Από τις επαναλαμβανόμενες επιθέσεις ransomware και την παγιοποίηση τακτικών, τεχνικών και διαδικασιών (TTPs) στην εφοδιαστική αλυσίδα, την εργαλειοποίηση ευπαθειών υλικολογισμικού και τις στοχευμένες επιθέσεις σε εργαζόμενους του υβριδικού μοντέλου εργασίας – το τοπίο απειλών αναμένεται να εξελιχθεί με ανησυχητικούς ρυθμούς το επόμενο έτος.
Καθώς πλησιάζουμε στο τέλος του 2021 οι ειδικοί σε θέματα ασφάλειας και σύμβουλοι της HP προβληματίζονται με όσα μας επιφυλάσσει η νέα χρονιά. Θα εξετάσουμε τις απόψεις ειδικών όπως του Michael Heywood, Επικεφαλής Ασφάλειας Εφοδιαστικής Αλυσίδας, της Joanna Burkey, Επικεφαλής Ασφάλειας Πληροφοριών, του Dr.Ian Pratt, Επικεφαλής Ασφάλειας Προσωπικών Συστημάτων, του Patrick Schläpfer, Αναλυτή Κακόβουλου Λογισμικού, του Alex Holland, Επικεφαλής Αναλυτής Κακόβουλου Λογισμικού, της Julia Voo, Επικεφαλής Κυβερνοασφάλειας και Τεχνολογικής Πολιτικής και του Michael Howard, Επικεφαλής των Πρακτικών Ασφαλείας και Ανάλυσης. Μαζί τους το μέλος της Συμβουλευτικής Επιτροπής της HP και συνεταίρου της Deloitte, ο Robert Masse θα εστιάσουν στις τέσσερις σημαντικότερες τάσεις που πρέπει να προσέξουμε.
- Η αυξανόμενη παγιοποίηση των επιθέσεων στην εφοδιαστική αλυσίδα λογισμικού μπορεί να έχει ως αποτέλεσμα την στοχοποίηση ατόμων υψηλού προφίλ
Οι επιθέσεις στην εφοδιαστική αλυσίδα είναι πιθανόν να προσφέρουν νέες ευκαιρίες στους παράγοντες απειλών το 2022. Σύμφωνα με τον Michael Heywood: «Αναμένουμε αύξηση των επιθέσεων στην εφοδιαστική αλυσίδα τη νέα χρονιά, καθώς οι παράγοντες απειλών αναζητούν τον αδύναμο κρίκο στην εφοδιαστική αλυσίδα λογισμικού, στοχεύοντας σε προγράμματα που χρησιμοποιούνται ευρέως σε παγκόσμια κλίμακα ή από μια συγκεκριμένη εταιρεία».
Όπως εξηγεί η Joanna Burkey, μέσω αυτής της προσέγγισης δημιουργούνται οικονομίες κλίμακος για τους παράγοντες απειλών: «Στην περίπτωση της παραβίασης της Kaseya - η οποία επηρέασε περισσότερες από 1500 εταιρείες – διαπιστώσαμε ότι οι επιθέσεις στην εφοδιαστική αλυσίδα μπορούν να είναι σημαντικά κερδοφόρες. Αυτό μπορεί να οδηγήσει σε παγιοποίηση των τακτικών, τεχνικών και διαδικασιών (TTPs) που χρησιμοποιούνται για τη διεξαγωγή αυτού του είδους επιθέσεων. Το αποτέλεσμα είναι να αναθαρρήσουν οι παράγοντες απειλών και να αποκτήσουν ισχυρό κίνητρο για να εκμεταλλευτούν την εφοδιαστική αλυσίδα λογισμικού και την επόμενη χρονιά».
