W zeszłym roku przewidywaliśmy, że rok 2022 będzie wyzwaniem dla cyberbezpieczeństwa. Zostało to potwierdzone przez niezliczoną liczbę wyrafinowanych, głośnych ataków typu phishing i ransomware, takich jak DropBox, Twitter, Rockstar Games i Uber (dwa razy).
Wraz z wprowadzeniem phishingu jako usługi i innych wyrafinowanych zestawów narzędzi ukierunkowanych na słabsze formy 2FA, zespoły ds. bezpieczeństwa traktują teraz priorytetowo odporne na phishing uwierzytelnianie wieloskładnikowe (MFA). Ponadto firmy współpracujące z rządem federalnym USA jako klienci muszą odpowiadać na wdrożenie MFA, które były częścią dekretu wykonawczego Białego Domu z 2021 r.
Na szczęście w 2023 r. spodziewamy się szerszej dostępności poświadczeń opartych na FIDO np. passkey), aby pomóc firmom w radzeniu sobie z rosnącą falą ataków na poświadczenia. Poniżej znajdziesz szczegółowe informacje o tym, jak przygotowujemy siebie i klientów do wejścia w nowy rok.
Przygotuj się na stały wzrost taktyk ze strony hakerów
Hakowanie zwykle polega na ścieżce najmniejszego oporu – napastnicy będą skłaniać się ku metodzie, która pozwoli osiągnąć ich wyniki przy jak najmniejszym nakładzie czasu i pieniędzy. W niektórych przypadkach oznacza to zakup zestawu, usługi lub danych uwierzytelniających z ciemnego internetu. Wykorzystywanie wcześniej niepublikowanych luk (tzn. luk 0-day) stało się rzadkie. Ponadto luki w zabezpieczeniach, które umożliwiają atakującemu bezpośrednie złamanie zabezpieczeń systemu internetowego, nie są już tak powszechne jak kiedyś. W przypadku wykrycia tego typu problemów exploit jest często zawodny ze względu na różnice środowiskowe i różne środki zaradcze.
Ścieżką najmniejszego oporu dla większości atakujących staje się uzyskanie poświadczeń niezbędnych do uzyskania dostępu do środowiska. Zestawy phishingowe, „ciemne” sklepy internetowe i osoby z wewnątrz znacznie obniżyły poprzeczkę dla atakujących, aby uzyskać te informacje, podczas gdy przyjęcie środków zaradczych, takich jak odporne na phishing MFA, pozostaje w tyle. Na przykład grupa Lapsus$, grupa hakerska znana z wyłudzania danych, bezczelnie kupowała insiderów korporacyjnych na swoim kanale Telegram. Stało się jasne, że atakujący nie potrzebują już wyrafinowanych exploitów, aby uzyskać dostęp do systemów korporacyjnych. W niektórych przypadkach staje się to tak proste, jak pracownik, który był skłonny sprzedać swoje dane uwierzytelniające w „ciemnych” zakątkach sieci.
Ujawnienie danych uwierzytelniających w wyniku phishingu, ataków socjotechnicznych lub niezadowolonego pracownika nie powinno wystarczyć, aby doprowadzić do całkowitego naruszenia środowiska. Jednak za dużo tego typu ataków widzieliśmy w 2022 roku. Zakładanie, że możemy działać w środowisku bez wpadek, jest niczym innym jak nieodpowiedzialnością – jest to po prostu nierealne. Szokujące, niedawna ankieta Yubico wykazała, że 59% pracowników nadal polega na nazwie użytkownika i haśle jako podstawowej metodzie uwierzytelniania. Dodatkowo blisko 54% pracowników przyznaje się do zapisywania lub udostępniania hasła. Te trendy po prostu nie mogą prowadzić organizacji do sukcesu.
Przyjęcie nowoczesnych rozwiązań MFA jest jedynym realnym rozwiązaniem tych problemów z danymi uwierzytelniającymi. Nasze poleganie na świadomości, szkoleniu i metodach wykrywania okazało się niewystarczające.
Należy się spodziewać dalszego wzrostu zainteresowania cyberatakami wymierzonymi w infrastrukturę krytyczną i sektor publiczny
Ataki na infrastrukturę krytyczną, opiekę zdrowotną i systemy edukacyjne będą się nasilać. Wpływ przestojów lub utraty dostępności w tych środowiskach prowadzi do skalowalnego wpływu na szeroki zbiór populacji. To prowadziło i nadal będzie prowadzić do dużych i terminowych wypłat okupu. Wiemy z historii, że chęć zapłacenia okupu często prowadzi do dodatkowego zainteresowania w ramach przestępczości zorganizowanej i poza nią.
