Image (ci-après): Trend Micro
Les bureaux à domicile comme bases criminelles
L'exode rapide des salariés vers le travail à distance en raison de la pandémie a eu de nombreuses conséquences. L'une d'elles a été la disparition de la frontière entre le travail et le personnel, car la connexion au réseau interne du bureau se fait désormais via des fournisseurs Internet «de détail», et les routeurs domestiques les plus simples sont utilisés comme appareil.
Le réseau domestique peut contenir des ordinateurs d'autres membres de la famille. Ces derniers peuvent se connecter aux serveurs d'autres organisations, étudier à distance ou jouer, mais dans tous les cas, leurs appareils créent des risques supplémentaires. Il n'est pas rare que des membres de la famille partagent le même ordinateur pour travailler dans diverses organisations.
En théorie, l'utilisation d'un VPN protège la connexion aux réseaux de bureau, mais vous ne devriez pas trop vous détendre ici, car les VPN détectent également des erreurs, par exemple:
Le nouveau format d'utilisation des réseaux domestiques conduira inévitablement au fait qu'ils deviendront un tremplin pour les cybercriminels qui cherchent à s'infiltrer dans les réseaux d'entreprise. Pirater un réseau domestique et accéder à l'ordinateur personnel d'un employé est beaucoup plus facile.
Vous pouvez ensuite naviguer de système en système en utilisant, par exemple, des logiciels malveillants qui exploitent des vulnérabilités à potentiel de vers, comme la vulnérabilité RCE récemment découverte dans Microsoft Teams , qui ne nécessite même pas d'interaction de l'utilisateur pour être exploitée.
L'utilisation des réseaux domestiques comme ressource de base pour lancer des attaques sur les réseaux d'entreprise se généralisera également dans les attaques de la chaîne d'approvisionnement. Une attention particulière sera portée aux collaborateurs ayant accès à distance à des informations confidentielles et critiques, par exemple, les collaborateurs du service commercial, des ressources humaines et du support technique.
Et comme les réseaux domestiques ne disposent généralement pas de systèmes de détection d'intrusions et d'autres solutions de sécurité de niveau entreprise, les attaquants peuvent définitivement prendre pied dans les réseaux domestiques et s'infiltrer dans toutes les organisations auxquelles les membres du réseau domestique ont accès.
Une suite logique de l'activité cybercriminelle utilisant les réseaux domestiques sera la croissance des offres d'accès aux routeurs domestiques compromis. Le coût d'un tel «service» dépendra du niveau d'accès du propriétaire de l'appareil domestique compromis. Par exemple, un routeur piraté d'un administrateur informatique ou d'un dirigeant d'entreprise coûtera plus cher qu'un routeur d'un employé ordinaire avec les privilèges minimums nécessaires dans le réseau d'entreprise.
La pandémie restera un terrain fertile pour les campagnes de malwares
Les cybercriminels utilisent n'importe quel fil d'actualité majeur pour créer des campagnes frauduleuses, et la pandémie de coronavirus ne pouvait tout simplement pas passer inaperçue. COVID-19 crée des problèmes pour les entreprises mondiales, à la fois sous la forme de verrouillages et de restrictions, et sous la forme de menaces de cybersécurité.
La deuxième vague a apporté de nouvelles restrictions et a préparé le terrain pour de nouvelles campagnes frauduleuses. Le crime organisé tentera de s'infiltrer dans la logistique à mesure que les achats en ligne continuent de croître et que le nombre de colis livrés augmente. Le nombre de magasins vendant des produits contrefaits et divers produits illégaux est susceptible d'augmenter.
Nous prévoyons une augmentation significative des attaques contre les établissements de santé, en particulier celles liées à la production de vaccins et aux services de télémédecine. Les bénéfices potentiels du sabotage des laboratoires et de l'extorsion, ainsi que la possibilité de vendre de manière rentable des secrets médicaux, attireront un grand nombre de cybercriminels.
Les campagnes de désinformation des utilisateurs seront encore plus répandues autour d'une grande variété de vaccins contre les coronavirus. Les criminels attireront les visiteurs vers des ressources frauduleuses en leur offrant des vaccins coupe-file, des vaccins améliorés et d'autres appâts pour obtenir des informations sensibles et les coordonnées bancaires de leurs victimes.
Les défis de la gestion hybride
Le télétravail est déjà devenu monnaie courante et en 2021, le nombre d'emplois à distance ne fera qu'augmenter. L'utilisation d'ordinateurs personnels pour travailler sur un réseau de bureau créera un environnement hybride dans lequel le travail et les données personnelles sont mélangés sur le même appareil.
Cela pose un problème sérieux pour les organisations qui perdent le contrôle des actions des employés, car la définition de restrictions sur les appareils personnels peut rendre impossible l'exécution de tâches personnelles. Et si un ordinateur est infecté par un malware, qui effectuera la récupération et comment les données personnelles de l'employé seront-elles prises en compte?
Le suivi des impressions ou des exportations de données à partir d'appareils personnels est tout aussi difficile.
Pour relever ces défis en 2021, le modèle de confiance zéro sera largement appliqué, dans lequel tout utilisateur est considéré comme un criminel jusqu'à preuve du contraire. Sur cette base, les utilisateurs reçoivent les droits minimaux nécessaires pour effectuer le travail, qui sont systématiquement vérifiés, et toute leur activité est enregistrée et analysée.
