Ultimii doi ani au fost foarte intensi pentru departamentele IT. Pandemia de COVID-19 a produs o schimbare radicala asupra modului in care lucram. Acum suntem remote-first si organizatiile au trebuit sa adopte medii IT care sa ofere servicii precum colaborare video si partajarea resurselor de la distanta, infrastructuri de desktop-uri virtuale si politici de acceptare pe scara larga a dispozitivelor personale in reteaua enterprise (BYOD). Toate acestea au crescut gradul de complexitate si de eterogenitate a infrastructurii IT, marind considerabil suprafata de atac pe care hackerii o au la dispozitie pentru exploatare.
2022 va fi un an in care atacurile cibernetice se vor intensifica atat ca numar, cat si ca valoare a pagubelor produse. La ce sa ne asteptam?
Ransomware, ransomware, ransomware. O problema aparuta de mult, dar care ramane in topul amenintarilor informatice. De ce? Pentru ca este un business extrem de profitabil pentru hackeri. Cine nu si-ar dori inapoi datele tinute ostatice? Iar ca sa ne “incurajeze” si sa isi arate seriozitatea, hackerii ameninta ca vor face publice parti din date, asa ca vom avea o presiune si mai mare pentru a plati rascumpararea ceruta. Si sunt putine organizatii care ar putea supravietui de pe urma pagubelor financiare, afectarii credibilitatii si a downtime-ului extins cauzate de atac de tip ransomware. In 2022, orice va avea o conexiune in retea va fi o potentiala victima: dispozitive mobile, echipamente IoT, masini virtuale sau sisteme gazduite in cloud.
Go fish? Cantitatea de emailuri de phising-ul, de fapt emailurile malitioase in general, sunt la un maxim istoric. Este suficient ca un singur utilizator sa fie compromis pentru ca intreaga organizatie sa fie in pericol. Programele de onboarding pentru angajatii noi trebui sa contina informatii despre cum se pot proteja, seminarii periodice, infografice sau newsletter-e informative sunt metode prin care se poate creste gradul de “awareness” asupra emailurilor malitioase. In 2022 phishing-ul este mult mai periculos intrucat atacatorii investesc mai mult timp in a face email-ul sa para legitim prin colectarea de informatii de pe site-urile organizatiei, din profilele folosite in retelele sociale sau din bresele de securitate. Phishing-ul se va orienta si spre alte canale de distributie cum ar fi mesajele SMS si aplicatii de mesagerie instanta (Teams, Whatsapp, Slack, etc.).
Desi avem un regulament de protectie a datelor (GDPR), bresele de securitate in urma carora sunt furate date vor fi din ce in ce mai numeroase, iar aceste date vor putea fi folosite de atacatori pentru a profila si pentru a-si personaliza si mai bine alte atacuri ulteriore. Companiile vor pierde date pentru ca nu au o imagine clara asupra locului in care se afla datele sale, sau cine are acces la acele date. Universul automatizat al IoT-ului, precum si comunicarile de tip “machine to machine” specifice mai ales mediului industrial vor amplifica riscul unei brese de securitate.
Detectia unui malware pe baza unei amprente este o metoda de detectie deja mult prea invechita pentru malware-ul de astazi. Departamentele de securitate ale organizatiilor au inceput deja sa implementeze sisteme de inteligenta artificiala (AI) ca sa le ajute sa identifice si sa blocheze un comportament potential periculos. AI-ul are si revesul medaliei. Tehnologia poate fi folosita si in scopuri rau intentionate si poate fi exploatata pentru a studia si depasi masurile de protectie implementate de companii.
Atacurile de tip “supply chain” vor fi mult mai prezente in titlurile stirilor. Un astfel de atac exploateaza relatia de incredere intre doua entitati. De exemplu, prin compromiterea unui furnizor de software sau de servicii atacatorii reusesc sa infiltreze malware in reteaua acestuia. Apoi, prin conexiunea furnizorului cu o organizatie, malware-ul reuseste sa ajunga la tinta dorita din interiorul organizatiei. Organizatiile folosesc adesea astfel de tool-uri in operatiunile lor de management al software-ului, de monitorizare a retelelor sau de suport IT. Doua exemple notabile in acest sens sunt cele ale producatorului de software de monitorizare SolarWinds prin produsul sau Orion si ale furnizorului de managed services Kaseya.
Cele mai multe organizatii au dificultati in a proteja fiecare zona a unei infrastructurii IT complexe care acum include si un ecosistem cloud, un numar de angajati remote cu dispozitive proprii. o serie de echipamente IoT si o retea fara un perimetru bine definit. Stiva de securitate traditionala (firewall, IPS/IDS, proxy) nu mai poate oferi protectia necesara pentru a proteja datele, oamenii si dispozitivele. Organizatia trebuie sa investigheze si sa aleaga solutii de securitate bazate pe cloud care sa scaleze indiferent de volumul de date si numarul de oameni sau de dispozitive conectate la retea. Backup-urile sunt de altfel vitale in cazul in care ransmoware-ul are succes. Ele vor ajuta la reluarea activitatii intr-un interval de timp rezonabil. Inginerii Dendrio va pot ajuta sa va securizati infrastructura si va pot pregati pentrua face fata provocarilor de Securitate pe care contextul actual le ridica.
Mihai Dumitrascu, Sr Systems Engineer