Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 13
DIGITALTV 195
ilka aggelia
10 Δεκεμβρίου 2021 10:40

6 Προβλέψεις Ασφαλείας της WatchGuard για το 2022

a0c2d1f35938a106bd24854323625b99 XL d635ce8b

Το κακόβουλο λογισμικό για κινητά παραμένει υπαρκτός κίνδυνος –ειδικά στην πλατφόρμα Android–, αλλά δεν έχει ακόμη φτάσει στα ίδια επίπεδα με το παραδοσιακό κακόβουλο λογισμικό για υπολογιστές. Εν μέρει, πιστεύουμε ότι αυτό οφείλεται στο ότι οι κινητές συσκευές έχουν σχεδιαστεί εξαρχής με ενσωματωμένους ασφαλέστερους μηχανισμούς (π.χ. ασφαλή εκκίνηση), καθιστώντας πολύ πιο δύσκολη τη δημιουργία απειλών που δεν απαιτούν αλληλεπίδραση με το θύμα (zero touch). Ωστόσο, υπάρχουν σοβαρές εξ αποστάσεως ευπάθειες σε αυτές τις συσκευές, αν και είναι πιο δύσκολο να ανακαλυφθούν.

  1. Κρατικά υποστηριζόμενες mobile απειλές που καταλήγουν στον υπόκοσμο του κυβερνοεγκλήματος

Το κακόβουλο λογισμικό για κινητά παραμένει υπαρκτός κίνδυνος –ειδικά στην πλατφόρμα Android–, αλλά δεν έχει ακόμη φτάσει στα ίδια επίπεδα με το παραδοσιακό κακόβουλο λογισμικό για υπολογιστές. Εν μέρει, πιστεύουμε ότι αυτό οφείλεται στο ότι οι κινητές συσκευές έχουν σχεδιαστεί εξαρχής με ενσωματωμένους ασφαλέστερους μηχανισμούς (π.χ. ασφαλή εκκίνηση), καθιστώντας πολύ πιο δύσκολη τη δημιουργία απειλών που δεν απαιτούν αλληλεπίδραση με το θύμα (zero touch). Ωστόσο, υπάρχουν σοβαρές εξ αποστάσεως ευπάθειες σε αυτές τις συσκευές, αν και είναι πιο δύσκολο να ανακαλυφθούν.

Εν τω μεταξύ, οι κινητές συσκευές παρουσιάζουν πολύ δελεαστικό στόχο για κρατικά υποστηριζόμενες ομάδες του κυβερνοχώρου, λόγω των δυνατοτήτων των συσκευών και των πληροφοριών που περιέχονται σε αυτές. Ως αποτέλεσμα, διάφοροι επιτήδειοι που πωλούν σε κρατικά υποστηριζόμενες ομάδες είναι ως επί το πλείστον υπεύθυνοι για τη χρηματοδότηση των περισσότερων από τις εξελιγμένες απειλές και ευπάθειες που στοχεύουν κινητές συσκευές, όπως το πρόσφατο Pegasus spyware για κινητά. Δυστυχώς, όπως στην περίπτωση του Stuxnet, όταν αυτές οι πιο εξελιγμένες απειλές διαρρέουν, οι εγκληματικές ομάδες μαθαίνουν από αυτές και αντιγράφουν τις τεχνικές επίθεσης.

Το νέο έτος πιστεύουμε ότι θα δούμε αύξηση των εξελιγμένων κυβερνοεγκληματικών mobile επιθέσεων, λόγω των κρατικά υποστηριζόμενων επιθέσεων σε κινητές συσκευές, οι οποίες έχουν αρχίσει να έρχονται στο φως.

  1. Ειδήσεις σχετικά με hackers που έχουν βάλει στόχο τα διαστημικά προγράμματα θα γίνουν πρωτοσέλιδο

Με δεδομένο το ανανεωμένο κυβερνητικό και ιδιωτικό ενδιαφέρον για την «Κούρσα του Διαστήματος», καθώς και πρόσφατες έρευνες κυβερνοασφάλειας σχετικά με ευπάθειες των δορυφόρων, πιστεύουμε ότι ειδήσεις τύπου «hacking στο διάστημα» θα γίνουν πρωτοσέλιδα το 2022.

