În 2021, persoanele rău intenționate vor folosi vulnerabilitățile descoperite în timpul crizei COVID pentru a îmbunătăți eficiența unui atac cibernetic.
Odată cu apariția virusului covid-19, organizațiile au fost nevoite să se adapteze, ceea ce a dus la modificarea spectrului de amenințări. Având în vedere că în doar câteva zile companiile au fost nevoite să treacă la telemuncă, securitatea a fost redusă.
Trecerea rapidă la cloud, care s-a produs mult mai repede decât era previzionat în ianuarie 2020, a determinat ca fluxul de date și de personal să treacă de la 90% intern la 90% extern, cererea pentru dispozitive IoT (Internet of Things) crescând masiv. Mai mult decât atât, aceste dispozitive erau nesigure pentru consumatori, sistemele fiind susceptibile pentru piggyback în transmisiile VPN (Virtual Private Network).
Având în vedere modificarea dramatică a spectrului de amenințări, era nevoie de noi strategii de securitate cibernetică și de noi instrumente. Însă acest lucru nu s-a întâmplat, deoarece atacatorii cibernetici încă nu și-au schimbat metodele de atac. Atacurile. în schimb, au crescut ca număr și intensitate. Și este doar o chestiune de timp până când modalitățile de atac cibernetic se vor schimba, acest lucru urmând să se întâmple probabil în prima parte a anului 2021.
Noi tipuri de atac cibernetic pe dispozitive remote
Se anticipează noi atacuri pe dispozitivele de pe care se efectuează telemunca, acestea deținând acum informații mult mai sensibile decât înainte de criza covid. Spre exemplu, există protocoale VPN care se axează mai mult pe continuitatea muncii decât pe securitate. VPN-ul este setat astfel încât dacă se întrerupe conexiunea, se păstrează totuși o funcționalitate de bază, pentru a se putea lucra în continuare, pentru a efectua conexiunea la WebEx sau transmiterea de emailuri. Faptul că se restabilește conexiunea la WebEx și se transferă date îi oferă atacatorului cibernetic șansa de a se conecta la dispozitiv înainte ca VPN-ul să fie inițiat.
Înainte, VPN-ul era responsabil de 10% sau chiar mai puțin din transferul de date, însă acum procentul a crescut la 90%, așadar riscul este unul major.
Exploatarea unei slabe configurări cloud
Atacurile cloud reprezintă un alt motiv de îngrijorare, deoarece configurările cloud necesită intervenție umană, iar atacatorii contează pe erorile umane.
Având în vedere faptul că există diferiți furnizori de servicii cloud, se subînțelege existența unor premise diferite pentru fiecare dintre aceștia cu privire la complexitatea parolei și la setările implicite legate de modificări când apar obiecte noi, implementări de instanțe sau neaplicarea retroactivă a acestora.
Spre exemplu, în Google Cloud, multe setări trebuie aplicate manual, ceea ce nu este cazul pentru setările implicite de la Microsoft Azure sau Amazon Web Services (AWS). Cu cât se dețin mai multe cunoștințe despre un anumit mediu, cu atât crește eficiența, dar, în aceeași măsură, aceste cunoștințe duc la greșeli în alt mediu.
Uneori, există inconsistențe în cadrul aceleiași plaftorme, cum ar fi noi implementări care au noi setări implicite, iar cele vechi rămân cu setările inițiale. În aceste condiții, este dificil să se păstreze configurările de securitate, o companie având mai multe conturi cloud și implementări cloud noi și vechi.
Toată confuzia creată de aceste implementări îi determină pe atacatorii cibernetici să mizeze pe aceste puncte slabe și să acceseze conturile vulnerabile.
Exploatarea complexității setărilor pentru telemuncă
Multe setări pentru telemuncă sunt extrem de complexe, ceea ce duce la inconsistențe pe care atacatorii cibernetici le pot exploata. Acest lucru se întâmplă pe fondul forțării acestor setări de criza pandemiei.
Este uimitoare diversitatea configurațiilor prin care se lucrează de acasă. Dacă cineva le-ar analiza, ar descoperi setări cel puțin ciudate. Pentru a veni în întâmpinarea nevoilor utilizatorilor, aceste setări deschid o cutie a Pandorei care nu mai poate fi închisă. Pentru a evita aceste lucruri, utilizatorii trebuie să fie educați în ceea ce privește securitatea acestor rețele.
