Технологии развиваются и усложняются год за годом, а вместе с ними совершенствуются методики атак. Современные реалии требуют онлайн-приложений, облачных сервисов и платформ для виртуализации, поэтому уже не получится спрятаться за корпоративным файрволом — и не высовывать нос в «опасный интернет». Всё это вместе с распространением IoT/IIoT, развитием финтеха и растущей популярностью удалённой работы до неузнаваемости изменило ландшафт угроз. Поговорим о кибернапастях, которые готовит нам 2020 год.
Эксплуатация 0day-уязвимостей будет опережать выход патчей
Сложность программных систем растёт, поэтому они неизбежно содержат ошибки. Разработчики выпускают исправления, но для этого проблему нужно сначала выявить, потратив время в том числе смежных команд – тех же тестировщиков, которые вынуждены проводить тесты. Но времени как раз у многих команд катастрофически не хватает. Результатом становится недопустимо долгий выпуск патча, а то и вовсе появление патча, который работает лишь частично.
Выпущенный в 2018 году патч для 0day уязвимости в движке Microsoft Jet оказался неполным, т.е. не ликвидировал проблему полностью.
В 2019 году Cisco выпустила патчи для уязвимостей CVE-2019-1652 и CVE-2019-1653 в прошивках роутеров, которые не исправляли ошибки.
В сентябре 2019 года исследователи обнаружили 0day-уязвимость в Dropbox для Windows и уведомили об этом разработчиков, однако те так и не исправили ошибку в течение 90 дней.
Blackhat и Whitehat-хакеры сосредоточенно ищут уязвимости, поэтому вероятность того, что они первыми обнаружат проблему, существенно больше. Кто-то из них стремится получить вознаграждения по программам Bug Bounty, а другие преследуют вполне конкретные вредоносные цели.
Больше атак с использованием дипфейков
Нейросети и искусственный интеллект развиваются, создавая новые возможности для мошенничества. Следом за фальшивыми порнороликами с участием знаменитостей появились вполне конкретные атаки с серьёзным материальным ущербом.
В марте 2019 года преступники похитили у энергетической компании 243 тыс. долларов США с помощью одного телефонного звонка. «Руководитель головной компании» отдал руководителю филиала указание перечислить деньги подрядчику из Венгрии. Голос CEO был подделан с помощью искусственного интеллекта.
Учитывая стремительное развитие технологии создания дипфейков, можно ожидать, что киберзлодеи внедрят создание фальшивых аудио- и видеороликов в состав BEC-атак и схем мошенничества с технической поддержкой для повышения доверия пользователей.
Главной мишенью для дипфейков станут топ-менеджеры, поскольку записи их разговоров и выступлений находятся в свободном доступе.
Атаки на банки через финтех
Принятие европейской директивы о платёжных услугах PSD2 сделало возможным проведение новых видов атак на банки и их клиентов. Это и фишинговые кампании против пользователей финтех-приложений, и DDoS-атаки на финтех-стартапы, и хищение данных из банка через открытый API.
Сложные атаки через поставщиков услуг
Компании всё больше сужают свою специализацию, отдавая непрофильные виды деятельность на аутсорсинг. Их сотрудники проникаются доверием к аутсорсерам, которые ведут бухгалтерию, осуществляют техническую поддержку или обеспечивают безопасность. В результате для атаки на компанию достаточно скомпрометировать одного из поставщиков услуг, чтобы через него внедрить в целевую инфраструктуру вредоносный код, похитить деньги или информацию.
В августе 2019 года хакеры проникли в инфраструктуру двух ИТ-компаний, предоставляющих услуги хранения и резервного копирования данных, а уже через неё внедрили вымогательское ПО в несколько сотен стоматологических кабинетов на территории США.
ИТ-компания, обслуживающая Управление полиции Нью-Йорка, на несколько часов вывела из строя базу данных отпечатков пальцев, подключив к сети полиции инфицированный мини-компьютер Intel NUC.
Поскольку цепочки поставок становятся всё более длинными, появляется больше слабых звеньев, уязвимостями которых можно воспользоваться, чтобы атаковать самую крупную добычу.
Ещё одним фактором, который облегчит атаки через цепочки поставок, станет массовое распространение удалённых рабочих мест. Фрилансеры, работающие через публичный Wi-Fi или из дома, — лёгкая добыча, при этом они могут взаимодействовать с несколькими серьёзными компаниями, поэтому их скомпрометированные устройства становятся удобным плацдармом для подготовки и проведения следующих стадий кибернападения.
