Krajobraz cyberzagrożeń ewoluuje w zatrważającym tempie. HP Inc. publikuje prognozy dotyczące cyberbezpieczeństwa na 2022 rok.

Krajobraz cyberzagrożeń ewoluuje w zatrważającym tempie – począwszy od wzrostu liczby zagrożeń typu ransomware poprzez coraz bardziej umasowione ataki na łańcuchy dostaw (TTP), wykorzystywanie exploitów w oprogramowaniu oraz ataki na osoby pracujące w modelu hybrydowym. Czy na podobne niebezpieczeństwa w sieci jesteśmy narażeni też w nadchodzącym roku?

Eksperci i doradcy ds. bezpieczeństwa firmy HP Inc. wyróżniają cztery kluczowe trendy w zakresie cyberbezpieczeństwa, na które należy zwrócić szczególną uwagę w 2022 r.

 

  1. Coraz więcej zmasowanych ataków na łańcuchy dostaw oprogramowania może spowodować wzrost liczby ataków na wysoko postawione podmioty

W 2022 r. ataki na łańcuchy dostaw prawdopodobnie będą stwarzać nowe możliwości dla cyberprzestępców. Michael Heywood (Supply Chain Security Lead w HP Inc.) przewiduje:
W przyszłym roku będziemy świadkami dalszego wzrostu ataków na łańcuchy dostaw ponieważ sprawcy ataków poszukują w nich słabych ogniw. Obierają oni za cel oprogramowanie wykorzystywane powszechnie i globalnie lub używane przez konkretną firmę.

Jak wyjaśnia Joanna Burkey (CISO w HP Inc.), dla podmiotów generujących zagrożenia takie podejście może oznaczać większe korzyści: Dzięki atakowi na firmę Kaseya, który dotknął ponad 1500 innych firm, zobaczyliśmy, że ataki na łańcuchy dostaw mogą być dla hakerów opłacalne finansowo. Może to prowadzić do dalszego utowarowienia taktyk, technik i procedur (TTP) wykorzystywanych do przeprowadzania ataków. To tylko dolewa oliwy do ognia, dając cyberprzestępcom w nadchodzącym roku motywację do atakowania łańcuchów dostaw oprogramowania.

Ian Pratt (Global Head of Security for Personal Systems w HP Inc.) twierdzi, że zarówno małe i średnie przedsiębiorstwa, jaki i wysoko postawione podmioty mogą stać się celami ataków: Przypadek Kaseya pokazał drogę do czerpania korzyści z ataków na niezależnych dostawców oprogramowania (Independent Software Vendors, ISV). To powinien być sygnał alarmowy dla wszystkich ISV, że nawet jeśli ich klientami nie są instytucje korporacyjne i rządowe, to nadal mogą znaleźć się na celowniku hakerów, którzy chcą wykorzystać ich klientów. Jeżeli taki schemat działania jest stosowany już teraz, to w przyszłym roku możemy być świadkami upowszechnienia się tego typu ataków.

Jak wyjaśnia Robert Masse (członek HP Security Advisory Board i Partner w Deloitte), niektóre branże są bardziej podatne na ataki wymierzone w łańcuchy dostaw niż inne: Firmy z branży opieki zdrowotnej, a także te z sektora energii i zasobów naturalnych, które korzystają z wielu urządzeń i oprogramowania od różnych dostawców, będą atrakcyjnymi celami ataków. Integralność łańcucha dostaw będzie miała kluczowe znaczenie w 2022 roku, ponieważ atakujący zaczną przeprowadzać ataki szybciej, niż organizacje będą w stanie zainwestować w odpowiednie zabezpieczenia.

Jak wyjaśnia Patrick Schläpfer (Malware Analyst, HP Inc.) organizacje powinny być również świadome zagrożenia, jakie stanowią luki w oprogramowaniu typu open-source: Będziemy świadkami wzrostu liczby pakietów oprogramowania open-source zawierających złośliwy kod. Atakujący będą wprowadzać nowe zagrożenia do bibliotek open-source, które zasilają oprogramowanie łańcuchów dostaw. Może to doprowadzić do narażenia na niebezpieczeństwo jeszcze większą liczbę firm.

 

  1. Gangi zajmujące się oprogramowaniem ransomware mogą zagrażać życiu i angażować się w tzw. „lincze”

Ataki typu ransomware będą nadal stanowić poważne zagrożenie w 2022 roku, a ofiary mogą potencjalnie być atakowane wielokrotnie. Jak podkreśla Burkey: To, czego będziemy świadkami, będzie przypominać „lincze” w social media, gdzie ofiary ransomware będą wielokrotnie celem ataków ze strony hakerów. Jeżeli okaże się, że dana organizacja jest podatna na ataki, może przyciągnąć to kolejne grupy przestępcze. W niektórych przypadkach cyberprzestępcy uderzą w firmę wielokrotnie w ramach podwójnej lub nawet potrójnej próby wymuszenia okupu.

