FortiGuard Labs – prognozy dotyczące cyberzagrożeń w 2022 roku
Fortinet, globalny lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, zaprezentował prognozy zespołu badawczego FortiGuard Labs dotyczące cyfrowych zagrożeń w 2022 roku i kolejnych latach. Wynika z nich, że cyberprzestępcy nieustannie rozwijają swoje metody ataków oraz rozszerzają ich zakres, aby zmaksymalizować prawdopodobieństwo sukcesu, zwłaszcza że coraz popularniejsze jest wykonywanie obowiązków służbowych przez pracowników z dowolnego miejsca. Dlatego szukają możliwości zaatakowania w każdy sposób – poprzez infrastrukturę brzegową, korzystając z sieci 5G, tradycyjnych korporacyjnych i domowych sieci, a także nawet internetu satelitarnego, a więc przesyłania danych w przestrzeni kosmicznej.
Analitycy FortiGuard Labs zaobserwowali wyłaniające się trendy obrazujące strategię cyberprzestępców oraz opracowali zalecenia, które pomogą przygotować się do ochrony przed nadchodzącymi atakami. Poniżej przedstawione są najważniejsze prognozy, zaś bardziej szczegółowe informacje i wnioski dostępne są na blogu.
Rośnie zakres działań rozpoznawczych przed atakiem, aby zmaksymalizować skuteczność ransomware’u
Mechanizmy prowadzenia ataku często są wizualizowane za pomocą wydarzeń przedstawianych po lewej i prawej stronie – zgodnie z metodologią analizy łańcucha ataku przyjętą w dokumencie MITRE ATT&CK. Po lewej stronie obrazowane są wysiłki podejmowane przed atakiem, na które składa się jego planowanie, tworzenie złośliwych narzędzi oraz strategii ich wdrożenia w środowisku ofiary. Po prawej stronie przedstawiana jest łatwiejsza do wyobrażenia faza samego prowadzenia ataku. Analitycy FortiGuard Labs przewidują, że cyberprzestępcy będą poświęcać więcej czasu i wysiłku na etapy rozpoznania i poszukiwania podatności dnia zerowego, aby podczas ataków zastosować nowatorskie techniki i zapewnić sobie jak największą skuteczność. Niestety, wzrośnie również tempo, w jakim ataki będą uruchamiane, ze względu na rozwijający się rynek przestępstw popełnianych jako usługa (Crime-as-a-Service).
Ransomware stanie się bardziej destrukcyjny – W dalszym ciągu będzie postępowała ekspansja złośliwego oprogramowania, a ransomware w przyszłości pozostanie w centrum uwagi. Atakujący w ten sposób cyberprzestępcy już teraz zwiększają siłę rażenia poprzez połączenie szyfrowania danych ofiary z unieruchomieniem jego infrastruktury za pomocą ataku typu DDoS. Robią to w nadziei, że w wyniku całkowitego przytłoczenia zespoły IT nie będą w stanie w trybie doraźnym podjąć natychmiastowych działań w celu złagodzenia szkód wywołanych przez atak. Dodanie „tykającej bomby zegarowej” w postaci złośliwego oprogramowania typu wiper, które może nie tylko zniszczyć dane, ale również systemy i sprzęt, wywiera dodatkowy nacisk na firmy, aby dokonały opłaty okupu w pilnym trybie. Narzędzia typu wiper zostały już wykorzystane m.in. w ataku na organizatorów Igrzysk Olimpijskich w Tokio. Biorąc pod uwagę poziom zbieżności sposobów prowadzenia cyberataków oraz tworzenia zaawansowanych trwałych zagrożeń (APT), tylko kwestią czasu wydaje się być dodanie do narzędzi ransomware destrukcyjnych funkcji, takich jak oprogramowanie wiper. Może to stanowić duży problem dla nieustannie rozwijanych środowisk brzegowych, infrastruktury krytycznej i łańcuchów dostaw.
