Stručnjaci za cyber sigurnost dijele svoja predviđanja za najopasnije cyber prijetnje i rizike u 2023, piše Olivia Powell: . U ovom pregledu otkrivamo vektore prijetnji za koje stručnjaci za cyber sigurnost vjeruju da će postati istaknuti 2023., te daju svoje savjete o tome kako se najbolje boriti protiv njih.
Kad su sredinom 2022. Cyber Security Hub upitali koji vektori prijetnji predstavljaju najopasniju prijetnju njihovim organizacijama, 75 posto stručnjaka za cyber sigurnost reklo je socijalni inženjering i krađa identiteta. Otkako je anketa zatvorena, više organizacija kao što su Dropbox, Revolut, Twilio, Uber, LastPass i Marriott International pretrpjele su takve napade, što dodatno naglašava važnost za praktičare cyber sigurnosti da ostanu svjesni prijetnji krađe identiteta.
Pametni uređaji kao meta hakiranja
Firma za istraživanje tržišta i konzultantska firma Acumen Research and Consulting predvidjela je da se globalno tržište cyber proizvoda temeljenih na umjetnoj inteligenciji (AI) procjenjuje na 133,8 milijardi američkih dolara do 2030. godine, što je povećanje od nevjerovatnih 798 posto u odnosu na vrijednost tržišta od 14,9 milijardi dolara 2021. godine.
Istraživanje koje je proveo Cyber Security Hub podupire ovo predviđanje, s gotovo svakim petim (19 posto) stručnjaka za cyber sigurnost koji izjavljuje da njihove firme ulažu u cyber sigurnost pomoću umjetne inteligencije i automatizacije. Međutim, kako se automatizacija i korištenje umjetne inteligencije (AI) povećava, tako će se povećavati i korištenje cyber napada na ta digitalna rješenja.
Kako su se AI i mašinsko učenje razvijali, potpunije su integrirani u pametne uređaje, od sijalica i zvučnika do automobila. Uz predviđenih 75,4 milijarde uređaja povezanih s internetom stvari instaliranih u cijelom svijetu do 2025., ne čudi što se predviđa da će ovi pametni uređaji postati meta cyber napada tokom 2023. godine.
Tina Grant, procjeniteljica kvalitete u britanskoj zrakoplovnoj firmi Aerospheres predviđa da će cyber napadi usmjereni na pametne uređaje uglavnom utjecati na autonomne uređaje s više tačaka napada, na primjer pametne automobile.
Grant kaže: “Današnji automobili dolaze opremljeni automatskim karakteristikama uključujući zračne jastuke, servo upravljač, podešavanje vremena motora, brave na vratima i sisteme pomoći za prilagodljivi tempomat. Ova vozila koriste Bluetooth i WiFi za povezivanje, što ih izlaže brojnim sigurnosnim propustima ili prijetnjama hakiranja.
“S više autonomnih vozila na cestama 2023. godine, očekuje se da će porasti pokušaji preuzimanja kontrole nad njima ili prisluškivanja razgovora. Automatizirani ili samovozeći automobili koriste još kompliciraniji proces koji zahtijeva stroge mjere opreza u pogledu cyber sigurnosti,” objašnjava ona.
Opasnosti ovoga već je istražio David Columbo, istraživač cyber sigurnosti i osnivač softverske firme za cyber sigurnost Columbo Tech.
U nizu tweetova u januaru 2022., Columbo je objasnio da je hakirao i dobio daljinski pristup “preko 20 Teslinih vozila u 10 zemalja” što mu je omogućilo da “daljinski pokreće naredbe na 25+ Teslinih vozila u 13 zemlje bez znanja vlasnika”. Iako Columbo nije imao “potpunu daljinsku kontrolu” – što znači da nije mogao daljinski kontrolirati upravljanje, ubrzanje ili kočenje – primijetio je da je čak i neki pristup daljinskom kontrolom opasan.
Kako bi to demonstrirao, Columbo se našalio kako se šalio s pogođenim vlasnicima Tesla puštajući im ‘Never Gonna Give You Up’ Ricka Astleyja preko njihovih zvučnika. Zatim je priznao da, iako se ovo može činiti bezazlenim, mogućnost daljinskog puštanja glasne muzike, otvaranja prozora ili vrata ili uzastopnog bljeskanja svjetlima automobila može ugroziti živote ne samo vozača već i drugih vozača, posebno ako automobil vozi velikom brzinom ili u prometnom području.
Čak i ako zlonamjerni akteri mogu dobiti samo djelomičnu kontrolu nad udaljenim uređajima, to bi moglo imati potencijalno razorne posljedice.
