Руководители служб кибербезопасности сталкиваются с обширным ландшафтом угроз, расширяющимися технологическими стеками и ограниченными бюджетами. Рубеж года — это традиционная возможность оценить самые большие риски безопасности и определить, как использовать имеющиеся ресурсы для наилучшей защиты своих предприятий. Опрошенные порталом InformationWeek эксперты обсуждают основные тенденции в области безопасности, на которые следует обратить внимание CISO и другим руководителям служб безопасности.
ИИ-угрозы и защита от них
Взрывной рост и быстрое внедрение генеративного ИИ стали определяющими тенденциями 2023 г., и они не подают признаков замедления. Эта технология будет способствовать более изощренным кибератакам, а также более совершенным средствам защиты и обнаружения.
«Мы лишь только начинаем понимать потенциал расширения возможностей, которые такие инструменты могут дать как атакующим, так и защитникам», — говорит Келли Вандерли, старший менеджер компании Mandiant Intelligence, входящей в состав Google Cloud.
В своем прогнозе кибербезопасности на 2024 г. Google Cloud называет способы, с помощью которых ИИ будет использоваться для организации профессиональных и масштабных фишинговых атак и масштабируемых информационных операций. ИИ облегчит участникам угроз проведение тонких и убедительных кампаний социальной инженерии в масштабе. Технология также будет использоваться для создания фальшивых новостей и фейковых фотографий и видео.
Поскольку злоумышленники наращивают свои возможности в области ИИ, защитники тоже должны их наращивать. «Интеграция инструментов ИИ должна оставаться на переднем крае киберзащиты — в сочетании с анализом киберугроз, управлением поверхностью атаки, обнаружением и реагированием — как ответная мера, направленные на борьбу с огромным количеством и изощренностью атак», — говорит Юваль Вольман, главный киберспециалист и управляющий директор по Израилю компании UST.
По его словам, команды кибербезопасности смогут использовать ИИ для расширения возможностей анализа угроз. Кроме того, генеративный ИИ сможет создавать прогностический контент на основе моделей поведения и атак, что даст командам кибербезопасности возможность применять упреждающий подход к защите.
Хотя ИИ быстро развивается, он пока не способен заменить rdfkbabwbhjdfyys[ специалистов по кибербезопасности. Андрюс Усекас, технический директор и CISO компании ThreatX, подчеркивает, что ИИ все еще основан на правилах. «Если вы хотите, чтобы ваше окружение было безопасным, вам все равно нужно проводить ежегодное тестирование на проникновение, — объясняет он. — Вам по-прежнему нужен настоящий этичный хакер, человек, который попытается проникнуть в вашу систему, чтобы воспроизвести точный способ, которым мог бы воспользоваться настоящий злоумышленник».
Атаки на цепочки поставок
Субъекты угроз используют растущую сложность цепочек поставок и нацеливаются на сторонних поставщиков для достижения своих целей. Вольман отмечает, что сегодня предпринимаются усилия по снижению этого риска. «Наблюдается заметная тенденция к повышению прозрачности цепочек поставок и консолидации поставщиков, чтобы минимизировать риск все более изощренных киберугроз», — объясняет он.
Поскольку риск, связанный с третьими сторонами, остается значительным фактором, руководителям служб безопасности предстоит провести тщательную проверку внешних поставщиков. Как выглядит их система кибербезопасности? Если поставщик будет скомпрометирован, как это отразится на вашей организации? Адекватное понимание рисков третьих сторон — важный шаг к минимизации потенциального ущерба от атаки на цепочку поставок.
Приоритет облачной безопасности
Облачная миграция продолжает оставаться важной темой в ИТ-пространстве. По мере того как все больше организаций принимают подход «облако в первую очередь», субъекты угроз ищут способы атаковать гибридные и мультиоблачные среды.
В 2023 г. компания Mandiant наблюдала, как злоумышленники нацеливаются на облачные среды и ищут способы в них закрепиться и продвинуться дальше. Эта тенденция, вероятно, сохранится и в
«Управление средствами безопасности в облаке (CSPM) становится неотъемлемым компонентом архитектуры облачной безопасности, особенно с учетом того, что в мультиоблачных средах все труднее обеспечивать видимость», — говорит Вольман.
