A kiberfenyegetések folyamatosan fejlődő környezete a múlt évben is újabb támadási felületeket nyitott a kiberbűnözők előtt. Bővült a támadások köre, ezért az IT-biztonsági megoldások szállítóinak és a felhasználóknak idén a védekezés újabb területeire, módszereire kell összpontosítaniuk - mondta Raimund Genes, a Trend Micro technológiai igazgatója. - Az Európai Unió új, általános adatvédelmi rendeletének (General Data Protection Regulation, GDPR) hatására a vállalatoknak már 2017-ben változtatniuk kell adatkezelésükön. Számolhatnak eközben a támadások továbbfejlődésével is, hiszen a zsarolóprogramok eddig nem látott taktikákat vetnek be, hogy még több eszközt keríthessenek hatalmukba, és az erősödő kiberpropaganda idén még komolyabban befolyásolhatja a közvéleményt.
Jelentésében (The Next Tier: Trend Micro Security Predictions 2017) az IT-biztonsági cég Forward-Looking Threat Research (FTR) kutatócsapata, amely valós időben folyamatosan monitorozza és elemzi az internet adatforgalmát, a kiberfenyegetések továbbfejlődésére nézve nyolc erőjelezést adott erre az évre.
Változatok zsákmányszerzésre
A zsarolóprogram-családok száma 2017-ben már nem nő jelentősen, a támadások során bevetett módszerek és a megcélzott rendszerek, felhasználók köre azonban egyaránt bővülni fog. A tavalyi, 400 százalékos robbanást követően idén már csak 25 százalékkal gyarapodhat a zsarolóprogram-családok tábora, így havonta mintegy 15 új család felbukkanása várható. Az egymással versengő kiberbűnözők a módszereiken fognak finomítani, figyelmük új, potenciális áldozatok és platformok, nagyobb célpontok felé fordul.
Miután értékes, a feketepiacon eladható adatokat lopott, egyre több kiberbűnöző zsarolóprogramot telepít majd a megtámadott rendszerre, hogy megduplázza bevételét. Szinte biztosan megjelennek idén a mobileszközöket célzó zsarolóprogramok, de hasonló támadások érhetik a POS-terminálokat és az ATM-eket is. A dolgok internetén (IoT) elsősorban az ipari környezetek kelthetik fel a zsarolóprogramokkal dolgozó kiberbűnözők érdeklődését, mivel sok vállalat valószínűleg fizetne egy gyártósor működésének vagy egy hűtőház hőmérsékletének gyors visszaállításáért.
Nincs olyan biztonsági megoldás, amely százszázalékos védelmet adna a zsarolóprogramokkal szemben, de a támadás a webes és e-mailes adatforgalmat kiszolgáló átjárókon állítható meg a legkönnyebben. A gépi tanulásra épülő megoldások - amelyek az egyedi, újonnan létrehozott zsarolóprogramokat is észlelik - szintén nagyobb szerephez jutnak a többrétegű védelemben,.
Nő az IoT-eszközök szerepe a DDoS-támadásokban, célzott támadások indulnak az ipari internet ellen. Idén több olyan elosztott, szolgáltatásmegtagadás típusú támadást látunk majd, amely a tavalyi Mirai DDoS-támadáshoz hasonlóan az IoT-re csatlakozó, megfelelő védelem nélküli eszközöket - webkamerákat, wifi routereket, hálózatba kapcsolt autókat - használja a megcélzott weboldalak lebénításához.
Várható, hogy az IoT-eszközök gyártói nem fognak elég gyorsan reagálni, ha termékeik érintetté válnak egy DDoS-támadásban. A Mirai kártevő által megfertőzött webkamerák többségét gyártó kínai cég ugyan visszahívta termékeit, de a hasonló eszközöket szállító vállalatok nem indítottak különösebb biztonsági felülvizsgálatot.
Ez a hozzáállás mindig hagyni fog támadási felületet a lakossági IoT-eszközökön, de az ipari internetre csatlakozó gyártóipari és energetikai vállalatok környezetében is hasonló veszélyekkel számolhatunk. A Trend Micro birtokába került Tipping Point által tavaly felfedezett sérülékenységek 30 százaléka például SCADA-rendszerekben bújt meg, ami rendkívül nagy kockázatot jelent.
