Kiberbiztonsági jóslatok

Előrejelzéseket megfogalmazni sosem volt egyszerű, ezért mindig óvatosnak kell lennünk velük. Legalábbis azokkal, amelyek minden hibát, problémát vagy próbálkozást egy bekövetkezőben lévő digitális Pearl Harbor jeleként értelmeznek.
Emiatt a Sophosnál úgy döntöttünk, hogy a „holnap internetje” dolgot szó szerint értelmezzük. Megkérdeztük több szakértőnket; hogy mi az, amire az idejük és energiájuk egy részét a következő hat hónapban tervezik felhasználni. Íme, a „harcvonalból” származó előrejelzések. Mi igyekszünk felkészülni a helyzetek kezelésére, mivel úgy hisszük, hogy ezek a dolgok be fognak következni. Ezért azt tanácsoljuk, tegye ezt Ön is!

1) Több fájl nélküli támadás
Eddig a fájl nélküli támadások viszonylag izoláltan fordultak elől, azonban egyre gyakoribbá kezdenek válni (a Poweliks, egy kicsit az Angler, a Kovter és a Powmet). Ez egy természetes reakció a gépi tanuláson alapuló védelmek térnyerésére. Arra is számítunk, hogy a Powershell-t használó visszaélések száma nőni fog.

2) Újrahasznosított zsarolóvírus
A mostanában jellemző trendek alapján úgy véljük, hogy a zsarolóvírusok használatát tekintve változást figyelhetünk meg. A többi malware-rel ellentétben a zsarolóvírus látványos és félelmetes – csak akkor működik, ha tudod, hogy fertőzés áldozata vagy és félelmet vált ki belőled. A biztonsági eszközök hatásosabbá váltak a zsarolóvírusok kezelésével kapcsolatban, ezért a támadók egy része ezt a hatáskeltést használja fel technikaként abból a célból, hogy valamit elrejtsen, vagy végső megoldásként, miután már pénzt keresett rajtad például egy keyloggerrel vagy cryptovaluta-bányász szoftverrel.

Miután eltávolítottuk a feltűnő zsarolóvírust fertőzést, könnyen azt gondolhatjuk, hogy a rendszerünk tiszta lett. A kérdés, amelyet fel kell tennünk magunknak, hogy „Miért éppen most robbant a bomba?” és hogy „Mi futott, illetve mi fut még a számítógépen, amelyen a vírust találtuk?

3) Az adat felelősség, nem eszköz
Arra számítunk, hogy a következő hónapokban sok időt fogunk felesleges adatok törlésével foglalkozni, illetve rendkívül meggondolt leszünk azzal kapcsolatban, hogy mit és hol tárolunk. Ez a többrétegű védelem (defence in depth) egyik tényezője – minél kevesebb adatot tárolsz, annál kevesebb veszítenivalód van.
Ez teljes vállalatokra is igaz, de talán még inkább olyan nyíltan hozzáférhető eszközökre is, mint például a webszerverek. Csak a szükséges adatokhoz kell hozzáférést biztosítani és nem többhöz. Például miért kell egy webszervernek hozzáférni egy illető társadalombiztosítási számához? Lehetséges, hogy valami miatt kell, vagy, hogy egyszeri gyűjtés miatt kérvényezi, de biztos, hogy meg is kell tartania ezt az információt később?

4) Okosabb fuzzing bárki számára
A fuzzing – azaz, a rendszerek nagymennyiségű, legalább részben véletlenszerűen előállított adatsorral történő bombázása a programhibák felderítése érdekében – kifinomultsága jelentős mértékben fejlődni fog. A fuzzing segítségével több milliárd „buta” tesztet lehet automatikusan létrehozni, majd ezeket okosabbá tenni azzal, hogy a teszteket létrehozó folyamatot tájékoztatjuk arról, hogyan működik egy program.

5) Azt kérdezd, hogy ki és mit, ne azt, hogy hol!
A kiberbiztonsági vizsgálatok tradicionálisan a domaint egészként kezelik. Ahogy azonban a klasszikus hálózatok és internet korlátai elmosódnak, a domainen belül lévő identitások és eszközök válnak fontossá. Az identitás és az identitáshoz kapcsolódó eszközök alapján kell meghatároznunk a fenyegetettséget. Ha ezen tényezőkre is biztonsági jelzést állítasz be, tudni fogod, hogy mi forog kockán és gyorsan, megfelelő módon tudsz majd reagálni.

6) Az exploitlehetőségek csökkentésére való fókuszálás
A patchelés – azaz, javítás – már nem olyasmi, amelyet egy esős napra lehet halasztani. A Sophos szerint az következő 6-12 hónapban az ismert és ismeretlen szoftveres hibák és sebezhetőségek kihasználása, illetve az ilyen problémák kihasználásának módszerei elleni védekezés lesz a fókuszban.
Aggasztó, hogy rengeteg új védelmi termék csupán a Windowsos natív kártevők (Portable Executable, PE) detektálására helyezi a hangsúlyt, illetve a gépi tanulást az endpoint-biztonság alfájának és omegájának tartja. Ez így egyszerűen nem igaz. A gépi tanulás remek dolog, de csupán egyetlen rétege lehet egy olyan biztonsági rendszernek, amelynél a többrétegű megközelítést kell alkalmazni.