Ransomware
Применение вымогательского ПО (ransomware) остается прибыльным бизнесом для субъектов угроз, и они будут продолжать искать уязвимости, которые позволят им осуществлять эти атаки. Усекас говорит, что эти атаки не прекратятся и в настоящее время наблюдается тенденция к двойным ransomware-атакам. «Когда кто-то подвергся атаке вымогателя, он может восстановиться из резервных копий или заплатить выкуп, а затем сразу после этого получить еще одну атаку, потому что... злоумышленники все еще присутствуют в системе», — объясняет он.
В сентябре киберподразделение ФБР выпустило уведомление для частных компаний, в котором предупредило о растущей тенденции двойных атак с использованием вымогательского ПО, когда в течение короткого периода времени внедряются два разных варианта ransomware.
Фишинг — распространенный способ запуска атаки с целью получения выкупа, а злонамеренное использование ИИ, вероятно, сделает фишинговые атаки более сложными для обнаружения. «Вам определенно нужно... как можно больше обучать своих сотрудников, а затем, очевидно, создавать многоуровневую защиту», — говорит Усекас.
Уязвимости нулевого дня
По данным проекта Zero-Day.cz, в 2023 г. было обнаружено 87 уязвимостей нулевого дня, по сравнению с 52 в
«За последние несколько лет Китай обнаружил больше эксплойтов нулевого дня, чем любая другая страна. И мы ожидаем, что их число будет расти и дальше, и это должно представлять большую угрозу для различных организаций», — говорит Вандерли.
Согласно отчету ZeroFox «Key Forecasts 2024», если исторически основными субъектами угроз, стоящими за эксплойтами нулевого дня, были группы, спонсируемые национальными государствами, то ситуация меняется. Теперь уязвимости нулевого дня используют и группы, занимающиеся вымогательским ПО, такие как CL0P.
Эй Джей Нэш, вице-президент и ведущий научный сотрудник ZeroFox, призывает руководителей служб безопасности шире смотреть на уязвимости нулевого дня и признать потенциальные угрозы, которые они представляют в современном взаимосвязанном мире.
Контроль со стороны регулирующих органов
В 2023 г. ряд руководителей служб кибербезопасности оказались под микроскопом регуляторов. Бывший CSO Uber Джозеф Салливан был приговорен к трем годам испытательного срока и выплате штрафа в размере 50 тыс. долл. за свою роль в реагировании на утечку данных в компании в 2016 г. С судебным иском также столкнулся CISO компании SolarWinds Тим Браун. Комиссия по ценным бумагам и биржам США (SEC) подала иск против него и SolarWinds, обвинив в неспособности обеспечивать адекватный контроль кибербезопасности перед кибератакой 2019 г.
Эти громкие дела могут сигнализировать о возможности повышения ответственности на личном и корпоративном уровнях. «CISO оказываются в очень сложном положении, когда им приходится выбирать между личным богатством и планом вознаграждения, который часто в значительной степени зависит от поддержания курса акций и сокращения расходов, и тем, что лучше для безопасности», — говорит Нэш.
Продолжающийся контроль со стороны регулирующих органов может изменить подход предприятий к кибербезопасности. «Я думаю, что, поскольку мы начинаем видеть больше привлечения к ответственности, это может изменить то, как организации выбирают приоритеты в своих расходах и как они решают информировать свое руководство и общественность о том, насколько они защищены», — говорит Нэш.
Подготовка к предстоящему году
Вымогатели, эксплойты нулевого дня, атаки на цепочки поставок, облачная безопасность и нормативные требования — все это не новые понятия для руководителей служб безопасности. А появление генеративного ИИ занимало центральное место в ИТ-дискуссиях на протяжении всего 2023 г. На рубеже нового года руководителям служб безопасности следует взглянуть на все эти тенденции и подумать, что они означают для их предприятий. Готов ли ваш технологический стек к самым актуальным угрозам? Нуждаются ли какие-либо элементы вашей среды в обновлении? Актуальны ли ваша программа исправлений и процесс управления инфраструктурой? Есть ли у вас план реагирования на инциденты, связанные с вымогателями? Есть ли у вас необходимая команда? Как ваша организация использует ИИ и каковы риски?
«Как мне проранжировать то, чего я хочу достичь, и как мы хотим потратить наши ресурсы, чтобы лучше защитить нашу организацию в следующем году?» — вопрошает Вандерли.