Ο Ian Pratt αναφέρει ότι τόσο οι μικρομεσαίες επιχειρήσεις όσο και άτομα υψηλού προφίλ μπορούν να στοχοποιηθούν: «Το παράδειγμα της Kaseya μας έδειξε ότι υπάρχει η δυνατότητα οικονομικού οφέλους από την παραβίαση ανεξάρτητων εταιριών ανάπτυξης λογισμικού (ISV). Το γεγονός αυτό αποτελεί μια πρώτη προειδοποίηση προς όλες τις εταιρείες ISV που ακόμα και όταν το πελατολόγιο τους δεν περιλαμβάνει μεγάλες εταιρείες ή κυβερνητικούς φορείς μπορούν να μπουν στο στόχαστρο κυβερνοεγκληματιών για να εκμεταλλευτούν τους πελάτες τους. Καθώς το σχέδιο έχει ήδη δοκιμαστεί στην πράξη, αναμένουμε να δούμε τις σχετικές επιθέσεις να αυξάνονται τον επόμενο χρόνο στοχεύοντας τόσο μικρομεσαίες επιχειρήσεις όσο και άτομα υψηλού προφίλ».
Κάποιες αγορές είναι πιθανότερο να στοχοποιηθούν μέσω επιθέσεων εφοδιαστικής αλυσίδας σε σχέση με άλλες, εξηγεί ο Robert Masse: «Οι εταιρίες που δραστηριοποιούνται στους τομείς της υγείας και της ενέργειας, που χρησιμοποιούν πολλά λογισμικά και hardware από διάφορους κατασκευαστές αποτελούν ενδιαφέροντες στόχους για επιθέσεις μέσω της εφοδιαστικής αλυσίδας λογισμικού. Η διασφάλιση της ακεραιότητας της εφοδιαστικής αλυσίδας θα είναι ζωτικής σημασίας το 2022, καθώς οι κυβερνοεγκληματίες εξαπολύουν επιθέσεις γρηγορότερα από ότι οι οργανισμοί μπορούν να επενδύσουν στην ασφάλεια του κύκλου παραγωγής των λογισμικών».
Οι οργανισμοί θα πρέπει επίσης να λάβουν υπόψη και τις απειλές που προέρχονται από λογισμικά ανοιχτού κώδικα, όπως αναφέρει ο Patrick Schläpfer: «Θα παρατηρήσουμε αύξηση στα πακέτα λογισμικού ανοιχτού κώδικα που περιλαμβάνουν κακόβουλο κώδικα. Οι κυβερνοεγκληματίες θα εισάγουν σε ανύποπτο χρόνο απειλές σε βιβλιοθήκες λογισμικού ανοιχτού κώδικα οι οποίες χρησιμοποιούνται στην εφοδιαστική αλυσίδα λογισμικού. Κατά συνέπεια θα παραβιαστούν ακόμα περισσότερες εταιρείες ανεξάρτητα από το αν έχουν καλά σχεδιασμένη περιμετρική ασφάλεια ή ανεπτυγμένες άμυνες γενικότερα».
- Οι συμμορίες ransomware δε διστάζουν να θέσουν ανθρώπινες ζωές σε κίνδυνο και εξαπολύουν επαναλαμβανόμενες επιθέσεις κατά κύματα.
Τα ransomware θα αποτελέσουν μείζων κίνδυνο και το 2022, με θύματα που ενδεχομένως να πληγούν περισσότερο από μια φορά, όπως τονίζει ο Burkey: «Θα δούμε φαινόμενα παρόμοια με τα «pile-ons» στα μέσα κοινωνικής δικτύωσης με επαναλαμβανόμενες επιθέσεις στα ίδια θύματα από παράγοντες απειλών. Όταν θα διαπιστώνουν ότι ένας οργανισμός είναι ευάλωτος θα προσελκύονται και άλλοι κυβερνοεγκληματίες στον ίδιο στόχο ώστε να πάρουν και αυτοί μερίδιο. Σε κάποιες περιπτώσεις, οι παράγοντες απειλών θα χτυπούν διαρκώς μια εταιρεία μέχρι να καταφέρουν να την εκβιάσουν 2 και 3 φορές».