Πρόσφατα, η δορυφορική πειρατεία πέτυχε να κερδίσει την προσοχή της κοινότητας της κυβερνοασφάλειας, των ερευνητών, αλλά και συνέδρια όπως το DEF CON. Ενώ οι δορυφόροι μπορεί να φαίνονται απρόσιτοι στις περισσότερες απειλές, οι ερευνητές ανακάλυψαν ότι μπορούν να επικοινωνήσουν μαζί τους χρησιμοποιώντας εξοπλισμό αξίας περίπου 300 δολαρίων. Επιπλέον, οι παλιότεροι δορυφόροι συνήθως δεν βασίζονται σε σύγχρονους ελέγχους ασφαλείας, εκμεταλλευόμενοι την απόσταση και την απόκρυψη για την άμυνα.

Στο μεταξύ, πολλές ιδιωτικές εταιρείες έχουν ξεκινήσει την κούρσα του διαστήματος, η οποία θα αυξήσει σημαντικά την επιφάνεια επίθεσης σε τροχιά. Εταιρείες όπως η Starlink εκτοξεύουν δορυφόρους κατά χιλιάδες. Σε συνδυασμό με αυτές τις δύο τάσεις, συν την αξία των συστημάτων τροχιάς για τα εθνικά κράτη, τις οικονομίες και την κοινωνία, υποπτευόμαστε ότι οι κυβερνήσεις έχουν ήδη ξεκινήσει αθόρυβα τις εκστρατείες κυβερνοάμυνας στο διάστημα. Μην εκπλαγείτε αν κάποια ημέρα σύντομα δούμε υποθέσεις hacking που σχετίζονται με το διάστημα, στους τίτλους των εφημερίδων.

  1. Spear SMSishing επιθέσεις σε πλατφόρμες messenger

Το phishing που βασίζεται σε κείμενο, γνωστό ως SMSishing, έχει αυξηθεί σταθερά με τα χρόνια. Όπως και το social engineering μέσω email, ξεκίνησε με μη στοχευμένα δελεαστικά μηνύματα που στέλνονταν ως spam σε μεγάλες ομάδες χρηστών, αλλά πρόσφατα έχει εξελιχθεί σε πιο στοχευμένα κείμενα που μεταμφιέζονται σε μηνύματα από κάποιον που γνωρίζετε, συμπεριλαμβανομένου ίσως του αφεντικού σας.

Παράλληλα, έχουν εξελιχθεί και οι πλατφόρμες που προτιμούμε για σύντομα μηνύματα κειμένου. Οι χρήστες, ειδικά οι επαγγελματίες, έχουν συνειδητοποιήσει το πόσο ευάλωτα είναι τα μηνύματα cleartext SMS χάρη στο NIST, τις διάφορες παραβιάσεις παρόχων και τα ζητήματα ασφάλειας σε πρότυπα παρόχων όπως το Signaling System 7 (SS7). Όλα αυτά έχουν αναγκάσει πολλούς να μετακινήσουν τα επαγγελματικά τους μηνύματα κειμένου σε εναλλακτικές εφαρμογές όπως το WhatsApp, το Facebook Messenger, ακόμη και το Teams ή το Slack.

Όπου πηγαίνουν οι νόμιμοι χρήστες, σίγουρα τους ακολουθούν εκεί κακόβουλοι κυβερνοεγκληματίες. Ως αποτέλεσμα, αρχίζουμε να βλέπουμε αύξηση στις αναφορές κακόβουλων μηνυμάτων τύπου SMSishing σε πλατφόρμες messenger όπως το WhatsApp. Έχετε λάβει ένα μήνυμα WhatsApp από τον CEO σας που σας ζητά να τον βοηθήσετε να δημιουργήσει έναν λογαριασμό για ένα project στο οποίο εργάζεται; Ίσως θα πρέπει να τηλεφωνήσετε ή να επικοινωνήσετε μαζί του μέσω κάποιου άλλου μέσου επικοινωνίας για να επαληθεύσετε ότι είναι πραγματικά αυτό το άτομο!

Εν ολίγοις, αναμένουμε να δούμε τον διπλασιασμό των στοχευμένων μηνυμάτων phishing σε πολλές πλατφόρμες ανταλλαγής μηνυμάτων το 2022.

  1. Ο έλεγχος ταυτότητας χωρίς password και χωρίς MFA θα αποτύχει μακροπρόθεσμα

Είναι επίσημο. Τα Windows δεν έχουν κωδικό πρόσβασης! Ενώ γιορτάζουμε την απομάκρυνση από την αποκλειστική χρήση passwords για ψηφιακή πιστοποίηση ταυτότητας, πιστεύουμε επίσης ότι η συνεχιζόμενη τρέχουσα μόδα του ελέγχου ταυτότητας single-factor (ενός παράγοντα) για τα Windows logins απλώς επαναλαμβάνει τα ίδια λάθη του παρελθόντος. Τα Windows 10 και 11 θα σας επιτρέπουν τώρα να ρυθμίσετε τον έλεγχο ταυτότητας χωρίς password, χρησιμοποιώντας επιλογές όπως το Hello (βιομετρικά στοιχεία της Microsoft), ένα Fido hardware token ή ένα email με password μίας χρήσης (OTP).

