O imagine de ansamblu asupra peisajului amenintarilor cibernetice

 
Doi dintre cercetatorii de top din cadrul FortiGuard Labs, Douglas Jose Pereira dos Santos si Jonas Walker, cu cariere dedicate in domeniul securitatii cibernetice, isi expun viziunea si opiniile. Afla cum pot organizatiile sa iasa mereu castigatoare in lupta constanta cu amenintarile cibernetice.

Privind retrospectiv, ce atrage atentia cand vine vorba de traiectoria si istoria amentarilor cibernetice?

Jonas: Motivatia actorilor amenintatori s-a schimbat dramatic. Initial scopul principal al virusurilor era in principal cercetarea. Ulterior, au fost folosite pentru a dezactiva calculatoarele si a sterge fisierele. In general, hackingul era mai mult despre faima si prestigiu decat bani. Cu toate acestea, este ingrijorator faptul ca folosirea e-mailurilor pentru distribuirea programelor malware – strategie inventata prima data in urma cu cateva decenii – este inca foarte eficienta in aceste zile.
Douglas: Da. Nu numai asta, ci si faptul ca in 2020 (in comparatie cu anii 90 si la inceputul anilor 2000) ne bazam mult mai mult pe activele noastre digitale, ceea ce face ca aceste active sa fie mai atragatoare pentru atacatori. Cand cineva intra intr-un e-mail de la o companie in urma cu cativa ani, cel mai mare rau pe care il putea face era sa distruga sau sa fure datele. Acest lucru se datoreaza faptului ca mult mai putin din activele unei companii erau digitale. Acum, cu DX, mizele sunt mult mai mari atat pentru companii, cat si pentru infractorii cibernetici.

Ce s-a schimbat cel mai mult, in ultimii 5-10 ani, cand ne uitam la amenintari?

​​​​​Jonas: In cele mai multe cazuri, obiectivele atacurilor ciberntice sunt despre bani. Majoritatea incalcarilor de securitate din ziua de azi sunt determinate de cibernetici care fura informatii sensibile pentru a le vinde pe Dark Web sau cripteaza sisteme si cer o rascumparare. Drept urmare, hackingul a devenit mult mai sofisticat si mai letal. De exemplu, mai mult de jumatate din atacuri sunt gestionate de organizatii informatice care sunt mai bine organizate decat multe companii. Ei au CEO-uri, manageri de cont si centre de apel dedicate, care sprijina victimele in plata rascumpararilor. Este ca orice alta afacere, cu exceptia faptului ca fluxurile de venituri acestora sunt date furate si extorcate. Noul lor ecosistem Cybercrime-as-a-Service este unul dintre cele mai importante motive pentru care industria cibernetica creste dramatic si genereaza mai mult de un trilion de dolari in fiecare an.
Douglas: De-a lungul timpului, resursele digitale au devenit din ce in ce mai interconectate. Actorii de amenintare sunt capabili sa se adapteze foarte rapid la mediul actual si sunt capabili sa patrunda rapid in sisteme care nu au implementari de securitate adecvate. Si acum, cu imbunatatiri si inovatii semnificative in hardware, software si inteligenta artificiala, dat fiind ca interconectarea dintre sisteme a crescut si mai mult, avem o suprafata de atac mai larga. Iar amenintarile au devenit mai sofisticate din toate punctele de vedere. Acum avem asa-numitele atacuri fara fisiere care nu includ o sarcina utila, in sine, si traiesc in totalitate in memorie. Aceasta a fost o schimbare de paradigma aproape dramatica, in special pentru industria AV.

Ingineria sociala este inca o cale de acces pentru infractorii cibernetici care vor sa atace. Cum se explica aceasta situatie?

Jonas: Oamenii sunt si vor ramane veriga slaba din orice sistem de securitate IT corporatist. Chiar daca atat de multe corporatii isi educa angajatii folosind diverse programe de instruire si de sensibilizare, tehnicile de phishing au evoluat dramatic in ultimii ani, ceea ce le face din ce in ce mai dificil de detectat de catre utilizatorul mediu. Noile atacuri de phishing polimorfe, de exemplu, sunt extrem de eficiente si foarte dificil de stopat, dar destul de usor de lansat. Chiar si cei mai nepriceputi atacatori, cu ajutorul unei carti de credit, pot achizitiona seturi de instrumente automate extrem de sofisticate de pe darknet pentru o suma modesta de bani. Pentru acesti atacatori, este nevoie ca un singur angajat sa se incadreze intr-un atac de inginerie sociala pentru intra in reteaua victimei lor din care sa se poata deplasa apoi lateral spre tinta principala.
Ideea este ca factorul uman sa fie cat mai putin implicat. Organizatiile trebuie sa isi upgradeze portile de intrare emaul si sa adauge un layer de Machine Learning (ML) capabila sa detecteze mai rapid si mai bine amenintarile transmise prin e-mail si sa adauge un instrument precum CDR (Content Disarm and Reconstruct) pentru a neutraliza aceste amenintari. ML ar trebui, de asemenea, adaugat la sfarsitul analizei ecuatiei, deoarece este capabil sa consume si sa coreleze mult mai multe date decat pot o pot face analistii umani.
Douglas: Acelasi lucru este valid pentru orice tip de atac: creativitatea atacurilor cibernetice nu are limite si o stim. S-ar putea sa nu fie in fiecare saptamana, dar invotaii apar la fiecare noua campanie. Asadar, pe langa lipsa de constientizare a utilizatorilor, noile tehnici si modalitati de atragere a victimelor sunt modificate continuu.

Care au fost cele mai puternice amenintari sau cele mai periculoase tehnici de-a lungul timpului?

Jonas: Una dintre cele mai letale combinatii este un atac sofisticat care vizeaza oamenii atunci cand se afla intr-o stare de teama, incertitudine si indoieli. Actuala pandemie COVID-19 este un exemplu excelent. Internetul permite celor mai multor oameni sa faca propriile cercetari, iar atacatorii sofisticati sunt in fata curbei. Acestia au anticipat comportamentul generic al persoanelor si si-au pregatit campaniile pentru evenimentele din jurul nostru prin umplerea internetului, si in cutiile noastre, cu dezinformare, fisiere daunatoare si link-uri catre paginile web infectate. In mod ironic, traim acum intr-o lume in care virusurile umane si virusurile cibernetice traverseaza caile de atac. Acest lucru este extrem de eficient, generand o multime de bani, provocand in acelasi timp un volum imens de daunele fizice si monetare.
Douglas: In plus, daca ne uitam un pic mai in urma, vedem cercetatorii care lucreaza la vulnerabilitatile legate de hardware. Cred ca este foarte probabil sa vedem mai multe vulnerabilitati care schimba jocurile, precum Spectre, Meltdown, BlueBorne si Broadpwn. Fara vizibilitate si control real asupra tuturor infrastructurii lor, organizatiile vor rata momentul in care aceste amenintari le vor patrunde in retele.
Articol preluat de pe blogul Fortinet.