Το 2023, προβλέπουμε ότι οι χάκερ θα προσπαθήσουν να παρακάμψουν τις άμυνες κυβερνασφάλειας χρησιμοποιώντας νέες τεχνικές που επικεντρώνονται στις επιχειρηματικές σας διαδικασίες, την ταυτότητα και την τεχνητή νοημοσύνη. Φέτος, ο Corey Nachreiner, CSO της WatchGuard, και ο Marc Laliberte, Security Operations Manager της WatchGuard, κοντράρονται σε ένα challenge προβλέψεων, προσφέροντας διαφορετικές εκδοχές πιθανών hacks και επιθέσεων σε αυτές τις κατηγορίες. Μόνο ο χρόνος θα δείξει βέβαια, ποιανού οι προβλέψεις θα γίνουν πραγματικότητα!
Επιχειρηματική διαδικασία: Οι χάκερ στοχεύουν τις κάθετες αγορές vs. Στόχευση προμηθευτών και συνεργατών
Οι ασφαλιστές καθορίζουν τις ήδη αυξημένες απαιτήσεις ασφαλείας τους
Η ασφάλιση στον κυβερνοχώρο αποτελεί ένα τεράστιο ζήτημα των ημερών, καθώς τόσο το κόστος όσο και οι απαιτήσεις στο θέμα της συμμόρφωσης με τις πρόσφατες εξελίξεις να έχουν αυξηθεί τα τελευταία χρόνια. Οι υπεύθυνοι ασφαλείας έχουν υποστεί μεγάλες απώλειες από τη στιγμή που άρχισαν να προσφέρουν επιλογές κάλυψης «εκβιασμού» στον κυβερνοχώρο, καθώς η αρχική στρατηγική τους για την καταβολή λύτρων αύξησε τα έξοδά τους, με αποτέλεσμα και τη μετακύληση του αυξανόμενου κόστος των υπηρεσιών τους στους πελάτες τους, ενώ παράλληλα αυξάνουν σημαντικά τις τεχνικές απαιτήσεις ασφαλείας των πελατών τους, ώστε να τους ασφαλίσουν.
Τη στιγμή που οι νέες απαιτήσεις και οι αυξημένες χρεώσεις – που προκύπτουν από την αναπροσαρμογή των ασφαλιστικών πολιτικών – έχουν ήδη ταράξει σε μεγάλο βαθμό τους πελάτες, θεωρούμε ότι ορισμένοι κλάδοι θα δυσκολευτούν περισσότερο από άλλους κατά τη διάρκεια του 2023. Οι πάροχοι ασφαλείας συνειδητοποιούν ότι ορισμένες κάθετες αγορές αποτελούν πιο ελκυστικούς στόχους για τους εγκληματίες του κυβερνοχώρου, και έτσι θα τις αναγκάσουν να εφαρμόσουν αυστηρότερους κανονισμούς συμμόρφωσης και να επωμιστούν το υψηλότερο κόστος. Οι κλάδοι που πλήττονται περισσότερο είναι ακόμα αυτοί που βρίσκονται στα πρωτοσέλιδα λόγω κυβερνοεπιθέσεων. Μερικά παραδείγματα είναι: η υγειονομική περίθαλψη, οι υποδομές ζωτικής σημασίας, τα χρηματοοικονομικά και οι MSPs που θα υπόκεινται από τους ασφαλιστές σε αυστηρότερες προϋποθέσεις ασφάλειας στον κυβερνοχώρο. Πιστεύουμε, επίσης, ότι οι MSPs θα αποτελέσουν στόχους υψηλότερων τιμών και απαιτήσεων. Μερικοί ασφαλιστές θα υιοθετήσουν ακόμα και «εγκεκριμένους καταλόγους προμηθευτών ασφάλειας», αναλαμβάνοντας συμβόλαια μόνο για εταιρείες που χρησιμοποιούν λύσεις ασφάλειας από συγκεκριμένους προμηθευτές. Εν τέλει, αν η καθετοποιημένη επιχείρησή σας γίνει στόχος κυβερνοεπιθέσεων, ίσως θα πρέπει να προγραμματίσετε αυξημένα ασφάλιστρα και περισσότερες επιλογές λύσεων.
