Növelik a tétet a zsarolóvírusos támadók

A digitális biztonság területén számos jelentős változás ment végbe 2019-ben, amelyet a Sophos 2020 Threat Report is részletez. A védelmi oldalon állók számára fontos megérteni ezeket a trendeket ahhoz, hogy számítani tudjanak a jövőben felbukkanó fenyegetésekre és hogy a legjobban felkészüljenek rájuk. A Sophos most bemutat néhány jelentősebb változást az elmúlt évből, mely a digitális biztonság területét érintette, és hatással lesz a 2020-as helyzetre is. Szóba kerülnek a zsarolóvírusok, az automatizált, aktív támadások, a gépi tanulás és a mobilokat, illetve a felhőket érintő biztonsági kockázatok.

„A zsarolóvírusos támadók növelni fogják a tétet” – emelte ki Mark Loman, a Sophos új generációs technológiai fejlesztéseinek igazgatója.

Egy ártó szándékú szoftver kinézetét sokkal könnyebb megváltoztatni, mint a viselkedését, éppen ezért a modern zsarolóvírus-ek az obfuscation, azaz a kód mesterséges túlbonyolítására támaszkodnak a siker érdekében. Azonban 2020-ban a zsarolóvírusok kapcsán tovább nő majd a tét a megváltoztatott vagy hozzáadott tulajdonságok miatt, amelyek célja az zsarolóvírus elleni védelem összezavarása.

A zsarolóvírusos támadók az előnyszerzés érdekében folyamatosan dolgoznak a módszereiken, melyek közé tartozik például a felhasználó fiókjával történő visszaélés, hogy megkerüljék a védelmet és magasabb szintre emeljék a fiók jogosultságait, vagy a megtámadott dokumentumok priorizálása a méretük vagy a tárolási helyük szerint. A legjelentősebb fejlemények között szerepel az automatizált, aktív támadások számának növekedése, melyek az emberi találékonyságot ötvözik az automatizált eszközökkel a legnagyobb hatás elérése érdekében. És azzal, hogy az egyes fájlok egy viszonylag kis részét titkosítják vagy hogy az operációs rendszert diagnosztikai módban (csökkentett módban) indítják újra, ahol a biztonsági megoldások gyakran nem elérhetőek, a támadók továbbra is ki tudják kerülni a legtöbb védelmet.

A zsarolóvírus továbbra is jelentős szerepet tölt majd be a digitális fenyegetések területén, amíg az áldozatokat könnyű azonosítani. A könnyű célpontot jelentő védtelen szolgáltatások, a foltozatlan rendszerek és a rossz kezekbe került hozzáférési adatok bőséges zsákmánnyal kecsegtetnek a képzett és a képzetlen támadók számára is. A következő intézkedések létfontosságúak:

erős biztonsági ellenőrzések,

az összes végpontot, hálózatot és rendszert lefedő megfigyelő és válaszadó megoldás,

a szoftveres frissítések telepítése, amikor megjelennek.

„Az apró hibák jelentős adatszivárgásokhoz vezetnek a felhőben” – hívta fel a figyelmet Andy Miller, a Sophos publikus felhőplatform szenior igazgatója.

A felhő alapú megoldások legnagyobb előnye a rugalmasság. Kis erőfeszítés árán lehet bővíteni, vagy csökkenteni az erőforrásokat. Ez leegyszerűsíti a vállalkozások számára, hogy az ügyfeleik és vásárlóik igényei szerint skálázhassák az informatikai erőforrásokat. Viszont amikor a felhő védelméről van szó, a rugalmasság és egyszerűség később könnyen visszájára fordulhat.

2020-ban a felhővel kapcsolatos apró hibák sebezhetővé fogják tenni a nagyvállalatokat. A felhő alapú megoldások legnagyobb sebezhetősége a rossz beállításokban rejlik. Ahogy a felhőalapú rendszerek egyre összetettebbek és rugalmasabbak lesznek, az üzemeltetők hibái egyre nagyobb kockázatot jelentenek. Ez az átláthatóság általános hiányával kombinálva a felhőalapú informatikai környezeteket ideális célponttá teszi a digitális bűnözők számára.

A felhő platformok olyan összetettek és olyan gyakran változnak, hogy gyakran nehéz megérteni az egy specifikus beállítás rossz konfigurációjából fakadó bonyodalmakat és következményeket. Továbbá az is problémás, hogy nem lehet közvetlenül figyelni, mit is csinálnak pontosan a szervezet gépei. A bűnözők tudatában vannak ennek és éppen ezen okokból támadják a felhőalapú IT platformokat.

A felhőben tárolt adatok védelméhez eltérő eszköztár szükséges, hiszen a fenyegetések jellege meglehetősen más, mint a munkaállomások vagy a szerverek esetében. A szervezetek számára kritikus, hogy a biztonságot szem előtt tartva értékeljék újra a felhővel kapcsolatos stratégiáikat.

„A digitális bűnözők megpróbálják meggyengíteni a gépi tanuláson alapuló felismerő modelleket” – hangsúlyozta Joe Levy, CTO, Sophos technológiai vezetője.

A gépi tanulás alapvető részévé vált a modern szervezetek digitális védelmi stratégiájának, a digitális bűnözők pedig tisztában vannak azzal, hogy ezeket az eszközök használják a támadásaik meghiúsítására. Válaszként a bűnözők megpróbálják megkerülni vagy aláásni a gépi tanuláson alapuló biztonsági rendszereket.

