Zrozumienie krajobrazu cyberbezpieczeństwa w 2021 r.

Być może słyszałeś powiedzenie: „Nigdy nie pozwól, aby kryzys się zmarnował”. Niestety, hakerzy wzięli to sobie do serca podczas COVID-19. Liczba cyberataków gwałtownie wzrosła, gdy hakerzy wielokrotnie wykorzystywali podatne na ataki tylne drzwi do systemów korporacyjnych w warunkach rozpraszania uwagi spowodowanej pandemią. Cele obejmowały opiekę zdrowotną, usługi finansowe i instytucje sektora publicznego, takie jak Światowa Organizacja Zdrowia. Ataki na sektor finansowy wzrosły na całym świecie o 238% w okresie od lutego do kwietnia 2020 r.

Według Alissy Abdullah, zastępcy dyrektora ds. bezpieczeństwa w Mastercard i byłego zastępcy dyrektora ds. bezpieczeństwa w Białym Domu za prezydenta Baracka Obamy, COVID-19 i wynikające z niego przejście na pracę wirtualną „zmieniły możliwości przeciwnika i przeniosły jego uwagę na niektóre z innych narzędzia, których używamy.”

Hakerzy zaatakowali również platformy współpracy. W kwietniu 2020 r. hakerzy zdobyli ponad 500 000 nazw użytkownika i haseł do kont Zoom i sprzedali je na ciemnych forach kryminalnych za jedyne pensa za konto; niektóre informacje zostały po prostu podane. Pojawiły się również cyberataki z udziałem szczepionki COVID-19; w grudniu 2020 r. Europejska Agencja Leków poinformowała, że ​​niektóre dane dotyczące szczepionki Pfizer/BioNTech COVID-19 zostały skradzione podczas cyberataku. Mniej więcej w tym samym czasie IBM zaalarmował hakerami atakującymi firmy zajmujące się dystrybucją szczepionek na COVID-19.

Spodziewaj się, że więcej cyberataków nastąpi szybciej

Cyberataki i związane z nimi koszty będą tylko nabierać tempa. Rozważ następujące kwestie: Cybersecurity Ventures przewiduje, że cyberataki będą występować co 11 sekund w 2021 r., prawie dwukrotnie więcej niż w 2019 r. (co 19 sekund) i czterokrotnie w porównaniu z 2016 r. (co 40 sekund). Szacuje się, że cyberprzestępczość kosztuje obecnie świat 6 bilionów dolarów rocznie, czyli dwukrotnie więcej niż 3 biliony dolarów w 2015 roku. Przewiduje się, że do 2025 roku cyberprzestępczość będzie kosztować świat 10,5 biliona dolarów rocznie.

Cena cyberprzestępczości obejmuje między innymi kradzież własności intelektualnej oraz danych osobowych i finansowych, a także rzeczywistych pieniędzy, a także koszty zakłóceń działalności po ataku, utraty produktywności i uszczerbku na reputacji, wyjaśnia Steve Morgan, założyciel przedsięwzięć związanych z cyberbezpieczeństwem. Oprócz tych bezpośrednich konsekwencji ukryte koszty cyberprzestępczości obejmują również wyższe składki ubezpieczeniowe, niższe ratingi kredytowe oraz opłaty prawne należne klientom wszczynającym postępowanie sądowe.

Raport IBM Security z 2020 r., w którym przebadano 524 organizacje, które naruszyły zabezpieczenia w 17 krajach w 17 branżach, wykazał, że średni koszt naruszenia danych wyniósł aż 3,86 mln USD, a jego opanowanie zajęło średnio 280 dni. Konsekwencje mogą trwać latami po incydencie.

Atakowany: spear phishing, socjotechnika i vishing

W Wielkiej Brytanii w 2019 r. 90% naruszeń danych było spowodowanych błędem ludzkim. Podczas pandemii pracownicy byli zaabsorbowani zwiększonym stresem osobistym i finansowym, co czyniło ich bardziej podatnymi na spear phishing – rodzaj phishingu wymierzonego w określone osoby lub grupy w organizacji – oraz ataki „inżynierii społecznej” mające na celu psychologiczne manipulowanie osobami w celu ujawnienia Wrażliwa informacja.

Mówiąc dokładniej, ataki socjotechniczne mają na celu nakłonienie pracowników do zrobienia czegoś, co wydaje się uzasadnione, ale nie jest. Chociaż firmy zazwyczaj szkolą pracowników w zakresie rozpoznawania fałszywych żądań, w nietypowych okolicznościach pandemii pracownikom coraz trudniej jest odróżnić oszustwa od uzasadnionych żądań.

