Sikkerhetstrender inn i det kommende året

SINTEF INFOSEC

Som vanlig når det nærmer seg nyttår og nye muligheter, er det en rekke eksperter som skal uttale seg om hva de tror blir viktige trender for det nye året. I sikkerhetsdomenet er det heller ikke mangel på slike eksperter, og så er det vel heller ikke mangel på viktige punkter å ta opp. Her kommer en oversikt over noen av de viktigste punktene, og helt til slutt et par positive ting:

Angrep som fører til død
Det er skremmende å tenke på, men så lenge sikkerhet kommer i andre rekke når nye innovasjoner kommer til teknologifronten, enten det er smarte biler, TVer, telefoner, medisinsk utstyr osv., er det fare for at det får konsekvenser ut over det isolerte angrepet mot selve enheten. Når vi ser at stadig mer forbrukerelektronikk og utstyr i hjemmet kobles mot Internett, gjerne utstyr som egentlig ikke var tiltenkt slik tilkobling i utgangspunktet, og vi ikke forventer å bli utsatt for angrep der, øker faren for at truslene kan gi fatale konsekvenser i sin forlengelse.

Mobile enheter
Dette har vært spådd årlig flittig de siste årene, men nå får stadig flere svært smarte mobiler på jobben, og gevinsten ved vellykkede angrep er potensielt så stor at det ikke er til å unngå at antall trusler snart vil eksplodere. Mobile lommebøker vil også være ettertraktede mål. Noen vil heller ikke gå av veien for å angripe en million brukere dersom man tror man kan nå målrettet inn til kanskje én spesielt verdifull person/bedrift som man har sett seg ut.

“Virus” i nettleseren
Tradisjonelle virus har vært på tilbakegang lenge, men ettersom nettleseren tar over som vert for stadig flere PC-applikasjoner, vil også angriperne øke fokus mot å lage kode som kan legge seg inn i nettleseren. Dette skjer gjerne ved hjelp av Javascript eller i form av utvidelser/programtillegg, og ikke blir nødvendigvis synlig dersom man skanner hele systemet på normalt vis. Ettersom nettlesere nå kjører i “sandkasse”-modus, vil det bli enda viktigere for angripere å kunne knekke sikkerheten på denne. Angrep blir generelt mer avanserte i hvordan de mønstres og utplasseres hos offerne.

Sosiale medier
Selv om spam via e-post til en viss grad er i en bølgedal, vokser spam og spredning av ondsinnet kode via sosiale tjenester tilsvarende.

Organisert kriminalitet
Det er ikke nytt at hacking er noe proffene kan leve godt av og at markedsplassene for stjålne opplysninger av sensitiv art, f.eks. kredittkortinformasjon vokser. Nå ser vi også at markedet for såkalte “zero-day”-angrep (mot sårbarheter som enda ikke er gjort kjent) blir stadig mer åpent, og sannsynligvis inkluderer kjøperne både bedrifter og organisasjoner som opererer på statlig nivå. Stuxnet, Flame og Gauss inneholdt for eksempel en hel rekke “zero-day”-er. På hackerkonferanser der det gjelder å knekke en gitt programvare, er det blitt vanlig at slike “sikkerhetsfirmaer” tar med seg en pakke zero-day-angrep, benytter de som de trenger for å sikre seg en god plassering, og sparer resten til videresalg.

De fattige hackerne lærer av de rike
Normale hackere begynner å lære av kompleksiteten til de ovennevnte virusenes angrepsmetoder, og legger inn konseptene i sin egen skadekode. I tillegg tar de i bruk de store legitime cloudplattformene som Amazon EC2 som basis for angrepene, som gjør det mulig å kjøre stor skala fra dag én hvis man ønsker – uten særlig store finansielle krefter. Kommandoer for å trigge/kontrollere angrep kan dessuten kjøres via Twitter og andre sosiale tjenester, for å unngå tvilsom traffikk fra den ondsinnede koden.

M2M (machine-to-machine)-kommunikasjon og IPv6
Mange systemer snakker stadig oftere og mer høylytt sammen for å styre sine egne komponenter på tvers av nettverk for å muliggjøre innovative sanntidstjenester. Dessuten har nok IPv6 kommet litt brått på i IT-verden de siste par årene, og vil til gjengjeld kreve full oppmerksomhet på kompatibilitet den kommende tiden. Vil sikkerheten lide?

Identitetshåndtering
GPU-baserte passordknekkere kan nå brute-force alle mulige 8-tegns-passord i løpet av 6 timer. Hackerne ligger stadig foran sikkerhetsbevisstheten til vanlige brukere, og tilbyderne må tilby sterkere lut for å unngå at tjenestene blir kompromittert. Tofaktor-autentisering med engangskode på mobil blir for eksempel mer og mer vanlig.

Mac er ikke lenger virusfritt
Det første store anslaget som kom med Flashback i år var nok ikke et engangstilfelle. Bare den siste måneden har verden sett nye varianter, enten som utnytter sårbarheter i Java, eller som lurer brukeren til å oppgi mobilnummeret sitt gjennom en tilsynelatende legitim programvareinstallasjon, for så å trigge kostbare teletjenester. Angrepene ser kanskje litt annerledes ut enn man er vant med på Windows-boksen, men de vil like fullt gå etter en tidvis naiv brukermasse av eplesystemet.

… og på den andre siden:

Vi kan håpe at ansvarlige bedrifter og privatpersoner tar truslene på alvor, og gjør seg nytte av at det nå er enklere enn noen gang tidligere å holde operativsystem og programvare oppdatert til enhver tid. Angripere flest følger som regel den late manns lov om at man angriper der det er enklest. Ved å ha automatisk oppdatering aktivert for både nettleser, Java, Flash og Adobe Acrobat blir man skånet for mye. Takket være nettbrettenes inntog er vi dessuten et par skritt nærmere en plugin-fri web, slik Microsoft nå promoterer ifbm. sin nyeste nettleserversjon. Vi gleder oss!

For bedrifter er det cloud-orienterte sikkerhetstjenester som kan sørge for at flere virksomheter kan få enklere tilgang på sikring av egne verdier. Meldingstjenester, web-sikkerhet, sårbarhetsanalyse, backup/replikering, kryptering og autentisering er blant tjenestene som er på full fart inn i skyen. Big data bærer med seg muligheter for kraftig analyse av angrep og angripere over tid, slik at det blir enklere å forutse hvordan truslene utvikler seg. Sanntidsanalyse av sikkerhetsegenskaper og trusselbilde er dessuten noe vi arbeider med på SINTEF, som kan hjelpe programvare til å bli mer motstands- og tilpasningsdyktig slik at den vanskeligere lar seg knekke. Tilnærmingen vår er basert på å sørge for gode verktøy og gevinster til både sluttbruker og til de som lever av å tilby sammensatte datatjenester. Ta kontakt dersom du ønsker å være med på arbeidet – ett skritt foran hackerne.

Har du ellers noen gode tips til hva som ligger foran i sikkerhetsåret 2013? Legg igjen en kommentar!

Kilder og mer lesestoff