Η αξιολόγηση και επικύρωση της κυβερνοασφάλειας γίνεται βασικός παράγοντας για την επιλογή προμηθευτών και συνεργατών
Τα τελευταία δύο χρόνια έχουν σημειωθεί τόσες παραβιάσεις της ψηφιακής αλυσίδας εφοδιασμού, οι οποίες φτάνουν το σύνολο των παραβιάσεων πέντε ετών. Μια παραβίαση της ψηφιακής αλυσίδας εφοδιασμού είναι αυτή όπου μια ανασφάλεια λογισμικού ή υλικού σε έναν από τους προμηθευτές σας, είτε λόγω ελαττώματος του προϊόντος είτε λόγω παραβίασης του δικού τους δικτύου, εισάγει ένα κενό ασφαλείας που εκθέτει εσάς ή τον οργανισμό σας σε παραβίαση. Κοινά παραδείγματα περιλαμβάνουν τις επιθέσεις της SolarWinds και της Piriform – όπου μια παραβίαση των δικτύων τους είχε ως αποτέλεσμα οι επιτιθέμενοι να παγιδεύσουν δημοφιλή προϊόντα όπως το Orion και το CCleaner. Ένα άλλο παράδειγμα είναι το συμβάν της Kaseya, όπου μια ευπάθεια zero day στο δημοφιλές προϊόν VSA της εταιρείας, εξέθεσε τους πελάτες που το χρησιμοποιούσαν σε επίθεση ransomware. Αυτά είναι μόνο τρία από τα πολλά περιστατικά ψηφιακής αλυσίδας εφοδιασμού, που έχουν συμβεί τα τελευταία δύο χρόνια.
Με την έξαρση αυτών των επιθέσεων στην αλυσίδα εφοδιασμού, οι οργανισμοί ανησυχούν όλο και περισσότερο για την ασφάλεια των συνεργατών και των προμηθευτών τους. Αφού ξοδεύουν τόσο πολύ χρόνο για να βελτιώσουν τις δικές τους άμυνες, θα ήταν ιδιαίτερα απογοητευτικό να πέσουν εξαιτίας των σφαλμάτων ασφαλείας κάποιου άλλου. Ως αποτέλεσμα, οι εταιρείες καθιστούν τις εσωτερικές πρακτικές ασφάλειας ενός προμηθευτή βασικό μέρος της απόφασης επιλογής προϊόντος. Στην πραγματικότητα, η επικύρωση του προμηθευτή και η ανάλυση κινδύνου από τρίτους έχουν γίνει ακόμη και ένας νέος κλάδος στον τομέα αυτό, με προϊόντα που βοηθούν στην έρευνα και την παρακολούθηση των προγραμμάτων ασφαλείας των εξωτερικών σας προμηθευτών. Εν ολίγοις, κατά τη διάρκεια του 2023, η εσωτερική ασφάλεια των προμηθευτών θα αποτελέσει κορυφαίο παράγοντα επιλογής προϊόντων και υπηρεσιών λογισμικού και υλικού – ακριβώς κάτω από την τιμή και την απόδοση.
Ταυτότητα – Το πρώτο metaverse hack vs. του κύματος κοινωνικής μηχανικής MFA
Το πρώτο μεγάλο metaverse hack επηρεάζει μια επιχείρηση μέσω νέων περιπτώσεων χρήσης παραγωγικότητας
Είτε σας αρέσει είτε όχι, το metaverse έχει γίνει πρωτοσέλιδο το τελευταίο διάστημα. Τεράστιες εταιρείες, όπως η Meta (Facebook) και η μητρική εταιρεία του TikTok, ByteDance, επενδύουν δισεκατομμύρια στην κατασκευή των συνδεδεμένων εικονικών/μεικτών/επαυξημένων κόσμων που πιστεύουν ότι θα αποτελέσουν κυρίαρχο μέρος της κοινωνίας στο όχι και πολύ μακρινό μέλλον. Όμως, το metaverse της εικονικής πραγματικότητας (VR) προσφέρει μεγάλες νέες δυνατότητες εκμετάλλευσης και κοινωνικής μηχανικής. Ήδη διαρρέουμε πολλά από τα προσωπικά μας δεδομένα στο διαδίκτυο μέσω του ποντικιού και του πληκτρολογίου – φανταστείτε τώρα μια συσκευή με πολυάριθμες κάμερες και αισθητήρες υπερύθρων (IR) και βάθους που παρακολουθούν επίσης τις κινήσεις του κεφαλιού, των χεριών, των δακτύλων, του προσώπου και των ματιών σας. Επιπλέον, σκεφτείτε ότι η συσκευή χαρτογραφεί τρισδιάστατα το δωμάτιό σας, τα έπιπλα, ακόμη και το σπίτι σας, καθώς κινείστε, ενώ παρακολουθεί επίσης πράγματα όπως το πληκτρολόγιο του φορητού σας υπολογιστή. Όλα αυτά συμβαίνουν σήμερα αν χρησιμοποιείτε ένα σύγχρονο σετ κεφαλής VR ή μικτής πραγματικότητας (MR) όπως το Meta Quest Pro. Φανταστείτε τώρα ένα λογισμικό που διατηρεί ιστορικό αρχείο όλων αυτών των δεδομένων παρακολούθησης. Τι θα μπορούσε να κάνει ένας κακόβουλος χάκερ με αυτά; Ίσως να δημιουργήσει μια deepfake απομίμηση του διαδικτυακού σας avatar που μπορεί επίσης να κινείται και να ενεργεί όπως εσείς.
