Když je k dispozici čerstvá zranitelnost a je snadné ji zneužít – jak jsme nedávno pozorovali v případě chyby Citrix Bleed v softwaru Citrix NetScaler zneužívané ransomwarem – pak ji kyberzločinci využijí. Jakmile všechny potenciální oběti svoje systémy ošetří, nebo již budou kompromitovány, vrátí se k o něco méně efektivní metodě krádeže uživatelských oprávnění. Vzhledem k tomu, že organizace stále častěji zavádějí vícefaktorové ověřování, začali zločinci vyvíjet sofistikovanější způsoby, jak přístup do systémů obejít, a zaměřili se na krádeže cookies a session cookies. Výsledkem je kombinace škodlivých proxy útoků s využitím sociálního inženýrství, krádeží cookies a útoků prostřednictvím opakovaných žádostí o vícefaktorové ověření.

Rok 2023 ukázal velký pokrok ve zneužívání dodavatelských řetězců ke kompromitaci obětí. Ať už jde o kompromitaci poskytovatelů řízených služeb (MSP), zařízení pro sdílení souborů nebo poskytovatelů ověřování, někdy je nejjednodušší proniknout zadními vrátky. Vzhledem k tomu, že nadále posilujeme vlastní sítě a přijímáme více modelů typu „as-a-service“, můžeme očekávat, že podobných útoků bude v roce 2024 přibývat.

Se stále širším nasazováním vícefaktorového ověřování budeme i na­dá­le svědky používání škodlivých proxy, jako je Evilginx, a sociálního inženýrství, které se snaží přesvědčit koncové uživatele a pracovní­ky podpory IT, aby útočníkům umožnili přístup. Skupiny jako LAPSU$ a Scattered Spider zaujaly v letech 2022 a 2023 svým úspěchem při získávání přístupu do významných společností, a to pravděpodobně inspiruje i ostatní, aby si vypůjčili jejich osvědčené techniky.

Umělá inteligence na straně obránců

Vliv umělé inteligence na obranu se pravděpodobně projeví efektivnějším prováděním stávající práce bezpečnostních týmů. Umělá inteligence vyniká v tom, že dokáže zpracovat velké soubory dat a pomáhá provádět operace, které těmto datům dávají smysl. Lidé často vědí, co chtějí, a umělá inteligence jim pomůže se k tomu rychleji dostat. Umožní také lepší detekci anomálií ve velkých souborech dat, protože stroj „vidí“ všechny informace najednou a může pomoci upozornit lidi na věci, které se liší od normálu.

Ověřování identity bez hesel

Systémy musí chránit běžného člověka, aniž by musel být vyškolen nebo o tom musel přemýšlet. Pokud ne, pak jsme selhali. Největším krokem, který můžeme udělat, aby se to stalo skutečností, je zbavit se hesel a přejít na ověřování odolné proti phishingu, jako jsou napří­klad přístupové klíče. Přístupové klíče umožňují uživateli jednoduše použít biometrický snímač na mobilním zařízení k ověření přístupu k e-mailu, sociálním médiím nebo oblíbenému nákupnímu webu. Pokud například ještě zjednodušíme a automatizujeme aktualizace softwaru, budou si lidé moci užívat online svět bez obav z hackerského útoku. Úkolem nás, jako bezpečnostních profesionálů, je urychlit zavádění těchto nástrojů, aby byl svět pro všechny bezpečnější.

Nebezpečný internet věcí

Obrovskou výzvou je ale také bezpečnost v digitálním světě obecně. Konkrétně se jedná o rychlý růst množství zařízení a frustrující nízkou kvalitu jejich zabezpečení. Zatímco ve zlepšování zabezpečení našich telefonů a internetových prohlížečů došlo k velkému pokroku, stejné úsilí nebylo vynaloženo na zařízení internetu věcí, nástroje na zabezpečení provozních technologií a na velkou část podnikového softwaru, na kterém je náš svět závislý. Příliš málo se investuje do zabezpečení ekosystému open source softwaru, na kterém jsou založeny naše cloudové služby a stále častěji i všechna zařízení, která vlastníme.

Společným problémem je, že nepostupujeme dostatečně rychle a zločinci jsou zkrátka hbitější. Vidíme také, že společnosti po celém světě mají tendenci podceňovat svá bezpečnostní rizika a nedostatečně investují do zlepšení své bezpečnostní situace.

Chester Wisniewski Autor je technický ředitel pro aplikovaný výzkum ve společnosti Sophos.