8 трендов кибербезопасности и конфиденциальности на 2022

Следующий год принесет многогранные вызовы в области кибербезопасности, комплаенса и конфиденциальности. ImmuniWeb представила свое видение тенденций на 2022 год.

ТОП-8 трендов кибербезопасности и конфиденциальности по версии ImmuniWeb:

• Личная ответственность директоров и руководителей за утечку данных.

В июне 2021 года Верховный суд Швейцарии постановил, что директора компаний несут личную ответственность перед компанией за денежный ущерб, причиненный ошибочным переводом средств в результате сложной комбинации социальной инженерии и фишинговых атак. Юрисдикции общего права также следуют этой тенденции, например, правительство Австралии рассматривает возможность привлечения директоров к ответственности за предотвратимые утечки данных. Такая тенденция согласуется с недвусмысленным предупреждением FTC об обязанности совета директоров поддерживать адекватную программу кибербезопасности в своей компании.

• Турбулентность и нарастающий кризис на мировом рынке киберстрахования.

Продолжающийся всплеск атак программ-вымогателей и цепочек поставок спровоцировал стремительный рост страховых премий по всему миру. В то время как некоторые компании, такие как AIG, объявили о повышении премий как минимум на 40% во всем мире, другие, такие как AXA, полностью перестали покрывать платежи от программ-вымогателей в некоторых регионах. Среднее покрытие снизилось с 10 миллионов долларов США до одного миллиона, тогда как в недавнем отчете IBM говорится, что средняя стоимость атаки вымогателя составляет около 4,62 миллиона. В конечном итоге потенциальные жертвы имеют недостаточное страхование, в то время как компании, которые собираются приобрести свою киберстраховку, должны внимательно читать страховые полисы на предмет исключений, которые с января почти удвоились. Ожидается, что в ближайшем будущем никакая страховка не будет покрывать выплаты выкупа, в результате чего жертвы останутся без средств правовой защиты.

• Неконтролируемая поверхность атаки с мультиоблачной средой и контейнерами.

Gartner анонсировал, что в 2022 году ежегодные расходы на общедоступные облачные сервисы достигнут беспрецедентных 397,5 миллиардов долларов США. Многооблачная архитектура повышает киберустойчивость организации и обеспечивает бесперебойную доступность критически важных для бизнеса приложений. Контейнеры и облачные приложения повышают гибкость и скорость разработки программного обеспечения. Однако новые технологии также несут с собой широкий спектр новых рисков: инвентаризация ИТ-активов и данных в облаке становится сложной задачей. Разработчики программного обеспечения обычно не имеют опыта в области безопасности DevOps и случайно открывают доступ в Интернет в облачных хранилищах, незащищенных бессерверных конечных точках (FaaS) или системах управления контейнерами. Технология Infrastructure-as-Code (IaC) усугубляет проблему, создавая уязвимые по конструкции и незащищенные по умолчанию облачные системы. В то время как организации спешат мигрировать в облако, не предоставляя своим сотрудникам надлежащего обучения безопасности, мы увидим новые всплески нарушений, связанных с облачными технологиями, и утечки данных.

• Изощренные и скрытые атаки на цепочки поставок, затрагивающие все отрасли.

Согласно прогнозам Агентства по кибербезопасности Европейского Союза, в 2022 году количество атак на цепочки поставок вырастет на 400%. После взлома поставщика услуг кибернаемники могут годами бездействовать, ожидая, пока в их сети заплывет большая рыба. Как только взломанный поставщик ИТ получит богатого или государственного клиента и доступ к его данным, злоумышленники приступят к краже данных. Небольшие поставщики услуг обычно не способны обнаруживать хорошо спланированные вторжения, которые в конечном итоге никогда не обнаруживаются.  Бесчисленные небольшие хакерские группы распространяют бэкдор-программы с открытым исходным кодом в общедоступных репозиториях кода, подвергая опасности миллионы веб-приложений, доставляя вредоносное ПО своим пользователям. Их методы могут быть высокопроизводительными, даже если они технически тривиальны, например, создание проекта, пакета или доменного имени с опечаткой, которое будет использоваться невнимательными разработчиками программного обеспечения. Многие компании станут жертвами стремительного роста атак на цепочки поставок в 2022 году.

• Неуправляемая нормативная база и стремительно растущие штрафы во всем мире.

72-часовая задержка, установленная GDPR, для сообщения об утечке данных теперь будет рассматриваться как роскошь, поскольку банки США вскоре будут обязаны сообщать об инцидентах кибербезопасности в течение всего 36 часов, как того требует Федеральная корпорация по страхованию депозитов (FDIC). 2021 год ознаменовался появлением множества новых законов о конфиденциальности, включая LGPD в Бразилии, POPIA в Южной Африке и законы нескольких штатов в США. Санкции также стали значительно более жесткими. Например, южноафриканская версия GDPR включает, среди прочего, лишение свободы на срок до 10 лет за серьезные нарушения конфиденциальности. Недавно принятый Закон о защите личной информации (PIPL) в Китае применяется экстерриториально, как и европейский GDPR, но предусматривает более высокие штрафы, достигающие 5% от годового глобального оборота. Ожидается, что в 2022 году вступит в силу еще более жесткое законодательство о защите данных и конфиденциальности, что сделает соблюдение нормативных требований и управление конфиденциальностью чрезвычайно обременительной задачей.

