжается.
«Жизнь на периферии» позволяет вредоносным программам использовать существующие инструменты и возможности в скомпрометированных средах, поэтому атаки и кража данных со стороны выглядят как обычная деятельность системы и остаются незамеченными. К примеру, атаки Hafnium на серверы Microsoft Exchange использовали этот метод для существования и сохранения в контроллерах домена. Такие атаки эффективны, потому что они эксплуатируют законные инструменты для выполнения своих преступных действий.
Dark Web делает атаки на критически важную инфраструктуру масштабируемыми. Киберпреступники поняли, что могут зарабатывать деньги, перепродавая свое вредоносное ПО в интернете в качестве услуги. Вместо того, чтобы конкурировать с другими компаниями, предлагающими аналогичные инструменты, они расширяют свой портфель, включая в него атаки на ОТ. Особенно по мере развития конвергенции ОТ и ИТ. Использование таких систем и критической инфраструктуры для выкупа будет прибыльным делом, но также может иметь ужасные последствия, в том числе отрицательно сказаться на жизни и безопасности людей. Поскольку сети становятся все более взаимосвязанными, практически любая точка доступа может стать целью для входа в ИТ-инфраструктуру. Традиционно атаки на системы OT были прерогативой более специализированных злоумышленников. Но такие возможности все чаще включаются в комплекты инструментов, реализуемые в Dark Web. Что делает их доступными для гораздо более широкого круга злоумышленников.
Периметр стал более фрагментированным, а команды кибербезопасности часто работают изолированно. В то же время многие организации переходят на многооблачную или гибридную модель. Все эти факторы создают идеальный шторм для киберпреступников, которые используют сложный комплексный подход. Ячеистая архитектура кибербезопасности интегрирует средства контроля безопасности в широко распределенные сети и активы. В сочетании с подходом Security Fabric организации могут воспользоваться преимуществами интегрированной платформы безопасности, которая защищает все активы в офисах, центрах обработки данных, а также в облаке или на границах сети.
Защитникам необходимо планировать свои действия заранее, используя возможности искусственного интеллекта и машинного обучения (ML) для ускорения предотвращения, обнаружения и реагирования на угрозы. Передовые технологии для конечных точек помогут выявить вредоносные угрозы на основе их поведения. Кроме того, доступ к сети с нулевым доверием (ZTNA) будет иметь решающее значение для безопасного доступа к приложениям, чтобы распространить защиту на мобильных работников и учащихся, а Secure SD-WAN важна для защиты развивающихся границ WAN.
Кроме того, сегментация останется основополагающей стратегией для ограничения бокового перемещения киберпреступников внутри сети и для того, чтобы нарушения ограничивались меньшей частью сети. Интегрированная информация об угрозах может улучшить способность организации защищаться в режиме реального времени, поскольку скорость атак продолжает расти. При этом во всех секторах бизнеса и типах организаций совместное использование данных и партнерство могут обеспечить более эффективное реагирование и точное прогнозирование будущих методов для сдерживания усилий противника. Выравнивание баланса сил посредством сотрудничества должно оставаться приоритетной задачей для пресечения усилий киберпреступников по созданию цепочки поставок до того, как они попытаются сделать то же самое.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +44 голоса |
|
