Το Cyber Security και το Threat Landscape είναι μία μελέτη αντιφάσεων. Αλλάζουν διαρκώς και κατά ένα τρόπο είναι πάντοτε οι ίδιες. Υπάρχουν καινούργιες απειλές, νέες εκδόσεις παλαιών απειλών και δοκιμασμένες – βάση εμπειρίας – απειλές που ποτέ δεν απομακρύνονται στην πραγματικότητα.
Κατά ένα τρόπο το cyber threat landscape είναι μία ιστορία που επαναλαμβάνεται! Οι απειλές του χθες, τις περισσότερες φορές οδηγούν τις απειλές του αύριο, ακόμα και αν η σύνδεση τους δεν είναι εξαρχής προφανής.
Τα FortiGuard Labs δημιουργήθηκαν εδώ και πάνω από μια δεκαετία, για να παρακολουθούν και να ανιχνεύουν τις τελευταίες απειλές, τα zerodays και τα εξελισσόμενα malware. Οι τεχνολογίες αυτόματης ανίχνευσης και πρόληψης μαζί με πάνω από 200 ερευνητές διεθνώς, είναι υπεύθυνοι για να παρακολουθούν συνεχώς το εξελισσόμενο τοπίο των απειλών παγκοσμίως. Έτσι, η Fortinet έχει τη δυνατότητα να παρέχει άμεσες ενημερώσεις, να μεταδίδει γνώσεις ασφάλειας εις βάθος καθώς και να εκδίδει ένα ετήσιο cyber threat assessment, προσφέροντας υψηλά επίπεδα προστασίας, από όλες τις τελευταίες απειλές. Βασισμένοι σε αυτήν την τεχνογνωσία και εμπειρία, προβλέπουμε ότι μέσα στο 2016 θα συνεχιστούν πολλές από τις τάσεις των απειλών που εμφανίστηκαν το 2015, ενώ παράλληλα παρατηρούμε ήδη και νέες απειλές που δημιουργούν νέες προκλήσεις για τους καταναλωτές, τους εταιρικούς πελάτες αλλά και τους κατασκευαστές λύσεων ασφάλειας.
Για να κοιτάξουμε όμως μπροστά, πρέπει να κοιτάξουμε πρώτα πίσω! Νέα και πιο δύσκολα στον εντοπισμό τους malware, θα αναπτυχθούν και θα οδηγήσουν σε επιθέσεις οι οποίες θα εκμεταλλεύονται ευπάθειες στο cloud και τις διασυνδεδεμένες συσκευές. Ας δούμε λοιπόν παρακάτω κάποιες από τις προβλέψεις σχετικά με τις απειλές για την ασφάλεια.
Η έκρηξη του IoT θα φέρει νέες επιθέσεις
Η Gartner, προβλέπει ότι μέχρι το 2020 θα υπάρξουν περισσότερες από 20 δισεκατομμύρια διασυνδεδεμένες συσκευές, στα πλαίσια του Internet of Things (IoT). Δηλαδή σε μόλις 4 χρόνια από σήμερα, τα πάντα, από fitness trackers μέχρι συνδεδεμένα ρολόγια και smart TVs, smart home systems, medicine pumps και πολλές άλλες συσκευές, θα είναι συνδεδεμένες και προσβάσιμες στο Internet. Αυτές όμως οι απεριόριστες δυνατότητες διασύνδεσης θα κάνει αυτές τις συσκευές, πολύ πιο ελκυστικές σε επιθέσεις.
Το 2015, ήταν η πρώτη χρονιά που οι επιθέσεις σε IoT συσκευές μπήκαν στη λίστα του FortiGuard για τις Top 10 Απειλές και σίγουρα δεν θα είναι η τελευταία φορά που γίνεται αυτό. Αναμένουμε λοιπόν, ότι το IoT θα αποτελέσει κεντρικό ζήτημα στην επέκταση των επιθέσεων. Οι τακτικές των επιθέσεων, σε αυτή τη περίπτωση, θα ξεκινάνε μακριά από τον εταιρικό “αμυντικό πυρήνα” και αυτό γιατί τα επιχειρησιακά δίκτυα, αναγνωρίζοντας την αξία των πληροφοριών τους, εφαρμόζουν βελτιωμένες κυβερνοάμυνες. Οι hackers θα στοχοποιούν δηλαδή τις συσκευές των εργαζομένων, που εντάσσονται μέσα στα τεχνολογικά οικοσυστήματα των εταιριών, χρησιμοποιώντας τις συσκευές αυτές σαν gateway διαμέσου των εταιρικών υποδομών, οι οποίες είναι ενισχυμένες ενάντια στις επιθέσεις. Οι hackers μπορεί να μεταδίδουν malware διαμέσου αυτών των συσκευών ή πιο πιθανά, να αποκτούν πρόσβαση σε ένα αυξανόμενο αριθμό συσκευών IoT προκειμένου να εισέλθουν στα εταιρικά δίκτυα στα οποία συνδέονται. Όταν το δίκτυο έχει παραβιαστεί μέσω των IoT συσκευών, τότε οι hackers θα έχουν την ευκαιρία να προκαλέσουν ανεπανόρθωτη ζημιά.