Αν και πολλοί επαινούν τη Microsoft γι’ αυτή την τολμηρή κίνηση, πιστεύουμε ότι όλοι οι μηχανισμοί ελέγχου ταυτότητας single-factor είναι η λάθος επιλογή και επαναλαμβάνουν τα ήδη γνωστά λάθη των passwords. Τα βιομετρικά στοιχεία δεν είναι ένα μαγικό χάπι που είναι ανίκητο – στην πραγματικότητα, ερευνητές και επιτιθέμενοι έχουν επανειλημμένα κατορθώσει να ξεγελάσουν διάφορους βιομετρικούς μηχανισμούς. Σίγουρα, η τεχνολογία βελτιώνεται, αλλά το ίδιο ισχύει και για τις τεχνικές επίθεσης (ειδικά σε έναν κόσμο social media, φωτογραμμετρίας και 3D εκτύπωσης). Σε γενικές γραμμές, τα hardware tokens είναι επίσης ισχυρή επιλογή single-factor ελέγχου, αλλά η παραβίαση του RSA απέδειξε ότι ούτε αυτά είναι αήττητα. Και, ας είμαστε ειλικρινείς, τα clear text emails με OTP παραμένουν κακή ιδέα.

Η μόνη ισχυρή λύση για την επικύρωση της ψηφιακής ταυτότητας είναι ο έλεγχος ταυτότητας πολλαπλών παραγόντων (multi-factor authentication, MFA). Κατά τη γνώμη μας, η Microsoft (και άλλοι) θα μπορούσαν πραγματικά να έχουν λύσει αυτό το πρόβλημα κάνοντας το MFA υποχρεωτικό κι εύκολο στα Windows. Μπορείτε ακόμα να χρησιμοποιήσετε το Hello ως έναν εύκολο παράγοντα ελέγχου ταυτότητας, αλλά οι επιχειρήσεις θα πρέπει να αναγκάσουν τους χρήστες να το αντιστοιχίσουν με έναν άλλο, όπως μια έγκριση push στο κινητό τηλέφωνο που αποστέλλεται μέσω κρυπτογραφημένου καναλιού (χωρίς text ή clear email).

Η πρόβλεψή μας είναι ότι ο έλεγχος ταυτότητας χωρίς password των Windows θα απογειωθεί το 2022, αλλά αναμένουμε από τους hackers και τους ερευνητές να βρουν τρόπους να τον παρακάμψουν, αποδεικνύοντας ότι δεν διδαχθήκαμε από τα μαθήματα του παρελθόντος.

  1. Οι επιχειρήσεις αυξάνουν την ασφαλιστική κάλυψη κυβερνοασφάλειας παρά το αυξημένο κόστος

Από την αστρονομική επιτυχία του ransomware που ξεκίνησε το 2013, οι ασφαλιστές στον χώρο της κυβερνοασφάλειας έχουν συνειδητοποιήσει ότι το κόστος για την κάλυψη των πελατών έναντι αυτών των απειλών έχει αυξηθεί δραματικά. Μάλιστα, σύμφωνα με έκθεση της S&P Global, ο δείκτης ζημιών των ασφαλιστών στον κυβερνοχώρο αυξήθηκε για τρίτη συνεχόμενη χρονιά το 2020 κατά 25 μονάδες ή περισσότερο από 72%. Αυτό είχε ως συνέπεια τα ασφάλιστρα για αυτόνομα ασφαλιστήρια συμβόλαια κυβερνοασφάλειας να αυξηθούν κατά 28,6% το 2020 σε 1,62 δισεκατομμύρια δολάρια ΗΠΑ. Ως αποτέλεσμα, έχουν αυξηθεί σημαντικά οι απαιτήσεις κυβερνοασφάλειας για τους πελάτες. Όχι μόνο έχει αυξηθεί η τιμή της ασφάλισης, αλλά οι ασφαλιστές τώρα σαρώνουν και ελέγχουν ενεργά την ασφάλεια των πελατών προτού παρέχουν κάλυψη που σχετίζεται με την κυβερνοασφάλεια.