Wraz ze wzrostem liczby urządzeń monitorujących IoT w elektrowniach i powszechnym użyciem podłączonych czujników w obiektach przemysłowych znacznie wzrosła również liczba wektorów ataków. Cyberatak przeprowadzony w USA w 2021 r. na Colonial Pipeline pokazał, że naruszenia haseł mogą mieć wpływ zarówno na systemy IT, jak i OT, a zakłócenia w tych systemach mają daleko idące konsekwencje — nie tylko dla firmy, ale także dla akcjonariuszy i klientów.
Nowe memorandum bezpieczeństwa narodowego w sprawie poprawy bezpieczeństwa cybernetycznego systemów kontroli infrastruktury krytycznej oraz cele wydajności cyberbezpieczeństwa (CPG) Departamentu Bezpieczeństwa Wewnętrznego, określają podstawowe środki o najwyższym priorytecie, które właściciele infrastruktury krytycznej powinni podejmować w celu ochrony przed nowoczesnymi zagrożeniami cybernetycznymi, które mają na celu uzupełnienie Ramy Cyberbezpieczeństwa NIST. W sekcji 1.3, która zawiera szczegółowe zalecenia dotyczące MFA, memorandum zaleca, aby „sprzętowa MFA była włączona, gdy jest dostępna” w celu zapewnienia bezpiecznego dostępu w środowiskach IT i OT. Zostało to również podkreślone w bardziej ogólnym rozporządzeniu wykonawczym nr 14028 w sprawie pomocy makrofinansowej, wydanym przez prezydenta Stanów Zjednoczonych. Te zalecenia i upoważnienia rządowe podkreślają pilną potrzebę opracowania planów łańcucha dostaw, ukierunkowanych na bezpieczeństwo oraz zapewnienia rygorystycznych praktyk bezpieczeństwa w całej infrastrukturze krytycznej.
Architektura Zero Trust jest nadal głównym celem – ale wymagana będzie większa presja na dostawców
Architektura Zero Trust (ZTA) pozostanie na liście priorytetów dla firm przez wiele lat. W ciągu ostatnich 2-4 lat firmy przeniosły niektóre ze swoich krytycznych biznesowych aplikacji internetowych do ZTA, ale duży kontyngent aplikacji i usług zaplecza, albo wymaga strategii migracji, albo wsparcia ZTA, którego po prostu jeszcze nie ma. Wdrożenie chmury zapewnia szybkie rozwiązanie „pod klucz” dla niektórych przypadków użycia, ale nie dla wszystkich. Widzieliśmy również powolne wdrażanie w branży tradycyjnych usług finansowych, gdzie wiele osób nadal korzysta z technologii mainframe w swoich systemach rachunkowych.
Jako branża będziemy musieli nadal wywierać presję na naszych dostawców, aby zachęcali do przyjmowania protokołów i technologii umożliwiających ZTA. Zasadniczo są to protokoły, które umożliwiają tożsamości federacyjne, obsługują scentralizowane rejestrowanie, szyfrowaną komunikację i udostępniają interfejs API do obsługi automatyzacji zadań operacyjnych. Jeśli nie pomożemy prowadzić rozmowy, ta przeszkoda polegająca na „przekonaniu sprzedawcy” będzie nadal blokować drogę.
CISO muszą ewoluować w kierunku otwartych metod komunikacji i współpracy ze swoimi rówieśnikami i sieciami
CISO zwracają się do siebie nawzajem o rady i wskazówki na różne tematy, od prezentacji zarządu po usuwanie luk w zabezpieczeniach. Zauważyłem dramatyczny wzrost pozytywnej współpracy online w 2022 roku. CISO i inni menedżerowie spotykają się, aby dzielić się wiedzą i doświadczeniem.
Niedawno ogłoszenie OpenSSL o krytycznym (później zmienionym na wysoki) problemie w powiązanych bibliotekach doprowadziło do szybkiego utworzenia grupy roboczej skupionej na zrozumieniu problemów i reagowaniu na nie na kilka tygodni przed ujawnieniem. Chociaż luki prawie nie występowały, wyniki tej współpracy są namacalne.
