Сміливі прогнози Imperva в області AppSec на 2025

Що чекає на безпеку додатків у 2025 році? Сміливі прогнози від компанії Imperva, a Thales company:

1. Компанії зі списку Global 2000 можуть втратити значну частину інтелектуальної власності через оперативний витік даних. Генеративний AI створив новий додаток-вбивцю: інтерфейс природної мови для роботи з даними. Разом із новим інтерфейсом з'явився і новий вектор загрози: швидке впровадження. У 2025 році компанії, що входять до 2000 найбільших компаній світу, можуть втратити значну частину інтелектуальної власності через злом, джейлбрейк або іншу помилку, пов'язану з впровадженням підказок.
2. 2025 прискорить занурення в «яму розчарування» Hype Cycle швидше, ніж очікувалося. На піку ажіотажу обсяг інвестицій у AI перевищить $1T. Станом на IV квартал 2024 року технологічна спільнота вже інвестувала 750 млрд доларів в AI. За чутками, технологічні гіганти будують цілі нові дата-центри та електростанції лише для обчислень AI. Але початковими сценаріями використання GenAI для клієнтів будуть скоріше звичайні портали для співробітників та клієнтів, які у разі успіху принесуть деяку економію. Чи достатньо цього, щоб окупити такі масштабні глобальні інвестиції? Оскільки безпека швидких впроваджень все ще перебуває в зародковому стані, 2025 прискорить занурення в «яму розчарування» Hype Cycle швидше, ніж очікувалося.
3. Супер-інструмент для злому за допомогою GenAI переосмислить поняття «скрипт-кідді» (Script kiddie). GenAI - це інструмент, а інструменти можуть бути використані як на благо, так і на зло. Зловмисники вже використовують GenAI для розвідки, фішингових кампаній та інших хакерських дій, що передують злому. На думку дослідників, ChatGPT краще справляється зі зломом, ніж моделі Llama-2, FWIW. GPT-4 може використовуватися для автономного виконання атак, без попередніх знань та зворотного зв'язку з людиною. Таким чином, зараз GenAI використовується як для розвідки перед зломом, так і для підвищення привілеїв та латерального переміщення після злому. У 2025 році заповзятлива група зловмисників об'єднає ці дві фази в єдиний супер-інструмент злому, для якого знадобиться лише ім'я корпоративної мети, щоб втратити бойові LLM. І тоді, коли відбудеться витік (або ексфільтрація) цього суперзламного комбо GenAI, захисники всього світу жахнуться.
4. API Security подолає прірву від ранніх послідовників до ранньої більшості. Більшість підприємств зацікавлені у безпеці API, але ще не запровадили її. А якщо й прийняли, то знаходяться на ранній стадії зрілості безпеки API, використовуючи рішення в основному для виявлення та інвентаризації API. Але, зрештою, збір кінцевих точок API - це лише перший крок, тому що в якийсь момент вам доведеться їх захищати. 2025 стане роком, коли більшість корпоративних організацій у Північній Америці або впровадять, або планують впровадити (протягом 24 місяців) рішення для забезпечення безпеки API. Вони приєднаються до ранніх послідовників у галузі виявлення, а деякі перейдуть до моніторингу. Перші послідовники перейдуть до аналізу ризиків і, нарешті, усунення наслідків.
5. Можливі успішні атаки на ланцюжок постачання OSS. 2024 мало не почався з грандіозного вибуху. Шкідливі зловмисники шляхом багатомісячної дисциплінованої соціальної інженерії захопили підтримку XZ utils, широко використовуваної бібліотеки стиснення відкритого програмного забезпечення (OSS). Взявши на себе розробку бібліотеки, яка входить до багатьох сучасних дистрибутивів Linux, вони ретельно створили в ній прихований бекдор. Вони випустили шкідливий код, і він почав розповсюджуватися через ранні бета-версії дистрибутивів. Один героїчний мережевий адміністратор зауважив, що через новий код його SSH-сесії почали підключатися на півсекунди довше. Його особисте розслідування виявило бекдор. Він підняв тривогу, і бекдор був вилучений. Якби не він, це державне угруповання могло б скомпрометувати усі мільйони систем на базі Linux, на яких працює сучасний інтернет. У 2025 році атака OSS, подібна до XZ Utils, дійсно увінчається успіхом, оскільки всі інші державні суб'єкти побачили, як близько до своєї мети підійшов початковий зловмисник. Ніщо не заважає рішуче налаштованому зловмиснику проводити такі операції на десятках різних OSS-проектах; для успіху їм достатньо одного чи двох. Насправді, можливо, вони вже це зробили, і ми дізнаємося про це лише 2025 року.

Отже, ось вони, п'ять найсміливіших прогнозів на 2025 рік від Imperva. Якщо подивитися на них загалом, то можна помітити, що тут є трохи негативу. Але давайте також сподіватися, що у 2025 році світ прийме безпеку API.

Imperva - лідер у галузі комплексної цифрової безпеки, мета якого допомогти організаціям захистити свої дані та всі шляхи до них. Клієнти по всьому світу довіряють Imperva захист своїх додатків, даних, веб-сайтів від кібер-атак.

Звертайтеся за персональною консультацією стосовно рішень Imperva до фахівців Softprom.

Softprom - Value Added Distributor компанії Imperva.