Основные тезисы:
2. Искусственный интеллект и генеративный фишинг с использованием искусственного интеллекта
3. Больше искусственного интеллекта и генерирующего искусственного интеллекта - и больше проблем
6. Дефицит квалифицированных кадров и кадровые проблемы
8. Атаки на цепочки поставок и безопасность цепочки поставок программного обеспечения
В 2023 году службы безопасности столкнулись с беспрецедентными вызовами. Предстоящий год представляется не менее сложным. Вот тенденции и меры предосторожности в области кибербезопасности, которые следует учитывать в 2024 году.
Когда в последний раз был "легкий" год для служб безопасности? Конечно, не в прошлом году, не в этом десятилетии и даже не в этом столетии. За последнее время каждый год был отмечен своей долей заслуживающих внимания и новых кибератак.
Не нужно быть семи пядей во лбу, чтобы предсказать, что в 2024 году все будет примерно так же. Во всяком случае, темпы и масштаб, с которыми угрозы и вызовы усугубляются, только еще больше расширят ландшафт угроз и сокрушат существующие средства защиты предприятия быстрее, чем когда-либо. Киберпреступники не собираются сдаваться, как и усилия корпоративных служб безопасности по защите сетей, систем, приложений и данных.
Однако киберугрозы - не единственная проблема безопасности в 2024 году. Новые технологии влекут за собой устранение собственных уязвимостей, и постоянные проблемы из года в год составляют списки "главных проблем".
Вот обзор семи основных тенденций и вызовов, о которых команды по обеспечению безопасности и организации должны быть осведомлены в 2024 году.
Искусственный интеллект и генеративный фишинг с использованием искусственного интеллекта
2023 год стал знаменательным для ИИ с внедрением платформ с генеративным ИИ (GenAI), таких как ChatGPT. С их выпуском возникло множество проблем с безопасностью, особенно когда речь идет о фишинге.
GenAI может улучшить грамматику и орфографию, чтобы помочь злоумышленникам создавать более убедительные схемы социальной инженерии и фишинга. Но ит-отдел также может собирать информацию о людях и компаниях из социальных сетей и других веб-сайтов для проведения целевых кампаний по скрытому фишингу и компрометации деловой электронной почты (BEC).
Основной проблемой фишинга с помощью искусственного интеллекта являются глубокие подделки. Этот тип искусственного интеллекта создает поддельный, но убедительный аудио-, графический и видеоконтент, чтобы обмануть людей, заставив их поверить в их законность. Глубокие подделки могут привести к кампаниям дезинформации, шантажу, нанесению ущерба репутации, вмешательству в выборы, мошенничеству и многому другому.
Больше искусственного интеллекта и генерирующего искусственного интеллекта - и больше проблем
Искусственный интеллект и GenAI - настолько важные темы, что они заслуживают двух позиций в нашем списке проблем безопасности на 2024 год. Помимо злоумышленников, использующих искусственный интеллект для фишинга и других видов атак, организации сталкиваются со следующими проблемами, связанными со все более популярными технологиями:
Раскрытие данных. Пользователи могут непреднамеренно или злонамеренно вводить конфиденциальные данные, такие как исходный код, материалы, защищенные авторским правом, или конфиденциальные бизнес-данные, в чат-бота на базе искусственного интеллекта, который затем может раскрыть эти данные общественности, субъектам угрозы или конкурентам бизнеса.
Отравление данных. Злоумышленники могут отравлять модели искусственного интеллекта неточными данными, чтобы заставить модели поверить в то, что поведение при атаке не является вредоносным, или вставлять вредоносные файлы в тренинги искусственного интеллекта, чтобы заставить модели поверить в их безопасность.
Проблемы с соблюдением требований. Использование искусственного интеллекта и GenAI может привести к нарушениям требований. Например, использование личной информации или конфиденциальных данных для обучения большим языковым моделям может привести к утечке данных, создать проблемы с конфиденциальностью данных или привести к утечке данных. Более того, использование GenAI может привести к нарушению авторских прав, мошенничеству и нарушению контракта, а также к другим юридическим проблемам.
Этичное использование ИИ. ИИ окутан этическими проблемами. Важно обеспечить моральное и этичное использование ИИ и GenAI. Будьте в курсе этических проблем GenAI, таких как распространение потенциально вредоносного контента и предвзятое отношение, а также то, как его использование влияет на сотрудников и моральный дух компании. Также будьте осторожны в отношении того, насколько надежны данные, сгенерированные искусственным интеллектом.
