Verden er i dag mere afhængig af digital teknologi end nogensinde før. It-miljøer bliver mere og mere komplekse, og små fejl i robustheden kan få store konsekvenser for en organisations mulighed for at genoprette alle systemer på trods af sikkerhedshændelser eller brud på datasikkerheden. Her er ti tendenser, der sandsynligvis vil få betydning for cybersikkerheden i 2023.

Godkendelse – er det virkelig dig?

Systemer til godkendelses- og identitetsadgangsstyring (IAM) vil blive udsat for flere angreb. Mange angribere er allerede begyndt at stjæle eller omgå tokens til multifaktorgodkendelse (MFA). I andre situationer kan et bombardement af mål med anmodninger, f.eks. i MFA-udmattelsesangreb, føre til vellykkede login-forsøg uden behov for en sårbarhed. De seneste angreb mod Okta og Twilio viste, at denne type eksterne tjenester også bliver angrebet. Dette sker naturligvis oven i de fortsatte problemer med svage og genbrugte adgangskoder i de seneste år. Derfor er det endnu vigtigere at forstå, hvordan din godkendelse fungerer, og hvordan dataene tilgås af hvem.

Ransomware – stadig en alvorlig trussel

Ransomware bliver stadig en større og mere avanceret trussel. I takt med stigningen af tilfælde med dataudtrækning bliver hovedaktørerne stadig mere professionelle, når de udøver deres aktiviteter. De fleste af de store aktører går nu efter MacOS og Linux og ser også på cloud-miljøet. Nye programmeringssprog som Go og Rust bliver mere almindelige og kræver justeringer i analyseværktøjerne. Antallet af angreb vil fortsætte med at stige, da de stadig er rentable, især når cyberforsikring dækker en del af konsekvenserne. Angribere vil i stigende grad fokusere på at afinstallere sikkerhedsværktøjer, slette sikkerhedskopier og deaktivere it-katastrofeberedskabsplaner, så snart det er muligt. Her vil såkaldte LOTL-teknikker (Living of the Land) spille en stor rolle.

Brud på datasikkerheden – for alle

Malware, som f.eks. Racoon og Redline, er ved at blive typiske infektioner. Stjålne data indeholder ofte legitimationsoplysninger, som derefter sælges og bruges til yderligere angreb via folk, der sælger indledningsvis adgang. Kombinationen af det stigende antal blobs med data og kompleksiteten ved sammenkoblede cloud-tjenester vil gøre det sværere for organisationer at holde styr på deres data. Kravet om, at flere parter skal have adgang til dataene, gør det sværere at sørge for, at de altid beskyttes og krypteres. En lækket API-adgangsnøgle, f.eks. på GitHub eller i mobilappen, kan være nok til, at nogen kan stjæle alle data. Dette vil føre til fremskridt inden for brug af computere, hvor der tages mere hensyn til databeskyttelse.

Phishing er ikke bare e-mails

Angriberne sender stadig millioner af ondsindede e-mails og phishing-angreb. Angriberne vil fortsætte med at forsøge at automatisere og tilpasse angrebene ved hjælp af tidligere lækkede data. Svindelnumre med social manipulation såsom BEC-angreb (Business Email Compromise) rammer i stigende grad andre meddelelsestjenester såsom sms-tjenester, Slack, Teams-chat osv. for at undgå filtrering og opdagelse. Phishing-angreb vil derimod stadig foregå med brug af proxyer til at registrere sessions-tokens, stjæle MFA-tokens og bruge afledningsmanøvrer såsom QR-koder til at være endnu mere skjult.

Knap så intelligente kontrakter

Det ser ikke ud til, at angrebene på kryptobørser og intelligente kontrakter på de forskellige blockchains stopper. Selv statsaktører forsøger at stjæle for flere hundrede millioner i digitale valutaer. De mere sofistikerede angreb på intelligente kontrakter, algoritmiske mønter og DeFi-løsninger fortsætter foruden de klassiske phishing- og malwareangreb mod brugerne af disse.

Brug af din infrastruktur

Tjenesteudbydere bliver i stigende grad angrebet og kompromitteret. Derefter misbruger angriberne de installerede værktøjer såsom PSA, RMM eller andre udrulningsværktøjer, til at udføre ”live off the land”-angreb. De er ikke kun udbydere af administrerede it-tjenester, men også konsulentvirksomheder, supportorganisationer på første niveau og lignende forbundne partnere. Disse insidere, som har fået udliciteret opgaver, indsættes ofte som det svagere led i en målorganisation uden at bruge mange ressourcer på at lave angreb mod software-forsyningskæden.

Opkald i browseren

Der vil komme flere angreb i eller via browseren, det vil sige, at angrebene udføres i selve sessionerne. Det kan være ondsindede browserudvidelser, der udskifter målets adresser til transaktioner eller stjæler adgangskoder i baggrunden. Angribere har også tendens til at hacke kildekoden til disse værktøjer og oprette bagdøre via GitHub-lageret. På den anden side vil websteder stadig overvåge brugernes aktivitet med JavaScript og dele de forkerte sessions-id’er mellem HTTP-henvisere til markedsføringstjenester. Angriberne vil udvide brugen af Formjacking-/Magecart-teknikkerne, hvor små, ekstra kodestykker stjæler alle oplysningerne i det oprindelige websteds baggrund. Serverfri computerkraft bliver stadig mere udbredt, og det kan gøre analysen af disse angreb mere kompliceret.

Cloud-automatisering via API’er

Der er allerede sket en enorm overgang med flytning af data, processer og infrastruktur til cloud-systemer. Dette vil fortsætte med mere automatisering mellem forskellige tjenester. Mange IoT-enheder vil være en del af dette enorme hyperforbundne cloud-system af tjenester. Dette vil medføre, at mange API’er er tilgængelige fra internettet, og derfor udsættes de for flere angreb. Dette kan udløse angreb i stor skala på grund af automatiseringen.

Forretningsprocesangreb

Angribere vil altid finde på nye idéer til, hvordan de kan ændre forretningsprocesser til egen fordel og tjene på det. De kan blandt andet ændre oplysningerne om modtagerbankkonti i en organisations faktureringssystemskabelon eller tilføje deres egen cloud-bucket som reservedestination til e-mailserveren. Disse angreb udføres som regel ikke med malware og kræver en grundig analyse af brugeradfærd på samme måde som det stigende antal insiderangreb.

AI overalt

AI- og ML-processer vil blive brugt af virksomheder i alle størrelser og sektorer. Fremskridt inden for oprettelse af syntetiske data vil føre til endnu mere identitetssvindel og spredning af misinformation, hvor der anvendes deep fake-indhold. En mere bekymrende tendens vil være angrebene mod selve AI- og ML-modellerne. Angriberen vil forsøge at bruge svagheder i modellen, indføre skævvridning og fordomme i datasæt med vilje eller bruge udløserne til at oversvømme it-driften med advarsler.