Ενώ αυτοί οι πιθανοί φορείς απειλών μπορεί να απέχουν ακόμη πέντε έως δέκα χρόνια, αυτό δεν σημαίνει ότι το metaverse δεν αποτελεί ήδη στόχο στο τώρα. Αντιθέτως, πιστεύουμε ότι η πρώτη επίθεση στο metaverse που θα επηρεάσει τις επιχειρήσεις θα προέρχεται από έναν γνωστό φορέα απειλής που θα επαναπροσδιοριστεί για το μέλλον της εικονικής πραγματικότητας. Κοντά στα τέλη του 2022, η Meta κυκλοφόρησε το Meta Quest Pro ως ένα “επιχειρηματικό” VR/MR headset για περιπτώσεις χρήσης παραγωγικότητας και δημιουργικότητας. Μεταξύ άλλων, το Meta Quest Pro σας επιτρέπει να δημιουργήσετε μια απομακρυσμένη σύνδεση με την παραδοσιακή επιφάνεια εργασίας του υπολογιστή σας, επιτρέποντάς σας να βλέπετε την οθόνη του υπολογιστή σας σε ένα εικονικό περιβάλλον, και επιπλέον να δημιουργείτε πολλές εικονικές οθόνες και χώρους εργασίας για τον υπολογιστή σας. Επιτρέπει ακόμη και σε έναν απομακρυσμένο υπάλληλο να ξεκινήσει εικονικές (έναντι βίντεο) συσκέψεις που υποτίθεται ότι σας επιτρέπουν να αλληλοεπιδράσετε με πολύ πιο ανθρώπινο τρόπο. Όσο φανταχτερό κι αν ακούγεται αυτό, ουσιαστικά αξιοποιεί τις ίδιες τεχνολογίες απομακρυσμένης επιφάνειας εργασίας με την απομακρυσμένη επιφάνεια εργασίας της Microsoft ή το Virtual Network Computing (VNC) – τον ίδιο τύπο τεχνολογιών απομακρυσμένης επιφάνειας εργασίας που οι εγκληματίες του κυβερνοχώρου έχουν στοχοποιήσει και εκμεταλλευτεί αμέτρητες φορές στο παρελθόν. Γι’ αυτό το λόγο το 2023, πιστεύουμε ότι το πρώτο μεγάλο metaverse hack που θα επηρεάσει μια επιχείρηση θα προκύψει από μια ευπάθεια σε νέες λειτουργίες παραγωγικότητας των επιχειρήσεων, όπως η απομακρυσμένη επιφάνεια εργασίας, που χρησιμοποιούνται στην τελευταία γενιά ακουστικών VR/MR, τα οποία στοχεύουν σε περιπτώσεις χρήσης σε επιχειρήσεις.
Η υιοθέτηση του MFA τροφοδοτεί την αύξηση της κοινωνικής μηχανικής
Το 2023, οι φορείς απειλών θα στοχεύουν επιθετικά τους χρήστες του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), καθώς η αυξημένη υιοθέτηση του MFA απαιτεί από τους επιτιθέμενους να βρουν κάποιο τρόπο να παρακάμψουν αυτές τις λύσεις επικύρωσης ασφαλείας. Επιβεβαιώνοντας αυτό που είχαμε προβλέψει προηγουμένως, η υιοθέτηση του MFA αυξήθηκε κατά έξι ποσοστιαίες μονάδες στο 40% φέτος, σύμφωνα με έρευνα της Thales που διεξήχθη από την 451 Research. Αυτό θα ωθήσει τους επιτιθέμενους στον κυβερνοχώρο να βασίζονται περισσότερο σε κακόβουλες τεχνικές παράκαμψης της MFA στις στοχευμένες επιθέσεις τους με διαπιστευτήρια, διαφορετικά θα χάσουν μια συγκεκριμένη κατηγορία θυμάτων.