Le modèle de confiance zéro s'intégrera aux périmètres cloud des organisations, permettant aux équipes de sécurité de suivre tout le trafic entrant et sortant.
Augmentation de l'utilisation criminelle des données médicales
En raison de la pandémie, tous les pays ont commencé à surveiller la santé des citoyens. Le niveau de collecte de données personnelles sur la santé est devenu sans précédent, et la précipitation pour mettre en œuvre ces mesures a conduit au fait que les fuites sont devenues monnaie courante.
Par exemple, début décembre, il a été mis au courant de la fuite de données personnelles de 300000 Moscovites qui s'étaient rétablis du coronavirus . Les informations contiennent le nom complet, les adresses de résidence et d'enregistrement, ainsi que toutes les informations sur l'évolution de la maladie et les analyses. De plus, il existe des données sur les serveurs 1C et des clés pour se connecter au système d'enregistrement des patients COVID-19.
Parfois, les sources des fuites seront les travailleurs de la santé eux-mêmes, comme cela s'est produit avec les travailleurs de la santé, qui a saisi les données pour se connecter au système d'information dans la barre de recherche Yandex . Yandex a docilement indexé ces informations et les a proposées à tout le monde.
Un accès rapide aux données peut être essentiel pour lutter contre une épidémie, mais l'atténuation des mesures de confidentialité des données est problématique en soi. Les grandes bases de données de données sensibles, associées à un déploiement hâtif, fourniront un terreau fertile aux attaquants cherchant à compromettre les données collectées et stockées. Les groupes cybercriminels peuvent en abuser de différentes manières, par exemple en l'utilisant pour revendre ou créer des campagnes d'escroquerie ciblées.
Injection rapide de vulnérabilités connues
Les vulnérabilités zero-day - 0-day - sont très efficaces, mais les possibilités de leur application sont limitées par un certain nombre de difficultés: les experts qui les ont découvertes ont tendance à vendre leur découverte à un prix plus élevé, et il y a généralement très peu de documentation sur la façon de les utiliser.
Dans le même temps, les vulnérabilités ou vulnérabilités connues en n-day sont bien documentées, il existe des exemples de code publiés avec une démonstration de travail, et tout cela est disponible gratuitement.
Nous prévoyons qu'en 2021, la communauté cybercriminelle passera à la mise en œuvre rapide des vulnérabilités et des exploits de n-day publiés par la communauté de recherche. Par exemple, lors de l'opération Poisoned News, des attaquants ont exploité le code PoC de plusieurs vulnérabilités d'escalade de privilèges.publié dans le cadre de Google Project Zero. Le groupe de hackers Earth Kitsune a modifié les exploits publiés par Project Zero et la Trend Micro Zero Day Initiative (ZDI) pour une utilisation dans des attaques .
Les marchés clandestins offriront des outils construits sur des vulnérabilités de n jours qui peuvent être achetés et utilisés par des criminels sans connaissances techniques.
Utiliser des API vulnérables comme vecteurs d'attaque
De nombreuses entreprises utilisent des interfaces de programmation d'application (API) pour fournir un accès aux systèmes internes et interagir avec les clients via des applications. Le problème est que ces API peuvent être exploitées par des criminels à la recherche d'un point d'entrée dans le réseau d'une organisation. Comme les API sont de plus en plus utilisées dans l'espace d'entreprise, les attaques contre les API vont également augmenter.
Il est alarmant de constater que si les API sont omniprésentes, leur sécurité en est encore à ses balbutiements. De ce fait, ils peuvent devenir des sources de fuite de données dans les applications d'entreprise.
Attaques contre les logiciels industriels et cloud
Nous prévoyons une augmentation du nombre d'attaques contre les programmes et services les plus populaires pour l'organisation du travail à distance. L'augmentation du nombre de recherches conduira à la publication de vulnérabilités révélées, ce qui signifie que les experts devront surveiller de près les bogues de classe critiques et les problèmes similaires dans les logiciels distants d'entreprise.
Poursuivant la tendance en 2020, les cybercriminels continueront de rechercher et d'exploiter les vulnérabilités dans le cloud. Et compte tenu du déplacement des données et de l'ensemble de l'environnement de travail vers les nuages, cela créera des risques supplémentaires pour les entreprises.
Un autre vecteur d'attaques sur les environnements cloud est l'introduction d'images de conteneurs malveillantes dans le référentiel, ce qui permettra d'attaquer les utilisateurs à l'aide de services de conteneurisation de logiciels.
Nos recommandations
Nous recommandons aux professionnels de la sécurité de passer de la réponse aux menaces à leur prévention. Nous proposons de considérer les éléments suivants comme les principaux domaines d'intervention pour 2021:
-
Éduquer et former les utilisateurs Les criminels continueront d'exploiter la peur qui entoure le COVID-19, ce qui rend essentiel d'éduquer les utilisateurs et de les former à la lutte contre les attaques de cybercriminalité. Les organisations doivent renforcer leurs connaissances sur les menaces et diffuser les contre-mesures d'entreprise les plus efficaces aux télétravailleurs. Une partie obligatoire de ces informations est des instructions sur la façon d'utiliser en toute sécurité vos appareils personnels. -
, , , . : . -
, . -
, «» , , , . , , .