Metody wymuszania okupu mogą obejmować nie tylko organizacje, które są ich bezpośrednim celem. Jak komentuje Alex Holland: Podmioty wykorzystujące ransomware z pewnością zintensyfikują sposoby wywierania presji na ofiary, aby te spełniły ich żądania. Poza stronami internetowymi publikującymi wycieki danych, atakujący wykorzystują coraz bardziej zróżnicowane metody wymuszania okupu takie jak cold calling, czy kontaktowanie się z klientami i firmami związanymi z organizacją, która padła ofiarą ataku.

Atakujący mogą również skupić się na konkretnych sektorach gospodarki. Jak podkreśla Masse: Atakujący zauważyli, że uderzenie w konkretne branże daje większe prawdopodobieństwo otrzymania zapłaty. Możemy być świadkami większej liczby ataków na służbę zdrowia oraz organizacje zajmujące się energetyką i wydobyciem surowców naturalnych. Atakujący mogą obrać za cel urządzenia wysokiego ryzyka, takie jak krytyczne systemy wsparcia medycznego oraz infrastrukturę pomocniczą, gdzie ryzyko poważnych szkód będzie najwyższe, a zatem wypłata okupu nastąpi szybko. Sytuacje tego typu mają już miejsce w regionach takich jak Kanada, gdzie operacje zostały opóźnione z powodu ataków ransomware.

Jak wyjaśnia Pratt, trend współpracy między cyberprzestępcami będzie kontynuowany również w nadchodzącym roku: Wielokrotnie widzieliśmy, że hakerzy są skłonni do współpracy przy atakach. Rynek cyberprzestępczości tętni życiem, wzmacniając przestępczy łańcuch dostaw, który umożliwia nawet niedoświadczonym hakerom pozyskanie narzędzi i usług niezbędnych do przeprowadzenia skutecznych ataków. Sprzedawcy mogą specjalizować się w wykradaniu danych uwierzytelniających, tworzeniu exploitów, pisaniu przynęt e-mailowych lub hostowaniu usług backendowych. Wniosek jest taki, że dostępność narzędzi i wiedzy specjalistycznej przyczynia się do wzrostu wyrafinowania ataków.

 

 

  1. Wykorzystywanie ataków na firmware jako broni

Możemy również zaobserwować ataki firmware’owe opracowane przez państwa, które wskazują cyberprzestępczym gangom drogę. Jak wyjaśnia Pratt (Global Head of Security for Personal Systems): Firmware stanowi okazję dla atakujących, którym zależy na długotrwałych działaniach, by przeprowadzić niszczycielskie ataki. Bezpieczeństwo oprogramowania sprzętowego jest często zaniedbywane przez organizacje, a poziom jego zabezpieczenia jest znacznie niższy. W ostatnim roku zaobserwowaliśmy również, że atakujący przeprowadzają rekonesans konfiguracji firmware’u, prawdopodobnie jako wstęp do wykorzystania ich w kolejnych atakach. Wcześniej tego typu ataki były wykorzystywane tylko przez podmioty z państw. Jednak w ciągu najbliższych 12 miesięcy TTP dla ataków na oprogramowanie sprzętowe komputerów PC może się upowszechnić, otwierając drzwi dla wyrafinowanych grup cyberprzestępczych do wykorzystywania ataków jako broni i zarabiania na nich.

Masse (członek HP Security Advisory Board i Partner w Deloitte) uważa, że brak kontroli nad bezpieczeństwem firmware’u zaostrzy problem: Niektóre branże, w których takie ataki mogą być bardziej prawdopodobne, powinny zacząć myśleć o zagrożeniach wynikających z wykorzystywania złośliwego oprogramowania jako broni i exploitów na poziomie sprzętowym. Są one bardzo trudne do wykrycia. Nieuczciwe procesy i obejścia mapowania pamięci będą gorącymi tematami w 2022 r. Możemy również spodziewać się, że podmioty odpowiedzialne za zagrożenia będą celować w procesory, BIOS i mikrokod jako elementy zmodyfikowanego kill-chainu dla ataków ransomware.

Według Julii Voo (Global Lead Cybersecurity and Tech Policy w HP Inc.) decydenci polityczni powinni zwrócić uwagę na ten trend i wymusić zmiany: Wykorzystywanie exploitów na poziomie sprzętowym jako broni oznacza, że decydenci muszą opracować standardy, które pomogą poprawić bezpieczeństwo oprogramowania sprzętowego. Współpracując z przemysłem, stosując podejście oddolne, decydenci mogą wprowadzić znaczące zmiany w obszarze, który został w dużej mierze pominięty.