Οι τακτικές εκβιασμού μπορούν να επεκταθούν και πέρα από το ίδιο το θύμα καθώς οι συμμορίες ransomware πιέζουν να πληρωθούν, σχολιάζει ο Allex Holland: «Οι εγκληματίες πίσω από τα ransomware είναι σχεδόν βέβαιο ότι θα εντατικοποιήσουν τις μεθόδους μέσω των οποίων ασκούν πίεση στα θύματα τους για να πληρώσουν τα λύτρα. Εκτός από τους ιστότοπους που αναρτώνται διαρροές πληροφοριών, οι κυβερνοεγκληματίες χρησιμοποιούν μια πληθώρα εργαλείων ψυχολογικής πίεσης όπως απευθείας τηλεφωνικές κλήσεις καθώς και να έρχονται σε άμεση επαφή με τους πελάτες ή τους συνεργάτες του οργανισμού που έχουν πλήξει». Ο Heywood υπογραμμίζει ότι οι συμμορίες ransomware δε κλειδώνουν απλώς τα δεδομένα των συστημάτων της εταιρείας αλλά τα κλέβουν κιόλας ώστε να είναι σε θέση να πιέζουν περισσότερο τα θύματα τους: «Όπως είδαμε μέσα στη χρονιά, οι παράγοντες απειλών θα κλέψουν πρώτα τα στοιχεία πριν προχωρήσουν στο κλείδωμα των συσκευών, ώστε να είναι σε θέση να εκβιάσουν τα θύματα τους να πληρώσουν λύτρα αφενός για να ξεκλειδώσουν τα συστήματα τους και αφετέρου για να αποτρέψουν τη δημοσιοποίηση των στοιχείων τους».
Οι παράγοντες απειλών μπορούν να εστιάσουν σε συγκεκριμένες αγορές και ειδικές περιπτώσεις, τονίζει ο Masse: «Οι επιτιθέμενοι έχουν αντιληφθεί ότι όταν χτυπούν συγκεκριμένους κλάδους έχουν μεγαλύτερες πιθανότητες να εισπράξουν λύτρα. Είναι πιθανό να δούμε περισσότερες επιθέσεις σε φορείς που σχετίζονται με την υγεία και την ενέργεια. Οι παράγοντες απειλών δεν σταματούν ακόμα και σε συστήματα υψηλού κινδύνου όπως ιατρικά μηχανήματα καθώς και των συστημάτων που τα υποστηρίζουν όπου ο κίνδυνος για τις ανθρώπινες ζωές είναι μεγάλος και η πληρωμή των λύτρων θα πραγματοποιηθεί γρήγορα.
Επιπρόσθετα η τάση για συνεργασίες μεταξύ των παραγόντων απειλών θα συνεχιστεί και την επόμενη χρονιά, όπως εξηγεί ο Pratt: «Συχνά παρατηρούμε την πρόθεση των παραγόντων απειλών να συνεργάζονται μεταξύ τους σε επιθέσεις. Οι δραστηριότητες των κυβερνοεγκληματιών γνωρίζουν άνθηση ενδυναμώνοντας μια παράνομη εφοδιαστική αλυσίδα η οποία επιτρέπει ακόμα και σε παράγοντες απειλών χαμηλού επιπέδου να αποκτήσουν τα εργαλεία και τις υπηρεσίες που χρειάζονται για να εξαπολύσουν επιτυχημένες μαζικές επιθέσεις. Εξειδικευμένα άτομα ασχολούνται με την κλοπή κωδικών πρόσβασης, τη δημιουργία κακόβουλου λογισμικού, τη συγγραφή email-δολωμάτων ή για τη φιλοξενία συστημάτων υποστήριξης. Σε τελική ανάλυση η πληθώρα εργαλείων και εξειδίκευσης επιτρέπει τη διαρκή ανάπτυξη και βελτίωση των εγκληματικών επιθέσεων.