„Wszyscy wiedzą, że nie można odebrać USB na parkingu [i włożyć go do komputera], ale szkolenie doświadczonych pracowników w zakresie fałszywych wiadomości e-mail od szefów nadal stanowi prawdziwy problem” – mówi Thomas Ruland, ekspert finansowy w Toptal. Network oraz szef działu finansów i operacji w Decentriq, firmie specjalizującej się w bezpiecznym udostępnianiu danych i współpracy. „Kiedy nie jesteś w tym samym biurze, przypadkowe udostępnianie danych może się zdarzać częściej. Kiedy ludzie pracują w tym samym fizycznym biurze, możesz po prostu zapytać: „Hej, naprawdę to wysłałeś?”. ale trudniej to przeanalizować, pracując w domu”.

Kwestia „vishingu” — phishingu głosowego — została również zaostrzona przez pandemię, w której osoby atakujące wykorzystują połączenia w celu uzyskania danych uwierzytelniających VPN lub innych poufnych informacji od pracowników. Oszustwa Vishing często próbują wyglądać na uzasadnione, dostarczając potencjalnym ofiarom dokładne dane osobowe, takie jak numer ubezpieczenia społecznego lub numer konta bankowego danej osoby. Zaskakująca ilość innych danych osobowych jest publicznie dostępna dla atakujących, którzy muszą jedynie przeszukać platformy mediów społecznościowych lub inne powiązane strony internetowe, aby uzyskać dostęp do takich danych.

Wykorzystywanie słabych punktów w zabezpieczeniach w chmurze

COVID-19 pobudził pospieszne przyjęcie nowych technologii, ponieważ organizacje wprowadziły nowe procesy cyfrowe pośród zakłóceń w pracy biurowej. We wcześniejszych stadiach pandemii wiele firm nie miało innego wyjścia, jak tylko zaakceptować nowe ryzyka, w tym obniżone standardy kontroli, aby utrzymać działalność.

Jednym z głównych rezultatów tak szybkich i dramatycznych zmian było powszechne przyjęcie chmury. W raporcie State of the Cloud z 2021 r. firma Flexera stwierdziła, że ​​zapotrzebowanie na pracę zdalną skłoniło ponad połowę ankietowanej grupy do zwiększenia wykorzystania chmury poza to, co zostało zaplanowane. Inni respondenci wskazali, że ich organizacje mogą przyspieszyć migrację ze względu na trudności w dostępie do tradycyjnych centrów danych i opóźnienia w ich łańcuchach dostaw. Podczas gdy 20% procent przedsiębiorstw ujawniło, że ich roczne wydatki na chmurę przekroczyły 12 milionów dolarów, co stanowi wzrost o 7% w porównaniu z poprzednim rokiem, 74% zgłosiło, że ich koszty przekroczyły 1,2 miliona dolarów, w porównaniu z 50% w poprzednim roku.

Niestety, działania podejmowane w ekstremalnych czasach i pod presją operacyjną nieuchronnie doprowadziły do ​​luk w cyberbezpieczeństwie. A 75% respondentów w raporcie Cybersecurity Insiders dotyczącym bezpieczeństwa w chmurze 2020 wskazało, że byli „bardzo zaniepokojeni” lub „wyjątkowo zaniepokojeni” bezpieczeństwem chmury publicznej. Obawy dotyczące bezpieczeństwa chmury są jeszcze bardziej nasilone, gdy organizacje korzystają z dwóch lub więcej dostawców chmury publicznej, tak jak robi to 68% respondentów.

Eksperci ds. bezpieczeństwa i pracodawcy są przede wszystkim zaniepokojeni trzema wyzwaniami związanymi z bezpieczeństwem chmury. Po pierwsze, błędna konfiguracja chmury i kontenera, gdy administrator nieumyślnie wdraża ustawienia systemu chmury, które są sprzeczne z zasadami bezpieczeństwa organizacji. Innym jest ograniczona widoczność sieci, w której organizacja nie jest pewna, jaki sprzęt i oprogramowanie są podłączone do sieci i jakie zdarzenia sieciowe mają miejsce. Trzecim głównym problemem są niechronione środowiska wykonawcze w chmurze, które dają atakującym możliwość żerowania na organizacji.

Korzystanie przez pracowników z nieautoryzowanych urządzeń osobistych i sieci

COVID-19 i przejście na pracę wirtualną spowodowały powszechne przyjęcie programów przynoszenia własnych urządzeń. Zwłaszcza we wczesnych stadiach pandemii wielu pracowników nie miało innego wyboru, jak korzystać z urządzeń osobistych, publicznych sieci Wi-Fi lub sieci domowych do pracy zdalnej. Takie okoliczności zapewniają hakerom dostęp do zasobów organizacji; gdy urządzenia osobiste zostaną naruszone, mogą służyć jako startery do sieci firmowej.