Широкое использование IoT/IIoT для шпионажа и вымогательства
Быстрый рост числа IoT-устройств, среди которых смарт-телевизоры, «умные» колонки и различные голосовые ассистенты в совокупности с большим количеством выявляемых в них уязвимостей создаст множество возможностей для их несанкционированного использования.
Компрометация умных устройств и распознавание речи людей с помощью ИИ позволяет идентифицировать объект слежки, что превращает такие девайсы в набор для вымогательства или корпоративного шпионажа.
Ещё одно направление, в котором по-прежнему будут использоваться устройства IoT — создание бот-сетей для различных вредоносных киберуслуг: рассылки спама, анонимизации и проведения DDoS-атак.
Вырастет количество атак на объекты критической инфраструктуры, оснащённые компонентами промышленного интернета вещей. Их целью может стать, например, вымогательство выкупа под угрозой остановки работы предприятия.
Чем больше облаков, тем больше опасностей
Массовый переезд ИТ-инфраструктур в облака приведёт к появлению новых объектов для атак. Ошибки при развёртывании и настройке облачных серверов успешно эксплуатируются злоумышленниками. Количество утечек, связанных с небезопасными настройками БД в облаке, растёт с каждым годом.
В октябре 2019 года в открытом доступе был обнаружен сервер ElasticSearch, содержащий 4 млрд записей с персональными данными.
В конце ноября 2019 года в облаке Microsoft Azure в открытом доступе была найдена база данных компании True Dialog, содержащую почти 1 млрд записей, в которых присутствовали полные имена абонентов, адреса электронной почты и номера телефонов, а также тексты SMS-сообщений.
Утечки размещённых в облаках данных не только нанесут ущерб репутации компаний, но и приведут к наложению штрафов и взысканий.
Недостаточные ограничения доступа, неправильное управление разрешениями и халатность при ведении логов — лишь часть ошибок, которые компании будут допускать при настройке своих «облачных» сетей. По мере миграции в облака в этот процесс будут всё больше вовлекаться сторонние поставщики услуг с различной компетенцией в области безопасности, что обеспечит дополнительные возможности для атак.
Обострение проблем виртуализации
Контейнеризация сервисов облегчает разработку, сопровождение и развёртывание ПО, однако в то же время создаёт дополнительные риски. Уязвимости в популярных образах контейнеров по-прежнему будут проблемой для всех, кто их использует.
Компаниям также придётся столкнуться с уязвимостями в различных компонентах контейнерной архитектуры от ошибок в среде выполнения до оркестраторов и сред сборки. Злоумышленники будут искать и использовать любые слабые места, чтобы скомпрометировать процесс DevOps.
Ещё одна относящаяся с виртуализации тенденция связана с бессерверными вычислениями. По прогнозу Gartner, в 2020 году более 20% компаний будут использовать эту технологию. Эти платформы предлагают разработчикам выполнять код как услугу, избавляя от необходимости платить за целые серверы или контейнеры. Однако переход на бессерверные вычисления не обеспечивает иммунитета от проблем безопасности.
Точками входа для атак на бессерверные приложения станут устаревшие и скомпрометированные библиотеки и неправильно настроенное окружение. Злоумышленники будут использовать их для сбора конфиденциальной информации и проникновения в сети предприятий.
Как противостоять угрозам в 2020 году
Учитывая возрастающую сложность киберпреступных воздействий, компаниям потребуется расширить взаимодействие со специалистами по безопасности, чтобы снизить риски во всех секторах своей инфраструктуры. Это позволит защитникам и разработчиком получить дополнительную информацию и лучше контролировать подключённые к сети устройства и устранять их уязвимости.
Постоянно меняющийся ландшафт угроз потребует внедрения многоуровневой защиты, основанной на таких механизмах безопасности, как:
- выявление успешных атак и смягчение их последствий,
- управляемое обнаружение и предотвращение атак,
- поведенческий мониторинг: проактивная блокировка новых угроз, и обнаружение аномального поведения,
- защита конечных точек.
Нехватка навыков и низкое качество знаний в области кибербезопасности будут определять общий уровень защищённости организаций, поэтому ещё одной стратегической задачей их руководства должна стать систематическая тренировка безопасного поведения сотрудников в сочетании с повышением осведомлённости в области информационной безопасности.
AcidVenom
киберугрозы 20**: недоплачено, сэкономлено