Grupa robocza stała się stałym elementem ponad 400 specjalistów z różnych branż, krajów i poziomów doświadczenia. Miło jest znów tego doświadczyć, ponieważ większość moich wczesnych lat w tej branży polegała na szukaniu i udzielaniu pomocy na IRC. Spodziewam się, że zobaczę i doświadczę tego więcej w następnym roku, ponieważ nadal widzimy więcej zagrożeń dla coraz bardziej złożonego środowiska biznesowego i technicznego.
Standaryzacja zgodności
Zgodność jest nadal gorącym tematem, ale z niewłaściwych powodów. Organizacje zajmujące się bezpieczeństwem są zasypywane rozbieżnymi zestawami dostosowanych kwestionariuszy i oceny ryzyka od klientów i ich firm ubezpieczeniowych. Pytania są czasami oderwane od nowoczesnych środowisk lub koncentrują się na typie kontroli zamiast na celu. Czas i wysiłek wymagany do udzielenia odpowiedzi na każde z nich jest przytłaczający, a postrzegana wartość pytań maleje wraz z każdą odpowiedzią na kwestionariusz. To sprawia, że wielu CISO w mojej społeczności szuka lepszych strategii, jak zaszczepić zaufanie do naszych praktyk, jednocześnie drastycznie zmniejszając obciążenie pracą.
Nie wiem, jaka będzie odpowiedź dla innych, ale standaryzujemy raport kontroli systemu i organizacji (SOC) z wystarczającą ilością szczegółów, aby odpowiedzieć na większość pytań klientów, które otrzymaliśmy w ciągu ostatnich kilku lat i obsługujemy dodatkowe pytania dla niewielkiej części naszych klientów. Uważam, że nasi klienci wolą, aby nasz budżet na bezpieczeństwo koncentrował się na zarządzaniu naszym ryzykiem i dostarczaniu światu bezpiecznych produktów, a mniej na wypełnianiu dostosowanych kwestionariuszy.
Zrozumienie i złagodzenie obaw związanych z software bill of materials (SBOM)
Dążenie do zwiększenia przejrzystości łańcucha dostaw doprowadziło do wielu dyskusji na temat software bill of materials (SBOM) dla produktów i usług. Celem jest wygenerowanie czytelnej dla komputera listy składników oprogramowania, które można sprawdzić pod kątem znanych luk w zabezpieczeniach. Powinno to umożliwić klientom lepsze zrozumienie ryzyka, które dziedziczą, wdrażając oprogramowanie lub korzystając z usługi. Powinno również zapewnić im możliwość szybkiej oceny potencjalnego wpływu ujawnienia nowej luki na ich działalność. Ten dodatkowy wgląd w łańcuch dostaw pozwoliłby firmie wdrożyć strategie łagodzenia skutków, dopóki poprawka lub aktualizacja nie będzie dostępna dla dostawcy.
Jedną z obaw podnoszonych w związku z wdrażaniem SBOM w programie zarządzania lukami w zabezpieczeniach jest zmiana, do której może to prowadzić w przypadku fałszywych alarmów oraz w sytuacjach, w których powaga problemu nie ma odpowiedniego kontekstu. Na przykład YubiKey SDK for Desktop łączy OpenSSL, ale nie wykorzystuje żadnej z funkcji, na które miała wpływ ostatnia luka OpenSSL o wysokim poziomie istotności. Firma Yubico zaktualizowała dołączoną wersję OpenSSL w tym konkretnym pakiecie SDK, ale w ramach normalnego procesu wydawania, a nie w pilniejszym harmonogramie, który wymagałby luki w zabezpieczeniach o wysokim poziomie istotności. Biorąc pod uwagę doświadczenie z kwestionariuszami dostawców, obawiam się, że proces zamieni się w wersję zgodności problemu audytu npm z nieistotnymi problemami, zamieniając się w górę pracy dla zespołów inżynierów i bezpieczeństwa – zwłaszcza, gdy często mierzy się zależności dla aplikacji internetowych w tysiącach.
Aby złagodzić te obawy, powinniśmy współpracować z naszymi klientami, aby zrozumieć, w jaki sposób możemy zapewnić lepszą przejrzystość bez wprowadzania niepotrzebnej rezygnacji. Prawdopodobnie będziemy musieli opracować proces, który nie tylko zapewni pożądany wgląd w skład oprogramowania, ale także proces skutecznego ujawnienia, w jaki sposób dany problem wpływa na produkt lub usługę. Odpowiedzią może być automatyzacja, ale będzie to wymagało bardziej złożonych narzędzi niż te, które są obecnie dostępne.
Autor: Chad Thunberg
Oryginał artykułu znajduje się na stronie Yubico.