Phishing i društveni inženjering
Phishing napadi su porasli u 2022., a međunarodni konzorcij i grupa za sprječavanje prijevara Anti-Phishing Working Group zabilježila je ukupno 3.394.662 phishing napada u prva tri kvartala 2022. Bilo je 1.025.968 napada u prvom tromjesečju, 1.097.811 napada u drugom tromjesečju i 1.270.883 napada u trećem tromjesečju , sa svakim tromjesečjem koje obara rekord kao najgore tromjesečje koje je APWG ikada primijetio.
Ernie Moran, generalni direktor softvera za automatiziranu zaštitu od prevare s prepaid karticama Arden u službi za financijsku zaštitu Brightwell, vjeruje da će 2023. nastaviti bilježiti porast phishing napada jer se sve više ljudi okreće cyber kriminalu radi finansijske dobiti.
“Pad gospodarstva ove godine gotovo će sigurno dovesti do povećanja broja pojedinaca koji preuzimaju dodatne rizike kako bi počinili prevaru 2023., ali mnoge finansijske organizacije još uvijek nisu spremne identificirati i poduzeti mjere u vezi s koordiniranim i ciljanim napadom prevare”, objašnjava.
Moran također predviđa da će web-mjesta za e-trgovinu biti posebno teško pogođena time jer su ranjiva na napade bankovnog identifikacijskog broja (BIN) u kojima prevaranti uzimaju nepotpune podatke o kartici dobivene tokom napada krađom identiteta ili društvenim inženjeringom (tj. prvih šest brojeva bankovne kartice ) i koristite softver za nasumično generiranje ostalih potrebnih informacija. Zlonamjerni će akteri zatim koristiti web-mjesta za e-trgovinu kako bi testirali jesu li detalji tačni i/ili jesu li kartice aktivne.
Moran zaključuje da “nema dokaza” da će oni u ekosistemu plaćanja napraviti promjene potrebne 2023. kako bi ograničili mogućnost prevaranata da iskoriste ove ranjivosti.
Teri Radichel, autorica knjige Cybersecurity for Executives in the Age of Cloud i izvršna direktorica firme za obuku i savjetovanje o cyber sigurnosti 2nd Sight Lab, kaže da je jasno da napadi koji koriste krađu identiteta i vjerodajnice neće nestati.
Prilikom izgradnje svoje sigurnosne strategije i odbrambenih protokola od prijetnji, Radichel predlaže da firme “koriste slojeviti sigurnosni pristup kako bi spriječile štetu ako i kada napadači kompromitiraju vjerodajnice”, i za odbranu i za ublažavanje ovih napada. Dodatno, Radichel napominje da napadači prelaze s okvira osnovnih web napada na sofisticiranije oblike napada koristeći automatizaciju i okruženja u oblaku.
Zločin kao usluga
Firma za tržišne i potrošačke podatke Statista procijenila je da će cijena globalnog cyber kriminala dosegnuti 10,5 triliona dolara do 2025. Uz tfirmu za analizu blockchaina Chainalysis koja izvještava da su cyber kriminalci ukrali više od 3 milijarde dolara u cyber napadima na kripto valutama od januara do oktobra 2022., cyber kriminal postaje nevjerovatno unosan posao za hakere.
Kako se cyber kriminal sve više utvrđuje kao izvor prihoda za zlonamjerne aktere, neki se okreću ponuditi svoje usluge široj zajednici uz naknadu. Zločin kao usluga omogućuje lošim akterima da ponude svoje usluge hakiranja drugima uz naknadu. Primjer toga viđen je 2022. godine kada je zaposlenica Mete dobila otkaz jer je navodno koristila privilegije svojih zaposlenika kako bi preotela i omogućila neovlašten pristup Facebook profilima, naplaćujući svojim ‘kupcima’ hiljade dolara u Bitcoinima da to učine.
Adam Levin, stručnjak za cyber sigurnost i voditelj podcasta o cyber kriminalu What the Hack with Adam Levin, vjeruje da će platforme koje dopuštaju hakerima da ponude svoje usluge biti sigurnosna prijetnja broj jedan 2023. Levin objašnjava da je to zato što kriminalci koriste “sve više sofisticirani softver koji su stvorili akteri prijetnji” i prodaju ovog softvera na modelu koji se temelji na pretplati za korištenje za prevaru potrošača i firmi. Prema Levinu, najčešći kriminalistički proizvodi kao usluga su phishing i ransomware.
