На основі технологічних і геополітичних тенденцій 2023 року, можна прогнозувати, що 2024 рік не буде легким для кібербезпеки. Цей допис розглядає три причини, чому так станеться, на основі тверджень експертів Invicti: Френка Катуччі та Дена Мерфі.
1. Штучний інтелект
Бум штучного інтелекту в 2023 році змінив світ технологій. Однак відбувається малопомітна, але набагато більш впливова революція ШІ, пов’язана з розробкою програм. Завдяки таким помічникам з написання коду, як Copilot, розробники можуть стати набагато продуктивнішими, прискорюючи свій темп роботи. Проте, не без ризиків для кібербезпеки.
По-перше, штучний інтелект може пропонувати вразливий або помилковий код, збільшуючи кількість багів і вразливостей.
По-друге, з прискоренням темпу розробки у пайплайн може надходити в рази більше коду, що є справжнім головним болем для спеціалістів з безпеки. Якщо нові функції стане можливо впроваджувати набагато швидше, ніж раніше, то, ймовірно, бізнес буде вимагати швидших релізів для збільшення заробітку, залишаючи менше часу на QA та перевірки безпеки. У такому разі всі інструменти тестування, що використовуються для автоматизації процесу, тепер повинні будуть обробляти більше коду, генеруючи більше результатів (що часто веде за собою більше помилкових спрацювань), які треба переглянути та усунути недоліки за коротший термін.
Крім того, інструменти ШІ доступні зловмисним хакерам, що також дозволяє їм прискорювати темп роботи та краще уникати виявлення на основі сигнатур. З цього випливає висновок, що у 2024 році можна очікувати більшу різноманітність і нестандартність атак.
2. Нові моделі атак
Злом MOVEit Transfer і пов’язані витоки даних вплинули як на сотні тисяч організацій, так і на звичайних людей. Окрім величезного масштабу, цей інцидент був примітний тим, що поєднав багато методів і векторів, демонструючи ймовірний напрямок майбутніх масових витоків.
Ці атаки націлювалися на програму для безпечної передачі файлів, яка широко використовувалася підприємствами та державними організаціями. Оскільки це ПЗ має справу з чутливими даними, воно привабило увагу зловмисників. Щоб скомпрометувати програму, вони вміло експлуатували кілька відносно простих вразливостей, які, взяті окремо, не становлять великого ризику: SQL-ін’єкція, незахищена десеріалізація та незахищений доступ до внутрішнього API. Хоча переважна більшість операцій із базою даних у додатку була безпечною, злочинцям вдалося знайти та націлитися на одне з небагатьох місць, вразливих для впровадження SQL. Поєднання зазначеного вище дозволило віддалено виконувати код та розгорнути вебоболонки для віддаленого доступу.
Цей інцидент створив купу загроз для безпеки додатків: злом поширеної програми з чутливими даними, можливість об’єднання простих вразливостей в нищівну атаку, компрометація тисяч організацій лише одним ПЗ, ризики незахищених кінцевих точок API… Цей список можна продовжувати, не кажучи про фінансово вмотивованих зловмисників, які погрожують оприлюднити конфіденційну інформацію замість того, щоб зашифрувати чи видалити її, як у випадку з більш традиційними операціями програм-вимагачів.
Кіберзлочинці прагнуть отримати максимальну віддачу від своїх зусиль для атаки, тож цілком імовірно, що у 2024 році вони будуть все більше націлюватися на широко використовувані програми (наприклад, MOVEit Transfer чи SolarWinds Orion) або компоненти програмного забезпечення (як-от Log4j). Крім того, API швидко стають основною поверхнею атаки, а віддалене виконання коду все ще є популярним сценарієм, тому, ймовірно, кількість таких атак у поточному році буде тільки зростати.
3. Рік виборів і зростання геополітичної напруги
Інтенсивність кібератак тісно пов’язана з конфліктами у фізичному світі. І хоча 2023 рік і так був неспокійним у геополітиці, він лише створював основу для 2024 року. Економічні, військові та соціальні конфлікти, що назрівають або наближаються до піку, збільшать частоту використання кібератак як способу протистояння.
Також у 2024 році відбудуться вибори в десятках країн, включаючи США. Тобто світ чекатимуть місяці гарячих виборчих кампаній, напружених виборів і передачі влади. Усе це на додачу до кібервійни та хактивізму, пов’язаного з поточними та майбутніми конфліктами. Спроби атак, ймовірно, різко збільшаться, ще більше навантажуючи команди безпеки.
Окрім атак на конкретні додатки, як-от MOVEit Transfer, у 2023 році також відбулося декілька найбільш інтенсивних DDoS-атак за весь час. Експлуатуючи вразливість Rapid Reset HTTP/2, зловмисники змогли створити безпрецедентні обсяги DoS-трафіку з відносно невеликих мереж ботів. Завдяки співпраці між великими операторами хмарних сервісів та їх швидкому реагуванню, ці атаки пройшли непомітно для більшості користувачів Інтернету. Вразливість у HTTP/2 неможливо усунути без перебудови всього протоколу, тому виправлення було зосереджено на застосуванні патчів та зміні конфігурації вебсерверів, балансувальників навантаження та інших пристроїв.
Будь-який сайт або служба, що працюють без виправлень вищезазначеної вразливості та поза захистом великих постачальників інфраструктури, можуть постраждати від DoS за лічені секунди. Зловмисні хакери, мотивовані фінансовими, політичними, військовими чи ідеологічними причинами, можуть використовувати цю або інші вразливості проти конкретних організацій, груп або навіть держав. Тобто обсяг роботи спеціалістів з кібербезпеки у 2024 році, вірогідно, тільки зростатиме.
Що ж робити?
Читаючи цю статтю, можна подумати: мабуть, штучний інтелект врятує ситуацію, допомагаючи командам безпеки виконувати частину їхньої роботи? І так, і ні. Проблема генеративного ШІ полягає в тому, що ніколи не можна бути цілком впевненими в його результатах. Іншими словами, він за своєю природою має обмежене використання, коли потрібні точні дані для прийняття швидких рішень.
2024 рік, ймовірно, стане роком збільшення кількості інцидентів через перераховані вище та інші причини, впливаючи на всіх у сфері кібербезпеки. У свою чергу, Invicti допомагає отримувати точну інформацію під час тестування безпеки додатків завдяки Proof-based скануванню, полегшуючи роботу командам.