„Jednym z największych zagrożeń bezpieczeństwa cybernetycznego jest urządzenie osobiste” – powiedziała Towarzystwu Zarządzania Zasobami Ludzkimi Trina Glass, prawniczka ze Stark & ​​Stark. „Niezależnie od tego, czy jest to smartfon, czy laptop, korzystanie z osobistej technologii w środowisku pracy, które wiąże się z poufnymi informacjami, stwarza poważne problemy. Pracownicy mogą zapisywać dokumenty na swoich komputerach lub wysyłać wersje robocze dokumentów na osobistą pocztę e-mail. Mogą nie mieć aktualnego oprogramowania antywirusowego lub mogą używać przestarzałej osobistej ochrony hasłem.”

Ataki w łańcuchu dostaw i ryzyko stron trzecich

W grudniu 2020 r. pojawiła się wiadomość, że SolarWinds, duża firma zarządzająca IT, ucierpiała z powodu cyberataku, który pozostawał niewykryty przez wiele miesięcy. Na początku tego roku zagraniczni hakerzy włamali się do systemów SolarWinds i wstawili złośliwy kod. Następnie, gdy SolarWinds wysłał aktualizacje oprogramowania do swoich 33 000 klientów, kod atakujący poszedł wraz z nim i stworzył tylne drzwi do systemów informatycznych klientów. Hakerzy wykorzystali te tylne drzwi do zainstalowania dodatkowego złośliwego oprogramowania szpiegującego. Ostatecznie około 18 000 klientów SolarWinds zainstalowało te aktualizacje, w tym agencje amerykańskie, takie jak Departamenty Bezpieczeństwa Wewnętrznego i Skarbu, oraz firmy prywatne, takie jak Intel, Microsoft i Cisco.

Hakerzy często atakują niezabezpieczone elementy łańcucha dostaw oprogramowania lub sprzętu. Accenture ustaliło, że 40% ataków na cyberbezpieczeństwo pochodzi z rozszerzonego łańcucha dostaw. Atakujący zazwyczaj szukają najsłabszych ogniw, takich jak mali dostawcy z niewielką liczbą kontroli cyberbezpieczeństwa lub komponenty open source. Najczęściej, po zidentyfikowaniu celu, hakerzy dodają tylne drzwi do legalnego i certyfikowanego oprogramowania lub kompromitują systemy używane przez zewnętrznych dostawców. W ten sposób ataki na łańcuch dostaw ujawniają prawdę, że kontrole cyberbezpieczeństwa organizacji są tak silne, jak najsłabsze ogniwo łańcucha.

Co możesz zrobić, aby poprawić cyberbezpieczeństwo swojej firmy?

Teraz, gdy świat jest ponad rok pandemii, firmy muszą wyjść poza proste wprowadzanie środków tymczasowych i zamiast tego przewidywać „następną normalność”. Dyrektorzy ds. bezpieczeństwa informacji, dyrektorzy finansowi i zespoły ds. cyberbezpieczeństwa muszą ustalić, w jaki sposób ich pracownicy, klienci, łańcuchy dostaw i koledzy z sektora będą ze sobą współpracować, aby zapewnić odpowiednie cyberbezpieczeństwo. Oto pięć sposobów na rozpoczęcie:

Zwiększenie czujności wokół dostępu: zero zaufania i uwierzytelnianie wieloskładnikowe

Tradycyjne zabezpieczenia sieci IT opierają się na koncepcji zamku i fosy: wszyscy w sieci są domyślnie zaufani, a osobom spoza sieci trudno jest uzyskać dostęp. Cyberataki, które miały miejsce podczas pandemii COVID-19, ujawniły ograniczenia tej strategii. Firmy powinny rozważyć przyjęcie strategii zerowego zaufania, która utrzymuje rygorystyczne kontrole dostępu i domyślnie nie ufają żadnej osobie, urządzeniu ani aplikacji — nawet tym, które już znajdują się w obrębie sieci. Model z zerowym zaufaniem wymaga weryfikacji tożsamości i autoryzacji dla każdej osoby i urządzenia próbującego uzyskać dostęp do zasobów w sieci prywatnej. W 2019 r. Gartner przewidywał, że do 2023 r. 60% przedsiębiorstw przejdzie z VPN na inicjatywy zerowego zaufania.