Управление ИИ. Убедитесь, что GenAI является частью более широкой стратегии управления ИИ. Управление ИИ должно учитывать не только эффективное использование ИИ, но и соответствие требованиям управления рисками ИИ и этичное использование, а также справедливость, качество данных и автономию.
Уязвимости в инструментах искусственного интеллекта. Инструменты искусственного интеллекта, как и любой другой инструмент или программное обеспечение, могут иметь уязвимости, которыми могут воспользоваться злоумышленники. Инструменты искусственного интеллекта отслеживают и исправляют вместе со всем другим программным обеспечением. Также обратите внимание, что злоумышленники используют инструменты искусственного интеллекта для тестирования и повышения эффективности своих атак, поэтому исправление и установка обновлений имеют первостепенное значение.
Разрастание объема данных. Модели GenAI потребляют и создают много данных. Будьте готовы к наплыву данных и убедитесь в эффективном масштабировании стратегий защиты данных для обеспечения их безопасности. Это включает в себя не только идентификацию всех данных, созданных GenAI, но и обеспечение безопасной транспортировки и хранения.
Теневой ИИ. Будьте в курсе любого несанкционированного, неконтролируемого компанией использования сотрудниками ИИ, известного как теневой ИИ. Политики безопасности или политики допустимого использования должны описывать проблемы теневого ИИ и запрещать его по мере необходимости. Системы мониторинга использования теневого ИИ, а также оценивать и устранять любые риски.
Программы-вымогатели
Многие назвали 2020 год "годом программ-вымогателей". Затем наступили 2021, 2022 и 2023 годы. Тенденция не ослабевает. В "Отчете о расследовании нарушений данных за 2023 год" Verizon (DBIR) было установлено, что программы-вымогатели были причастны к 24% всех нарушений. Исследование Sophos "Состояние программ-вымогателей в 2023 году" показало, что 66% организаций подверглись атаке программ-вымогателей в прошлом году. Проще говоря, угрозу нельзя игнорировать, тем более что злоумышленники развивают свою тактику в двойные и тройные атаки с вымогательством.
Узнайте, как защититься от программ-вымогателей:
- Что такое программа-вымогатель? Как это работает и как его удалить.
- Как предотвратить программы-вымогатели.
- Как удалить программы-вымогатели, шаг за шагом.
Сокращение бюджетов
Рост инфляции, опасения рецессии, геополитическая неопределенность, процентные ставки и валовой внутренний продукт продолжают беспокоить ИТ-индустрию. В ответ многие организации внимательно следят за бюджетами и сокращают расходы.
Хотя безопасность часто считается защищенной от сокращения бюджета и персонала из-за ее важности, она не застрахована от них. Кроме того, безопасность исторически рассматривалась как центр затрат, поскольку ее рентабельность не так-то просто рассчитать. CISO и команды безопасности, сталкивающиеся с сокращением бюджета и расходов, должны тщательно планировать, чтобы поддерживать безопасность своей компании и коллег, одновременно добиваясь большего меньшими затратами - и не перегружая себя.
Дефицит квалифицированных кадров и кадровые проблемы
Индустрии безопасности не привыкать к нехватке квалифицированных кадров. В течение многих лет отчет за отчетом приходил к выводу, что отрасли требуется больше сотрудников службы безопасности, чем кандидатов. Что еще хуже, сокращение бюджета и увольнения часто приводят к сокращению числа сотрудников в команде, которые должны выполнять тот же объем работы, несмотря ни на что.
Самое последнее "Исследование рабочей силы ISC2 по кибербезопасности" показало, что, хотя численность сотрудников по кибербезопасности в настоящее время является самой большой из когда-либо зарегистрированных некоммерческими организациями (5,5 миллиона человек), глобальный разрыв в безопасности по-прежнему увеличивается с каждым годом. Отрасли нужны дополнительные 4 миллиона человек для надлежащей защиты современных организаций. Тем не менее, наем сотрудников с необходимыми навыками и удержание этих сотрудников по-прежнему остается сложной задачей. Такова реальность даже до рассмотрения потенциальных сокращений бюджета и увольнений.
Фишинг
Фишинг - это проблема не только искусственного интеллекта. Это постоянная проблема, с которой сталкиваются организации всех форм и размеров, и ни одна компания или сотрудник не застрахованы от атак. Согласно DBIR за 2023 год, 18% всех нарушений связаны с фишингом.
Эти атаки, в которых злоумышленники обманом заставляют сотрудников раскрывать пароли, номера кредитных карт и другие конфиденциальные данные, бывают самых разных форм. Эти формы включают фишинг электронной почты и более сложные и целенаправленные атаки spear phishing, BEC, whaling и vishing.
