1. Коммерциализация атак на цепочки распространения ПО может привести к увеличению числа «жертв» среди крупных компаний
Атаки на цепочки распространения ПО, по всей вероятности, откроют «новые горизонты» для киберпреступников в 2022 году. По прогнозам Майкла Хейвуда, злоумышленники будут искать слабые звенья в программном обеспечении вендоров, нацеливаясь на софт, популярный среди пользователей во всем мире или концентрируясь на конкретном ПО, использующемся в компании.
По мнению Джоанны Бёрки, таким образом злоумышленники значительно увеличат масштаб своих атак. Взлом Kaseya, затронувший более 1500 компаний, показал, что цепочки распространения ПО могут быть прибыльной целью для хакеров. Специалисты полагают, что в следующем году преступники будут активнее использовать такой тип атак.
Йэн Пратт считает, что целью хакеров могут быть как компании малого и среднего бизнеса, так и крупные предприятия. Взлом Kaseya, о котором мы говорили ранее, должен стать тревожным сигналом для всех независимых разработчиков: даже если их клиентская база не состоит из корпоративных и государственных заказчиков, они все равно могут попасть под прицел злоумышленников, стремящихся атаковать их клиентов.
Роберт Массе считает, что некоторые вертикально интегрированные организации будут с большей вероятностью становиться целями взломов цепочек поставок ПО, нежели остальные. Злоумышленникам, по его мнению, будут интересны прежде всего медицинские компании, а также предприятия из области энергетики и добывающей промышленности, которые используют большое количество оборудования и ПО от разных производителей. В следующем году целостность цепочек поставок софта будет иметь жизненно важное значение, поскольку атаки на них реализуются быстрее, чем запускаются циклы разработки и внедрения технологий защиты.
Компании также должны помнить об угрозе, которую представляют собой уязвимости в программном обеспечении с открытым исходным кодом. По мнению Патрика Шлепфера, в следующем году число продуктов с таким типом шифрования увеличится, и злоумышленники будут активно внедрять новые угрозы в библиотеки с открытым исходным кодом, которые используются в цепочках поставок программного обеспечения. Это может привести к компрометации еще большего числа организаций, независимо от того, насколько эффективны их политики безопасности.
2. Преступные группировки, использующие программы-вымогатели, могут подвергать риску жизни людей и устраивать настоящие «набеги» на своих жертв
Программы-вымогатели будут оставаться серьезной угрозой в 2022 году. При этом хакеры могут проводить атаки на одну и ту же компанию несколько раз подряд. Джоанна Бёрки сравнивает сложившуюся ситуацию с травлей в социальных сетях. Жертвы программ-вымогателей будут неоднократно становиться мишенью киберпреступников: как только одна из компаний покажет свою «слабость» в этом вопросе, она тут же окажется на радарах других злоумышленников, которые тоже захотят получить свою долю.
Свой комментарий по этому поводу дал также Алекс Холланд. По его мнению, преступники будут всячески стремиться добиться своего, а их методы могут затрагивать не только саму жертву. Уже сегодня помимо данных со взломанных компьютеров, мошенники используют все более разнообразные методы, например, обзванивают потенциальных жертв или обращаются к клиентам и деловым партнерам атакуемых организаций. Майкл Хейвуд подчеркивает, что хакеры, работающие с программами-вымогателями, не просто шифруют данные, они крадут их, тем самым оказывая еще большее давление на жертв, вынуждая их платить выкуп как за разблокировку информации, так и за неразглашение.
Роберт Масс считает, что злоумышленники также могут сосредоточиться на отдельных вертикально интегрированных компаниях. Киберпреступники понимают, что в каких-то отраслях вероятность добиться получения выкупа выше, чем в других. Хакеры вполне могут нацеливаться на критически важные системы медицинского обеспечения и поддерживающую их инфраструктуру, где риск значительного ущерба будет самым высоким, и, соответственно, быстрее будет решаться вопрос выплат. Это уже начинает происходить. Например, в Канаде больницы откладывали проведение операций из-за атак программ-вымогателей.
Сегодня разные группы хакеров активно сотрудничают друг с другом в реализации нападений, и вполне вероятно, что эта тенденция также сохранится и в новом году. Уже сформировался рынок киберпреступности, расширяющий возможности полноценной «криминальной цепочки поставок». Благодаря этому даже неподготовленные злоумышленники могут получить всё необходимое для успешных кибератак от уже опытных хакеров, специализирующихся на краже учетных данных, создании эксплойтов или составлении электронных писем-приманок. Мошенники продают уже готовые решения «новичкам» и таким образом становятся недосягаемыми для правоохранительных органов. Это «плодотворное» сотрудничество выведет атаки на новый уровень, сделав их более опасными.
