At kigge dybt i krystalkuglen for at forudsige et trusselslandskab som skifter dynamisk og med stor hast, er ikke en opgave at tage let. Ikke desto mindre har vi i CSIS e-Crime Unit forsøgt at samle de trends og tendenser, som vi tror, vil komme til at skabe it-sikkerhedsoverskifter og udfordringer i 2014.
1» Datalækager
Med den digitale udvikling og ikke mindst digitalisering af papirgange, vil big-data fænomenet resultere i flere og større datalækager end vi hidtil har set. Dette kombineret med, at vi over de seneste 2 år har observeret en stigning af inficerede maskiner i Danmark.
En stigning i datalækager er en naturlig konsekvens af at digitaliseringen er blevet gennemført med en hast, hvor de it-sikkerhedsmæssige aspekter ikke er blevet vurderet tilstrækkeligt og derfor ej heller er blevet implementeret forsvarligt. Vi forventer datalækager - også herhjemme - og med en opstraming af regler fra EU, fra 2014 kan føre til dyrt købte lærepenge for danske virksomheder og offentlige myndigheder.
2» Drive-by angreb og patch management
Teknikken, hvor it-kriminelle misbruger sårbarheder i populære software pakker vil fortsætte. Der vil blive stillet krav til at virksomheder og myndigheder implementerer forsvarlige patch-management løsninger.
At patch management er vigtigt, og at drive-by angreb er en reel risiko for enhver virksomhed fremgår også entydigt af ENISA's publikation »ENISA Threat Landscape 2013 - Overview of current and emerging cyber-threats« som kan downloades fra adressen:
https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats
3» DDoS og digitale demonstrationer
Vi har allerede set hvordan såkaldte kommercielle DDoS tjenester (Distribueret Denial of Service, også kendt som booters) har givet anledning til bekymringer i det forgangne år. Services, hvor helt almindelige mennesker kan købe sig ind for små penge og sende politiske eller strategiske mål i knæ.
Demonstrationer i form af DDoS angreb og vilkårlige webside defacements vil fortsætte med at påvirke private virksomheder og offentlige institutioner.
4» Angreb mod mobile enheder
Vi har hørt det fra sikkerhedsbranchen før og mange gange, men vi tror på at exploits og malware rettet mod mobile enheder, herunder operativ systemer som Android, Windows mobile og iOS, vil stige betragteligt i 2014. Mobile enheder optager en efterhånden betydelig markedsandel og vil tiltrække sig mere og mere opmærksomhed fra it-kriminelle, som vil forsøge at spinde guld på det.
Vi kan samtidig nikke genkendende til en massiv stigning i malware særligt rettet mod Android, også selvom vi herhjemme i Danmark hidtil har været relativt forskånet for malware til mobile enheder.
5» ByoD
Devices, gadgets og generelt diverse mobilt udstyr, kan være en udfordring for virksomheder og offentlige myndigheder at styre og kontrollere. Vi forventer at 2014 vil være året hvor der vil komme en stribe nye teknologier, som vil gøre dette arbejde nemmere, men at der også forventes afsat betydelige resourcer til dette arbejde. Arbejdet og udfordringerne omkring ByoD (Bring your own Device) er kun lige begyndt.
6» Post-Snowden og data privacy
Overvågning fra statslige myndigheder, i særdeleshed i kølvandet på de mange afsløringer af NSAs systematiske aflytninger og overvågning, vil tvinge markedet over i højere kryptering og databeskyttelsesinitiativer. Overvågningen har været en slem rids i lakken hos flere datacentre og Cloud udbydere, og som konsekvens vil disse, for at genvinde kundernes tillid, være tvunget ud i en stribe initiativer som bedre beskytter data som lagres udenfor virksomhedens netværk.
Men derudover forudser vi også, at flere virksomheder i 2014 vil begynde at implementere stærk kryptering på e-mail og andre populære Internet baserede transport kanaler.
Kapløbet på at beskytte data med kraftig kryptering er flere steder blevet refereret til som en forstående »Cryptowar«.
