Компания Fortinet представила прогнозы ландшафта киберугроз на 2021 год и далее глобальной аналитической и исследовательской группы FortiGuard Labs. Эти прогнозы раскрывают стратегии, которые, по мнению экспертов группы, киберпреступники будут применять в ближайшем будущем, а также рекомендации, которые помогут специалистам по безопасности подготовиться к защите от этих атак.
Кибер-злоумышленники, использующие продвинутые периметры сети (Intelligent Edge), устройства с поддержкой 5G и достижения в области вычислительной мощности устройств, создадут волну новых и сложных угроз, беспрецедентных по скорости и масштабу. Кроме того, злоумышленники будут атаковать не только базовые сети, а продолжат использовать значительные ресурсы для нацеливания на развивающиеся периферийные среды, такие как удаленные сотрудники или даже новые периферийные OT-среды.
Для специалистов по безопасности критически важно заблаговременное планирование — для ускорения предотвращения, обнаружения и реагирования на угрозы необходимо использовать возможности искусственного интеллекта (AI) и машинного обучения (ML). Эффективный и интегрированный анализ угроз также будет важен для улучшения способности организации защищаться в реальном времени, поскольку скорость атак продолжает расти.
«События 2020 года демонстрируют, что киберпреступники способны использовать драматические изменения, происходящие в нашей повседневной жизни, в качестве новых возможностей для атак беспрецедентного масштаба. В 2021 году и далее мы столкнемся с еще одним значительным сдвигом, связанным с появлением новых продвинутых периметров сети (Intelligent Edge), которые станут чем-то большим, чем просто пользователи и устройства, удаленно подключающиеся к сети. Нацеливание на эти развивающиеся периметры не только создаст новые векторы атак, но и группы скомпрометированных устройств, которые смогут работать согласованно, чтобы атаковать на скоростях 5G. Чтобы быть на шаг впереди злоумышленников в этой грядущей реальности, все периметры должны быть частью более крупной, интегрированной и автоматизированной платформы безопасности, которая объединяет базовые сети, мультиоблачные среды, филиалы и удаленных сотрудников», — отмечает Дерек Мэнки, руководитель отдела аналитики безопасности и Global Threat Alliances, FortiGuard Labs.
За последние несколько лет традиционный периметр сети был заменен несколькими периферийными средами, WAN, мультиоблачными средами, центрами обработки данных, средствами удаленной работы, IoT и другими средами, каждая из которых имеет свои уникальные риски. Одним из наиболее значительных преимуществ для киберпреступников во всем этом является то, что, хотя все эти среды связаны между собой, многие организации пожертвовали централизованной видимостью и единым контролем в пользу производительности и цифровой трансформации. В результате киберпреступники планируют свои атаки, ориентируясь на эти среды, и будут использовать возможности скорости и масштабирования, которые открывает 5G.
Трояны развиваются, чтобы целиться в периферию. В то время как конечные пользователи и их домашние ресурсы уже являются целями для киберпреступников, более изощренные злоумышленники будут использовать их в качестве трамплина для атак на другие цели в будущем. Атаки на корпоративные сети, инициированные из домашней сети удаленного сотрудника, можно эффективно координировать, чтобы они не вызывали подозрений, особенно если четко известны характерные особенности пользования. В конце концов, продвинутые вредоносные программы могут также обнаруживать еще более ценные данные и тенденции с помощью новых EAT (Edge Access Trojans — троян доступа к периферии) и выполнять инвазивные действия, такие как перехват запросов из локальной сети для компрометации дополнительных систем или введения дополнительных команд атаки.
Роевые атаки с поддержкой периферии. Взлом и использование новых устройств с поддержкой 5G откроет возможности для более сложных атак. Киберпреступники добиваются прогресса в разработке и развертывании угроз на основе роя. В этих атаках используются захваченные устройства, разделенные на подгруппы, каждая из которых обладает специальными навыками. Они нацелены на сети или устройства как на интегрированную систему и обмениваются данными в режиме реального времени для уточнения своей атаки по мере ее проведения. Технологии роя требуют больших вычислительных мощностей для включения отдельных роевых ботов и эффективного обмена информацией между ними. Это позволяет им быстро обнаруживать уязвимости, делиться и сопоставлять данные, а затем менять методы атаки, с учетом обнаруженной информации.
Социальная инженерия может стать изощреннее. Смарт-устройства или другие домашние системы, которые взаимодействуют с пользователями, больше не будут просто целями для атак, а станут проводниками для более глубоких атак. Использование важной контекстной информации о пользователях, включая распорядок дня, привычки или финансовую информацию, может сделать атаки на основе социальной инженерии более успешными. Такие изощренные атаки могут привести к гораздо большему ущербу, чем просто отключение систем безопасности, камер или захват смарт-устройств, они могут поспособствуют вымогательству денег или получению дополнительных данных, скрытым атакам с использованием учетных данных.