Cyberprzestępcy używają sztucznej inteligencij (AI) do tworzenia idealnych fałszerstw – Sztuczna inteligencja jest już wykorzystywana do obrony na wiele sposobów, np. do wykrywania nietypowych zachowań, które mogą wskazywać na atak, zwykle prowadzony za pomocą botnetów. Ale również cyberprzestępcy wykorzystują AI do neutralizacji działania skomplikowanych algorytmów wykorzystywanych do wykrywania inicjowanej nietypowej aktywności. Zjawisko to będzie ewoluować w przyszłości, ponieważ coraz większym problemem stają się idealne fałszerstwa (deep fake), do tworzenia których wykorzystywana jest sztuczna inteligencja – pomaga ona w naśladowaniu ludzkich działań i może być wykorzystywana do wzmacniania siły ataków socjotechnicznych. Ponadto, tworzenie deep fake’ów zostanie wkrótce uproszczone w wyniku postępującej komercjalizacji zaawansowanych aplikacji. Mogłą one ostatecznie doprowadzić do podszywania się w czasie rzeczywistym pod konkretną osobę za pomocą głosu i wideo, a to ułatwi przejście przez proces uwierzytelniania biometrycznego, co będzie stanowić duże wyzwanie dla traktowanych jako bezpieczne form logowania, np. za pomocą odcisków palców czy rozpoznawania twarzy.
Więcej ataków na systemy w łańcuchu dostaw, którymi dotychczas było mniejsze zainteresowanie – W wielu sieciach systemy back-end pracują pod kontrolą Linuksa, który jeszcze do niedawna nie był głównym celem cyberprzestępców. Jednak ostatnio wykryto nowy złośliwy kod ukierunkowany na moduł Microsoft WSL (Windows Subsystem for Linux), który stanowi warstwę umożliwiającą natywne uruchamianie binarnych plików wykonywalnych Linuksa w systemach Windows 10, Windows 11 i Windows Server 2019. Ponadto, istnieje już złośliwe oprogramowanie botnetowe dla Linuksa, a to jeszcze bardziej rozszerza powierzchnię ataku, która tym samym sięga już do rdzenia sieci i zwiększa listę zagrożeń, przed którymi należy się broni
. Ma to konsekwencje dla urządzeń technik operacyjnych (OT) i całych łańcuchów dostaw, które działają na platformach Linux.
Cyberprzestępcy celują wszędzie – w Twój portfel, dom i kosmos
Istnieje o wiele więcej wyzwań dla administratorów niż te związane tylko z rosnącą liczbą ataków lub nieustannie rozwijanymi technikami stosowanymi przez cyberprzestępców. Eksplorowane są nowe, możliwe do wykorzystania obszary. Zwiększa to poziom trudności obrony, bowiem w tym samym czasie firmy na całym świecie, w związku z popularyzacją modelu pracy z dowolnego miejsca, zdalnego nauczania i rozwojem usług chmurowych, nieustannie rozbudowują brzeg swoich sieci. Pojawiają się też wyzwania w gospodarstwach domowych – nauka i granie przez internet stały się powszechnymi czynnościami. Wzrost liczby szybkich łączy, dostępnych wszędzie i przez cały czas, ułatwia cyberprzestępcom przeprowadzenie ataku. Będą oni przeznaczać znaczne środki na ten cel, zaś środowiska pracy zdalnej i infrastruktura brzegowa stają się ich „ulubionymi”, zajmując dotychczasowe miejsce tradycyjnej sieci.
Cyberprzestępczość wchodzi w przestrzeń kosmiczną – Analitycy FortiGuard Labs spodziewają się, że w ciągu najbliższego roku, wraz z rozwojem satelitarnego dostępu do internetu, pojawią się pierwsze zagrożenia typu proof-of-concept, udowadniające, że ich celem może być także ten model łączności. Najbardziej zagrożone będą firmy, które polegają na komunikacji przez satelity wspierającej działania wymagające niskich opóźnień, takich jak gry online lub dostarczanie usług o znaczeniu krytycznym do znajdujących się w odległych lokalizacjach biur terenowych, systemów obsługi infrastruktury (np. rurociągi), statki obsługujące rejsy wycieczkowe czy biura linii lotniczych. Zwiększy to również liczbę systemów, które potencjalnie mogą zostać zaatakowane, ponieważ firmy za pomocą sieci satelitarnych podłączają do swoich sieci urządzenia znajdujące się wcześniej poza nią, np. rozwiązania technik operacyjnych (OT). W miarę wzrostu popularności sieci satelitarnych także one będą aktywnie wykorzystywane do rozsyłania ransomware’u.
Konieczna ochrona cyfrowych portfeli – Ingerowanie w proces wykonywania przelewów bankowych staje się coraz trudniejsze dla cyberprzestępców, ponieważ instytucje finansowe szyfrują wszystkie transakcje i wymagają wieloskładnikowego uwierzytelniania (MFA). Z drugiej strony, cyfrowe portfele czasami mogą być mniej bezpieczne niż regularna bankowość. Co prawda, portfele osób prywatnych mogą nie zapewniać znaczących zysków, ale atrakcyjność tej formy zmieni się, gdy do transkacji online zaczną wykorzystywać je przedsiębiorstwa. W związku z tym istnieje prawdopodobieństwo, że coraz więcej złośliwego oprogramowania będzie projektowanego specjalnie w celu pozyskiwania danych uwierzytelniających do cyfrowych portfeli i kradzieży ich zawartości.
