Co čeká kyberbezpečnost v roce 2023?

Zpět na blog

Kybernetická bezpečnost se během uplynulého roku dostala do středu pozornosti organizací, států i médií. Důvodem je mimo jiné válka na Ukrajině, která probíhá nejen přímo na bojišti, ale také v digitálním světě. Podle řady analýz vzrostl počet útoků meziročně přibližně o čtvrtinu až o třetinu. Největší obavy vyvolávaly pokračující ransomwarové útoky, zranitelnosti softwaru s otevřeným zdrojovým kódem či zabezpečení cloudových platforem. Velkým tématem byla také ochrana soukromí a citlivých dat, které organizace a společnosti spravují. Co nás však v oblasti kybernetické bezpečnosti čeká v letošním roce?

 

„Ve stručnosti lze říci, že přinášíme jednu dobrou a jednu špatnou zprávu. Dobrou zprávou je, že neočekáváme žádné zcela nové, převratné typy útoků a hrozeb. Tou špatnou zprávou je však fakt, že útočníkům stačí jen opakovat staré a osvědčené útoky jako například ransomware, případně využívat naše vlastní chyby, kterými jim sami ‚otevíráme dveře‘: Jde například chyby v aplikacích, v IoT zařízeních nebo v cloudech,“ říká Petr Mojžíš, náš konzultant kybernetické bezpečnosti.

 

Trendy v útocích:

Zvyšující se komplexnost cloudů zvyšuje riziko chyb a úspěšných útoků

Stále širší nasazení cloudů bude přinášet vyšší rizika úniku, napadení, ale i prostých chyb v jejich konfiguraci. Výzvou bude i nutnost dodržet všechny zákonné nároky. Bude tak nutné hledat nové cesty, jak cloudy spravovat, monitorovat pokusy o neoprávněné přístupy, kontrolovat možné konfigurační chyby a více využívat automatizaci, protože IT expertů bude stále větší nedostatek.

Útoky na dodavatelské řetězce budou působit stále větší problémy

Komplexnost aplikací ve firmách, množství zastaralých (legacy) aplikací, ale i různorodá úroveň „vendor locku“ budou v roce 2023 působit stále větší komplikace. Od těch základních, jako jsou bezpečnostní chyby (včetně 0day) v aplikacích od dodavatelů, až po sofistikované útoky přes dodavatelské řetězce.  V roce 2021 to byl jen začátek (útoky přes firmy SolarWinds, Kaseya apod.). V roce 2022 přišlo podobných útoků více a předpokládáme, že tento trend bude pokračovat i letos. Každá firma tak musí přemýšlet a kontrolovat: kde v mých byznysových procesech mám nějaké subdodavatele? Jak moc jsem na nich závislý a co se stane, když? Poznám, pokud se do softwaru mého dodavatele dostane nějaký backdoor? Jak dobře můj dodavatel chrání svoje vlastní procesy? Jaké mám řešení, pokud můj dodavatel bude napaden? Pár příkladů za všechny. Jeden z největších útoků v roce 2022 byl směřován přes společnost Okta, která je dodavatelem autentizačního softwaru. Cílem hackerské skupiny Lapsu$ bylo, dostat se přes Oktu ke koncovým firemním zákazníkům. A jak se útočníci dostali do Okty? Zase přes jejich subdodavatele… Anebo útok přes AccessPress, firmu, která vyvíjí pluginy používané na stovkách tisíc webových stránek. Útočníkům se podařilo podstrčit ke stažení upravené verze těchto pluginů, které obsahovaly různé backdoory.

Rizikem stále budou koncové body i uživatelé

Sociální inženýrství, jedna z nejčastějších cest, kudy se útočníci dostávají do systémů, bude v útocích hrát stále zásadní roli. Zvýší se důležitost vzdělávání uživatelů, ale také ochrany před jejich chybami. Malware bude stále sofistikovanější, stejně tak jako útočníci stále rafinovanější. Proto roste potřeba maximalizace automatizované ochrany, protože přes veškerou snahu o osvětu se na uživatele nikdy nedá ve všem spolehnout.

Stále širší výskyt BYOD, tedy práce na vlastním zařízení, ještě zvýší nároky na ochranu sítí a dat jako takových. Zkratkami roku 2023 budou například EDR (Endpoint Detection and Response), MTD (Managed Threat Detection) na XDR (Extended Detection and Response).

Zvýší se riziko plynoucí z existence různorodého IoT

Zásadní množství různorodých zařízení připojených do firemních sítí, která spadají spíše do kategorie IoT (internet věcí) než mezi počítače, servery či mobilní zařízení, přinese nové výzvy. Bezpečnost je u IoT zařízení obecně hodně pozadu oproti klasickým počítačům a pro útočníky zde bude dostatek příležitosti, včetně nalezení cest do firemních sítí.

Rok 2023 bude rokem exploze ransomware útoků

Již zmíněné útoky ransomware budou v roce 2023 na vzestupu, hodně i z toho důvodu, že řada firem a organizací proti tomuto útoku stále nemá ochranu. Většina bohužel stále nemá ani zpracované plány a postupy, jak napadení řešit. Ransomware útoky jsou navíc spojeny s úniky dat a můžou být i krytím pro průmyslovou špionáž. Navíc firmy, které byly již jednou napadeny, jsou běžně napadeny opakovaně.

