Eksperci z firmy FireEye stworzyli listę prognoz dotyczących bezpieczeństwa na 2014 rok.

    1. Osoby odpowiedzialne za zaawansowane ataki nadal będą się ukrywać pod maską tradycyjnych narzędzi, aby utrudnić specjalistom ds. bezpieczeństwa sieci identyfikację i klasyfikację ataków. Wyrafinowani atakujący będą nadal ukrywać swoje działania przez używanie ogólnie dostępnych narzędzi dla cyberprzestępców.

    2. Coraz więcej plików binarnych używanych podczas ataku będzie wykorzystywać skradzione lub legalne sygnatury binarne. Dlaczego? Ponieważ w ten sposób mogą udawać zaufane pliki wykonywalne i omijać tradycyjne programy antywirusowe szukające takich cech.

    3. Złośliwe oprogramowanie atakujące urządzenia mobilne będą jeszcze bardziej złożone. Będziemy mieć do czynienia z mieszanymi zagrożeniami atakującymi zarówno komputery biurkowe, jak i urządzenia mobilne przez uzyskiwanie dostępu do mechanizmów uwierzytelniania za pomocą urządzeń mobilnych (takich jak potwierdzenia wysyłane w wiadomościach SMS). Ponieważ cyberprzestępcy podążają za użytkownikami, należy się spodziewać, że liczba ataków na te urządzenia pozostanie wysoka.
    4. Ataki typu zero-day w środowisku Java będą zdarzać się rzadziej. Mimo że eksploity w środowisku Java opracowuje się stosunkowo łatwo, po lutym 2013 r. nowe wersje ataków typu zero-day w środowisku Java przestały się często pojawiać. Nie wiadomo, dlaczego tak się stało, ale częściowo może to mieć związek z wyskakującymi oknami informującymi o zagrożeniach w wersji Java 1.7 lub z faktem, że specjaliści ds. bezpieczeństwa poświęcają temu zjawisku coraz więcej uwagi. Jest również możliwe, że podatnych na te zagrożenia wersji Javy używa niewystarczająca liczba osób, w związku z czym twórcy eksploitów mają niewielką motywację do kontynuowania pracy nad nowymi zagrożeniami.

    5. Cyberprzestępcy będą częściej wykorzystywać luki w przeglądarkach. Cyberprzestępcy coraz łatwiej omijają randomizację przestrzeni adresowej (ASLR — Address Space Layout Randomization) w przeglądarce, a w przeciwieństwie do zagrożeń ukierunkowanych na luki w środowisku Java oraz tradycyjne luki w parsowaniu danych wejściowych, liczba wykrytych ataków typu zero-day na przeglądarki nie zmniejszyła się.
    6. Coraz więcej twórców złośliwego oprogramowania będzie stosować bardziej ukryte techniki komunikacji sterującej. Będą wykorzystywać tunelowanie zaufanych protokołów i nadużywać zaufanych usług internetowych w celu przekazywania ruchu w taki sposób, aby uniknąć wykrycia. Jest to kolejny logiczny krok, biorąc pod uwagę to, że ich wysiłki są hamowane przez zabezpieczenia sieciowe.

    7. „Ataki przy wodopoju” (watering hole attacks) oraz obieranie celów przy użyciu mediów społecznościowych będą stanowić coraz częstsze uzupełnienie ataków typu spear phishing. „Wodopoje” i sieci społecznościowe stanowią neutralną przestrzeń, gdzie łatwo zdobyć zaufanie ludzi i zwabić ich w pułapkę minimalnym nakładem pracy.

    8. Więcej złośliwego oprogramowania w łańcuchu dostaw. Należy się spodziewać większej ilości złośliwych kodów w aktualizacjach BIOS i aktualizacjach oprogramowania wbudowanego.

    9. Coraz więcej sposobów przeprowadzenia ataków typu heap-spraying ze względu na wprowadzenie funkcji „click to play” we wtyczce Adobe Flash. Wcześniej wtyczka Flash była wykorzystywana do przeprowadzania ataków typu heap-spraying przy użyciu eksploitów, ale od wprowadzenia funkcji „click to play” w dokumentach Word taka taktyka już nie działa. Z tego powodu ostatnie zagrożenia typu zero-day w dokumentach docx/tiff nie wykorzystywały wtyczki Flash.

    10. Więcej sposobów na pokonanie systemów automatycznej analizy, np. ataki ukierunkowane na restart systemu, kliknięcia myszą, zamykanie aplikacji itp. Najbardziej znany przykład: złośliwe oprogramowanie ukierunkowane na określony moment, podobne do tych spotykanych w Japonii i Korei. Cyberprzestępcy skupiają się na unikaniu systemów z wydzielonym środowiskiem testowym (sandbox), ponieważ uważają, że dzięki temu znacznie zwiększą moc złośliwego oprogramowania.

    11. Więcej złośliwego oprogramowania będzie niszczyć systemy operacyjne. Dlaczego? Weźmy na przykład Europę. Władze państw europejskich odniosły ostatnio więcej sukcesów w walce z gangami cyberprzestępczymi. Ponieważ wirus Zeus został właśnie uzupełniony o funkcję czyszczenia systemu operacyjnego, cyberprzestępcy mogą ją wykorzystać do czyszczenia komputerów po dokonaniu ataku, aby usunąć wszelkie dowody i w ten sposób uniknąć aresztowania.

    12. Prawdopodobne jest zwiększenie liczby „cyfrowych kwatermistrzów” stojących za kampaniami ukierunkowanych ataków (np. Sunshop DQ to tylko początek). Coraz więcej cyberprzestępców będzie centralizować swoje działania w zakresie programowania i logistyki w celu uzyskania efektu skali oraz czerpania większych zysków ze złośliwego oprogramowania.

    13. Ze względu na coraz ściślejszą współpracę pomiędzy organizacjami przestępczymi na poziomie międzynarodowym duża liczba gangów cyberprzestępczych zostanie wykryta i zlikwidowana dzięki prowadzonym przez nie kampaniom.

    14. Cyberprzestępczość stanie się coraz bardziej spersonalizowana. Przestępcy będą coraz bardziej świadomi tego, że informacje ogólne są mniej warte niż konkretne. W związku z tym więcej atakujących skupi się na danych o wysokiej wartości..

    15. Czas wykrycia zaawansowanego złośliwego oprogramowania wzrośnie. W zależności od rodzaju rozwiązania (Verizon DBIR, Ponemon itd.) wykrycie zagrożenia może trwać od 80 do 100 dni, a naprawa od 120 do 150 dni. Najprawdopodobniej, czas wykrywania wydłuży się, co gorsza jednak wydłuży się także czas usuwania zniszczeń z uwagi na to, że cyberprzestępcy są coraz bardziej wyrafinowani w zaszywaniu się wewnątrz organizacji na dłuższe okresy.

źródło: FireEye

Kan