Αναμένουμε ότι το 2023 θα εμφανιστούν αρκετές νέες ευπάθειες και τεχνικές παράκαμψης MFA. Ωστόσο, ο πιο συνηθισμένος τρόπος με τον οποίο οι εγκληματίες του κυβερνοχώρου θα παρακάμψουν αυτές τις λύσεις, είναι η έξυπνη κοινωνική μηχανική. Για παράδειγμα, η επιτυχία του push bombing, δεν σημαίνει αποτυχημένο MFA αυτό καθαυτό- προκαλείται από ανθρώπινο λάθος. Οι επιτιθέμενοι δεν χρειάζεται να παραβιάσουν το MFA αν μπορούν να ξεγελάσουν τους χρήστες σας ή απλώς να τους εξαντλήσουν με έναν κατακλυσμό αιτημάτων έγκρισης που τους οδηγεί τελικά να κάνουν κλικ σε έναν κακόβουλο σύνδεσμο. Οι επιτιθέμενοι μπορούν επίσης να αναβαθμίσουν τις τεχνικές τους adversary-in-the-middle (AitM) για να συμπεριλάβουν τη διαδικασία MFA, καταγράφοντας έτσι τα διακριτικά περιόδου σύνδεσης ελέγχου ταυτότητας όταν οι χρήστες συνδέονται νόμιμα. Σε κάθε περίπτωση, αναμένετε πολλές περισσότερες επιθέσεις κοινωνικής μηχανικής με στόχο το MFA κατά τη διάρκεια του 2023.
Hacking AI Robotaxis vs διάδοσης ευπαθειών μέσω εργαλείων κωδικοποίησης AI
Ένα καινοτόμο hack στο Robotaxi θα οδηγήσει σε ένα ζαλισμένο και μπερδεμένο AI αυτοκίνητο
Αρκετές εταιρείες τεχνολογίας, όπως η Cruise, η Baidu και η Waymo, έχουν αρχίσει να δοκιμάζουν ρομποτικά ταξί σε πολλές πόλεις παγκοσμίως, όπως το Σαν Φρανσίσκο και το Πεκίνο της Κίνας. Τα ρομποταξί είναι ουσιαστικά αυτοκινούμενα οχήματα που παρέχουν μια εμπειρία παρόμοια με την Uber ή τη Lyft, αλλά χωρίς οδηγό. Εταιρείες όπως η Baidu ισχυρίζονται ότι έχουν ήδη ολοκληρώσει με επιτυχία πάνω από ένα εκατομμύριο από αυτές τις αυτόνομες διαδρομές σε -κατά κύριο λόγο- ευχαριστημένους επιβάτες, οπότε μπορείτε να φανταστείτε πώς οι επιχειρήσεις θα προσελκύονταν από την εξοικονόμηση κόστους που θα επέφερε η εξάλειψη του εργατικού δυναμικού τους στην gig economy (οικονομία της πλατφόρμας).