Esport również jest celem ataków – Esport to zorganizowane, wieloosobowe zawody w grach wideo, często z udziałem profesjonalnych graczy i drużyn. Jest to prężnie rozwijająca się branża, której przychód w tym roku może przekroczyć miliard dolarów. Dlatego stanowi atrakcyjny cel dla cyberprzestępców, którzy stosują ataki DDoS, oprogramowanie ransomware, ingerują w transakcje bankowe, kradną pieniądze i przeprowadzają manipulacje socjotechniczne. Z łatwością korzystają z tego, że gracze wymagają stałej łączności, często realizowanej za pomocą niewystarczająco zabezpieczonych domowych sieci lub w miejscach z otwartymi publicznymi sieciami Wi-Fi. Ze względu na interaktywny charakter gier, ich użytkownicy również są celem manipulacji i ataków socjotechnicznych. Biorąc pod uwagę tempo wzrostu oraz rosnące zainteresowanie esportem i grami online, mogą stać się one znaczącymi celami ataków w 2022 roku.
Życie na brzegu
Rosnąca liczba urządzeń Internetu Rzeczy (IoT) i urządzeń OT, a także wyposażonego w mechanizmy sztucznej inteligencji sprzętu podłączonego do sieci 5G, umożliwia tworzenie aplikacji przeprowadzających wiele rodzajów operacji w czasie rzeczywistym. To zaś przyczynia się do zwiększenia zasięgu rozległej infrastruktury brzegowej, w której będzie pojawiać się coraz więcej rodzajów zagrożeń. Cyberprzestępcy będą wykorzystywali w maksymalny sposób rosnącą ilość mocy obliczeniowej i wszelkie potencjalne luki w zabezpieczeniach obejmujących inteligentną infrastrukturę brzegową, aby tworzyć zaawansowane zagrożenia, destrukcyjne na niespotykaną dotąd skalę. A ponieważ urządzenia brzegowe stają się coraz potężniejsze i mają coraz więcej możliwości, wykorzystanie ich jako celów ataku może zapewnić cyberprzestępcom dostatnie życie. Przyczyni się do tego także postępująca konwergencja sieci IT i OT.
Wygodne życie cyberprzestępców dzięki infrastrukturze brzegowej – Podczas ataków na infrastrukturę brzegową wykorzystywane będą zainstalowane w zagrożonych środowiskach wiarygodne zestawy narzędzi, dzięki którym sam proces ataku oraz eksfiltracja danych będą wyglądały jak normalna aktywność systemu i pozostaną niezauważone. Podczas ataku Hafnium na serwery Microsoft Exchange zastosowana została ta technika w celu zakamuflowania złośliwego kodu w kontrolerach domeny. Taktyka ukrywania ataków, określana mianem „Living off the land” jest skuteczna , ponieważ wykorzystuje legalne narzędzia do prowadzenia przestępczych działań. Ich połączenie z trojanami typu Edge-Access Trojan (EAT) będzie oznaczało, że to głównie urządzenia brzegowe – coraz mocniejsze, bardziej funkcjonalne i spełniające ważne zadania w przedsiębiorstwie – staną się nowym celem ataków. Złośliwe oprogramowanie na brzegu sieci będzie monitorować działania w tym fragmencie infrastruktury, wykradać dane, włamywać się do krytycznych systemów i aplikacji oraz wymuszać okupy, unikając jednocześnie wykrycia przez rozwiązania skupiające się na rdzeniu sieci.
Dark Web sprawia, że ataki na infrastrukturę krytyczną stają się skalowalne – Cyberprzestępcy nauczyli się, że mogą zarabiać udostępniając swoje złośliwe narzędzia w modelu usługowym. Zamiast konkurować z innymi grupami przestępczymi, oferującymi podobne narzędzia, skupiają się na rozszerzeniu swojego portfolio o ataki zagrażające infrastrukturze krytycznej oraz konwergentnym rozwiązaniom OT/IT na brzegu sieci. Wymuszanie okupu za przywrócenie dostępu do takich systemów i infrastruktury stało się lukratywnym źródłem dochodu. Może mieć jednak również tragiczne konsekwencje, poprzez wpływ na życie i bezpieczeństwo ludzi. Ponieważ coraz więcej sieci jest połączonych ze sobą, praktycznie każdy ich punkt może być potencjalnym celem ataku w celu uzyskania dostępu do całej sieci IT w przedsiębiorstwie. Zazwyczaj ataki na systemy OT były domeną bardziej wyspecjalizowanych grup cyberprzestępców, ale dziś są osiągalne po prostu jako usługa w dark webie, co czyni je dostępnymi dla znacznie szerszej grupy.