Το 2022, εάν δεν διαθέτετε τις κατάλληλες προστασίες, συμπεριλαμβανομένου του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) στην απομακρυσμένη πρόσβαση, ενδέχεται να μην λάβετε κυβερνοασφάλεια στην τιμή που θα θέλατε ή και καθόλου. Όπως και άλλοι κανονισμοί και πρότυπα συμμόρφωσης, αυτή η νέα ασφαλιστική πολιτική επικεντρώνεται στην ασφάλεια και τον έλεγχο, και θα οδηγήσει τις εταιρείες στον στόχο της βελτίωσης της άμυνας το 2022.

  1. Και το όνομα αυτής… «Zero Trust»

Οι περισσότεροι επαγγελματίες σε θέματα ασφάλειας λειτουργούν βάσει της αρχής του «ελάχιστου προνομίου» από την αρχή της σταδιοδρομίας τους. Η παροχή στους χρήστες του ελάχιστου επιπέδου πρόσβασης που απαιτείται για την εκτέλεση των εργασιακών τους λειτουργιών έχει αποδειχτεί, ως επί το πλείστον, αδιαμφισβήτητη βέλτιστη πρακτική. Δυστυχώς, οι βέλτιστες πρακτικές δεν μεταφράζονται άμεσα σε ευρεία υιοθέτηση, τουλάχιστον στην πλήρη έκτασή τους. Τα τελευταία χρόνια, μάλλον δεκαετίες, έχουμε δει την ευκολία με την οποία οι επιτιθέμενοι μπορούν να κινηθούν πλαγίως και να αναβαθμίσουν το επίπεδο πρόσβασής τους, ενώ εκμεταλλεύονται επιχειρήσεις που δεν έχουν ακολουθήσει βασικές αρχές ασφαλείας.

Πρόσφατα, μια «μοντέρνα» αρχιτεκτονική ασφάλειας πληροφοριών με το όνομα Zero Trust έχει γίνει δημοφιλής. Μια προσέγγιση Zero-Trust για την ασφάλεια, ουσιαστικά συνοψίζεται στην «υπόθεση παραβίασης». Με άλλα λόγια, βασίζεται στην υπόθεση ότι ένας εισβολέας έχει ήδη θέσει σε κίνδυνο ένα από τα περιουσιακά στοιχεία ή τους χρήστες σας και σχεδιάζετε το δίκτυο και τις προστασίες ασφαλείας σας με τρόπο που περιορίζει την ικανότητά τους να μετακινούνται πλαγίως σε πιο κρίσιμα συστήματα. Θα δείτε όρους όπως “μικροτμηματοποίηση” και “επιβεβαιωμένη ταυτότητα” να διατυπώνονται σε συζητήσεις για το Zero Trust. Όμως, όποιος είναι εδώ και αρκετό καιρό στον χώρο, θα αναγνωρίσει ότι αυτή η μοντέρνα αρχιτεκτονική βασίζεται στις υπάρχουσες, μακροχρόνιες αρχές ασφαλείας της ισχυρής επαλήθευσης ταυτότητας και της ιδέας του ελάχιστου προνομίου.

Αυτό δεν σημαίνει ότι η αρχιτεκτονική Zero-Trust είναι απλά μια ακόμα τάση ή είναι περιττή. Αντίθετα, είναι ακριβώς αυτό που έπρεπε να κάνουν οι επιχειρήσεις ήδη από τις απαρχές της δικτύωσης. Προβλέπουμε ότι το 2022, οι περισσότεροι οργανισμοί θα εφαρμόσουν επιτέλους μερικές από τις παλαιότερες έννοιες ασφάλειας σε όλα τα δίκτυά τους και δίκαια θα την αποκαλέσουν Zero Trust

