A jelszóbiztonság legrejtettebb problémái
A kiberbiztonság világa folyton változik, így a benne születő trendek és jóslatok is. A SpyCloud idei, ötödik születésnapja alkalmából egy kis visszatekintő vizsgálatot tart a kiberbiztonsági jóslatok kapcsán, különös tekintettel a felkapott jelszóbiztonság témakörére. A visszatekintés egyfajta önreflexióként is működik, hiszen sokat tanulhatunk abból, ha látjuk, hogy mely jóslatok jöttek be -és mik azok a területek, ahol másfajta szemléletre, új módszerekre lesz szükség.
2016: Mit hoz a SpyCloud szerint az IoT és mi történt valójában a jelszóbiztonság terén?
A SpyCloud 2016 -ra vonatkozó előrejelzéseinek nagy része az IoT -eszközök - köztük webkamerák, smart home készülékek és a központi vezérlő rendszerekre csatlakozó autók - biztonsága (vagy annak hiánya) körül forgott. Ez részben egy 2015 -ös incidensből fakadt, amikor a kiberbűnözők távolról le tudtak állítani egy Jeep-et. Ki gondolta volna pár éve, hogy az autóinkat is érinti az IT biztonság, a jelszóbiztonság? A szakértőket különösen aggasztotta az a lehetőség, hogy a hackerek IoT -eszközöket használhatnak fel kormányzati kémkedésre, hogy károsítsák a kritikus infrastruktúrát, például az elektromos hálózatokat.
Míg a kiberbűnözők nagy eséllyel más taktikákat alkalmaznak a kormányzati szervek meghekkelésére, a mai napig nincs adat arról, hogy az IoT -t az Egyesült Államok kormányába vagy más nemzetállamokba való behatolásra használták volna. Ennek ellenére minden kormány egyre jobban aggódik a lehetőség miatt, a 2019-es Cyber Threat Outlook jelentésében Booz Allen Hamilton a nyolc legfontosabb félnivaló közé sorolta az IoT-eszközök állami kémkedésre való felhasználást. Az elmúlt öt évben is rengeteg jelentés érkezett arról, hogy a biztonsági szempontból alig ismert IoT -eszközök milyen hatással vannak a fogyasztók adatbiztonságára, például ismert tény, hogy egyes kormányzati hírszerző ügynökségek is intelligens eszközöket használnak az adott ország állampolgárainak megfigyeléséhez.
Lényeg, hogy míg az IoT -vel kapcsolatos aggodalmak egy része nem vált valóra, a biztonsági kérdések és problémák továbbra is fennállnak és bővülnek. A kiberbűnözők többféle, internethez csatlakoztatott eszközt is kompromittálni tudtak, hogy hozzáférjenek a vállalati hálózatokhoz, az Egyesült Államok Kiberbiztonsági és Infrastrukturális Ügynöksége pedig nemrég kiadott egy tanácsot, amely 25 különböző, a fogyasztói és ipari IoT-rendszerek széles körében talált sebezhetőséget sorol fel. Mivel a becslések szerint 25 milliárd IoT -eszközt használnak az otthonokban és vállalkozásokban - a Gartner kutatása szerint, minden eddiginél fontosabb annak biztosítása, hogy a hálózat minden eszköze megfelelően biztonságos legyen.
2017: a Phishing és Social Engineering éve volt a SpyCloud riportja szerint
Bár az adathalászat nem a 2017-es év újdonsága volt, de a támadások egyre erősödtek, és a szakértők azt jósolták, hogy ez a növekedés tovább fog folytatódni, megjegyezve: „egyre több riasztást és eseményt látunk a vállalati infrastruktúra helyett a végfelhasználói munkaállomással szemben.” Nem tévedtek, amit az a tény is alátámasztott, hogy az adathalász támadások 59% -kal nőttek 2017 -ben. Az adathalászat ugrásszerű növekedése nem állt meg, ennek kapcsán a SpyCloud ATO hasznos tanácsokat tartalmazó videóját korábban megosztottunk. Ezt igazolva a 2021-es Verizon Data Breach Investigation Report megállapította, hogy a rosszindulatú programok és trójai programok használata csökken, ami azt jelzi, hogy a kiberbűnözők egyre inkább az adathalász és a social engineering csalások felé fordulnak. Aminek a legkézenfekvőbb célpontja a végfelhasználó, aki a jelszóbiztonság „legalacsonyabb szintjén áll”.
Létezik kiberbiztonsági higiénia, ami egy alap biztonsági szintet biztosít a cégek számára? Erről korábban egy hosszabb leírásban tettünk egy ajánlást, de a válasz igen! Természetesen 100%-os védelem sosem létezett, és olyan kliséket is bedobhatunk, mint „az ember a leggyengébb láncszem”, de akkor is ki kell mondanunk, hogy az elvárható maximális IT biztonsági szint megvalósítására célszerű törekednie minden vállalatnak.
2018: Supply chain támadások rekord éve, a háttérben a jelszóbiztonságtól az adathalászatig a SpyCloud riportban
2018 -ra az ellátási láncok ( supply chain) ellen irányuló támadások egyre gyakoribbá váltak, egyes szakértők azt jósolták, hogy a supply chain attack kifejezés az év végére általános lesz, annyira megszaporodtak ezek a támadások. Ezt erősítette, hogy 2018 -ban, 78% -kal nőtt az ilyen típusú támadások száma az előző évhez képest. Ennek ellenére még pár évbe telt, amíg széleskörben ismertté vált ez. Ebben nagy szerepet játszottak a közben bekövetkezett nagyrészt jelszóbiztonsági hiányosságokra visszavezethető adatszivárgási botrányok. 2021 -ben ez a támadási forma már valóban nem számít újkeletűnek, egyre több védelmi stratégia születik, főleg az általunk is cikk formában feldolgozott, SolarWinds botrány óta.
