Топ-6 трендов кибербезопасности в 2024 году

Теперь организации и предприятия используют ИИ для улучшения систем обнаружения вредоносных программ и протоколов кибербезопасности. Однако хакеры и злоумышленники также следят за последними обновлениями в отрасли, поэтому распознавание уязвимостей, их эксплуатация и связанные с ними угрозы кибербезопасности претерпели изменения.

С учетом сказанного, давайте рассмотрим 6 лучших тенденций в области кибербезопасности на 2024 год.

1. Совершенствование векторов атак

Мы заметили, что появились новые типы и векторы кибератак. Знание возможных видов угроз может предотвратить намеренное использование уязвимостей системы. Новые кибератаки следуют протоколам эксплуатации технических уязвимостей и централизованного социального планирования.

Ниже перечислены типы атак и потенциальные векторы их распространения.

Атаки с использованием программ-вымогателей 

Программы-вымогатели – это тип вредоносного программного обеспечения, предназначенного для предотвращения аутентификации и ограничения доступа пользователей к определенным файлам. Ограничение осуществляется с помощью протоколов шифрования.

Атаки с ипсользованием программ-вымогателей часто связаны с требованием оплаты за предоставление доступа к файлам, часто с целью получения финансовой выгоды.

"Тренд" на атаки такого типа начался в 2017 году с мировой атаки WannaCry. Сейчас этот тип атак продолжает всплывать и угрожать критической инфраструктуре и известным компаниям благодаря сочетанию технических эксплойтов и социальной инженерии.

Для проведения атак могут использоваться несколько типов программ, в том числе:

• Блокировщики экрана – программы, не позволяющие пользователю получить доступ к данным и требующие оплаты.
• Запугивающие программы, показывающие ложное предупреждение о том, что обнаружен какой-то вирус.
• DDoS-вымогательство, при котором создается угроза проведения DDoS-атаки.

Это лишь несколько распространенных способов атак с использованием ПО для вымогательств. Этот тип атак остается одной из самых распространенных угроз кибербезопасности.

Угрозы, распространяемые через конечные точки

Угрозы с конечных точек - это действия, направленные на людей, работающих в конкретных компаниях, и возможное непреднамеренное "заражение" корпоративных систем вредоносным ПО через сотрудников. Это может выглядеть как оставление USB-накопителя с вредоносным ПО в надежде, что кто-то найдет его и проявит любопытство, чтобы изучить содержимое через корпоративную сеть; таким образом злоумышленники получают конфиденциальные данные организации.

Атаки с использованием конечных точек иногда предполагают подбрасывание портативного устройства в непосредственной близости от физической инфраструктуры организации. Этот тип угроз кибербезопасности сложно реализовать, поскольку он может быть дорогостоящим, рискованным для самих злоумышленников и ресурсоемким, если осуществляется удаленно.

Этот тип атаки может быть осуществлен и другим способом. Злоумышленники, пытающиеся создать угрозы безопасности, также используют социальную инженерию для компрометации конечных точек пользователей: это может выглядеть как рассылка электронных писем на корпоративные адреса для компрометации конечных точек пользователей. Такой тип атаки гораздо проще осуществить (даже удаленно); кроме того, он более доступен, поскольку можно направлять угрозы на нескольких пользователей одновременно в течение разных периодов времени.

Несмотря на то что фактическое исполнение атак может отличаться по форме, они всегда направлены на компьютеры, телефоны или IoT-устройства.

Атаки на основе идентификационных данных

Атаки на основе идентификационных данных используют уязвимости, связанные с идентификацией, аутентификацией и другими конфиденциальными данными или персонализированными процессами.

Этот тип атак направлен на получение доступа к персональным данным с последующей угрозой их раскрытия. Атаки на основе идентификационных могут осуществляться путем кражи личных данных, фишинга, а также атак на системы SSO и протоколы MFA.

​Облачные атаки

Облачные атаки направлены на использование слабых или несовершенных алгоритмов аутентификации для доступа к облачным хранилищам с целью вмешательства в из работу.

Атаки на облачные хранилища, основанные на эксплуатации сервисов хранения данных также заслуживают внимания. Их концепция предполагает смещение фокуса с конечных точек на сервисы облачной сети.

Недавние "облачные" атаки были связаны с распространением инструментов через каналы Telegram, которые раскрывали данные авторизации в облаке.