A védelem erősítése érdekében az IoT-eszközök gyártóinak már a termékfejlesztés során érvényre kell juttatniuk a biztonsági szempontokat, a felhasználók pedig jól teszik, ha kibertámadások modellezésével keresik meg a készülékek gyenge pontjait. Egy gyár hálózatvédelmének például tartalmaznia kell behatolásmegelőző rendszert (IPS) is, amely észleli és ejti a rosszindulatú adatcsomagokat a hálózati forgalomból.
Viszonylag egyszerű kivitelezhetőségüknél fogva 2017-ben tovább nő az üzleti levelekkel elkövetett, célzott támadások (Business Email Compromise) száma. A BEC-támadás pénz átutalását éri el a pénzügyi osztály alkalmazottjának vagy a vállalat vezetőjének megtévesztésével. Technológiai értelemben egyszerűbb nem is lehetne, mivel ehhez csupán egy levelet kell küldeni az áldozatnak. Egyedül a meggyőző e-mail előállításához szükséges hírszerzés jelent ráfordítást a kiberbűnöző részéről.
Emiatt a módszer rendkívül költséghatékony. Átlagosan 140 ezer dollárt hoz a konyhára egy-egy sikeres BEC-támadás, az elmúlt két évben becslések szerint 3 milliárd dollártól fosztották meg a bűnözők a vállalatokat ezen a módon. Összehasonlításképp egy zsarolóprogrammal elkövetett támadás átlagosan 722 dollárt fizet, ha vállalati hálózat esik áldozatul, akkor az összeg elérheti a 70 ezer dollárt.
Különösen nehéz a BEC-támadások észlelése, mivel a levelek nem tartalmaznak rosszindulatú kódot. Olyan biztonsági technológiák segíthetnek, amelyek felismerik a rendestől eltérő hálózati forgalmat vagy például a szöveg elemzésével a gyanús tartalmat. A vállalatoknak azonban gondot kell fordítaniuk az alkalmazottak oktatására, fokozniuk kell éberségüket és szigorúan szabályozniuk a rendkívüli vagy bizonyos összeghatáron felüli átutalásokra vonatkozó, többlépcsős jóváhagyási folyamataikat.
A pénzügyi szektort célzó kiberbűnözők egyre gyakrabban indítanak az üzleti folyamatok aláásására épülő (Business Process Compromise) támadást. Mint azt a Bangladesi Bank esete mutatja, a kiberbűnözők egyetlen BPC-típusú támadással akár 81 millió dollárt kaszálhatnak. Ehhez azonban alaposan ismerniük kell a folyamatokat, amelyek mentén a kiszemelt szervezet a pénzügyi tranzakciókat feldolgozza.
Jövedelmezőségénél fogva a módszert idén a támadók más területeken is kipróbálhatják, például belenyúlhatnak a vállalati beszerzéseket és kifizetéseket kezelő rendszerekbe az utalások átirányításához vagy akár a logisztikai rendszerekbe, hogy értékes árucikk-szállítmányokat térítsenek el.
Minthogy a vállalatok az eszközök védelmére összpontosítanak, nehezebben észlelik, ha folyamataikat éri támadás. Az alkalmazás-felügyelet, a hozzáférés-kezelés és a végpontvédelem technológiái egyaránt hasznosak lehetnek a BPC-támadások kivédésében, de a házirend szabályainak szigorítására és az alkalmazottak oktatására, az emberi manipuláció módszereinek ismertetésére is gondot kell fordítaniuk.
Propaganda és szabályozás
Sérülékenyebb platform lesz az Adobe és az Apple, mint a Microsoft. Tavaly első ízben fordult elő, hogy a Zero-Day Initiative (ZDI) kezdeményezés jóvoltából több Adobe termékben felfedezett nulladik napi sérülékenység vált ismertté (135 darab), mint ahányat a Microsoft szoftvereiben találtak (75-öt). Nem zárt jó évet ebben az értelemben az Apple sem, 2016-ban a platform 50 sérülékenységéről hullott le a lepel, kétszer annyiról, mint az azt megelőző évben.
Közrejátszott ebben, hogy az utóbbi években sok felhasználó választott más platformon futó mobileszközt Windows-alapú PC helyett, de eközben a Microsoft is nagyot lépett előre a sérülékenységek kezelése és általában az IT-biztonság terén. A helyzet idén sem változik, ezért a Trend Micro azt tanácsolja a felhasználóknak, védjék eszközeiket olyan biztonsági megoldásokkal, amelyek virtuális pajzsot vonnak a sérülékenységek köré, amíg a javítócsomag elérhetővé válik. Ilyen megoldás például a gyártó palettáján az ügynökprogramként vagy virtuális készülékként telepíthető Deep Security.