 

  1. Praca hybrydowa, czyli jeszcze więcej okazji do cyberataków

Rozmieszczenie zespołów w ramach hybrydowych modeli pracy oznacza, że zarządzanie tożsamością będzie nadal odgrywać kluczową rolę. Jak podkreśla Burkey: Tożsamość musi być solidna, zweryfikowana i wytrzymała. Organizacje muszą mieć pewność, że każda aktywność pochodząca z punktu końcowego jest autentyczna. Czy to na pewno użytkownik prowadzi dane działania? Czy jest on tym, za kogo się podaje? Zbyt wiele organizacji myśli, że firewall wystarczy, aby zapewnić bezpieczeństwo punktów końcowych, ale to nieprawda. W erze pracy hybrydowej zarządzanie tożsamością nigdy nie było ważniejsze.

Przejście na pracę hybrydową będzie nadal stwarzać problemy dla bezpieczeństwa organizacji, mówi Michael Howard (Head of Security and Analytics Practice): Każdy pojedynczy pracownik stanowi potencjalny cel dla atakujących, a ilość niezarządzanych i niezabezpieczonych urządzeń tworzy ogromną przestrzeń do ataku, której trzeba bronić. Masse (członek HP Security Advisory Board i Partner w Deloitte) natomiast uważa, że może to ułatwić napastnikom atakowanie pracowników na wysokich stanowiskach: Hakerzy mogą zacząć brać na cel domy i sieci osobiste członków kierownictwa, a nawet urzędników państwowych, ponieważ sieci te są łatwiejsze do naruszenia niż tradycyjne środowiska korporacyjne.

Phishing pozostanie wszechobecnym zagrożeniem w erze pracy hybrydowej. Pratt (Global Head of Security for Personal Systems) wyjaśnia: Pracownicy używają urządzeń osobistych do pracy lub urządzeń firmowych do zadań prywatnych (np. sprawdzanie poczty e-mail). To zjawisko będzie się utrzymywać prawdopodobnie wzrośnie liczba ataków phishingowych, których celem będą zarówno firmowe, jak i osobiste konta mailowe. To podwaja szanse atakujących na przeprowadzenie udanego ataku, dlatego organizacje muszą edukować pracowników na temat zagrożeń będących wynikiem ich zachowania i egzekwować kontrole techniczne, aby zapobiec włamaniom.

Według Schläpfera (Malware Analyst w HP Inc.), głośne wydarzenia sportowe również będą stwarzać nowe okazje dla atakujących: Zimowe Igrzyska Olimpijskie w Pekinie i Mistrzostwa Świata FIFA w Katarze dają cyberprzestępcom mnóstwo okazji do wykorzystania. Tak duże imprezy przyciągają napastników, którzy atakują bezpośrednio organizatorów, sponsorów, uczestników i kibiców lub wykorzystują phishing jako przynętę dla złośliwego oprogramowania i ataków typu ransomware. Zarówno organizacje, jak i osoby prywatne muszą być świadome tych zagrożeń.

 

Wnioski? Potrzebne jest nowe podejście do bezpieczeństwa

Popularyzacja pracy hybrydowej i ciągłe innowacje ze strony cyberprzestępców oznaczają, że rok 2022 przyniesie wiele przykrych niespodzianek dla bezpieczeństwa przedsiębiorstw – komentuje Ian Pratt (Global Head of Security for Personal Systems w HP Inc.). W rezultacie musimy podejść do zabezpieczania przyszłości pracy w zupełnie inny sposób. Organizacje powinny przyjąć nowe, kompleksowe podejście do bezpieczeństwa, które pomoże ograniczyć ryzyko. Stosując reguły Zero Trust: zasadę najmniejszego uprzywilejowania, izolację, obowiązkową kontrolę dostępu i silne zarządzanie tożsamością, przedsiębiorstwa mogą drastycznie zmniejszyć skalę ataków.

Rozwiązanie HP Wolf Security może pomóc organizacjom w obronie przed nowymi rodzajami ataków i zagrożeń, które pojawią się w 2022 roku. Łącząc wzmocnione sprzętowo oprogramowanie i funkcje bezpieczeństwa z wiodącymi w branży usługami zabezpieczeń punktów końcowych, HP Wolf Security zapewnia obronę, prywatność i analizę zagrożeń, gromadząc dane w punkcie końcowym – wszystko po to, aby wesprzeć ochronę całej organizacji.