Fortinet przedstawił prognozy na temat zagrożeń informatycznych czekających nas w 2018 roku. Eksperci z laboratorium FortiGuard Labs przedstawili strategie i metody, które będą wykorzystywane przez cyberprzestępców w najbliższej przyszłości oraz wskazują na potencjalny wpływ ich działań na globalną gospodarkę.

W ciągu najbliższych lat będziemy świadkami rozwoju przestrzeni cyberataków, przy jednoczesnym zmniejszaniu widoczności i kontroli nad infrastrukturą informatyczną. Powszechność urządzeń podłączonych do internetu, które uzyskują dostęp do danych osobistych i finansowych – na przykład liczne urządzenia IoT i infrastruktura krytyczna stosowana w samochodach, domach, biurach i inteligentnych miastach – oraz rosnąca sieć wzajemnych połączeń stwarzają nowe możliwości dla cyberprzestępców.

Cyfrowi kryminaliści są coraz bieglejsi w wykorzystywaniu osiągnięć sztucznej inteligencji, co czyni ataki jeszcze bardziej skutecznymi. Ten trend zapewne przyspieszy w 2018 roku.

Najważniejsze prognozy specjalistów Fortinet:

• Wzrost samouczących się sieci hivenet i swarmbots

Bazując na wyrafinowanych atakach, takich jak Hajime oraz Devil’s Ivy lub Reaper, można przewidywać, że cyberprzestępcy zastąpią botnety inteligentnymi klastrami zainfekowanych urządzeń, nazywanych hivenetami.

Hivenety wykorzystują metodę samouczenia, aby skutecznie docierać do zagrożonych systemów na niespotykaną dotąd skalę. Będą one w stanie komunikować się ze sobą oraz podejmować działania na bazie analizy lokalnie zbieranych danych. Hivenety będą rosły wykładniczo, co zwiększy ich zdolność do jednoczesnego ataku na wiele ofiar i znacznie utrudni podjęcie przeciwdziałań.

Laboratorium FortiGuard Labs odnotowało w tym roku 2,9 mld prób komunikacji botnetowej tylko w ciągu jednego kwartału.

• Ransomware to wielki biznes

Poprzez nowy typ oprogramowania, jak np. ransomworm, liczba ataków ransomware wzrosła w ciągu ostatniego roku aż 35-krotnie. To najprawdopodobniej nieostatnie słowo cyfrowych wyłudzaczy. Następnym wielkim celem dla tego typu działań będą prawdopodobnie dostawcy usług w chmurze.

Złożone hiperpołączenia sieciowe, które tworzą dostawcy usług w chmurach, mogą skutkować tym, że pojedynczy punkt awarii dotknie setki firm, instytucji państwowych, organizacji opieki zdrowotnej oraz infrastrukturę krytyczną. Cyberprzestępcy zaczną łączyć technologie sztucznej inteligencji z wielowymiarowymi metodami ataku, aby skanować, wykrywać i wykorzystywać słabości dostawcy rozwiązań chmurowych.

• Morphic Malware następnej generacji

W bliskiej przyszłości zaczniemy dostrzegać złośliwe oprogramowanie stworzone całkowicie przez maszyny oparte na automatycznym wykrywaniu luk i skomplikowanej analizie danych. Polimorficzne ataki nie są nowe, ale przybiorą inne oblicze. Poprzez wykorzystanie sztucznej inteligencji, zaczną tworzyć nowy, wyrafinowany kod, który za pomocą maszynowych procedur będzie w stanie nauczyć się, jak unikać wykrycia.

Dzięki ewolucji istniejących narzędzi, przestępcy będą mogli rozwinąć najlepszy możliwy exploit w oparciu o charakterystykę każdej unikalnej słabości. Złośliwe oprogramowanie jest już w stanie używać modeli uczenia się, aby ominąć zabezpieczenia, a co za tym idzie, może wyprodukować nawet ponad milion odmian wirusa w ciągu dnia. Jak do tej pory wszystko to opiera się tylko na algorytmie, co ogranicza poziom zaawansowania i kontroli nad wynikiem.

Eksperci Fortinet wykryli 62 miliony szkodliwych programów w jednym kwartale 2017 r. – wśród nich 16 582 warianty pochodzące z 2 534 rodzin malware’u. Z kolei 20% organizacji stwierdza, że doświadczyła aktywności malware’u atakującego urządzenia mobilne. Zwiększona automatyzacja szkodliwego oprogramowania sprawi, że te statystyki staną się jeszcze bardziej niepokojące w nadchodzącym roku.

• Infrastruktura krytyczna na pierwszy plan

Ze względu na kwestie strategiczne i ekonomiczne dostawcy oraz użytkownicy infrastruktury krytycznej nadal znajdują się na pierwszym miejscu listy najbardziej zagrożonych atakami. Organizacje te chronią ważne usługi i informacje. Jednak najbardziej krytyczna infrastruktura i operacyjne sieci technologiczne są kruche, ponieważ zostały pierwotnie zaprojektowane jako szczelne i izolowane.

Oczekiwanie szybkiego reagowania na potrzeby pracowników i konsumentów zaczęło zmieniać wymagania wobec tych sieci, napędzając potrzebę zastosowania w nich zaawansowanych zabezpieczeń. Biorąc pod uwagę ich znaczenie i potencjał niszczycielskich rezultatów ich naruszeń, dostawcy infrastruktury krytycznej dołączyli do wyścigu cyfrowych zbrojeń z organizacjami państwowymi, przestępczymi i terrorystycznymi.

• Nowe usługi wykorzystujące automatyzację oferowane przez cyberprzestępców i Darkweb

Można się spodziewać, że wkrótce zobaczymy nowe oferty w modelu C-a-a-S (Cybercrime-as-a-service) pochodzące z Darkwebu, ponieważ już teraz analizujemy zaawansowane usługi wykorzystujące uczenie maszynowe.

Na przykład usługa znana jako FUD (Fully Undetectable) jest już częścią kilku ofert. Umożliwia ona programistom zajmującym się cyberprzestępczością sprawdzenie, czy ich ataki i złośliwe oprogramowanie będą wykryte przez narzędzia bezpieczeństwa pochodzące od różnych dostawców.

Dodatkowo w ramach usługi zwiększony zostanie poziom wykorzystania uczenia maszynowego, które służy do modyfikowania i podnoszenia skuteczności analizowanego kodu.

Stawiaj czoła zagrożeniom

Dzięki postępowi w dziedzinie automatyzacji i sztucznej inteligencji istnieje szansa dla najbardziej kreatywnych cyberprzestępców, aby wykorzystać odpowiednie narzędzia do poważnego naruszenia gospodarki cyfrowej. Rozwiązania ochronne muszą być budowane wokół zintegrowanych technologii bezpieczeństwa, użytecznych informacji o zagrożeniach oraz dynamicznie konfigurowalnych systemów zabezpieczających.

Ochrona powinna działać szybko, automatyzując reakcje, a także stosując inteligencję i samokształcenie, aby sieci mogły podejmować skuteczne i autonomiczne decyzje. Pozwoli to nie tylko zwiększyć widoczność i scentralizować kontrolę, ale także umożliwi strategiczną segmentację, podnoszącą poziom ochrony. Ponadto podstawowe procedury bezpieczeństwa muszą stać się częścią polityki ochrony IT. Jest to wciąż często ignorowane, ale to kluczowa kwestia dla ograniczenia konsekwencji cyberataków.