Mindennapivá válik a kiberpropaganda. Tavaly az Internet Live Stats adatai szerint a világ lakosságának közel fele (46,1 százaléka) hozzáfért valamilyen eszközön keresztül az internethez. Egyre több ember jut könnyen és gyorsan információhoz - függetlenül attól, hogy az milyen forrásból származik, és mennyire megbízható. Legutóbb az Egyesült Államok elnökválasztása példázta, hogy ez milyen következményekkel jár (Lásd Az elnök és a pajzs című cikkünket a 20. oldalon - a Szerk.), de álhíreket terjesztő, fizetett kiberügynökök tevékenykednek az olyan közösségi hálókon is, mint a Facebook és a LinkedIn, amelyek rendkívüli módon megnövelik az előállított tartalom láthatóságát.
Az átlagos internet-felhasználó nehezen különbözteti meg a tényeket az álhírektől. A Facebook és a Google ugyan bejelentette, hogy leállítja a hirdetések megjelenítését az álhíreket közlő oldalakon, és a Twitter is kikapcsolhatóvá tette a rágalmazó hozzászólókat, de a lépések hatására még várnunk kell. Európában idén Franciaországban, Németországban és Hollandiában is választások lesznek, így valószínű, hogy a közösségi médiával visszaélő kiberpropaganda intenzívebb lesz, mint valaha.
A GDPR megfelelési követelményeinek teljesítése növelni fogja a szervezetek költségeit. Nemcsak a tagállamokban működő szervezetekre lesz hatással az Európai Unió általános adatvédelmi rendelkezése, hanem világszerte mindazon vállalatokra, amelyek európai polgárok adatait kezelik.
A megfeleléshez a szervezeteknek át kell alakítaniuk üzleti folyamataikat és szabályzataikat, az adatvédelemért felelő vezetőt kinevezniük, továbbá az adatok gyűjtését és kezelését is - a felhasználói jogokkal együtt - világosan ismertetniük kell ügyfeleikkel. Számos vállalatnak átfogó adatbiztonsági megoldásokra kell majd költenie, csakúgy, mint az alkalmazottak oktatására, a multinacionális cégek pedig külön adatközpontokat építhetnek az európai adatok kezelésére.
Nagy a tétje mindennek, jövőre ugyanis a cégek éves bevételük akár 4 százalékára büntethetők lesznek, ha elmulasztják a megfelelést.
A kiberbűnözők 2017-ben továbbfejlesztik célzott támadásaik módszereit, hogy megkerüljék a jelenlegi biztonsági megoldásokból kialakított védelmet. Tíz éve jelentek meg az első célzott támadások, de azóta a kiberbűnözők figyelme, akik először jellemzően a bináris kódot használták, fokozatosan kiterjedt a dokumentumokra, majd a részfeladatokat automatizáló rövid programokra és a kötegelt állományokra is.
Várható, hogy a továbbiakban egyre több kiberbűnöző vet be olyan technikákat, amelyekkel kideríthetik, hogy a célba vett vállalat például homokozóba zárja-e az ismeretlen, gyanús fájlokat, vagy eláraszthatja, és ezzel akár ki is iktathatja a homokozókat. A virtuális gépekből kitörő és a gazdagép operációs rendszerét elérő kártevők, amelyek a felhőből többféle támadást meg tudnak hívni, szintén a célzott támadások fegyvertárába kerülnek.
Minderre fel kell készülniük mind a biztonsági cégeknek, mind a felhasználóknak, hogy teljes rálátással bírjanak a hálózatra és az adatkezelés folyamataira, és ne csak a behatolást észleljék, hanem a készülő támadást is felismerjék.
A fenyegetések lehetnek a meglévők új változatai, vagy a támadások teljesen új, ismeretlen formái. Előbbiek ellen a gépi tanulásra épülő megoldások adhatnak védelmet, utóbbiak homokozóba zárva menedzselhetők. A vállalatoknak mindenesetre többrétegű, a technológiák több nemzedékén át fejlesztett, a monitorozás, az észlelés, a válaszadás és a megelőzés képességével bíró biztonsági megoldásokra lesz szükségük, hogy a célzott támadások új formáival szemben hatékonyan védekezhessenek.