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Δεκέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Δεκεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμέ...
Creta Electronix 2024
Με επιτυχία ολοκληρώθηκε το κλαδικό τριήμερο της Creta Electronix 2024! Η τοπική αγορά υποδέχθηκε για ακόμη μία φορά με ενθουσιασμό τη διοργάνωση της Libra Press και έδειξε έντονο ενδιαφέρον για τ...
Dahua Cloud
Η Dahua Technology αναβάθμισε πρόσφατα την ολοκληρωμένη και αποτελεσματική λύση δικτύου της Dahua Cloud. Η δικτυακή λύση Dahua Cloud είναι μια ολοκληρωμένη, γρήγορη, αποτελεσματική και ασφαλής υπη...
G.I. Security X RISCO
Το Security Report παρακολούθησε το τεχνικό σεμινάριο που διοργάνωσε η G.I. Security για να παρουσιάσει τα νέα συστήματα ασφαλείας και αυτοματισμού της RISCO. Την Παρασκευή, 18 Οκτωβρίου στον μ...
Συστήματα συναγερμού
Στην επίσημη ιστοσελίδα της ελληνικής αστυνομίας διαβάζουμε τα κριτήρια για την έκδοση αδείας σύνδεσης ή ανανέωσης συστημάτων συναγερμού με αστυνομικές υπηρεσίες. Η άδεια σύνδεσης ή ανανέωσης σ...
Uniview IP Video Intercom
H Uniview εισέρχεται δυναμικά και στον τομέα του IP Video Intercom, διαθέτοντας αρχικά συστήματα για απλές εφαρμογές, ενώ το επόμενο διάστημα θα παρουσιάσει πληθώρα μοντέλων και λύσεων, ικανών να ...
ELDES EWP-EXT, EWC1 & EWC1A
Εξαιρετικά χρήσιμοι για τη βελτίωση της ασφάλειας σπιτιών και επιχειρήσεων, οι αισθητήρες εξωτερικού χώρου της ELDES προσφέρουν προηγμένη ανίχνευση και άμεση ενημέρωση για κάθε ύποπτη κίνηση ή δρα...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, 14
Στο νέο τεύχος 14 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή επαγγελματία της αγοράς, στους υπεύθυνους ασφαλείας και εκπαί...
Hikvision Smart Hybrid Light
Η πρωτοποριακή τεχνολογία Smart Hybrid Light της Hikvision έρχεται για να βελτιστοποιήσει στον μέγιστο βαθμό τις δυνατότητες καταγραφής των καμερών, ειδικά κατά τις κρίσιμες νυχτερινές ώρες. Με τρ...
Hikvision Smart Hybrid Light
Η νέα σειρά αναλογικών καμερών 1080p D0T-LTS της Hikvision μάς εισάγει στο Turbo HD 8.0 με νέα χαρακτηριστικά που ξεχωρίζουν, όπως η δυνατότητα αμφίδρομης επικοινωνίας (Two-way-Audio) και ο διπλός...
ELDES ESIM320
Το ESIM320 της ELDES είναι ένας gate controler σχεδιασμένος να προσφέρει προστασία και άνεση στη διαχείριση πύλης και άλλων ηλεκτρονικών συσκευών. Μπορεί να τοποθετηθεί σε οποιοδήποτε είδος κτιρίο...
OPTEX AP-SERIES
Η σειρά αισθητήρων ανιχνευτών εισβολής AP της OPTEX αποτελεί μία πρόσθετη λύση ασφάλειας για όσους θέλουν να αναβαθμίσουν τον εσωτερικό τους χώρο προσθέτοντας ένα ακόμα επίπεδο ασφαλείας στο σύστη...
IoT σε ξενοδοχειακές μονάδες
Στον τομέα της φιλοξενίας, η ευημερία του προσωπικού, η διασφάλιση των περιουσιακών στοιχείων και η ασφάλεια των επισκεπτών, είναι οι τρεις λέξεις κλειδί για την επιτυχία. Σήμερα, το τεχνολογικό τ...
Video Analytics σε αεροδρόμια
Τα αεροπορικά ταξίδια είναι ένας από τους ταχύτερους και πιο αποτελεσματικούς τρόπους ταξιδιού παγκοσμίως. Καθημερινά πραγματοποιούνται περισσότερες από 100.000 εμπορικές πτήσεις και ως εκ τούτου ...
Η αποθήκευση δεδομένων παρακολούθησης «γίνεται» έξυπνη!
Η τεχνητή νοημοσύνη φέρνει επανάσταση στον τρόπο αποθήκευσης και διαχείρισης των όλο αυξανόμενων δεδομένων παρακολούθησης. Οι μέρες της απλής εγγραφής και αναθεώρησης των πλάνων βίντεο που παράγου...
Red Dot για την Ajax Systems
Για πρώτη φορά στην ιστορία της, η Ajax Systems κατακτά τα πρώτα βραβεία Red Dot σε Ασφάλεια και Οικιακό Αυτοματισμό! Φέτος, τα προϊόντα συναγερμού και έξυπνου αυτοματισμού της εταιρείας έλαβαν...
Μέτρα προστασίας για τα Data Centers
Τα κέντρα δεδομένων ή αλλιώς Data Centers, όπου φιλοξενείται εξοπλισμός υψηλής αξίας, όπως υπολογιστές, servers, αποθηκευτικά μέσα και άλλες δικτυακές συσκευές, πλέον θεωρούνται κινητήριος μοχλός ...