Бизнес трансформацията предефинира управлението на повърхността на атаката (ASM). Вече не можем просто да дефинираме повърхността на атаката (ASM, но без тази дефиниция как можем да я управляваме?

Какво представлява повърхността на атаката?

„Повърхността на атака на една организация представлява всички активи (физически, виртуални или човешки), които един злонамерен хакер може потенциално да използва, за да пробие организацията“, казва Алекс Хоф, съосновател и главен стратегически директор в Auvik Networks.

„Традиционно – продължава Радж Самани, SVP и главен научен сътрудник в Rapid7, – фокусът на управлението на повърхността на атака е върху защитата на по-широката повърхност на атака – но сега акцентът е върху предотвратяването на използването на активи във все по-сложни среди.“

Макар че традиционно сме смятали, че повърхността на атака е част от цялостната ИТ инфраструктура, която може да бъде третирана и управлявана дискретно, сега мнението ни е, че ASM включва всичко и всички, към които може да се насочи заплахата за експлоатация.

„Помислете за активи от всякакъв вид, включително ИТ, ОТ, IoT, специализирани устройства, хора, облачна инфраструктура, SaaS приложения, вериги за доставки, ИИ, структурирани и неструктурирани данни, идентичности и разрешения, отдалечена мрежова инфраструктура – и това са само някои от тях“, казва Брайън Мартин, директор по управление на продукти в Integrity360. Това е повърхността за атаки, която трябва да се управлява – породена от нарастващата сложност на бизнес трансформацията.

Всяка нова технология или оперативна техника, която се включва, увеличава тази повърхност за атаки. Тя продължава да се разширява, а през 2025 г. се очаква да се разшири и усложни значително. „Бързо нарастващият брой ИТ активи в мрежите на организациите ще направи повърхността за атаки по-голяма и по-сложна от всякога“, предупреждава Дейвид Шепърд, SVP EMEA в Ivanti.

Майуреш Дани, мениджър на отдела за изследване на сигурността в звеното за изследване на заплахите на Qualys, казва просто: „Повърхността за атаки ще продължи да се увеличава, тъй като тя е пряко пропорционална на внедряването на нови технологии.“

Тя ще се увеличава и на неочаквани места. „Повърхността на атаките вероятно ще се увеличава с нарастването на сложността на софтуера. По-големите кодови бази са пряко свързани с по-големи повърхности за атаки“, коментира Мехран Фаримани, главен изпълнителен директор на RapidFort. „Въпреки това, пренебрегваният риск е неизползваният код, който съставлява 70% до 80% от повечето софтуер. Този неактивен код често крие многобройни CVE.“

Може да се каже, че съвременната повърхност за атаки е цената на днешния бизнес – и с разрастването на бизнеса се увеличава и атакуващата зона. „Когато става въпрос за принципите на киберсигурността – наличност, поверителност и цялостност, повечето организации (извън средите на националната сигурност) се интересуват само от наличността“, казва Джон Бамбенек, президент на Bambenek Consulting. „Това означава, че все повече технологии ще бъдат възприети по-бързо; и докато повърхността на атаките расте, докато бизнесът може да печели повече пари, всичко върви с пълна скорост.“

Продължаващи болезнени точки на повърхността на атаката

„Цялостното разбиране на повърхността на атаката – включващо както вътрешни, така и външни активи и експозиции – е от съществено значение“, казва Мартин. „Атакуващите често верижно свързват уязвимостите и експозициите по пътищата на атаката, за да увеличат привилегиите си и да компрометират критични активи.“

Следователно първата ни задача е да разберем къде AS все още се разширява. Започвайки с настоящите, но нарастващи болезнени точки, ето няколко примера.

Направете нещо свое

BYOD продължава. „ИТ екипите все още смятат, че компромисът с разходите за закупуване и поддръжка на устройства си заслужава в сравнение с разходите за защита на устройствата. Виждайки, че тази тенденция се засилва, това означава, че все повече устройства се добавят към повърхността за атаки на компаниите“, предупреждава Дейл Мадън, мениджър операции по симулиране на атаки в GuidePoint Security.