• Целенаправленные и настойчивые кампании вымогателей с непревзойденной рентабельностью инвестиций.

Из-за неотслеживаемых криптовалют, сложностей международного права и недостаточного финансирования правоохранительных органов большинство воров-вымогателей сегодня остаются безнаказанными. Киберпреступники уже широко применяют схему двойного вымогательства, требующую выкупа не только за отправку ключа дешифрования, но и за воздержание от утечки украденных данных в Dark Web, тем самым наказывая непокорных жертв. В 2021 году опытные кибер-банды запустили несколько подпольных торговых площадок, где каждый может свободно покупать конфиденциальные данные, украденные у банков, больниц и ИТ-компаний. Эти данные позже перепродаются и используются в атаках с использованием паролей, целевом фишинге, атаках компрометации деловой электронной почты. Другие группы использовали поддельные методы вымогательства, угрожая ИТ-поставщикам утечкой некоторых данных, доверенных им клиентами и якобы украденных по вине поставщика, хотя в действительности последний не имеет никакого отношения к инциденту. Вероятно, некоторые поставщики будут соблюдать правила коварной игры, чтобы избежать негативной огласки, потери бизнеса и дорогостоящих судебных разбирательств. Неудивительно, что одна только известная группа программ-вымогателей Ryuk утверждает, что менее чем за год заработала более 150 миллионов долларов, тогда как 2022 год, несомненно, установит новый мрачный рекорд прибыли от программ-вымогателей.

• Бронебойные атаки «китов» с использованием ИИ и дипфейков.

Человеческий фактор - самое слабое звено в цепи киберзащиты с момента изобретения современной социальной инженерии. Современные технологии искусственного интеллекта, такие как глубокое обучение, делают атаки, нацеленные на человека, сверхэффективными, безупречно имитируя чей-то голос или даже голос с видео во время вызова Zoom. Всемирный экономический форум (WEF) подсчитал, что количество дипфейков в этом году растет с поразительной ежегодной скоростью - 900%. Современные атаки на «китов» удачно используют дипфейки, чтобы обмануть финансовые и бухгалтерские команды и отправить миллионы долларов на офшорные счета. Различные варианты дипфейков также используются для обхода различных мер безопасности, когда, например, менеджер банка должен позвонить клиенту, чтобы подтвердить подозрительный банковский перевод. Изобретательское мошенничество, имитирующее техническую поддержку и предназначенное, например, для кражи токенов MFA, в 2022 году будет в значительной степени зависеть от бесшовных подделок и мошеннических имитаций.

• Использование разной интерпритации информации о киберугрозах в судебных процессах.

В документе «Улучшение кибербезопасности нации» прямо упоминается важность обмена разведывательной информацией о киберугрозах между правительственными учреждениями и частным сектором для повышения общей устойчивости и готовности к постоянно развивающимся кибератакам. Бесспорно, современная разведка киберугроз может сильно отличаться от непроверенных общедоступных источников информации об угрозах, которые создают бесполезный шум и лавину ложных срабатываний, до государственных серверов TAXII, проверенных и курируемых государственными или федеральными агентствами с сильно ограниченным доступом к данным. Чем больше данных о вторжении становится общедоступным, тем больше у вас шансов изучить ДТС (тактики, методы и процедуры), другие общие данные или их контекст и успешно вывести некоторые неочевидные детали или события. Например, Агрессивные юридические фирмы, возбуждающие групповые иски в связи с крупномасштабными нарушениями данных, могут получить бесценные доказательства инцидентов безопасности и вторжений, о которых следует сообщить, которые - по какой-то причине - остались нераскрытыми. Будьте осторожны с тем, чем вы поделитесь в 2022 году.

Полная видимость ваших ИТ-систем и данных в облачных и локальных средах остается жизненно важной для предотвращения утечек данных и соблюдения нормативных требований. Правильно реализованная автоматизация мониторинга безопасности, управления исправлениями и конфигурациями, а также реагирования на инциденты безопасности помогает компенсировать нехватку навыков кибербезопасности и держать вашу команду занятой теми задачами, которые действительно заслуживают человеческого времени. Однако имейте в виду, что автоматизация, например, ваш конвейер CI / CD, также расширяет поверхность вашей атаки и должна быть усилена и должным образом защищена. Постоянное обучение вашей команды безопасности остается важным для того, чтобы быть в курсе новых технологий и быстро меняющегося ландшафта киберугроз. Чтобы соответствовать законам о защите данных и конфиденциальности в 2022 году, каждой команде по кибербезопасности также потребуются юристы, поэтому рекомендуется объединиться с вашим юридическим отделом или поговорить с внешней юридической фирмой, специализирующейся на киберправе. Создание и постоянное совершенствование сторонней программы управления рисками, основанной на оценке рисков, необходимо для предотвращения атак на цепочку поставок, универсальные анкеты для поставщиков больше не работают.

ImmuniWeb AI Platform поможет вам снизить затраты на тестирование безопасности приложений, защиту и соответствие нормативным требованиям.

Обращайтесь за персональной консультацией по решениям ImmuniWeb к специалистам Softprom. 

Softprom - Value Added Distributor компании ImmuniWeb.