Λίγο πριν την αλλαγή του έτους, η εταιρεία ασφαλείας, WatchGuard, ετοίμασε μια λίστα με τις 6 πιο σημαντικές προβλέψεις ασφαλείας για το 2022.
1. Κρατικά υποστηριζόμενες mobile απειλές που καταλήγουν στον υπόκοσμο του κυβερνοεγκλήματος
Το κακόβουλο λογισμικό για κινητά παραμένει υπαρκτός κίνδυνος –ειδικά στην πλατφόρμα Android–, αλλά δεν έχει ακόμη φτάσει στα ίδια επίπεδα με το παραδοσιακό κακόβουλο λογισμικό για υπολογιστές. Εν μέρει, πιστεύουμε ότι αυτό οφείλεται στο ότι οι κινητές συσκευές έχουν σχεδιαστεί εξαρχής με ενσωματωμένους ασφαλέστερους μηχανισμούς (π.χ. ασφαλή εκκίνηση), καθιστώντας πολύ πιο δύσκολη τη δημιουργία απειλών που δεν απαιτούν αλληλεπίδραση με το θύμα (zero touch). Ωστόσο, υπάρχουν σοβαρές εξ αποστάσεως ευπάθειες σε αυτές τις συσκευές, αν και είναι πιο δύσκολο να ανακαλυφθούν.
Εν τω μεταξύ, οι κινητές συσκευές παρουσιάζουν πολύ δελεαστικό στόχο για κρατικά υποστηριζόμενες ομάδες του κυβερνοχώρου, λόγω των δυνατοτήτων των συσκευών και των πληροφοριών που περιέχονται σε αυτές. Ως αποτέλεσμα, διάφοροι επιτήδειοι που πωλούν σε κρατικά υποστηριζόμενες ομάδες είναι ως επί το πλείστον υπεύθυνοι για τη χρηματοδότηση των περισσότερων από τις εξελιγμένες απειλές και ευπάθειες που στοχεύουν κινητές συσκευές, όπως το πρόσφατο Pegasus spyware για κινητά. Δυστυχώς, όπως στην περίπτωση του Stuxnet, όταν αυτές οι πιο εξελιγμένες απειλές διαρρέουν, οι εγκληματικές ομάδες μαθαίνουν από αυτές και αντιγράφουν τις τεχνικές επίθεσης.
Το νέο έτος πιστεύουμε ότι θα δούμε αύξηση των εξελιγμένων κυβερνοεγκληματικών mobile επιθέσεων, λόγω των κρατικά υποστηριζόμενων επιθέσεων σε κινητές συσκευές, οι οποίες έχουν αρχίσει να έρχονται στο φως.
2. Ειδήσεις σχετικά με hackers που έχουν βάλει στόχο τα διαστημικά προγράμματα θα γίνουν πρωτοσέλιδο
Με δεδομένο το ανανεωμένο κυβερνητικό και ιδιωτικό ενδιαφέρον για την «Κούρσα του Διαστήματος», καθώς και πρόσφατες έρευνες κυβερνοασφάλειας σχετικά με ευπάθειες των δορυφόρων, πιστεύουμε ότι ειδήσεις τύπου «hacking στο διάστημα» θα γίνουν πρωτοσέλιδα το 2022.
Πρόσφατα, η δορυφορική πειρατεία πέτυχε να κερδίσει την προσοχή της κοινότητας της κυβερνοασφάλειας, των ερευνητών, αλλά και συνέδρια όπως το DEF CON. Ενώ οι δορυφόροι μπορεί να φαίνονται απρόσιτοι στις περισσότερες απειλές, οι ερευνητές ανακάλυψαν ότι μπορούν να επικοινωνήσουν μαζί τους χρησιμοποιώντας εξοπλισμό αξίας περίπου 300 δολαρίων. Επιπλέον, οι παλιότεροι δορυφόροι συνήθως δεν βασίζονται σε σύγχρονους ελέγχους ασφαλείας, εκμεταλλευόμενοι την απόσταση και την απόκρυψη για την άμυνα.