Но с течение на годините „донеси своето устройство“ се разшири в „направи своето нещо“. Технологиите станаха по-лесни за използване и често се използват от служителите само за да повишат ефективността си. Изграждането на S3, без да се помисли за сигурността на данните или да се включи екипът по сигурността, е класически пример. Разработчиците, които създават бърз код, вероятно използвайки нови приложения с лоу код/без код и може би добавяйки непроверени библиотеки с отворен код, могат да бъдат друг пример. А сега могат да се изтеглят и използват и готови модели на изкуствен интелект с отворен код, често без корпоративен или адекватен надзор на сигурността.

„Очаквам значително разширяване на повърхността за атаки, което ще се дължи основно на две производни на генеративния изкуствен интелект“, казва Стив Тейт, главен технически директор в Skyhigh Security: „корпоративни копилоти и бизнес приложения, създадени от граждански разработчици.“

Копилотите, казва той, „ще имат все по-голям достъп до корпоративни данни, като потенциално ще излагат корпоративна информация на непреднамерени потребители и ще увеличават въздействието на дейности като отравяне на подкани. Все по-често подкрепян от копилотите, гражданският разработчик разполага с лесен набор от инструменти, с които да създава нови приложения с все по-разширяваща се скорост.“

Той добавя: „Без основополагащо обучение по практики за сигурна разработка тези нови разработчици вероятно ще разкрият огромни количества данни извън предвидения им обхват и ще увеличат вероятността за хоризонтално повишаване на привилегиите в предприятието.“

Когато бързината е от съществено значение, а включването на екипа по сигурността е забавено, изкушението просто да продължиш и да направиш нещо свое винаги е налице. Ефектът е неконтролируемо разширяване на AS без надзор и слаба видимост за екипа по сигурността.

IoT

„Бързото внедряване на IoT устройства, вариращи от интелигентни домашни уреди до индустриални сензори, въвежда множество крайни точки, които често са неадекватно защитени. Това разрастване създава пропусклив пейзаж, уязвим за пробиви в данните“, обяснява Кевин Къран, старши член на IEEE и професор по киберсигурност в университета в Ълстър.

„Нарастващата интеграция на приложенията, задвижвани от изкуствен интелект, и устройствата на интернет на нещата, ще разкрие нови уязвимости и ще даде възможност на лошите актьори да увеличат мащаба на своите операции и тактики“, продължава Сюзън Бътън, полеви технически директор за EMEA в Elastic.

Продължаващата експлозия на IoT устройства, особено като част от OT в критични индустрии, представлява значително предизвикателство. „Много организации се борят да поддържат видимост върху тези активи, които често нямат надеждна сигурност по замисъл“, предупреждава Мартин.

Облак, SaaS и API

„Организациите все по-често възприемат архитектури, базирани на облака, и решения SaaS, за да осигурят гъвкавост и мащабируемост. Макар и полезни, тези технологии често въвеждат сложни конфигурации, които, ако се управляват неправилно, излагат критични активи на атакуващите“, казва Мартин.

„Макар че много организации са преместили данни и услуги в облака и са работили за защита на тези облачни услуги, разпространението на SaaS приложения е увеличило повърхността на атаките отвъд това, което повечето ИТ екипи активно управляват днес, просто защото не са наясно с всички SaaS приложения, които трябва да защитят“, добавя Хоф.

Мариос Кириаку, директор по управление на продуктите в Bugcrowd, смята, че проблемът с SaaS ще се задълбочава, което се дължи на броя на създадените компании за SaaS, които са подхранвани от финансово финансиране. „Тъй като компаниите се разрастват и се осъществяват сливания и придобивания, това предлага много възможности за въвеждане на неизвестни повърхности за атаки, които в много случаи са забравени и не са обект на същите грижи като активите, за които се знае.“

API и тяхната роля в специфичната за SaaS повърхност за атаки не може да бъде пренебрегвана. Тази тема е разгледана в дълбочина в рамките на отделния доклад Cyber Insights 2025: API – заплахата продължава.

Крайни устройства

Непрекъснатото развитие на крайните устройства и инфраструктури ще бъде основно предизвикателство през 2025 г. „Наблюдаваме тревожен модел, при който национални държави систематично се насочват към крайните технологии. Тяхната методология включва изчакване на актуализации, обратното им разработване и бързо разработване на експлойти. Традиционните подходи за управление на активите се оказват недостатъчни за този нов пейзаж, особено като се има предвид сложността на управлението на различните мрежови приставки и интеграциите с трети страни“, коментира Натаниъл Джоунс, вицепрезидент на отдела за изследване на заплахи в Darktrace.