Τα “ακέφαλα” Worms στοχεύουν σε “ακέφαλες” συσκευές
“Ακέφαλες” (Headless) ονομάζονται οι συσκευές χωρίς graphic user interface, embedded, ή IoT-enabled συσκευές, όπου η διαχείριση τους γίνεται από smartphones ή μέσω απομακρυσμένου ελέγχου. Σχετιζόμενες με την αύξηση στις machine-to-machine επιθέσεις, αυτές οι “ακέφαλες” συσκευές θα αποτελέσουν πρόσφορο έδαφος για worms και ιούς, που είναι σχεδιασμένα να στοχεύουν ανεξάρτητα και να μεταδίδονται αυτόματα σε άλλες συσκευές μέσω πρωτοκόλλων επικοινωνίας. Τα worms και οι ιοί στο παρελθόν, είχαν καταστροφικές οικονομικές συνέπειες όταν μεταδίδονταν ανάμεσα σε εκατομμύρια συσκευές. Πολύ μικρές ποσότητες λογισμικού, χρησιμοποιούνταν για να σχεδιαστούν αυτοί οι ιοί και όμως αυτό το λογισμικό είχε την ικανότητα να προκαλέσει συνολική κατάρρευση πάρα πολλών συσκευών και δικτύων. Ενδεικτικά, το Morris worm το 1989 επηρέασε γύρω στις 6000 συσκευές και οι ζημιές ήταν ανυπολόγιστες. Φανταστείτε λοιπόν την καταστροφή που μπορούν να επιφέρουν αντίστοιχα worms ή ιοί σε ένα διασυνδεδεμένο περιβάλλον στα πλαίσια του IoT με δισεκατομμύρια συσκευές συνδεδεμένες μεταξύ τους. Ενδεικτικά τα Fitness trackers μόνο, είναι δεκάδες εκατομμυρίων και περιέχουν προσωπικές πληροφορίες που θα μπορούσε να είναι πολύτιμες στους hackers.
“Δραπετεύοντας” από το Cloud
Στην περίπτωση που κάποιος έχει δυνατότητα να εγκαταστήσει ένα ειδικό λογισμικό σε μια φορητή συσκευή και να ξεκλειδώσει διάφορες δυνατότητες που είναι κρυμμένες από τους χρήστες, αυτό μπορεί να θεωρηθεί ένα είδος επίθεσης, η οποία μπορεί να εξαπλωθεί και στο cloud. Φυσικά, αυτό δημιουργεί μία ποικιλία ρίσκων ασφάλειας. Καθώς η δημοτικότητα του cloud αυξάνεται, οι hackers αναπτύσσουν νέες στρατηγικές για να ξεφεύγουν από τους hypervisors και να μολύνουν μεγαλύτερες υποδομές. Είναι λοιπόν πολύ πιθανόν, να δούμε αρκετά νέα malware που θα αναπτυχθούν για να εκμεταλλεύονται ρωγμές στα πρωτόκολλα virtualization. ΗVenom vulnerability, που εμφανίστηκε το 2015, παρείχε μία εικόνα του δυναμικού για malware διαφυγής από έναν hypervisor και για πρόσβαση στο host λειτουργικό σύστημα σε ένα εικονικό περιβάλλον. Η αυξανόμενη εμπιστοσύνη στο virtualization και στα ιδιωτικά και υβριδικά cloud, θα απασχολήσουν έντονα τους hackers που αναζητούν να υφαρπάξουν πολύτιμα εταιρικά δεδομένα και προσωπικές πληροφορίες. Ταυτόχρονα, επειδή είναι τόσες πολλές οι εφαρμογές που έχουν πρόσβαση σε συστήματα βασισμένα στο cloud, οι φορητές συσκευές που τρέχουν παραβιασμένες εφαρμογές μπορεί να αποτελέσουν την κερκόπορτα για απομακρυσμένη επίθεση σε δημόσια και ιδιωτικά clouds και κατ’ επέκταση τα εταιρικά δίκτυα με τα οποία συνδέονται.
Τα Ghostware είναι παντού .και πουθενά
Ο εντοπισμός και πολλές φορές η καταδίκη των κυβερνοεγκληματιών έχει πλέον αυξητικές τάσεις. Για αυτό και οι “προσεκτικοί” hackers αναπτύσσουν πλέον μία νέα παραλλαγή malware που είναι σχεδιασμένα να πετυχαίνουν τη μετάδοση τους και μετά να διαγράφουν όλα τα ίχνη τους, πριν τα μέτρα ασφάλειας μπορέσουν να ανιχνεύσουν την παραβίαση.