Ponadto przedsiębiorstwa powinny nakazywać pracownikom uwierzytelnianie dwuskładnikowe. Uwierzytelnianie dwuskładnikowe wymaga od użytkownika podania dwóch różnych rodzajów informacji w celu uzyskania dostępu do konta online lub systemu informatycznego; zazwyczaj obejmuje to parę nazwa użytkownika/hasło (uwierzytelnianie jednoskładnikowe) i inny dowód tożsamości, taki jak kod wysłany na telefon lub adres e-mail pracownika.

Światowe Forum Ekonomiczne zaleca, aby firmy również rozpoczęły przechodzenie na biometryczne uwierzytelnianie wieloskładnikowe przy użyciu odcisków palców, twarzy, zachowania podczas pisania lub innych czynników w celu weryfikacji tożsamości użytkowników. W przeciwieństwie do firm, które przechowują hasła swoich klientów na swoich serwerach, dane biometryczne użytkowników są przechowywane na urządzeniu użytkownika, w związku z czym nie ma jednego punktu gromadzenia danych, do którego cyberprzestępcy mogliby uzyskać dostęp, a ryzyko oszustw internetowych i kradzieży tożsamości jest znacznie zmniejszone . Przewiduje się, że wielkość globalnego rynku systemów biometrycznych wzrośnie z 36,6 mld USD w 2020 r. do 68,6 mld USD do 2025 r.

Przemyśl ponownie łańcuch dostaw i ryzyko stron trzecich

Aby wzmocnić cyberbezpieczeństwo, organizacje muszą zbadać swoje narzędzia bezpieczeństwa i wymagania dotyczące udostępniania i przechowywania prywatnych informacji dostawcom. Organizacje powinny rozpocząć od przeglądu wszystkich dostawców i potencjalnych usług innych firm w tle; przypisywać poziomy ryzyka dostawcom, wyznaczając te najbardziej krytyczne dla operacji i mając największy dostęp do istotnych informacji; a następnie odpowiednio skalibrować zakres oceny.

Przedsiębiorstwa powinny następnie zaktualizować mechanizmy kontroli i ograniczenia dostępu dla stron trzecich oraz opracować bardziej solidne mechanizmy kontroli utraty danych. Organizacje muszą również zapewnić, że dostawcy, którzy nie są obecnie przygotowani na podwyższone ryzyko cybernetyczne, zobowiążą się do opracowania planów gotowości na cyberbezpieczeństwo, aby bezpiecznie obsługiwać informacje i współdziałać z sieciami korporacyjnymi organizacji. Ponadto, tam gdzie to możliwe, przedsiębiorstwa powinny integrować krytyczne dzienniki firm trzecich z monitorowaniem bezpieczeństwa przedsiębiorstwa i tworzyć systemy ostrzegania w celu skoordynowanego monitorowania i reagowania. Podjęcie wszystkich tych kroków pomoże zbudować cyberodporność w łańcuchach dostaw.

Opracuj i ulepsz zestaw umiejętności w zakresie bezpieczeństwa w chmurze

W miarę odchodzenia od tradycyjnych lokalnych rozwiązań cyberbezpieczeństwa w kierunku architektur zorientowanych na chmurę organizacje muszą nauczyć się bronić chmury.

Błędna konfiguracja chmury i kontenera może stanowić problem, ponieważ w przeciwieństwie do sieci lokalnej, w której tylko specjaliści IT mogą konfigurować i wdrażać infrastrukturę sieciową, w środowisku chmury może to robić znacznie więcej osób. Atakujący często wykorzystują błędne konfiguracje, aby uzyskać dostęp do sieci, ponieważ są łatwe do wykrycia. Organizacje mogą pomóc w zarządzaniu błędami konfiguracji, postępując zgodnie z przewodnikiem Gartner dotyczącym platform ochrony obciążeń w chmurze, aby ustalić punkt odniesienia dla zasobów podłączonych do sieci. (Pełny raport można kupić tutaj.) Stamtąd organizacje powinny monitorować te zasoby pod kątem odchyleń i potencjalnie stosować zautomatyzowane środki obronne, aby chronić swoje systemy przed atakami.

Jeśli chodzi o widoczność sieci, narzędzia do wykrywania zasobów zapewniają wykrywanie urządzeń i świadomość nie tylko tego, co znajduje się w sieci, ale także tego, które zasoby nie są chronione. Narzędzia te zapewniają przejrzystość relacji między zasobami, ich wykorzystaniem, siecią i innymi urządzeniami, w tym modułami oprogramowania zainstalowanymi w sieci.

Wreszcie, organizacje mogą chronić się przed niechronionymi środowiskami wykonawczymi w chmurze dla obciążeń kontenerowych. Gdy urządzenie próbuje uruchomić aplikację, środowiska wykonawcze działają jako pośrednik między aplikacją a systemem operacyjnym.