Στο μεταξύ, πολλές ιδιωτικές εταιρείες έχουν ξεκινήσει την κούρσα του διαστήματος, η οποία θα αυξήσει σημαντικά την επιφάνεια επίθεσης σε τροχιά. Εταιρείες όπως η Starlink εκτοξεύουν δορυφόρους κατά χιλιάδες. Σε συνδυασμό με αυτές τις δύο τάσεις, συν την αξία των συστημάτων τροχιάς για τα εθνικά κράτη, τις οικονομίες και την κοινωνία, υποπτευόμαστε ότι οι κυβερνήσεις έχουν ήδη ξεκινήσει αθόρυβα τις εκστρατείες κυβερνοάμυνας στο διάστημα. Μην εκπλαγείτε αν κάποια ημέρα σύντομα δούμε υποθέσεις hacking που σχετίζονται με το διάστημα, στους τίτλους των εφημερίδων.
3. Spear SMSishing επιθέσεις σε πλατφόρμες messenger
Το phishing που βασίζεται σε κείμενο, γνωστό ως SMSishing, έχει αυξηθεί σταθερά με τα χρόνια. Όπως και το social engineering μέσω email, ξεκίνησε με μη στοχευμένα δελεαστικά μηνύματα που στέλνονταν ως spam σε μεγάλες ομάδες χρηστών, αλλά πρόσφατα έχει εξελιχθεί σε πιο στοχευμένα κείμενα που μεταμφιέζονται σε μηνύματα από κάποιον που γνωρίζετε, συμπεριλαμβανομένου ίσως του αφεντικού σας.
Παράλληλα, έχουν εξελιχθεί και οι πλατφόρμες που προτιμούμε για σύντομα μηνύματα κειμένου. Οι χρήστες, ειδικά οι επαγγελματίες, έχουν συνειδητοποιήσει το πόσο ευάλωτα είναι τα μηνύματα cleartext SMS χάρη στο NIST, τις διάφορες παραβιάσεις παρόχων και τα ζητήματα ασφάλειας σε πρότυπα παρόχων όπως το Signaling System 7 (SS7). Όλα αυτά έχουν αναγκάσει πολλούς να μετακινήσουν τα επαγγελματικά τους μηνύματα κειμένου σε εναλλακτικές εφαρμογές όπως το WhatsApp, το Facebook Messenger, ακόμη και το Teams ή το Slack.
Όπου πηγαίνουν οι νόμιμοι χρήστες, σίγουρα τους ακολουθούν εκεί κακόβουλοι κυβερνοεγκληματίες. Ως αποτέλεσμα, αρχίζουμε να βλέπουμε αύξηση στις αναφορές κακόβουλων μηνυμάτων τύπου SMSishing σε πλατφόρμες messenger όπως το WhatsApp. Έχετε λάβει ένα μήνυμα WhatsApp από τον CEO σας που σας ζητά να τον βοηθήσετε να δημιουργήσει έναν λογαριασμό για ένα project στο οποίο εργάζεται; Ίσως θα πρέπει να τηλεφωνήσετε ή να επικοινωνήσετε μαζί του μέσω κάποιου άλλου μέσου επικοινωνίας για να επαληθεύσετε ότι είναι πραγματικά αυτό το άτομο!
Εν ολίγοις, αναμένουμε να δούμε τον διπλασιασμό των στοχευμένων μηνυμάτων phishing σε πολλές πλατφόρμες ανταλλαγής μηνυμάτων το 2022.
4. Ο έλεγχος ταυτότητας χωρίς password και χωρίς MFA θα αποτύχει μακροπρόθεσμα
Είναι επίσημο. Τα Windows δεν έχουν κωδικό πρόσβασης! Ενώ γιορτάζουμε την απομάκρυνση από την αποκλειστική χρήση passwords για ψηφιακή πιστοποίηση ταυτότητας, πιστεύουμε επίσης ότι η συνεχιζόμενη τρέχουσα μόδα του ελέγχου ταυτότητας single-factor (ενός παράγοντα) για τα Windows logins απλώς επαναλαμβάνει τα ίδια λάθη του παρελθόντος. Τα Windows 10 και 11 θα σας επιτρέπουν τώρα να ρυθμίσετε τον έλεγχο ταυτότητας χωρίς password, χρησιμοποιώντας επιλογές όπως το Hello (βιομετρικά στοιχεία της Microsoft), ένα Fido hardware token ή ένα email με password μίας χρήσης (OTP).