Τούτου λεχθέντος, τα πιλοτικά προγράμματα δεν ήταν όλα παραμυθένια σε ροζ σύννεφα. Τον Ιούνιο, ένα από τα ρομποτικά ταξί της Cruise, ενεπλάκη σε ατύχημα στο οποίο τραυματίστηκαν οι τρεις επιβάτες του καθώς και ο οδηγός του άλλου οχήματος. Ενώ η Cruise ισχυρίζεται ότι το ανθρώπινο όχημα φάνηκε να φταίει, αυτό δεν βοηθά τους ανθρώπους να εμπιστευτούν την τεχνητή νοημοσύνη (AI) που χρησιμοποιούν αυτά τα αυτοκίνητα για να οδηγούν μόνα τους, ειδικά όταν απλά κόλπα όπως το ριγμένο αλάτι στον δρόμο τα έχουν μπερδέψει στο παρελθόν. Προηγούμενη έρευνα ασφαλείας έχει δείξει ότι τα συνδεδεμένα στο διαδίκτυο αυτοκίνητα μπορούν να παραβιαστούν και οι άνθρωποι έχουν ήδη αποδείξει ότι μπορούν να δημιουργήσουν κοινωνικά (ή μήπως θα έπρεπε να πούμε “οπτικά;”) τεχνητή νοημοσύνη. Όταν μπορούν να συνδυαστούν αυτά τα δύο πράγματα με μια υπηρεσία βασισμένη σε κινητά τηλέφωνα που είναι διαθέσιμη στον καθένα, σίγουρα θα δούμε τουλάχιστον ένα περιστατικό κυβερνοασφάλειας όπου οι απειλητικοί παράγοντες θα στοχεύουν τα ρομποτάκια για διασκέδαση και κέρδος. Δεδομένου ότι αυτές οι υπηρεσίες αυτόνομων οχημάτων είναι τόσο νέες και βρίσκονται ακόμη σε δοκιμαστικό στάδιο, δεν πιστεύουμε ότι μια παραβίαση θα οδηγήσει σε επικίνδυνο ατύχημα στο εγγύς μέλλον. Ωστόσο, το 2023, υποψιαζόμαστε ότι κάποιοι ερευνητές ασφαλείας grey hat hackers θα μπορούσαν να διαπράξουν μια τεχνική φάρσα με ρομποτάξι που θα προκαλέσει το κόλλημα ενός τέτοιου οχήματος, χωρίς να ξέρει τι να κάνει, καθυστερώντας ενδεχομένως τη κυκλοφορία και δημιουργώντας σύγχυση.
Τα εργαλεία κωδικοποίησης AI εισάγουν βασικές ευπάθειες σε έργα νέων προγραμματιστών
Αν και η μηχανική μάθηση (ML) και η τεχνητή νοημοσύνη (AI) δεν έχουν γίνει τόσο παντοδύναμες όσο ισχυρίζονται ορισμένοι ευαγγελιστές της τεχνολογίας, έχουν εξελιχθεί σημαντικά και προσφέρουν πολλές νέες πρακτικές δυνατότητες. Εκτός από τη δημιουργία νέας τέχνης από γραπτές προτροπές, τα εργαλεία AI/ML μπορούν πλέον να γράφουν κώδικα για τεμπέληδες (ή έξυπνα αποδοτικούς) προγραμματιστές. Και στις δύο περιπτώσεις, η ΑΙ αντλεί από την υπάρχουσα τέχνη ή από τον κώδικα υπολογιστή για να παράξει τις νέες της δημιουργίες.
Το Copilot του GitHub είναι ένα τέτοιο εργαλείο αυτόματης κωδικοποίησης. Το GitHub εκπαιδεύει το Copilot χρησιμοποιώντας τα “μεγάλα δεδομένα” των δισεκατομμυρίων γραμμών κώδικα που βρίσκονται στις βάσεις δεδομένων του. Ωστόσο, όπως συμβαίνει με κάθε αλγόριθμο AI/ML, η ποιότητα των αποτελεσμάτων του είναι τόσο καλή όσο και η ποιότητα των δεδομένων εκπαίδευσης που εισέρχονται σε αυτό και των υποδείξεων που του δίνονται για να εργαστεί. Με άλλα λόγια, αν ταΐζετε την ΑΙ με κακό ή ανασφαλή κώδικα, μπορείτε να περιμένετε ότι θα αποδώσει το ίδιο. Μελέτες έχουν ήδη δείξει ότι έως και το 40% του κώδικα που παράγει το Copilot έχει συμπεριλάβει ευπάθειες ασφαλείας που μπορούν να αξιοποιηθούν, με το ποσοστό αυτό να αυξάνεται όταν ο ίδιος ο κώδικας του προγραμματιστή περιέχει ευπάθειες, αντίστοιχα. Πρόκειται για ένα αρκετά μεγάλο ζήτημα, ώστε το GitHub σπεύδει να προειδοποιήσει: «Είστε υπεύθυνοι για τη διασφάλιση της ασφάλειας και της ποιότητας του κώδικά σας [όταν χρησιμοποιείτε το Copilot].»
Το 2023, προβλέπουμε ότι ένας αδαής ή/και άπειρος προγραμματιστής που βασίζεται υπερβολικά στο Copilot ή σε ένα παρόμοιο εργαλείο κωδικοποίησης τεχνητής νοημοσύνης, θα κυκλοφορήσει μια εφαρμογή που θα περιλαμβάνει μια κρίσιμη ευπάθεια που εισήγαγε ο αυτοματοποιημένος κώδικας.