В последнее время число облачных атак растет, причем наиболее распространенной причиной их совершения является возможность получения финансовой выгоды. И то, как они осуществляются, доказывает, что весь ландшафт угроз кибербезопасности развивается вместе с технологическими инновациями.

2. Интеграция машинного обучения и искусственного интеллекта в кибератаках

Искусственный интеллект ускорил интеграцию технологий в различные области, некоторые из которых имеют решающее значение для нашей повседневной жизни, как, например, здравоохранение. Но как бы сильно он ни влиял на все остальное, ИИ, пожалуй, больше всего повлиял на кибербезопасность.

ИИ продолжает развиваться, а вместе с ним и киберугрозы: злоумышленники уже используют возможности ИИ. Машинное обучение может помочь обнаружить и использовать уязвимости системы, а также выявить программные шаблоны. Например, фишинговые атаки, проводимые с помощью ИИ, могут включать невероятно убедительные сообщения, анализируя шаблоны человеческого общения.

Как бы удручающе это ни было, но ИИ также помогает интегрировать передовые механизмы безопасности для укрепления защиты. Машинное обучение помогает анализировать потенциальные угрозы и шаблоны атак, предсказывать векторы атак и включать оповещения для более быстрой реакции и реализации стратегий защиты.

​3. Внедрение консолидированных стратегий поставщиков систем безопасности

Поскольку потенциальный спектр кибератак постоянно расширяется, предприятия, использующие много (или слишком много) приложений, подвергают себя повышенному риску кибервторжений из-за сложности управления приложениями и недостаточного охвата системы безопасности.

В качестве оптимальной стратегии безопасности компаниям и предприятиям настоятельно рекомендуется внедрять непрерывное управление угрозами, что подразумевает расширенную оценку потенциальных угроз. На нашем опыту, это, в свою очередь, может привести к упрощению кросс-платформенного управления, широкому охвату и последовательной стратегии безопасности, а также эффективному реагированию на угрозы безопасности.

4. Появление Ransomware 2.0

Ransomware 2.0 - это следующий уровень эволюции программ-вымогателей, который включает в себя усовершенствования, использующие последние инновации в технике атак и их повышенную персонализацию.

Ransomware 2.0 не только шифрует данные для последующей эксплуатации, но и адаптируется к поведенческим моделям, фильтрует конфиденциальные данные перед шифрованием и в целом создает более продуманные тактики атак.

Вот как осуществляются атаки Ransomware 2.0:

• Доступ к данным и их кража

Атаки начинаются с использования различных методов, таких как фишинг, вредоносные программы и взлом программного обеспечения для получения доступа к системе. Затем похищаются важные данные, которые могут быть даже предварительно отфильтрованы.

• Шифрование и ограничение доступа к данным

Как только злоумышленники овладевают конфиденциальными данными, они шифруют их таким образом, чтобы сделать невозможным их использование или доступ к ним. В этом сценарии шифрование выполняется таким образом, что восстановить доступ к данным могут только сами злоумышленники.

Пользователи часто получают уведомления о блокировке доступа с требованием заплатить (часто в криптовалюте) за ключ расшифровки или отказ от утечки данных.

• Оказание давление

Именно этот аспект означает приписку "2.0" в "Ransomware 2.0", а именно двойное вымогательство и двойное давление. Пользователь не только испытывает стресс от того, что его конфиденциальные данные скомпрометированы, но и рискует, как утверждают злоумышленники, тем, что конфиденциальные данные станут достоянием общественности. Наряду с этим атаки Ransomware 2.0 часто предполагают копирование данных в другое место, прежде чем они будут зашифрованы.

Когда речь идет о бизнесе, разглашение корпоративных данных может нанести ущерб репутации компании, привести к финансовым потерям и юридическим последствиям.

• Оплата и потенциальное восстановление данных

Мы хотим подчеркнуть, что нет никакой гарантии, что ваши данные будут восстановлены после того, как вы совершите требуемый платеж.

По нашим наблюдениям, большинство мошенников требуют произвести оплату на криптокошелек. После успешной оплаты злоумышленники утверждают, что предоставят вам ключ дешифрования, который потенциально может восстановить ваш доступ к данным.

Однако нет никакой гарантии, что ваши данные не были перенесены на другое устройство или хранилище, а также не подверглись утечке.

Все это говорит о том, что атаки Ransomware 2.0 представляет собой серьезную угрозу, и чтобы их предотвратить или защитить свои данные после инцидента, необходимо использовать лучшие практики кибербезопасности.