Αν και πολλοί επαινούν τη Microsoft γι’ αυτή την τολμηρή κίνηση, πιστεύουμε ότι όλοι οι μηχανισμοί ελέγχου ταυτότητας single-factor είναι η λάθος επιλογή και επαναλαμβάνουν τα ήδη γνωστά λάθη των passwords. Τα βιομετρικά στοιχεία δεν είναι ένα μαγικό χάπι που είναι ανίκητο – στην πραγματικότητα, ερευνητές και επιτιθέμενοι έχουν επανειλημμένα κατορθώσει να ξεγελάσουν διάφορους βιομετρικούς μηχανισμούς. Σίγουρα, η τεχνολογία βελτιώνεται, αλλά το ίδιο ισχύει και για τις τεχνικές επίθεσης (ειδικά σε έναν κόσμο social media, φωτογραμμετρίας και 3D εκτύπωσης). Σε γενικές γραμμές, τα hardware tokens είναι επίσης ισχυρή επιλογή single-factor ελέγχου, αλλά η παραβίαση του RSA απέδειξε ότι ούτε αυτά είναι αήττητα. Και, ας είμαστε ειλικρινείς, τα clear text emails με OTP παραμένουν κακή ιδέα.
Η μόνη ισχυρή λύση για την επικύρωση της ψηφιακής ταυτότητας είναι ο έλεγχος ταυτότητας πολλαπλών παραγόντων (multi-factor authentication, MFA). Κατά τη γνώμη μας, η Microsoft (και άλλοι) θα μπορούσαν πραγματικά να έχουν λύσει αυτό το πρόβλημα κάνοντας το MFA υποχρεωτικό κι εύκολο στα Windows. Μπορείτε ακόμα να χρησιμοποιήσετε το Hello ως έναν εύκολο παράγοντα ελέγχου ταυτότητας, αλλά οι επιχειρήσεις θα πρέπει να αναγκάσουν τους χρήστες να το αντιστοιχίσουν με έναν άλλο, όπως μια έγκριση push στο κινητό τηλέφωνο που αποστέλλεται μέσω κρυπτογραφημένου καναλιού (χωρίς text ή clear email).
Η πρόβλεψή μας είναι ότι ο έλεγχος ταυτότητας χωρίς password των Windows θα απογειωθεί το 2022, αλλά αναμένουμε από τους hackers και τους ερευνητές να βρουν τρόπους να τον παρακάμψουν, αποδεικνύοντας ότι δεν διδαχθήκαμε από τα μαθήματα του παρελθόντος.
5. Οι επιχειρήσεις αυξάνουν την ασφαλιστική κάλυψη κυβερνοασφάλειας παρά το αυξημένο κόστος
Από την αστρονομική επιτυχία του ransomware που ξεκίνησε το 2013, οι ασφαλιστές στον χώρο της κυβερνοασφάλειας έχουν συνειδητοποιήσει ότι το κόστος για την κάλυψη των πελατών έναντι αυτών των απειλών έχει αυξηθεί δραματικά. Μάλιστα, σύμφωνα με έκθεση της S&P Global, ο δείκτης ζημιών των ασφαλιστών στον κυβερνοχώρο αυξήθηκε για τρίτη συνεχόμενη χρονιά το 2020 κατά 25 μονάδες ή περισσότερο από 72%. Αυτό είχε ως συνέπεια τα ασφάλιστρα για αυτόνομα ασφαλιστήρια συμβόλαια κυβερνοασφάλειας να αυξηθούν κατά 28,6% το 2020 σε 1,62 δισεκατομμύρια δολάρια ΗΠΑ. Ως αποτέλεσμα, έχουν αυξηθεί σημαντικά οι απαιτήσεις κυβερνοασφάλειας για τους πελάτες. Όχι μόνο έχει αυξηθεί η τιμή της ασφάλισης, αλλά οι ασφαλιστές τώρα σαρώνουν και ελέγχουν ενεργά την ασφάλεια των πελατών προτού παρέχουν κάλυψη που σχετίζεται με την κυβερνοασφάλεια.