Ahogy a támadók és védekezők közötti macska-egér játék folytatódik, arra számíthatunk, hogy az támadó és védekező célú gépi tanulási eszközök kifinomultsága és hatékonysága gyorsan fejlődik majd. Az elkövetkező évben arra számítunk, hogy egyre több esetet látunk majd, ahol a digitális bűnözők megpróbálják kitrükközni a gépi tanulás alapú észlelő és osztályozó modelleket, és hogy gépi tanulás segítségével generáljanak meggyőző hamis anyagokat a social engineering alapú támadásokhoz.

Az elkövetkező években nőni fog annak a mértéke, ahogy a digitális biztonsági ágazatban a gépi tanulás tudományos közösségéből származó új technikákkal kísérleteznek és adoptálják azokat. Ez lehetővé teszi a rendszereknek, hogy részben, vagy akár teljesen automatizált módon hozzanak döntéseket az információs rendszerek és felhasználóik védelme érdekében. Olyan izgalmas példákhoz közelítünk, ahol a probléma megoldása kapcsán új technikák alkalmazását láthatjuk, mint amilyen a reinforcement learning is. Ezek az új védelmi technikák alapvetőek lesznek, és valószínű, hogy a digitális bűnözők “wetware” támadásokat kezdenek majd végrehajtani. Ezek keretében az automatikus tartalomgenerálást és a kézi, azaz emberi törekvéseket kombinálják, hogy a célpont szerint személyre szabják a támadásokat és kikerüljék a védelmi rendszerek aktuális generációját.

A támadásokat már a kezdetük előtt meghiúsító megelőző és védelmi megoldások alkalmazása mellett az is ajánlott a szervezetek számára, hogy többrétegű biztonsági rendszert alakítsanak ki. A fenyegetések “vadászatára” alkalmazott szakemberek, a vezető threat intelligence és a veszélyhelyzeteket kezelő technológiák, mint például a deep learning kombinálásával a szervezetek gyorsabban észlelhetik és különíthetik el még a legkifinomultabb támadásokat is, úgy, hogy minimalizálják azok hatását és költségét.

„Az 5G-vel eddig nem látott biztonsági fenyegetések jelennek meg” – mutatott rá Dan Schiappa, a Sophos vezető termékigazgatója.

Az 5G lesz az a technológia, ami alapjában véve változtatja meg a digitális biztonság területét – talán a valaha volt legjelentősebb. Az 5G azt ígéri, hogy a hálózaton keresztül az élet majdnem minden területét sosem látott sebességgel és minimális késedelemmel köti össze. Azonban szignifikáns biztonsági kockázatok és potenciális új belépési pontok is megjelennek majd vele, amelyek a támadások új típusaival szemben védtelenné teszik a szervezeteket.

Habár az 5G-ben óriási potenciál van, az alapvető hálózataink átalakítása Pandora szelencéjét nyitja majd meg azzal, hogy addig hozzá nem elérhető rádiófrekvenciák jelennek meg, nem is beszélve az átláthatóság csökkenéséről, amit eredményeznek majd. Emiatt még jobban összpontosítanunk kell majd a kapcsolataink, eszközeink és alkalmazásaink biztonságára.

A beépített rádió adóvevővel rendelkező 5G eszközöknek nem lesz többé szüksége arra, hogy a vállalati hálózattal kommunikáljanak. Ez rendkívül megnehezíti a fenyegetések és kompromittálódott eszközök azonosítását.

Még sosem volt ennyire kritikus, hogy a kiberbiztonsági termékek rendszerként működjenek együtt. A szervezeteknek réteges megközelítésre lesz szükségük a biztonság kapcsán, amelyben a termékek kapcsolatban állnak egymással és megosztják a gyakorlatban is használható információikat. A szinkronizált védelemre alapuló megközelítés olyan kapcsolatokat épít a termékek között, amelyek segítségével együtt jobban tudnak működni, mint önmagukban külön-külön.

„Az MSP-k biztonsági tanácsadókká válnak” – emelte ki Scott Barlow, a Sophos globális MSP igazgatóhelyettese. (MSP: managed service provider, olyan szolgáltató, aki informatikai szolgáltatásokat nyújt távolról.)

Napjaink zsúfolt piacán még sosem volt ennyire fontos az MSP-k számára, hogy képzett biztonsági tanácsadókká váljanak. Jövőre az MSP-knek gondoskodnia kell arról, hogy naprakészek maradjanak a gyorsan fejlődő fenyegetések és az elérhető új generációs biztonsági eszközök területén, hogy a ügyfeleik biztonsága érdekében fel tudják őket vértezni az iparág legjobb megoldásaival.

A digitális veszélyek világa gyorsan változik, a végfelhasználóknak pedig segítségre és útmutatásra van szüksége, hogy védve legyenek napjaink kifinomult támadásaival szemben. Az MSP-k számára kritikus a megfelelő képzettség, hogy ügyfeleik számára a megfelelő erőforrásokat tudják biztosítani – ami upsell és keresztértékesítési lehetőségeket nyújt cserébe – amivel valóban kihasználhatják ezt a lehetőséget.

Az MSP-k belső rendszereiben is intézkedések szükségesek a saját környezeteik védelme érdekében, hiszen gazdag célponttá válnak a digitális bűnözők számára. A Sophos azt javasolja, hogy az MSP-k vezessenek be kétlépcsős azonosítást és bizonyosodjanak meg arról, hogy hálózatukat rétegelt biztonsági rendszerrel zárják le, amellyel megvédhetik magukat a nem kívánt fenyegetésekkel szemben.