Τα “Ghostware” όπως ονομάζονται, είναι σχεδιασμένα να υποκλέπτουν δεδομένα και μετά να σβήνουν τους δείκτες παραβίασης, που πολλά συστήματα ασφάλειας είναι σχεδιασμένα να αναγνωρίζουν, ενώ επίσης αποκρύπτουν τους δημιουργούς τους. Αυτό κάνει πολύ δύσκολο, για τους οργανισμούς, να ανιχνεύσουν το μέγεθος της απώλειας δεδομένων που σχετίζεται με μία επίθεση, όπως και το να εντοπίσουν τους ενόχους. Τα Ghostware θα εξαπλωθούν ιδιαίτερα μέσα στο 2016.
Η έκρηξη των Blastware
Το 2015, ανακαλύφθηκε το Rombertik που αποτελεί το πρώτο μεγάλο κομμάτι Blastware. Το Blastware είναι ένα ιδιαίτερα επικίνδυνο αρχείο, αφού έχει τη δυνατότητα να εκτελείται αμέσως μόλις εγκατασταθεί και σε περίπτωση που αποκαλύπτεται, έχει τη δυνατότητα να αυτοκαταστρέφεται και καταστρέφει μόνιμα το host σύστημα για να διαφύγει την ανίχνευση. Το FortiGuard είχε προβλέψει την αύξηση των Blastware τον προηγούμενο χρόνο και φέτος πιστεύουμε ότι θα επιμείνει σε στοχευμένες επιθέσεις κατά κύριο λόγο, χρησιμοποιούμενες σε πράξεις hacktivism ή κυβερνητικό cybercrime.
“Διπρόσωπα” malware προκαλούν τα πρωτόκολλα ασφάλειας Sandbox
Πολλοί οργανισμοί έχουν στραφεί στο sandboxing, προκειμένου να ανιχνεύουν κρυμμένα ή άγνωστα malware, παρατηρώντας τη συμπεριφορά ύποπτων αρχείων κατά την εκτέλεση τους. Τα Malware, έχουν συνεχώς εξελισσόμενα χαρακτηριστικά με στόχο να διαφεύγουν την ανίχνευση, καθώς το sandboxing αρχίζει να γίνεται ολοένα και πιο διαδεδομένο. Τα “διπρόσωπα” (two-face) malware όμως, συμπεριφέρονται κανονικά κατά το στάδιο του ελέγχου και μετά το πέρας αυτού ξεκινάνε ένα malicious payload, αφού έχουν διαφύγει από το sandbox. Η ανίχνευση αυτών των malware θα αποτελεί από εδώ και πέρα μια μεγάλη πρόκληση. Πολλές λύσεις sandbox, χρησιμοποιούν ένα σύστημα αξιολόγησης βασισμένο στην παρατηρούμενη συμπεριφορά των αρχείων που παρακολουθούνται. Εάν τα sandboxes εντοπίσουν τυπικές συμπεριφορές, τότε μπορεί να αξιολογήσουν θετικά ένα αρχείο ενεργοποιώντας ένα μήνυμα που θα επέτρεπε τις μελλοντικές εκδόσεις του αρχείου αυτού να περάσουν θετικά τον έλεγχο, παρακάμπτοντας το sandbox και αποκτώντας πρόσβαση στο δίκτυο. Αυτοί οι τύποι των malware θα απαιτούν ισχυρότερα συστήματα scrubbing και επαλήθευσης, από τη μεριά του κατασκευαστή της λύσης ασφάλειας, κάτι που ίσως θα είχε επίπτωση στην αποδοτικότητα του δικτύου.
Αλλάζοντας συνεχώς. παραμένοντας το ίδιο!
Συμπερασματικά, το 2016 θα είναι ακόμα μία χρονιά εξελισσόμενων απειλών. Κάθε μία από τις παραπάνω τάσεις αντιπροσωπεύει μία σημαντική και καινούργια πρόκληση για τους οργανισμούς που εφαρμόζουν λύσεις ασφάλειας αλλά και για τους κατασκευαστές που τις αναπτύσσουν. Έχουμε δει πολλές από αυτές τις επιθέσεις πριν, ίσως με λιγότερο πολύπλοκες φόρμες. Η μάχη μεταξύ των κακών που αναπτύσσουν περισσότερα έξυπνα malware και των κατασκευαστών που αναπτύσσουν πιο έξυπνες λύσεις ασφάλειας θα συνεχιστεί. Το IoT εκτός από τις πρώτες ευπάθειες που γνωρίζει θα αποτελέσει στη συνέχεια ένα πεδίο ζωτικών επιθέσεων. Και καθώς οι απειλές θα εξελίσσονται, οι οργανισμοί θα πρέπει να είναι συνεχώς προσεκτικοί σε σχέση με τις υποδομές, τις εφαρμογές, τις συσκευές και υπηρεσίες τους πάνω στις οποίες βασίζονται οι επιχειρησιακές λειτουργίες. Γι’ αυτό και θα πρέπει να σχεδιάζουμε και να διασφαλίζουμε για να έχουμε ένα επιτυχές και απαραβίαστο 2016.
Joe Sarno
Vice President EMEA Region, Fortinet