Το 2022, εάν δεν διαθέτετε τις κατάλληλες προστασίες, συμπεριλαμβανομένου του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) στην απομακρυσμένη πρόσβαση, ενδέχεται να μην λάβετε κυβερνοασφάλεια στην τιμή που θα θέλατε ή και καθόλου. Όπως και άλλοι κανονισμοί και πρότυπα συμμόρφωσης, αυτή η νέα ασφαλιστική πολιτική επικεντρώνεται στην ασφάλεια και τον έλεγχο, και θα οδηγήσει τις εταιρείες στον στόχο της βελτίωσης της άμυνας το 2022.
6. Και το όνομα αυτής… «Zero Trust»
Οι περισσότεροι επαγγελματίες σε θέματα ασφάλειας λειτουργούν βάσει της αρχής του «ελάχιστου προνομίου» από την αρχή της σταδιοδρομίας τους. Η παροχή στους χρήστες του ελάχιστου επιπέδου πρόσβασης που απαιτείται για την εκτέλεση των εργασιακών τους λειτουργιών έχει αποδειχτεί, ως επί το πλείστον, αδιαμφισβήτητη βέλτιστη πρακτική. Δυστυχώς, οι βέλτιστες πρακτικές δεν μεταφράζονται άμεσα σε ευρεία υιοθέτηση, τουλάχιστον στην πλήρη έκτασή τους. Τα τελευταία χρόνια, μάλλον δεκαετίες, έχουμε δει την ευκολία με την οποία οι επιτιθέμενοι μπορούν να κινηθούν πλαγίως και να αναβαθμίσουν το επίπεδο πρόσβασής τους, ενώ εκμεταλλεύονται επιχειρήσεις που δεν έχουν ακολουθήσει βασικές αρχές ασφαλείας.
Πρόσφατα, μια «μοντέρνα» αρχιτεκτονική ασφάλειας πληροφοριών με το όνομα Zero Trust έχει γίνει δημοφιλής. Μια προσέγγιση Zero-Trust για την ασφάλεια, ουσιαστικά συνοψίζεται στην «υπόθεση παραβίασης». Με άλλα λόγια, βασίζεται στην υπόθεση ότι ένας εισβολέας έχει ήδη θέσει σε κίνδυνο ένα από τα περιουσιακά στοιχεία ή τους χρήστες σας και σχεδιάζετε το δίκτυο και τις προστασίες ασφαλείας σας με τρόπο που περιορίζει την ικανότητά τους να μετακινούνται πλαγίως σε πιο κρίσιμα συστήματα. Θα δείτε όρους όπως “μικροτμηματοποίηση” και “επιβεβαιωμένη ταυτότητα” να διατυπώνονται σε συζητήσεις για το Zero Trust. Όμως, όποιος είναι εδώ και αρκετό καιρό στον χώρο, θα αναγνωρίσει ότι αυτή η μοντέρνα αρχιτεκτονική βασίζεται στις υπάρχουσες, μακροχρόνιες αρχές ασφαλείας της ισχυρής επαλήθευσης ταυτότητας και της ιδέας του ελάχιστου προνομίου.
Αυτό δεν σημαίνει ότι η αρχιτεκτονική Zero-Trust είναι απλά μια ακόμα τάση ή είναι περιττή. Αντίθετα, είναι ακριβώς αυτό που έπρεπε να κάνουν οι επιχειρήσεις ήδη από τις απαρχές της δικτύωσης. Προβλέπουμε ότι το 2022, οι περισσότεροι οργανισμοί θα εφαρμόσουν επιτέλους μερικές από τις παλαιότερες έννοιες ασφάλειας σε όλα τα δίκτυά τους και δίκαια θα την αποκαλέσουν Zero Trust.