Компанія Trend Micro представила прогноз на 2021 рік щодо кібербезпеки і напрямків атак кіберзлочинців. Загрози кібербезпеці у 2021 році будуть пов’язані з масовим переходом на віддалену роботу із використанням для корпоративних завдань домашньої техніки. Також серйозною проблемою можуть стати атаки на медичні системи й хмарні сервіси.
У матеріалі Turning the Tide. Trend Micro Security Predictions for 2021 експерти діляться своїм баченням найближчого майбутнього у сфері кібербезпеки.
Домашні офіси як кримінальні плацдарми
Швидке переведення співробітників на віддалену роботу у зв’язку з пандемією, призвело до багатьох наслідків. Одним з них стало зникнення межі між робочим і особистим, адже підключення до корпоративної мережі офісу відтепер відбувається через інтернет-провайдерів, а у якості пристрою для пыдключення використовуються найпростіші побутові маршрутизатори.
У домашній мережі можуть знаходитися комп’ютери інших членів сім’ї. Останні можуть підключатися до серверів інших організацій, навчатися у дистанційному режимі або грати. Тож, у будь-якому випадку, їх пристрої створюють додаткові ризики. Досить часто члени сім’ї спільно використовують один комп’ютер для роботи в різних організаціях.
Теоретично використання VPN захищає підключення до офісних мереж, однак і тут не варто дуже розслаблятися, оскільки у VPN також знаходять помилки, наприклад, це вразливість в Pulse Secure VPN, критичні уразливості в маршрутизаторах і VPN компанії Cisco тощо.
Новий формат використання домашніх мереж неминуче призведе до того, що вони стануть плацдармами для кіберзлочинців, які прагнуть проникнути в корпоративні мережі. Зламати домашню мережу і проникнути на особистий комп’ютер співробітника значно простіше.
Далі можна переміщатися від системи до системи, використовуючи, наприклад, шкідливе ПЗ, яке експлуатує уразливість з потенціалом «хробака», як у недавно виявленої RCE-уразливості в Microsoft Teams, для використання якої не потрібна навіть взаємодія з користувачем.
Використання домашніх мереж в якості базового ресурсу для проведення атак на корпоративні мережі стане масовим явищем і у атаках на ланцюжки постачань. Особливою увагою користуватимуться співробітники, що мають віддалений доступ до конфіденційної і критично важливої інформації, наприклад, працівники відділу продажів, відділу кадрів і технічної підтримки.
А оскільки в домашніх мережах, як правило, немає систем виявлення вторгнень та інших захисних рішень корпоративного рівня, зломщики можуть надовго закріплюватися в домашніх мережах і заходити до усіх організацій, до яких мають доступ учасники домашньої мережі.
Логічним продовженням кіберкрімінального бізнесу, що використовує домашні мережі, стане зростання пропозицій доступу до скомпрометованих домашніх роутерів. Вартість такої «послуги» буде залежати від рівня доступу власника скомпрометованого домашнього пристрою. Наприклад, зламаний роутер ІТ-адміністратора або керівника компанії буде коштувати дорожче, ніж роутер рядового співробітника з мінімально необхідними повноваженнями у корпоративній мережі.
Пандемія залишиться живильним середовищем для хакерських кампаній
Кіберзлочинці використовують будь-який великий інфопривід для створення шахрайських кампаній, і пандемія коронавирусу просто не могла залишитися непоміченою. COVID-19 створює світовому бізнесу проблеми як у вигляді локдаунів та обмежень, так і у вигляді погроз кібербезпеки.
Друга хвиля привела до нових обмежень і створила ґрунт для нових шахрайських кампаній. Організована злочинність буде намагатися проникнути в логістику по мірі подальшого зростання інтернет-магазинів і збільшення кількості обігу поштових посилок. З великою ймовірністю виросте кількість магазинів, які торгують контрафактною продукцією, а також різними незаконними товарами.
Очікується значне зростання атак на медичні установи, особливо пов’язані з виробництвом вакцини і наданням телемедичних послуг. Потенційний прибуток від саботажу роботи лабораторій і вимагання, а також можливосты вигідно продати медичні секрети будуть залучати велику кількість кіберзлочинців.
Ще більш масовими стануть кампанії з дезінформації користувачів, побудовані навколо великої різноманітності вакцин від коронавирусу. Злочинці будуть заманювати відвідувачів на шахрайські ресурси, пропонуючи вакцинацію без черги, вдосконалені вакцини і інші приманки, щоб отримати конфіденційну інформацію і дані банківських карт своїх жертв.
Складнощі управління гібридним середовищем
Дистанційна робота вже стала звичним явищем, і у 2021 році кількість віддалених робочих місць буде лише зростати. Це являє серйозну проблему для організацій, які позбавляються контролю над діями співробітників, оскільки установка обмежень на особистих пристроях може привести до неможливості виконання особистих завдань. А якщо комп’ютер виявиться зараженим шкідливим ПЗ, хто буде виконувати відновлення і як при цьому будуть враховуватися особисті дані співробітника?
Не менш складним є відстеження роздруківки або експорту даних, яке выдбувається на особистих пристроях.
Для вирішення цих складнощів в 2021 році буде широко застосовуватися модель нульової довіри, в рамках якої будь-який користувач вважається злочинцем, поки не доведе зворотного. Виходячи з цього, користувачі отримують мінімально необхідні для виконання роботи права, які систематично перевірятимуться, а уся їхня активність буде протоколюватися та аналізуватися.
Модель нульового довіри буде інтегруватися з хмарними периметрами організацій, що дозволить командам безпеки відслідковувати весь вхідний і вихідний трафік.