- H εργαλειοποίηση των επιθέσεων υλικολογισμικού θα χαμηλώσει τον πήχη δυσκολίας αξιοποίησης τους
Ο Masse πιστεύει ότι η έλλειψη ελέγχου και διαδικασιών στην ασφάλεια του υλικολογισμικού θα εντείνει το πρόβλημα: «Υπάρχουν συγκεκριμένοι κλάδοι όπου αυτού του είδους οι επιθέσεις είναι περισσότερο πιθανές και θα πρέπει να ξεκινήσουν να προβληματίζονται για τους κινδύνους που θα επέφερε η εργαλειοποίηση κακόβουλου λογισμικού και ευπαθειών στο χαμηλό επίπεδο της μηχανής. Είναι εξαιρετικά δύσκολο να εντοπιστούν ακόμα και στο καλύτερο σενάριο. Αποστασιοποιημένες διαδικασίες και παρακάμψεις μέσω εναλλακτικών χαρτογραφήσεων μνήμης θα είναι τα κύρια θέματα που θα μας απασχολήσουν το 2022 και αναμένουμε από τους παράγοντες απειλών να στοχεύουν επεξεργαστές, το BIOS και τους μικροκώδικες των μονάδων επεξεργασίας σε μια προσπάθεια να προετοιμάζουν το έδαφος ώστε να ακολουθεί η κυρίως επίθεση με ransomware.
Οι διαμορφωτές πολιτικής θα πρέπει να λάβουν υπόψη τους αυτές τις τάσεις και να επιβάλλουν τις απαραίτητες αλλαγές, σύμφωνα με τη Julia Voo: «Η εργαλειοποίηση των ευπαθειών στο επίπεδο του hardware συνεπάγεται την ανάγκη παρέμβασης των διαμορφωτών πολιτικής ώστε να αναπτυχθούν τα απαραίτητα πρότυπα που θα συνεισφέρουν στη βελτίωση της ασφάλειας του υλικολογισμικού. Σε συνεργασία με τις βιομηχανίες και ακολουθώντας μια προσέγγιση από κάτω προς τα πάνω, οι διαμορφωτές πολιτικής μπορούν να οδηγήσουν τις εξελίξεις σε ένα χώρο που συχνά παραβλέπεται».
- To υβριδικό μοντέλο εργασίας και τα αθλητικά γεγονότα θα προσφέρουν περισσότερες ευκαιρίες για επιθέσεις κατά των χρηστών
Η διασπορά των ομάδων μέσα στο υβριδικό μοντέλο εργασίας συνεπάγεται ότι τα συστήματα διαχείρισης ταυτότητας θα συνεχίσουν να πρωταγωνιστούν, όπως επισημαίνει ο Burkey: «Η ταυτοποίηση πρέπει να είναι στέρεα, αξιόπιστη και στιβαρή. Οι οργανισμοί πρέπει να φροντίσουν ώστε κάθε ενέργεια που προέρχεται από ένα τελικό σημείο είναι αυθεντική. Είμαστε σίγουροι ότι ο χρήστης εκτελεί τις ενέργειες; Είναι όντως αυτοί που ισχυρίζονται ότι είναι; Πολλοί οργανισμοί έχουν την εσφαλμένη αντίληψη ότι ένα τείχος προστασίας είναι αρκετό για να διαφυλάξει ένα τελικό σημείο, αλλά αυτό δεν είναι αλήθεια. Στην εποχή του υβριδικού μοντέλου εργασίας τα συστήματα διαχείρισης ταυτότητας είναι περισσότερο αναγκαία από ποτέ.
Η στροφή στο υβριδικό μοντέλο εργασίας θα συνεχίσει να προκαλεί πονοκεφάλους στην ασφάλεια του οργανισμού, λέει ο Michael Howard: «Κάθε ένας υπάλληλος αποτελεί στόχο για τους εισβολείς, με ένα αυξανόμενο πλήθος επισφαλών και μη διαχειριζόμενων συσκευών να δημιουργούν μια τεράστια αμυντική γραμμή που πρέπει να υπερασπιστούμε». Ο Masse πιστεύει ότι αυτό μπορεί να επιτρέψει στους εισβολείς να στοχοποιήσουν προσωπικό υψηλού προφίλ: «Οι παράγοντες απειλών μπορούν να επικεντρωθούν τις οικίες και τα προσωπικά δίκτυα υψηλά ιστάμενων, καθώς και κυβερνητικών αξιωματούχων εφόσον τα συγκεκριμένα δίκτυα είναι ευκολότερο να παραβιαστούν από ότι τα παραδοσιακά εταιρικά περιβάλλοντα».