3. Уязвимости встроенного ПО упростят жизнь киберпреступникам
Есть вероятность, что в новом году мы сможем наблюдать распространение атак на firmware (прошивку устройства). В ближайшие 12 месяцев наработанные техники, приемы и процедуры для взлома микропрограммного обеспечения могут попасть в руки рядовых хакеров, благодаря чему они расширят свой арсенал и получат еще один инструмент для монетизации своей деятельности. Взлом прошивки предоставляет злоумышленникам возможность долгое время оставаться незамеченными и не бояться обнаружения, собирая необходимую информацию и готовя удар. Организации часто пренебрегают безопасностью аппаратного программного обеспечения на своих устройствах и обновляют его намного реже по сравнению с обычным софтом.
Роберт Масс считает, что непрозрачность микропрограммного ПО также может усугубить проблему. По его словам, предприятиям, работающим в тех отраслях, где подобные атаки могут быть наиболее вероятными, следует задуматься о рисках использования злоумышленниками вредоносных программ и эксплойтов на аппаратном уровне. Их очень сложно обнаружить даже при самых благоприятных обстоятельствах. Скрытые процессы и подмена отображения файлов (memory mapping) в памяти станут большой «головной болью» в 2022 году. При этом мы также можем ожидать атаки с использованием уязвимостей в центральном процессоре, BIOS и микрокоде — особенно по мере того, как злоумышленники переосмысливают свои подходы к построению атак с применением программ-вымогателей.
Однако простой борьбы с такими атаками силами специалистов по кибербезопасности будет недостаточно: следует принять во внимание эту тенденцию и на законодательном уровне добиваться необходимых изменений.
«Сегодня злоумышленники используют эксплойты аппаратного уровня в качестве инструмента для построения других атак. В этих условиях требуется разработка стандартов безопасности микропрограммного софта, которые позволят повысить уровень защиты. Совместными усилиями вместе с производителями оборудования необходимо добиться значимых изменений в этой сфере, которая до сих пор по большому счету оставалась в стороне», — считает Джулия Ву.
4. Гибридная работа и проведение массовых мероприятий будут создавать для злоумышленников новые возможности для атаки на пользователей
В условиях гибридного формата работы проблема идентификации сотрудников будет по-прежнему играть важную роль в обеспечении безопасности. По мнению Джоанны Бёрки, процедуры распознавания пользователей должны быть надежными и продуманными. Организациям необходимо быть уверенными в том, что каждое действие в системе совершается именно сотрудником. Сегодня многие компании считают, что одного лишь межсетевого экрана достаточно, чтобы обезопасить свои конечные точки, но в реальности это не так. В эпоху гибридного режима работы вопрос идентификации пользователей становится как никогда важным.
Переход к гибридной работе будет по-прежнему представлять угрозу для корпоративной безопасности. Каждый сотрудник становится мишенью для злоумышленников, поскольку количество неуправляемых и незащищенных устройств открывает простор для атак. Роберт Масс считает, что гибридный формат работы облегчает хакерам доступ к данным:
«Киберпреступники могут начать атаковать домашние сети руководителей высшего звена и даже правительственных чиновников, поскольку их личные устройства взломать легче, чем корпоративную сеть».
Постоянной угрозой в эпоху гибридной работы будут оставаться фишинговые атаки. Сотрудники привыкли использовать домашние устройства для выполнения рабочих задач или корпоративные устройства для личных целей. В связи с этим, вполне можно ожидать увеличения количества фишинговых атак, нацеленных как на корпоративные, так и на личные данные. Фактически, подобные привычки пользователей удваивают шансы злоумышленников на успешный взлом, поэтому организациям необходимо информировать персонал о потенциальных рисках, а также обеспечить защиту устройств на уровне ПО.
По словам Патрика Шлепфера, массовые мероприятия также могут таить в себе опасности для пользователей: «Зимние Олимпийские игры в Пекине и Чемпионат мира по футболу в Катаре открывают перед злоумышленникам широкое поле для деятельности. Такие крупные мероприятия обычно привлекают преступников, привыкших действовать по обстоятельствам, — для них не важно, кто будет их жертвой: они готовы осуществлять прямые атаки на организаторов, спонсоров, участников и гостей мероприятия и использовать фишинговые приманки с использованием вредоносных программ и программ-вымогателей. Организации и простые пользователи должны осознавать подобные риски».
Потребность в новом подходе к обеспечению безопасности
Рост популярности гибридных форматов работы и постоянное совершенствование инструментов атак означает, что 2022 год приготовит множество неприятных сюрпризов для специалистов в области корпоративной безопасности. Принимая во внимания прогнозы экспертов, компаниям предстоит полностью пересмотреть отношение к защите рабочих мест, чтобы снизить риски и обеспечить устойчивость перед деятельностью преступников. Используя принципы Zero Trust — контролируемый доступ с минимальными привилегиями, изоляцию пользователей и надежное управление процессами идентификации — организации могут значительно сократить возможности для атаки и обеспечить безопасность гибридной работы.