Softver kao usluga toliko je opasan, objašnjava on, jer “svima omogućuje, bez obzira na to koliko su tehnički potkovani, izvođenje krađe identiteta, ransomwarea, DDOS i drugih cyber napada”. Nadalje predviđa da će 2023. “poduzeća koja se bave kriminalnim softverom nastavit će prijetiti poduzećima bilo koje veličine”, kao što se vidjelo 2022. s napadima usmjerenim na Microsoft, Dropbox, Medibank te Uber i Rockstar Games, da spomenemo samo neke.
Levin predviđa da će sindikati cyber kriminala koji stoje iza trenutnih platformi kao usluge rasti tokom sljedećih 12 mjeseci jer „mogu zaraditi više novca omogućavajući početnicima cyber kriminalcima da počine zločine tako što mogu izravno ciljati žrtve i s manje rizika”.
Kada razmatra kako se odbraniti od napada kao usluge, Levin uvjerava da se ove vrste napada mogu ublažiti “redovitom obukom o cyber sigurnosti, testiranjem prodora, upotrebom multifaktorske autentifikacije i implementacijom arhitekture nultog povjerenja”.
Više vektora prijetnji korištenih u napadima
Dana 1. juna 2022. korisnik Google Cloud Armora bio je na meti najvećeg Direct Denial of Service (DDoS) napada ikada zabilježenog. Korisnik je bio pogođen HTTPS-om u trajanju od 69 minuta u napadu kojem je pridonijelo 5256 izvornih IP-ova iz 132 zemlje. Google je to prijavio kao najveći Layer 7 DDoS napad prijavljen do danas, rekavši da je 76 posto veći od prethodnog rekorda. U postu na blogu koji su napisali Emil Kiner, viši voditelj proizvoda za Cloud Armor, i Satya Konduru, tehnički voditelj, obojica u Googleu, napad se uspoređuje s “primanjem svih dnevnih zahtjeva za Wikipediju… u samo 10 sekundi”.
Uz tako velike DDoS napade koji su sada mogući, hakeri iskorištavaju smetnje uzrokovane napadima s više vektora. Dok se firme bore protiv jednog vektora prijetnje, protiv njih će pokrenuti drugi.
Aaron Drapkin, viši pisac na web-siteu s tehnološkim vijestima tech.co, objašnjava da će to ustupiti mjesto porastu “trostrukih pokušaja iznude” u 2023. U tim napadima, objašnjava on, ransomware bande “neće samo pokušati šifrirati i zatim eksfiltrirati podatke i tražiti otkupninu, ali i orkestrirati druge vrste napada, poput DDoS napada ili prijetnje suradnicima žrtava curenjem podataka”.
Drapkin upozorava da bi ovi vektori višestrukih napada mogli postati opasniji ako se spoje s predviđanjem vektora prijetnji koje je napravio Adam Levin – cyber kriminal kao usluga. To je zato što “ako su tehnologija ili upute potrebne za orkestriranje ovih dodatnih cyber napada ugrađene u komercijalno dostupne pakete Ransomware-as-a-Service”, sofisticirane napade mogao bi pokrenuti niz zlonamjernih aktera, umjesto nekoliko odabranih skupina.
Napadi na sigurnost u oblaku
Kako globalna radna snaga nastavlja raditi u sve udaljenijem ili hibridnom kapacitetu, potreba za migracijom u oblak postala je jasna. Istraživanje softverske firme za videokonferencije Owl Labs pokazalo je da se globalno broj radnika koji su odlučili raditi na daljinu povećao za 24 posto.
Kako firme migriraju dio ili svu svoju imovinu u oblak, potreba za sigurnošću u oblaku je porasla. U anketi koju je proveo Cyber Security Hub, svaki četvrti (25 posto) stručnjaka za cyber sigurnost rekao je da njihove firme ulažu u sigurnosne mogućnosti oblaka.
Ovo će ulaganje biti potrebno u nadolazećoj godini, kaže osnivač i izvršni direktor Abdul Rahima, osnivač i izvršni direktor stranice za savjetovanje o tehnologiji Software Test Tips. Objašnjava da, iako je njegova najveća prodajna tačka za firme, sposobnost poslužitelja u oblaku da korisnicima omoguće pristup aplikacijama, datotekama i resursima firme s bilo kojeg mjesta u svijetu također predstavlja najveću ranjivost.
Matt Kerr, izvršni direktor i osnivač stranice za popravak uređaja Appliance Geeked, napominje da, iako pohrana podataka temeljena na oblaku može biti opremljena mjerama cyber sigurnosti za sprječavanje kršenja podataka, ako firma ugošćuje veliku količinu vrijednih podataka o korisnicima, čak i djelomično kršenje može imati dalekosežne negativne učinke. To je zato što pohrana podataka u oblaku firme sadrži “ogromna bogatstva iznimno vrijednih podataka”, čak i ako napadač dobije pristup samo djeliću tih podataka, može s njima napraviti stvarnu štetu.