7» Målrettede angreb / spear phishing
I 2012 og 2013 har vi set talrige spear phishing og targeted angreb som gør brug af en blanding af 0-dags sårbarheder og APT (Advanced Persistent Threats). Herhjemme, og i flere lande som vi sammenligner os med, er der allerede afsat store budgetter til at forsvare sig mod målrettede angreb.
At man samtidig i jobopslag åbenlyst søger efter personer med særlige tekniske offensive kompetencer, signalerer en optrapning af statssponsorede digitale angreb, og som heraf også krav til øget fokus på beskyttelse af sensitive data.
8» Mere avanceret crimeware
Det er en god forretning af stjæle digitale værdier på nettet. Det har skabt en pulserende undergrundsøkonomi, hvor hackere og dygtige udviklere på den ene side fortsætter med at udvikle og sælge kommercielle »Crime as a Service« produkter og regulære Crimekits, og på den anden side de berørte interessenter som forsøger at beskytte kundernes aktiver.
Som en konsekvens af at flere af de mål som de it-kriminelle de senete 10 år har udvalgt som deres primære mål, nemlig finansielle institutioner, har disse også oprustet sikkerheden på flere områder. Det stiller store tekniske krav at omgå sikkerheden i systematiske og omfattende angreb, hvorfor vi forventer at de it-kriminelle vil flytte fokus fra almindelige bankkunder, mod virksomheder og offentlige institutioner, som har betydeligt flere økonomiske midler til rådighed på deres konti. Et våben som de it-kriminelle vil indbygge i disse værktøjer og services, er muligheden for at lave »realtidsangreb« og »social engineering«.
9» Windows XP support død
I April 2014 vil Microsoft stoppe med at supportere Windows XP. Det betyder også, at software giganten vil ophøre med at udsende opdateringer til et af de mest populære og udbredte operativ systemer nogensinde.
Med ophøret af Windows XP support vil millioner af maskiner, som ikke har foretaget opgradering eller skiftet til et andet operativsystem, potentielt sidde tilbage som kanon føde for skadelig kode.
Windows XP er ikke alene et slutbruger produkt, men findes også i talrige konsoller som ikke let lader sig opgradere. Det gælder eksempelvis betalingsautomater, terminaler i lufthavne, pengeautomater og terminaler i produktionsmiljøer. Indlysende nok vil ophøret af support af Windows XP efterlade en masse af disse installationer uden mulighed for at lappe sårbarheder som opstår, medmindre der tegnes en separat og dyr aftale med Microsoft. Vi forudser i den sammenhæng at mange af disse systemer vil blive efterladt i drift, men samtidig også i risikozonen for potentielt misbrug/infektioner.
10» Kodesigneret malware
Vi har allerede i løbet af 2013 set en markant stigning i malware som er blevet digitalt signeret med stjålne certifikater der stammer fra legitime virksomheder og udviklere.
Formålet med at misbruge kodesignering er indlysende at opnå en højere grad af trust/tillid, idet udstederen af den binære kode valideres igennem signeringen af koden. IT-kriminelle har misbrugt dette både i forbindelse med målrettede angreb, men også mere vidt spredte angreb med netbank- og informationstyve, ransomware og falske sikkerhedsprodukter er observeret gøre brug af digital kode signering.
Når it-kriminelle laver kode signering er det således formålet at få koden til at fremstå legitim. Flere sikkerhedsløsninger, herunder antivirus produkter, vurderer koden ved bl.a. at kigge på om den er digitalt signeret og om kilden er tillidsfuld. På den måde kan signeret malware undslippe sikkerhedsløsninger.
Konklusion
Det tegner til at blive et travlt 2014 indenfor it-sikkerhedsbranchen, men ikke mindst for de mange danske virksomheder og offentlige myndigheder som skal forsøge at beskytte deres digitale værdier i et komplekst trusselslandskab hvor angreb og truslerne kommer fra mange sider. Det konkluderer CSIS i "10 danske it-sikkerhedsudfordringer i 2014" som netop er publiceret.
Firmaets forventer at se flere inficerede maskiner, flere datalækager, skærpet frygt for overvågning og generelt øget fokus på it-sikkerhed i det kommende år. I modsætning til tidligere har også ledelsen i mange danske virksomheder indset at it-sikkerhed skal prioriteres højere.