Ниже приведены некоторые заметные фишинговые атаки:
Facebook и Google были обмануты на сумму более 100 миллионов долларов после того, как злоумышленники выдавали себя за законного партнера компаний в период с 2013 по 2015 год. Фишинговые мошенничества касались контрактов и счетов-фактур на причитающиеся средства.
Sony Pictures была взломана в 2014 году после того, как руководители компании получили фишинговые электронные письма от группы под названием Guardians of Peace. Сообщается, что злоумышленники похитили более 100 ТБ данных.
Австрийский поставщик авиационной техники FACC был обманут на 54 миллиона долларов в 2016 году после того, как злоумышленник, представившийся генеральным директором компании, выудил сотрудника, который запросил банковский перевод на банковский счет, контролируемый злоумышленниками.
Узнайте больше о фишинговых атаках и их предотвращении:
- Лучшие советы сотрудникам по предотвращению фишинговых атак.
- Распространенные типы вредоносных атак и способы их предотвращения.
- Кибершифтинг на подъеме: как предотвратить фишинг QR-кодов.
Атаки на цепочки поставок и безопасность цепочки поставок программного обеспечения
Организации должны помнить о сторонних поставщиках, с которыми они работают. Доверие здесь является неотъемлемой ценностью, но организациям также следует проявлять должную осмотрительность при проверке третьих сторон.
Атаки на цепочки поставок с использованием программного и аппаратного обеспечения могут опустошить компанию - достаточно взглянуть на взлом SolarWinds, о котором сообщалось в декабре 2020 года. В ИТ участвовали государственные структуры, использующие систему мониторинга производительности ИТ и получившие доступ к более чем 30 000 клиентам и партнерам SolarWinds.
Также будьте в курсе того, какое программное обеспечение и программные компоненты используют третьи стороны и поставщики услуг, о чем свидетельствует эксплойт Log4Shell 2021 года. Дефект в библиотеке Apache Log4j на базе Java позволяет злоумышленникам запускать атаки с удаленным выполнением кода и потенциально захватывать контроль над целевыми системами. В то время как компании могли быстро обновлять версию библиотеки, которую они использовали, библиотеки, используемые их поставщиками и партнерами - и, в свою очередь, их поставщиками и партнерами, а также их поставщиками и партнерами и так далее - нуждались в обновлении, чтобы не быть уязвимыми для атак.
Большинство компаний не уверены в компонентах своего собственного программного обеспечения, не говоря уже о компонентах других компаний, к которым подключается их программное обеспечение. Если уязвимо одно звено в цепочке поставок программного обеспечения, риску подвергаются все.
Соблюдайте надлежащее управление исправлениями, чтобы обеспечить безопасность и актуальность всего программного обеспечения. Используйте спецификации программного обеспечения (SBOM) и запрашивайте их у третьих сторон, чтобы узнать, безопасны ли компоненты программного обеспечения партнеров.
Почетные упоминания
Искусственный интеллект, программы-вымогатели, бюджетные и кадровые проблемы, фишинг и цепочки поставок - далеко не единственные проблемы информационной безопасности, с которыми предприятия столкнутся в 2024 году.
Будьте осторожны и подготовьтесь к следующим проблемам, которые увеличивают поверхность атак и представляют риски кибербезопасности по мере продвижения года:
Облачная безопасность. По мере того, как все больше предприятий переносят данные и приложения в облако - по данным Hornetsecurity, 93% предприятий будут работать в облаке к 2027 году, - облачная безопасность и смягчение последствий облачных атак становятся более важными, чем когда-либо.
Безопасная разработка программного обеспечения. Хотя безопасность часто рассматривается как препятствие разработке программного обеспечения, тратить время и деньги на безопасную разработку программного обеспечения необходимо для предотвращения уязвимостей, которые могут привести к взлому.
Безопасность Интернета вещей. Внедрение Интернета вещей не замедляется. Защита этих маленьких датчиков, которые значительно расширяют возможности для атаки, является ключевой, однако они часто разрабатываются без учета соображений безопасности.
Безопасность удаленной и гибридной работы. Пандемия COVID-19 навсегда изменила рабочее место и способы его обеспечения.
Тренинги по повышению осведомленности о безопасности. Людей часто называют самым слабым звеном, когда речь заходит о безопасности предприятия. DBIR 2023 года выявил, что 74% всех нарушений связаны с человеческим фактором.
Следующие шаги
Лучшие практики и советы по кибербезопасности для бизнеса
Как разработать стратегию кибербезопасности: пошаговое руководство