Ransomware bude šířen “naslepo” jako nová vlna malware, ale zároveň budou běžné vysoce sofistikované útoky šité “na míru” vybraným cílům. Již zmíněné sociální inženýrství a phishing budou stále velmi efektivními nástroji, jak škodlivý kód dostat do firemní sítě.

Kromě ransomware útoků budou na vzestupu i útoky destrukční

Ruská válka proti západnímu světu (viděno jejich optikou) přinesla nárůst útoků, které byly v minulosti velmi vzácné. Obvykle šlo o velmi cílené útoky v rámci dobře utajovaných státních operací. S válkou však došlo k rozšíření těchto typů útoků. Zejména proto, že mnoho skupin se otevřeně postavilo na proruskou nebo protiruskou stranu. Destrukční útoky, tj. útoky bez cíle “vydělat”, které již skutečně spadají do kybernetické války a ne do kriminální činnosti, budou na vzestupu i v roce 2023. Obrana proti nim bude obdobná, jako v případě ransomware, riziko je však ještě vyšší. Vždy je jednodušší data prostě zničit, než je unést a za peníze vrátit.

 

Technologické trendy

Širší nasazování koncepce Zero Trust přinese i větší zájem útočníků

Filozofie Zero Trust je dnes vnímaná jako jeden z nejefektivnějších ochranných mechanismů vůči útokům vedených skrze uživatele a koncové body. S tím, jak se bude tento přístup v organizacích rozšiřovat, zaměří se na něj i útočníci a velmi brzy najdou jeho nové slabiny. Využijí při tom dnes běžně a široce dostupných možností umělé inteligence. Usnadní jim to i fakt, že princip Zero Trust bude v řadě firem novinkou, takže jeho nasazení nebude kompletní ani bezchybné.

DevSecOps se stane klíčovým pro podnikání

Množství aplikací, jejich vzájemná propojování, různorodá API, portabilita dat a řada dalších vlastností dnešních systémů zesilují potřebu toho, aby vývoj, bezpečnost i provoz byly vzájemně úzce provázány a řešeny. DevOps je již nyní prakticky standardem, “Sec” si své posazení do těchto procesů stále obtížně hledá a ani rok 2023 zřejmě nepřinese stabilní praxi. Téma je přitom úzce provázané i s tématem cloudu a subdodavatelů. Jak dobře chráníte celý cyklus vývoje svého softwaru? A jakou máte jistotu, že ho dobře chrání vaši subdodavatelé? Kdo měl možnost upravit nějaký kousek softwaru, který používáte?

 

Trendy ve vrcholovém řízení bezpečnosti

Tlak na ochranu soukromí v kombinaci s množícími se úniky dat

Pro jakoukoliv firmu či organizaci shromažďující osobní informace a údaje bude rok 2023 další výzvou. Množící se úniky dat, velmi často spojené s následky ransomwarových útoků, přinesou potřebu chránit osobní údaje ještě více. Tlak na firmy přitom budou vytvářet nejen jejich zákazníci, ale především stávající a nová legislativa. Na legislativě budou čím dál více stavět aktivistické organizace jejichž schopnosti i vliv na prosazování legislativy do praxe rostou.

Kybernetická bezpečnost se stane prioritou pro nejvyšší vedení firem

Řada firem si teprve během tohoto roku uvědomila význam silné bezpečnostní politiky a hrozby, které reálně vyplývají ze slabého zabezpečení jejich systémů a infrastruktury. Pro nejvyšší vedení je stále zřejmější, jak zásadní škody mohou způsobit bezpečnostní útoky, ať už jde o tak běžné věci jako DDoS, či zásadně horší ransomware. Zásadní pro změnu chápání významu bezpečnosti je a bude ale i to, že firmy jsou a budou více právně odpovědné za případné úniky a jiné následky útoků. Vedle doposud běžného CSO (Chief Security Officer) se tak začne objevovat i CRO (Chief Risk Officer).

Navíc přichází „regulační exploze“: NIS2, ZoKB, DORA, …

A pokud ještě pořád existuje nějaká firma, která si neuvědomuje, že kybernetická bezpečnost se vyplatí pro její vlastní dobro, tak pro takovou firmu navíc přichází celá řada zákonů a dalších regulací. Na konci roku 2022 se podařilo na úrovni EU dokončit schvalování dvou velmi důležitých předpisů, které se dotknou také tisíců organizací v ČR: NIS 2 a DORA. Vzhledem k tomu, že začátek platnosti u obou se odhaduje na rok 2024, tak během roku 2023 je nejvyšší čas na přípravu. NIS2 je směrnice, která upravuje oblasti, dosud řešené zákonem o kybernetické bezpečnosti (ZoKB). DORA je nařízení, které reguluje požadavky na komplexní digitální odolnost všech firem ve finančním sektoru. Obě tyto regulace mimo jiné kladou zvýšený důraz na systematické procesy řízení rizik, na řízení subdodavatelů apod.

 

Tak nám všem držíme palce, ať jsou dopady útoků co nejmenší, a ať se podaří zlepšit úroveň bezpečnosti.

 

https://www.rmol.cz/novinky/co-ceka-kyberbezpecnost-v-roce-2023

Zdroj obrázku: AI generovaný obrázek pomocí služby deepai.org

24. 1. 2023