Anul 2020 a adus noi teme majore în infrastructura de securitate cibernetică, noi amenințări și un semnal de schimbări profunde pentru 2021, notează Cisco într-o analiză a provocarilor aduse de noul an în domeniu. Anul trecut ne-a arătat cum amenințările cibernetice ne pot costa viața și că este necesar ca toată lumea să se pregătească pentru atacuri din ce în ce mai complexe în viitor, spun experții companiei. Cisco detaliază, în continuare, ce aduce anul 2021 în materie de securitate cibernetică.
În mijlocul confuziei generale, echipele de securitate au fost nevoite să gestioneze provocările aduse de telemuncă, de rețelele din sistemul de sănătate, comunicare instituțională și comunicare de business, arată experții Cisco.
Poate cel mai semnificativ, organizațiile au trebuit să își protejeze rapid și să-și amplifice comunicarea online pentru munca de la distanță, în timp ce se confruntă cu noi riscuri de securitate, se arată într-o analiză publicată de Cisco, una dintre cele mai puternice companii din domeniul IT și rețele.
„Să examinăm ce s-a întâmplat anul trecut în lumea securității, să sărbătorim pe cei care au reușit să păstreze guvernele, întreprinderile și persoanele în siguranță cibernetică și să vedem cum ne putem pregăti pentru 2021”, spun cei de la Cisco.
Peisajul de securitate electorală din 2020 a fost mai complicat și totuși mai sigur decât în 2016. Campaniile interne de dezinformare au crescut rapid. Directorul Talos, Matt Olney, spune că acum comercializarea campaniilor de dezinformare, sau „dezinformare ca serviciu”, este acum mai răspândită, dar și mai ușor de observat. Oficialii locali și de stat au putut să construiască procedurile corecte și să vină mai bine pregătiți peste patru ani.
Centrul de partajare și analiză a informațiilor privind infrastructura electorală (EI-ISAC) creat în 2018 folosește senzori de rețea și monitoare de flux de rețea pentru a fi disponibile la un cost redus pentru orice stat. Agenția pentru securitate cibernetică și infrastructură, creată și în 2018, lucrează pentru securitatea infrastructurii de comunicații și securitate cibernetică a Statelor Unite.
Asistența medicală a devenit, de asemenea, un punct critic al anului 2020 odată cu izbucnirea pandemiei de coronavirus, iar CISO al Steward Healthcare Edmond Kane spune că unii actori cu intenții necurate au folosit acest lucru în avantajul lor. Creșteri masive ale amenințărilor au apărut în pandemie, fie datorită mutării rapide la munca la distanță, atacurilor de tip phishing, campanii de dezinformare și chiar înșelătorii legate de COVID.
Kane spune că acest lucru este o vulnerabilitate, deoarece IT-ul pentru asistență medicală este coloana vertebrală esențială a îngrijirii moderne a pacientului – viața individului depinde de securitatea acestei infrastructuri. O mare provocare în industria asistenței medicale este tehnologia învechită. Profesioniștii din domeniul sănătății și companiile echilibrează în mod constant riscul introducerii de noi tehnologii IT și dispozitive care ar putea fi nesigure, în timp ce tehnologia veche riscă să nu fie actualizată.
„Asistența medicală nu se referă la securitatea cibernetică, ci la pacienți. Și rolul nostru este să intrăm acolo și să-i ajutăm să se asigure că securitatea nu intră în patul pacienților”, spune Kane.
Trecerea la telemuncă în 2020 a însemnat două lucruri: asigurarea faptului că toți angajații pot lucra în siguranță de acasă și asigurarea accesului la resursele și activele companiei. Din această cauză, mulți s-au orientat spre tehnologii de control a Desktop-urilor la distanță, tehnologia care permite utilizatorilor să se conecteze la un computer dintr-o altă locație. Astfel, computerul de birou este acum la biroul de acasă, dar RDP (protocoale de la distanță pentru desktop) ridică adesea probleme de securitate.
Aceste vulnerabbilități cibernetice includ acreditări furate, atacuri man-in-the-middle (un atac cibernetic în care un actor rău intenționat se plasează în linia de comunicație între două părți) și executarea codului de la distanță (o vulnerabilitate în care un atacator își poate rula propriul cod pe o mașină sau pe un server la alegerea lor). Orice soluție desktop la distanță, dacă este compromisă, acordă unui atacator poarta intrării în organizație. Organizațiile care utilizează RDP trebuie să pună în aplicare măsuri suplimentare de securitate pentru a se menține în siguranță pe ei și pe angajații lor.
„Nu conectați RDP direct la internet. În schimb, utilizați VPN înainte de RDP pentru a permite angajaților să obțină accesul de care au nevoie în timp ce rămân în siguranță. Adăugați MFA (autentificare cu mai mulți factori) – un pas suplimentar de securitate care asigură că utilizatorii sunt legitimi, oferindu-le două dovezi pentru a-și dovedi identitatea.
Blocați încercările de conectare nereușite după un număr rezonabil”, spun experții CISCO.
Tendințele Ransomware au adoptat noi tactici, tehnici și proceduri (TTP) în rețelele corporative în 2020. Pe măsură ce malware-ul a câștigat tracțiune și popularitate, mulți actori și-au rafinat abordările și au adoptat noi strategii, cum ar fi adăugarea temporizatoarelor pentru răscumpărare, amenințând cu ștergerea permanentă a datelor și chiar vânătoarea de răscumpărări mai mari.
Vânătoarea de recompense mari apar atunci când atacatorii folosesc sistemele compromise ca puncte de acces inițiale la rețea. De acolo, atacul se mută pentru a avea acces la sisteme suplimentare în timp ce escaladează privilegiile de acces. Ransomware-ul este activat doar după accesarea acestor sisteme, astfel încât atacatorul creează daune maxime victimei.
Postările de vânzări online au devenit, de asemenea, mai frecvente, unde atacatorii încearcă să vândă accesul la mai multe rețele către alți actori rău intenționați
Deci, ce pot face organizațiile? Cisco recomandă companiilor să utilizeze o abordare cuprinzătoare, inclusiv prevenirea, detectarea și răspunsul.
Potrivit Raportului Verizon din 2020, acreditările/ parolele furate sunt a doua activitate cea mai frecventă desfășurată de atacatori în timpul unei încălcări. Acest lucru este crucial, deoarece utilizarea parolelor autorizate este o modalitate în care actorii rău intenționați pot avea acces la o rețea în timp ce stau sub radar.
La fel ca tendințele de ransomware, acreditările sunt folosite pentru atacuri viitoare – „descărcarea de acreditări” este o tehnică atunci când un atacator parcurge un computer pentru mai multe acreditări pentru intruziuni ulterioare. Deoarece există o mulțime de zone în cadrul sistemelor de operare în care sunt stocate acreditările, cum ar fi memoria, bazele de date sau fișierele, atacatorii pot încerca cu ușurință să copieze parolele odată ce s-au infiltrat.