2019: MFA- Multifaktor authentikációs láz - valós jelszóbiztonsági intézkedések a fókuszban
Amíóta csak léteznek online fiókok, azóta panaszkodnak az IT biztonsági szakértők a felhasználók kezdetleges és lusta jelszóhasználati szokásairól. Az account takeover és a credential stuffing (hitelesítőadat -kitöltési támadás) egyik legfőbb oka a jelszóbiztonság emberi oldala, azaz a gyenge jelszavak vagy a több különböző fiókban „újra felhasznált” egyező jelszavak. Ezért nem meglepő, hogy 2019-ben a szoftverfejlesztők azt jósolták, hogy a jelszó nélküli jövő első lépése felé tartunk, és hogy a többfaktoros hitelesítés minden online tranzakciónál kötelezővé válik.
Bár minden vállalkozás számára ajánlott, mégis az MFA széleskörben elterjedése lassabb volt, mint a szakértők előre jelezték, részben a végfelhasználói érdeklődés hiánya miatt. Másfelől egyes vállalkozások tartanak attól, hogy az első faktorként szolgáló jelszón felüli hitelesítési lépések alkalmazásával eleshetnek ügyfelektő, valamint, hogy az MFA alkalmazása veszélyezteti az eddig ismert és bevált értékesítési folyamatokat és módszereket. Ennek ellenére, a Google becslései szerint az MFA-val megvalósítható jelszóbiztonság megakadályozza a tömeges adathalász kísérletek 96 százalékát.
Ugyanúgy nem szabad megfeledkeznünk a jelszómenedzsment fontosságáról, amire egy 2019-es anyagunkban is felhívtuk a figyelmet. Erről bővebben itt olvashattok.
2020: a Deepfake nyomában a SpyCloud is, már nem csak a jelszóbiztonság fáj
Ha van olyan év, amelyet lehetetlen lett volna megjósolni, akkor az a 2020. A globális világjárványtól az elnökválasztásig, amely káoszba torkollott Amerikában, a tavalyi év a rekordok közé tartozott minden téren. A 2020-s SpyCloud riportból, de számos más nívós kiberbiztonsági szakértőcsoport egybefüggő véleményéből is kiderül, hogy teljesen új típusú megközelítést és ezzel együtt új típusú kiberbiztonsági akadályokat is hozott magával a jelszóbiztonságon és klasszikus értelemben vett IT biztonságon felül ez az év. Egyik gazdaságilag is égető kulcskérdés bontakozott ki a másik után: a távoli munkavégzés IT biztosításától az e -kereskedelmi csalások elleni támadások leküzdéséig, végtelen új IT és kiberbiztonsági kihívással is szembe kellett néznünk.
Mégis volt legalább egy biztonsági probléma, amelyet a szakértők már láttak közeledni korábban is: a deepfake. Ezek a mély tanulási technológiával digitálisan módosított videók először 2018 -ban jelentek meg a Reddit-en, amivel be is robbantak az internetre. Az egyik elsők közt megjelent cikk remekül megfogalmazta talán a legnagyobb kockázatát ennek a módszernek, amikor azt mondta: „a deepfake új szintre emeli a személyazonosság -lopást”. A jelenség 2020 -ban vált mainstreammé, amikor a kiberbűnözők még kifinomultabb algoritmusokat kezdtek el használni a meggyőzőbb videók készítéséhez. Az aggodalom gyorsan növekedett, amikor a Facebook a platformján lévő manipulált képek és videók betiltását is bejelentette.
A deepfaek továbbra is olyan probléma, amely súlyos következményekkel jár az egyénekre, a vállalatvezetőkre és még a politikusokra nézve is. Sajnos a vállalkozások kevesebb mint 30% -a rendelkezik tervvel ez ellen az igazán aktuális problémával szembeni küzdelemre.
SpyCloud 2021: túl a jelszóbiztonságon
Érdemes a korábbi évek tendenciáit felsorakoztatva, de a jelenlegi kihívásokra koncentrálva áttekinteni az aktuális trendeket:
- Az ellátási lánc elleni támadások addig folytatódhatnak, amíg a kormányok közbe nem lépnek szabályozás szinten és meg nem követelik, hogy minden iparági szereplő alkalmazzon szigorított biztonsági intézkedéseket a jogsértések felderítésére és megelőzésére.
- A munkahelyi és a személyes fiókok folyamatos keveredése továbbra is a számlázási és a hitelesítő adatokkal kapcsolatos támadások növekedését eredményezheti.
- Noha a jelszó nélküli jövő csábító, még mindig van hová fejlődnünk ezen a területen mielőtt odaérünk, hiszen a jelszavak még mindig a legtöbb alkalmazás és szolgáltatás kritikus elemei.
- A multifaktoros authentikáció népszerűsége a munkavállalók és a fogyasztók biztonságának második rétegeként tovább növekedett 2021-ben, azonban ezen felül még mindig további intézkedésekre van szükség a valódi védelem biztosításához.
Nem érdemes kockáztatni, sokkal inkább fókuszba állítani a kiberbiztonságot és az online szokásaink átértelmezését. A SpyCloud Account Takeover prevenciós szolgáltatásával monitorozhatóak a 3rd party adatszivárgásból eredő kompromittált vállalati accountok. A humán feldretítésnek és social engineering módszereknek köszönhetően, már az adatszivárgások publikussá válása előtt, már akár hónapokkal vagy évekkel korábban, tudomást szerezhetünk az incidensekről. Ha érdekel a gyártó és megoldásai, esetleg demóznál is egyet, akkor az alábbi gombra kattintva vedd fel velünk a kapcsolatot.