Primjer ovoga je povreda Revolutovih podataka viđena u septembru 2022. Unatoč izvještaju Revoluta da je povreda utjecala na samo 0,16 posto njegovih kupaca, u stvarnosti se to pretočilo u pristup osobnim podacima više od 50.000 korisnika.
Tina Grant iz firme Aerospheres objašnjava da održavanje sigurnosti pohrane u oblaku zahtijeva od firmi redoviti pregled i poboljšanje sigurnosnih procedura. Ona kaže da programi za pohranu u oblaku kao što su Google Cloud i Microsoft Azure mogu imati snažne sigurnosne mjere, ali pogreške na strani klijenta mogu dovesti do opasnog zlonamjernog softvera i online prevara, što može rezultirati provalom u pohranu u oblaku.
Rizici pristupa trećih strana
S pojavom migracije u oblak, mnoge firme uključuju softverska rješenja trećih strana u infrastrukturu svoje firme. Međutim, mnogi stručnjaci za cyber sigurnost zaziru od rizika koje donosi ova odluka, s više od trećine (36 posto) stručnjaka za cyber sigurnost koji su prijavili Cyber Security Hubu da su rizici lanca opskrbe/treće strane glavna prijetnja cyber sigurnosti mreži njihovih organizacija.
David Attard, digitalni konzultant, web dizajner i rukovatelj podacima u firmi za web dizajn Collectiveray, vjeruje da će povrede podataka zbog pristupa trećih strana porasti 2023. Objašnjava da će to posebno utjecati na firme u zdravstvenoj, obrazovnoj i proizvodnoj industriji. posebno ranjivi na ove vektore napada zbog njihovog “nedostatka sigurnosti oko pristupa trećih strana”, a to se vjerovatno neće promijeniti 2023.
“Ove industrije nemaju nikoga ko bi upravljao rizikom trećih strana, ali samo oko 39 posto proizvodnih industrija implementiralo je sigurnost trećih strana. Broj cyber napada samo će se povećavati osim ako se ne provode prakse poput ‘najmanje privilegiranog pristupa’,” nastavlja.
To se vidjelo u oktobru 2022., nakon što je otkriveno da je izvorni kod za proizvođača automobila Toyotu objavljen na GitHubu. Kod je objavljen nakon pogrešnog rukovanja podacima firme od strane razvojnog izvođača treće strane i bio je vidljiv između decembra 2017. i 15. septembra 2022. To je moglo dovesti do toga da su zlonamjerni akteri pristupili osobnim podacima 296.019 klijenata.
Nedostatak znanja o cyber sigurnosti
Predviđa se da će ljudska pogreška ostati glavni faktor prijetnji cyber sigurnosti za 2023. U 2022. istraživanje Svjetskog ekonomskog foruma otkrilo je da se 95 posto problema cyber sigurnosti može povezati s ljudskom pogreškom. Isto tako, gotovo trećina stručnjaka za cyber sigurnost (30 posto) izjavila je za Cyber Security Hub da je nedostatak stručnosti u cyber sigurnosti najveća prijetnja u njihovoj organizaciji.
Stručnjak za cyber sigurnost i nacionalnu sigurnost sa sjedištem u Teksasu Charles Denyer citirao je Verizonov izvještaj o istrazi povreda podataka iz 2022., napominjući da se 82 posto povreda podataka može pripisati ljudskoj pogrešci”.
Kao rezultat toga, Denyer kaže: “Kada se osigurava sigurnost i zaštita digitalne imovine organizacije”, obuka o svijesti o cyber sigurnosti “i dalje je najbolji i najvrijedniji povrat ulaganja.”
Kaže da je to zato što što su korisnici upućeniji i svjesniji, to su veće šanse da organizacija zaštiti svoju imovinu.
Cyber napadi nacionalnih država
Tokom 2022. brojni cyber napadi nacionalnih država, uključujući Irana protiv Albanije, Rusije protiv Ukrajine i Crne Gore ili neidentificirani napad na vladu Novog Zelanda.
Ryan Kirkwood, tehnički direktor investicijske firme Freedom Dividend, kaže da su cyber napadi nacionalnih država, poput ruskog hakiranja Demokratskog nacionalnog odbora u SAD-u 2016., također velika prijetnja firmama.
U 2023., firme bi trebale očekivati više cyber napada nacionalnih država jer ove vrste napada postaju sve češće i sofisticiranije.
IZVOR: Cyber Security Hub