Contraintuitiv, sunt predispuse la greșeli tocmai cele mai tehnice persoane, deoarece acestea vor testa mai multe variante în setările rețelelor. Vor deschide portul 22 pentru a putea crea un SSH (Secure Shell) în serverul lor personal sau vor deschide portul 3389 pentru a putea utiliza RPD (Remote Desktop Protocol). Angajații mai puțin tehnici nu vor face acest lucru și vor rămâne la setările implicite. Și, în ciuda faptului că aceste setări nu sunt întotdeauna ideale, cele mai multe dintre ele oferă un nivel de securitate acceptabil. Așadar, atacatorii cibernetici se vor îndrepta către angajații mai tehnici, sperând să găsească acolo mai multe vulnerabilități.
Penetrarea sistemelor corporative via VPN
Având în vedere că în 2021 foarte multe date vor fi transferate cu ajutorul VPN-ului, atacatorii cibernetici vor folosi această informație și vor identifica sistemele VPN ca pe un mod direct de a penetra sistemele corporative.
Cele mai multe atacuri de tip Troian sau client bot permit atacatorilor să ruleze comenzi CLI manual sau printr-un script. Astfel, există multe metode pentru a detecta software de tip VPN. Spre exemplu, cu ajutorul comenzii ipconfig se afișează interfețele rețelei, inclusiv interfețele virtuale folosite pentru VPN. Dacă programul malițios a automatizat un script pentru a analiza rezultatele ipconfig, va căuta nume ale adaptorului ca TAP-Windows Adapter v9 sau TAP-NORDVPN Windows Adapter v9. Pot fi utilizate diferite nume, datorită diversității clienților VPN, dar atacatorii pot să compileze o listă de la cei mai populari clienți VPN pe care îi au în vizor. În orice caz, se poate scrie un script și se poate automatiza un malware care să ruleze ipconfig pentru fiecare victimă și care să returneze un flag atunci când detectează un nume comun al interfeței VPN.
Din acest punct, atacatorii pot să utilizeze funcționalitatea worm și tehnici ale mișcărilor laterale care există în anumite tipuri de malware de foarte mult timp, ajungând astfel la țintele lor: rețelele accesibile prin VPN.
Implementarea malware bazat pe AI (Artifical Intelligence) și învățare automată
Una dintre posibilitățile discutate intens, dar care se poate materializa abia în 2021 este aceea conform căreia atacatorii vor utiliza AI și învățarea automată pentru a infecta inteligența artificială utilizată deja de companii.
Așadar, anul acesta va crește numărul de atacuri pe măsură ce organizațiile vor implementa platforme AI în sistemele lor. Până acum, infractorii cibernetici au descoperit că pot ataca software-ul de tip AI și învățare automată utilizând date nelegitime de inteligență artificială pentru a produce rezultate greșite. Aceste tipuri de atac cibernetic se vor intensifica în anii următori.
Algoritmul inteligenței artificiale poate fi modificat prin trimiterea unei imagini care să conțină o altă imagine cu opusul a ceea ce ar trebui să facă de fapt. Spre exemplu, când AI este utilizat pentru a detecta o fraudă, se pot trimite date corupte care să determine software-ul să nu mai recunoască astfel de activități. Pentru că multe platforme de securitate utilizează AI și învățare automată pentru a detecta un atac cibernetic identificând anomalii în datele existente, atacatorii pot elimina aceste metode. În 2021, este necesară utilizarea separată a AI pentru a face verificări de integritate și securitate în datele colectate de software-ul AI inițial.
Decriptarea cu ajutorul calculului cuantic
O potențială amenințare poate fi aceea că atacatorii vor folosi alte surse de puteri, în special venind de la state care finanțează astfel de activități (Rusia, Coreea de Nord, China, Iran, etc.). Amenințarea se referă la faptul că prin calculul cuantic se poate trece de mecanismul de criptare.
Calculul cuantic ar putea fi astfel folosit cu eficiență de cineva care vrea să treacă de criptare.
Pentru mai multe informații despre trenduri în securitatea cibernetică, citește acest articol.