Το phishing θα παραμείνει μια διαρκής απειλή στην εποχή του υβριδικού μοντέλου εργασίας, εξηγεί ο Pratt: «Οι υπάλληλοι χρησιμοποιούν προσωπικές συσκευές για την εργασία τους ή εταιρικές συσκευές για προσωπικές εργασίες, όπως την ανάγνωση των email τους. Αυτό θα συνεχιστεί και για αυτό είναι πολύ πιθανό να σημειωθεί αύξηση στις επιθέσεις παραπλανητικών email που στοχεύουν τόσο εταιρικούς όσο και προσωπικούς λογαριασμούς. Αυτό δυνητικά διπλασιάζει τις πιθανότητες των εισβολέων να καταφέρουν ένα πλήγμα, και για αυτό οι οργανισμοί πρέπει να εκπαιδεύσουν το ανθρώπινο δυναμικό τους για τους κινδύνους των χειρισμών τους και να επιβάλλουν τεχνικούς περιορισμούς ώστε να αποτρέψουν τις παραβιάσεις».
Τα αθλητικά γεγονότα υψηλού ενδιαφέροντος παρουσιάζουν νέες ευκαιρίες σε εισβολείς να στοχοποιήσουν χρήστες, σύμφωνα με τον Schläpfer: «Οι χειμερινοί ολυμπιακοί αγώνες του Πεκίνο καθώς και το παγκόσμιο κύπελλο της FIFA στο Κατάρ δημιουργούν στους παράγοντες απειλών νέα πεδία για εκμετάλλευση. Τα μεγάλα γεγονότα προσελκύουν ευκαιριακούς εισβολείς τόσο για απευθείας επιθέσεις σε διοργανωτές, χορηγούς, συμμετέχοντες και θεατές ή για καμπάνιες ransomware και κακόβουλου λογισμικού που στοχεύουν χρήστες μέσω παραπλανητικών email. Τόσο οι οργανισμοί όσο και οι χρήστες θα πρέπει να γνωρίζουν αυτούς τους κινδύνους».
Απαιτείται μια νέα προσέγγιση για την ασφάλεια
«Η άνοδος του υβριδικού μοντέλου εργασίας και η συνεχιζόμενη καινοτομία από τους παράγοντες απειλών έχουν ως αποτέλεσμα ότι το 2022 μας επιφυλάσσει μια πληθώρα δυσάρεστων εκπλήξεων στον τομέα της εταιρικής ασφάλειας», σχολιάζει ο Ian Pratt. «Ως αποτέλεσμα, θα πρέπει να διαφυλάξουμε το μέλλον της εργασίας με έναν εντελώς διαφορετικό τρόπο. Οι οργανισμοί θα πρέπει να υιοθετήσουν μια αρχιτεκτονική προσέγγιση για την ασφάλεια που θα ελαχιστοποιεί τους κινδύνους και θα προάγει την ανθεκτικότητα. Εφαρμόζοντας τις αρχές της Μηδενικής Εμπιστοσύνης (Zero Trust) – με τα ελάχιστα δυνατά δικαιώματα, την απομόνωση, τους υποχρεωτικούς ελέγχους πιστοποίησης και ισχυρά συστήματα διαχείρισης ταυτότητας – οι οργανισμοί μπορούν να περιορίσουν δραστικά τη γραμμή άμυνας και να διαφυλάξουν το μέλλον της εργασίας».
Το HP Wolf Security μπορεί να βοηθήσει τους οργανισμούς να αμυνθούν σε ένα πλήθος νέων απειλών και κινδύνων που καλούνται να αντιμετωπίσουν το 2022. Συνδυάζοντας λογισμικό και λειτουργίες ασφάλειας που υποστηρίζονται από το υλικό καθώς και τις τεχνολογικά προηγμένες υπηρεσίες ασφάλειας τελικών σημείων, το HP Wolf Security προσφέρει άμυνα σε βάθος και προηγμένη προστασία, ιδιωτικότητα και πληροφορίες απειλών, συλλέγοντας δεδομένα από τα τελικά σημεία συμβάλλοντας στην προστασία της επιχείρησης στο σύνολο της.