Статистика атак Ransomware 2.0

Компания Panda Security сообщила о недавнем росте числа атак Ransomware с двойным вымогательством. В частности, участились случаи перемещения данных на другие устройства или в цифровое пространство, что стало проявлением эволюции атак Ransomware. Злоумышленники не только требуют выкуп за ключ для расшифровки данных, но и требуют оплату в качестве превентивной меры, чтобы не допустить утечки скопированных данных пользователей или организаций. Так проявляется контекст двойного вымогательства.

Среди наиболее ярких атак с использованием программ-вымогателей в 2023 году - деятельность группы LAPSU$, которая атаковала Microsoft, Uber и Nvidia, а затем обнародовала похищенные данные, когда требование о выкупе не было выполнено.

Когда речь заходит о защите от подобных атак, таких методов, как резервное копирование и протоколы восстановления, уже недостаточно для предотвращения угрозы. Основная проблема заключается в том, что группы, занимающиеся атаками с использованием программ-вымогателей, строят бизнес на атаках в "dark web", где киберпреступники могут приобрести всю инфраструктуру вредоносного ПО и затем использовать его для кибератак. Это показывает, что ландшафт программного обсепечения с фокусом на вымогательства расширился, и многие вредоносные программы могут быть подброшены на авторитетные платформы. Таким образом, отношение предприятий и организаций к атакам Ransomware 2.0 должно быть серьезным и всеобъемлющим. 

​5. Преодоление трудностей при использовании инфраструктуры для удаленной работы

Удаленная работа уже давно стала привычным аспектом повседневной жизни. Многие компании используют платформы и инструменты для предоставления удаленного доступа своим сотрудникам, и зачастую алгоритмы удаленного доступа становятся целью кибератак. Примером уязвимости, связанной с удаленным доступом, может служить уязвимость Citrix.

Недавно были опубликованы рекомендации по предотвращению эксплуатации специфической уязвимости - CVE-2023-3519, которая возникла в контроллере доставки приложений NetScaler и шлюзе NetScaler компании Citrix. Из-за этой уязвимости Citrix NetScaler подвергался атакам в течение почти трех месяцев, и ошибку не удавалось полностью устранить с помощью обычных методов обеспечения безопасности.

Группа разработчиков вымогательского ПО LockBit 3.0, предположительно базирующаяся в России, начала атаку на международную корпорацию Boeing и другие компании, используя уязвимость в программном обеспечении Citrix. Группе удалось обойти механизмы аутентификации и проникнуть в пользовательские сессии.

Знакомство с подобными случаями может помочь вашей организации сориентироваться и обнаружить уязвимости в средах удаленной работы.

6. Эскалация угроз в сфере IoT-атак

В 2023 году, согласно отчетам SonicWall, было совершено более 77 миллионов атак, что на 20 миллионов больше, чем в 2022 году, причем некоторые из них были направлены на IoT-устройства. Таким образом, безопасность IoT - это отдельная тема, которая заслуживает внимания.

Тенденции кибербезопасности, которые, как ожидается, появятся в контексте IoT-устройств, включают более совершенные протоколы аутентификации и шифрования, а также политики доступа. Благодаря этому укрепление безопасности в секторе IoT может существенно изменить ситуацию, поскольку обмен данными между IoT-устройствами будет более безопасным и защищенным от любых атак.

Дополнительным шагом к повышению безопасности может стать интеграция пограничных вычислений в структуры IoT. Пограничные устройства могут локально обрабатывать данные, не нуждаясь в регулярной или частой передаче данных по сети.

Также ожидается, что аспект кибербезопасности будет прослеживаться в подходе к проектированию и разработке IoT-устройств. Внедрение принципов security-by-design в конструкцию устройства снижает количество уязвимостей до минимума.

Подводя итоги

Адаптироваться к новым основам кибербезопасности непросто, особенно с учетом того, что технологические новинки сегодня появляются регулярно. Однако мы должны помнить, что по мере того, как технологии становятся все более совершенными, злоумышленники становятся все умнее, когда дело доходит до их использования.

Поэтому, чтобы опередить их, не стоит пренебрегать тенденциями в области кибербезопасности и медлить с их внедрением. Никогда не знаешь, на что будет направлена следующая атака, но ее можно в какой-то мере предвидеть. Главное - обеспечить достаточную защиту своей организации и следить за последними тенденциями в области кибербезопасности.