Зростання злочинного використання медичних даних
Через пандемії всі країни стали стежити за станом здоров’я громадян. Рівень збору персональних медичних даних став безпрецедентним, а поспіх в реалізації цих заходів призвела до того, що витоки стали звичайним явищем.
Наприклад, на початку грудня стало відомо про витік персональних даних 300 тисяч жителів Москви, що перехворіли на коронавірус. Відомості містять ПІБ, адреси проживання та реєстрації, а також всю інформацію щодо перебігу хвороби і аналізи. Окрім того, є дані про сервери 1С та ключі для під’єднання до системи обліку хворих COVID-19. Іноді джерелами витоків будуть самі медичні працівники, як сталося з співробітниками медустанов, що вводили дані для підключення до інформаційної системи в рядку пошуку «Яндекса». «Яндекс» слухняно проіндексував ці відомості і пропонував їх усім бажаючим.
Швидкий доступ до даних може мати вирішальне значення в боротьбі зі спалахом епідемії, проте пом’якшення заходів щодо забезпечення конфіденційності даних саме по собі призводить до проблем. Великі бази чутливих даних в сукупності з поспішним впровадженням стануть подарунком для зловмисників, які прагнуть скомпрометувати зібрані і збережені дані. Кіберзлочинні групи можуть зловживати цим різними способами, наприклад, використовувати для перепродажу або створення цільових шахрайських кампаній.
Швидке впровадження відомих вразливостей
Zero-day – 0-day – володіють високою ефективністю, але можливості їх застосування обмежені низкою складнощів: виявили їх експерти прагнуть продати своє відкриття подорожче, а документації по використанню, як правило, вкрай мало.
При цьому відомі уразливості або уразливості n-day відмінно задокументовані, є опубліковані приклади коду з демонстрацією роботи, причому все це доступно безкоштовно.
Ми очікуємо, що в 2021 році кіберзлочинністю співтовариство перейде на швидке впровадження в практику вразливостей і експлойтів n-day, випущених дослідним спільнотою. Наприклад, в ході операції «Отруєні новини» (Operation Poisoned News) зловмисники скористалися PoC-кодом декількох вразливостей ескалації привілеїв, випущеними в рамках Google Project Zero. Хакерська угруповання Earth Kitsune модифікувала для використання в атаках експлойти, випущені в рамках проектів Project Zero і Trend Micro Zero Day Initiative (ZDI).
На підпільних ринках з’являться пропозиції інструментальних засобів, побудованих на базі вразливостей n-day, які зможуть придбати і використовувати злочинці, що не володіють технічними знаннями.
Використання вразливих API в якості векторів атак
Багато підприємств використовують інтерфейси прикладного програмування (API) для забезпечення доступу до внутрішніх систем і взаємодії з клієнтами через додатки. Проблема полягає в тому, що ці API можуть бути використані злочинцями, які шукають точку входу в мережу організації. У міру того, як API все більше використовуються в корпоративному просторі, кількість атак на API також буде рости.
Тривожить той факт, що незважаючи на повсюдне поширення API їх безпеку все ще перебуває в зародковому стані. Через це вони можуть стати джерелами витоку даних в корпоративних додатках.
Атаки на промислове і хмарне ПО
Ми очікуємо зростання числа атак на найбільш затребувані програми і сервіси для організації дистанційної роботи. Зростання кількості досліджень призведе до публікації розкритих вразливостей, а це значить, що експертам доведеться уважно стежити за помилками критичного класу і аналогічними проблемами в корпоративному ПО для віддаленої роботи.
Продовжуючи склалася в 2020 році тенденцію, кіберзлочинці будуть як і раніше шукати і використовувати уразливості в хмарних середовищах. А з огляду на переміщення даних і всієї робочої середовища в хмари, це створить додаткові ризики для компаній.
Ще один вектор атак на хмарні середовища – це впровадження в репозиторії шкідливих образів контейнерів, які дозволять атакувати користувачів, що використовують сервіси контейнеризації ПО.
Рекомендації
Ми рекомендуємо фахівцям з безпеки перейти від реагування на загрози до їх попередження. В якості основних напрямків уваги на 2021 рік ми пропонуємо розглянути наступні:
— Проводьте навчання і тренування користувачів
— Злочинці продовжать використовувати страх, навколишній COVID-19, тому найважливішим завданням стає інформування користувачів і тренування їх навичок протидії кіберзлочинності атакам. Організації повинні зміцнювати знання про погрози і поширювати найбільш ефективні корпоративні методи протидії їм серед дистанційно працюючих співробітників. Обов’язковою частиною цього інформування є вказівки про те, як безпечно використовувати особисті пристрої.
— Контролюйте доступ до корпоративної мережі з домашніх офісів
— Потрібно створити політики, орієнтовані на безпеку, скласти план реагування на інциденти, що охоплює весь мережевий периметр в нових умовах. Обов’язковою частиною такої політики є політика нульового довіри: всі користувачі повинні вважатися недовірених незалежно від їх місцезнаходження.
— Впровадити програми управління виправленнями
— Стежити за актуальністю систем і додатків віддалених користувачів потрібно особливо ретельно, оскільки саме ці пристрої можуть стати точками проникнення в мережу для кіберзлочинців.
— відстежуйте загрози
— Нові умови вимагають підвищеної уваги до подій, тому істотних умов для захисту стане розширене цілодобове виявлення загроз і обробка інцидентів в «хмарних» середовищах, в електронній пошті, на призначених для користувача пристроях, в мережах і на серверах. Отримуйте повне і своєчасне подання про атаки, керуйте пріоритетами повідомлень про безпеку, використовуючи рішення провідних вендорів.