Platforma Security Fabric bazująca na siatkowej architekturze Cybersecurity Mesh
Środowisko IT przedsiębiorstw staje się coraz bardziej rozproszone, zaś zespoły zajmujące się cyberbezpieczeństwem z reguły pracują w rozproszonym modelusilosowym . Jednocześnie wiele firm przechodzi na model wielochmurowy lub hybrydowy. Czynniki te wpływają na powstanie doskonałych okoliczości do działania dla cyberprzestępców, którzy przyjmują holistyczne, wyrafinowane podejście.
Siatkowa architektura cyberbezpieczeństwa integruje zapewniające bezpieczeństwo mechanizmy kontrolne w znacznie rozproszonych sieciach oraz pomiędzy podłączonymi do nich zasobami. W połączeniu ze zintegrowaną platformą ochronną Security Fabric zapewnia firmom bezpieczeństwo wszystkich zasobów w ich siedzibach, w centrum danych, na ich brzegu oraz w chmurze. Administratorzy będą musieli już teraz planować przyszłość, wykorzystując możliwości sztucznej inteligencji i uczenia maszynowego, aby przyspieszyć zapobieganie zagrożeniom, wykrywanie ich i reagowanie na nie. Zaawansowane narzędzia ochronne dla urządzeń końcowych, takie jak EDR, pomogą w identyfikacji złośliwych zagrożeń na podstawie analizy zachowania kodu.
Ponadto, metoda dostępu do sieci na zasadach zero-trust (ZTNA) będzie miała kluczowe znaczenie dla bezpiecznej pracy mobilnej kadry, korzystającej aktywnie w zdalny sposób z firmowych i chmurowych aplikacji, natomiast rozwiązania Secure SD-WAN zapewnią ochronę brzegu sieci WAN. Segmentacja sieci pozostanie podstawową strategią w celu minimalizacji ryzyka naruszenia całej infrastruktury oraz ograniczenia tzw. ruchu pobocznego, który cyberprzestępcy wykorzystują do zakamuflowanego przemieszczania się wewnątrz sieci. Dostępność zintegrowanych i użytecznych informacji o zagrożeniach może poprawić zdolność firmy do obrony w czasie rzeczywistym, co jest bardzo ważne w kontekście rosnącej szybkości ataków. Jednocześnie, we wszystkich branżach i rodzajach przedsiębiorstw, wymiana danych oraz partnerstwo mogą usprawnić przewidywanie technik stosowanych w przyszłości przez przeciwników oraz skuteczniejsze reagowanie na nie. Połączenie sił poprzez współpracę powinno stać się priorytetem w celu przerwania prób wpłynięcia cyberprzestępców na działania łańcuchów dostaw, zanim oni zaczną funkcjonować w taki sam sposób.
Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs „Działalność cyberprzestępców ewoluuje i staje się coraz bardziej podobna do tej podejmowanej przez tradycyjne grupy APT. Są oni wyposażeni w narzędzia wykorzystujące luki dnia zerowego, działają destrukcyjnie oraz są zdolni do rozszerzania i dostosowywania swoich technik w zależności od potrzeb, aby osiągnąć przyjęte cele. Dlatego będziemy świadkami ataków wybiegających znacznie poza firmową sieć, a nawet sięgających w przestrzeń kosmiczną, ponieważ atakujący wykorzystują rozproszenie granic infrastruktury wymagającej ochrony, rozproszenie zespołów odpowiedzialnych za bezpieczeństwo i stosowanych przez nienarzędzi, co wpływa na znaczne rozszerzenie powierzchni ataku. Zagrożenia te spowodują, że przeciążone zespoły IT będą miały problem z zabezpieczeniem wszystkich możliwych dróg ataku. Aby zwalczyć te ewoluujące zagrożenia, przedsiębiorstwa powinny wdrożyć platformę Security Fabric, bazującą na siatkowej architekturze cyberbezpieczeństwa.”