Атаки вымогателей на OT-периферии могут стать новой реальностью. Программы-вымогатели продолжают развиваться, и по мере того, как ИТ-системы все больше объединяются с системами операционных технологий (OT), особенно если говорить о критически важной инфраструктуре — еще больше данных, устройств и, к сожалению, жизней окажутся в опасности. Вымогательство, клевета и порча уже являются торговли на рынке программ-вымогателей. В будущем человеческие жизни окажутся под угрозой, когда полевые устройства и датчики на ОТ-периферии, которые включают в себя критически важные инфраструктуры, будут все чаще становиться целями киберпреступников на местах.
Другие типы атак, нацеленных на развитие производительности вычислений и инновации в области связи, специально киберпреступников, также не за горами. Эти атаки позволят злоумышленникам охватить новую территорию и заставят защитников опередить киберпреступников:
- продвинутый криптомайнинг. Вычислительная мощность важна, если киберпреступники хотят масштабировать будущие атаки с помощью возможностей машинного обучения и искусственного интеллекта. В конце концов, атаковав периферийные устройства из-за их вычислительной мощности, киберпреступники смогут обрабатывать огромные объемы данных и узнавать больше о том, как и когда они используются. Это также может повысить эффективность криптомайнинга. Заражение ПК, который захватывают из-за их вычислительных ресурсов, часто выявляется, поскольку использование ЦП напрямую влияет на работу конечного пользователя. Взломанные периферийные устройства могли бы быть гораздо менее заметными;
- распространение атак из космоса. Возможность подключения спутниковых систем и в целом телекоммуникационного оборудования в целом может стать привлекательной целью для киберпреступников. По мере того, как новые системы связи расширяются и начинают больше полагаться на сеть спутниковых систем, киберпреступники нацеливаются на эти структуры. В результате взлом спутниковых базовых станций и последующее распространение вредоносного ПО через спутниковые сети может дать злоумышленникам возможность потенциально нацеливаться на миллионы подключенных пользователей в любом масштабе или проводить DDoS-атаки, которые могут препятствовать жизненно важным коммуникациям;
- угроза квантовых вычислений. С точки зрения кибербезопасности квантовые вычисления могут создать новый риск — в будущем они смогут бросить вызов эффективности шифрования. Огромная вычислительная мощность квантовых компьютеров смогут расшифровать некоторые асимметричные алгоритмы. В результате организациям необходимо будет подготовиться к переходу на квантово-устойчивые криптоалгоритмы с использованием принципа crypto agility, чтобы обеспечить защиту текущей и будущей информации. Хотя обычный киберпреступник не имеет доступа к квантовым компьютерам, его имеют некоторые государства, поэтому возможная угроза будет реальна, если сейчас не приготовиться для противодействия ей путем использования принципа crypto agility.
По мере того, как эти тенденции атак постепенно становятся реальностью, лишь вопрос времени, когда задействованные ресурсы станут товаром, доступным в виде услуг в даркнете, или как часть наборов инструментов с открытым исходным кодом. Следовательно, для защиты от этих типов атак в будущем потребуется тщательное сочетание технологий, людей, обучения и партнерских отношений:
- ИИ необходимо развиваться. Развитие ИИ имеет решающее значение для защиты от новых атак в будущем. Нужно развить искусственный интеллект до следующего поколения. Это будет включать использование локальных обучающих узлов на базе машинного обучения как части интегрированной системы, подобной нервной системе человека. Технологии с продвинутым ИИ, которые могут предвидеть, регистрировать и противодействовать атакам, должны стать реальностью в будущем, потому что кибератаки будущего будут происходить за микросекунды. Основная роль людей будет заключаться в обеспечении того, чтобы системы безопасности получали достаточно информации, чтобы не только активно противодействовать атакам, но и фактически предвидеть атаки, избежать их;
- партнерские отношения жизненно важны для будущего. Нельзя ожидать, что организации будут защищаться от киберпреступников в одиночку. Им нужно будет знать, кому сообщить об атаке, чтобы можно было поделиться «цифровыми отпечатками пальцев» и чтобы правоохранительные органы могли выполнять свою работу. Поставщики услуг кибербезопасности, организации, занимающиеся исследованием угроз, и другие отраслевые группы должны сотрудничать друг с другом для обмена информацией, а также с правоохранительными органами, чтобы помочь ликвидировать противоборствующие инфраструктуры для предотвращения будущих атак. Киберпреступники не имеют границ в Интернете, поэтому борьба с ними также должна выходить за рамки границ. Только совместными усилиями мы сможем переломить эту ситуацию;
- задействование команд Blue Teams (эксперты, занимающиеся предотвращением атак): тактика, приемы и процедуры (TTP) злоумышленников, изучаемые командами по анализу угроз, например методички для злоумышленников, могут быть переданы в системы ИИ для обнаружения моделей атак. Точно так же, когда организации освещают тепловые карты активных в настоящее время угроз, интеллектуальные системы смогут проактивно скрывать сетевые цели и размещать привлекательные ловушки на путях атаки. В конце концов, организации смогут отреагировать на любые попытки контрразведки до того, как они произойдут, что позволит Blue Teams сохранить превосходящий контроль. Такой вид обучения дает членам группы безопасности возможность улучшить свои навыки, защищая сеть.