Korzystaj ze sztucznej inteligencji i uczenia maszynowego

Chociaż analitycy bezpieczeństwa ludzkiego już wykorzystują narzędzia do automatyzacji, aby wyodrębnić najpilniejsze alerty z ogromnych zbiorów danych i skłonić ludzi do podjęcia działań, narzędzia sztucznej inteligencji (AI) i uczenia maszynowego (ML) stają się coraz bardziej wyrafinowane.

„Wychodzimy poza algorytmy, które po prostu patrzą na twoje dane i mówią człowiekowi, aby zrobił coś z pewnym odstającym elementem”, mówi wiceprezes ds. inżynierii i szef uczenia maszynowego w Splunk, Ram Sriharsha, w raporcie firmy na temat bezpieczeństwa danych z 2021 r. „Ze względu na skalę potrzebujemy algorytmów i automatyzacji, które przyjmą działanie. W dziedzinie bezpieczeństwa będziemy nie tylko trenować modele dotyczące przeszłych złych aktorów i zachowań, aby zidentyfikować nowe, podobne zachowania. Zobaczymy algorytmy, które po prostu patrzą na to, co się dzieje — patrzą na ruch, patrzą na dane — aby identyfikować złe wzorce i podejmować działania wymijające”.

Organizacje powinny rozważyć zastosowanie samouczących się, opartych na sztucznej inteligencji systemów zarządzania cyberbezpieczeństwem. Jednak wraz z rozwojem rozwiązań cyberbezpieczeństwa AI/ML, rozwijają się również osoby atakujące. Korzystając z uczenia się przeciwnika, źli aktorzy zbierają wystarczająco dużo informacji na temat modelu AI/ML, aby zaprojektować sposoby zatruwania systemu i uczynienia go nieskutecznym w obronie. Uczenie się kontradyktoryjności jest podobne do, powiedzmy, nakłaniania autonomicznego pojazdu do błędnego zrozumienia znaku stopu. Według badań Gartnera 30% wszystkich cyberataków AI będzie wykorzystywać zatruwanie danymi treningowymi, kradzież modelu AI lub próbki przeciwników do atakowania systemów opartych na sztucznej inteligencji do 2022 roku. Jednak pomimo tych zagrożeń dla systemów AI/ML, niedawna ankieta firmy Microsoft ujawniła że 25 z 28 firm wskazało, że nie posiada odpowiednich narzędzi do zabezpieczania swoich systemów AI/ML. Nie bądź jednym z nich.

Uruchom interaktywne szkolenie z zakresu cyberbezpieczeństwa dla pracowników

Choć pozornie proste, bardzo ważne jest, aby organizacje usprawniły szkolenie pracowników w zakresie środków bezpieczeństwa cybernetycznego. Organizacje powinny zaprojektować programy szkoleniowe i ćwiczenia oparte na rolach, aby zwiększyć świadomość nowych zagrożeń cybernetycznych w środowisku zdalnym, w tym nowych zagrożeń, zasad korzystania z zatwierdzonych urządzeń i procesów zgłaszania incydentów cybernetycznych.

Zespoły zarządzające powinny również zapewnić symulacje i instruktaże scenariuszy cyberataków, aby aktywnie angażować pracowników. Kierownictwo powinno również zapewnić jasne wytyczne dotyczące wymaganych działań i eskalacji decyzji.

Wreszcie należy przypomnieć pracownikom, aby nie korzystali z publicznych sieci Wi-Fi lub drukarek i nie przechowywali dokumentów na komputerach domowych.

Zachowanie czujności w obliczu zagrożeń związanych z cyberbezpieczeństwem

Aby zareagować na eskalację cyberataków w postaci ataków socjotechnicznych i ataków na łańcuch dostaw, a także zwiększające się informatyka w cieniu i wrażliwe środki tymczasowe, przedsiębiorstwa powinny skoncentrować się na dostosowaniu się do „następnej normalności”. Oznacza to, że kierownictwo musi współpracować z zespołami ds. cyberbezpieczeństwa, aby zwiększyć czujność w zakresie dostępu, przemyśleć łańcuch dostaw i ryzyko osób trzecich, opracować zestawy umiejętności w zakresie bezpieczeństwa w chmurze, wykorzystać narzędzia AI i ML oraz ulepszyć interaktywne szkolenia pracowników. Tworzenie bezpiecznych środowisk dla klientów daje firmom przewagę konkurencyjną oraz buduje zaufanie i lojalność ich obecnych i przyszłych klientów.