 

Геополитика и регулации

Въвеждането на националните групи в дискусията за повърхността на атаката налага разглеждането на два други свързани, но неспецифични за ИТ инфраструктурата проблема: геополитиката и регулациите.

Геополитиката не увеличава повърхността на атаките, но може да увеличи атаките срещу тази повърхност, осъществявани от елитни противници. „През 2025 г. може да се увеличат заплахите за критичната инфраструктура, особено поради глобалните размирици. Сектори като енергетиката, транспорта и здравеопазването са все по-често обект на кибератаки“, предупреждава Кърън. Той отбелязва: „Австралийската дирекция за сигнали съобщава, че над 11% от инцидентите в областта на киберсигурността през изминалата година са били насочени към сектора на критичната инфраструктура.“

Нарастващите заплахи винаги са свързани с нова повърхност за атака; а правителствата са склонни да реагират с все по-сложни и подробни разпоредби. „Друга болезнена точка за 2025 г. ще бъде еволюцията на регулаторните изисквания и изискванията за съответствие“, казва Радж Малемпати, главен изпълнителен директор и съосновател на BlueFlag Security. Регулациите, тяхната роля и ефекти, са разгледани отделно в Cyber Insights 2025: В тази статия се разглеждат въпроси, свързани с регулаторния хаос.

Нови и разширяващи се болезнени точки на повърхността на атаката

Причината, поради която не можем да изпреварим нападателите и да управляваме напълно AS, е, че AS продължава да се разширява по начини, които не успяваме да предвидим. Една от причините за това е появата на нови технологии, които използваме, преди да сме разбрали последиците от тях. Изкуственият интелект е една от тези нови технологии – и през 2025 г. той ще въведе множество нови болезнени точки в AS.

Засега използването на изкуствен интелект се основава на машинното обучение (ML), или по-точно на специализираната форма на ML, известна като голям езиков модел (LLM) – както е въведена от ChatGPT на OpenAI през 2022 г., а сега се повтаря от няколко други (нека ги наречем „основополагащи“) LLM. Тези LLM използват обработка на естествен език (NLP), за да осигурят интерфейса между хората и данните. Съвкупно системата е известна като генеративен изкуствен интелект (gen-AI).

LLM с gen-AI не притежават интелект. Всичко, което знаят, им е предоставено – предимно от интернет. Начинът, по който използват тази информация и по който решават кое е точно и кое не, се контролира от алгоритми, които ние не познаваме и нямаме надежда да разберем. И все пак приемаме, че те са правилни и сигурни. Предположението е опасно нещо в киберсигурността.

Чатботове и магистри по право

Чатботовете, известни също като копилоти, обикновено се описват като организационни реализации на LLM със специфично допълнително обучение на организационни данни за цели като обслужване на клиенти, техническа поддръжка, продажби и маркетинг и извличане на данни. По необходимост те имат достъп или познания за големи количества фирмени данни. Но всички те, в една или друга степен, са обект на бързи инженерни атаки. Бързият инженеринг е познат също като бърза инжекция и джейлбрейк.

„Вече сме свидетели на редица случаи на „prompt injection“ и мисля, че тази техника за атаки е в много начален стадий“, предупреждава Дейн Грейс, мениджър технически решения в Brinqa. Той се опасява, че ситуацията ще се влоши от все по-честото използване на LLM за създаване на кода, който създава чатбота. „Това в крайна сметка ще увеличи количеството на лошо написания софтуер, защото мисля, че разработчиците, които са ограничени от времето и други фактори, просто ще копират, ще пуснат бърза дебъгваща програма, за да се уверят, че работи, и ще продължат напред.“

Сохроб Казерунян, изтъкнат изследовател в областта на изкуствения интелект във Vectra AI, посочва: „За да бъдат полезни, LLM в крайна сметка трябва да получат достъп до информация и системи, за да отговарят на въпроси и да предприемат действия, които иначе биха били възложени на човек.“ Той добавя: „През 2025 г. ще чуем за многобройни случаи, в които  заплахи ще измамят корпоративно решение за изкуствен интелект Gen AI, за да предоставят чувствителна информация и да причинят високопрофилни нарушения на сигурността на данните.“

Тази чувствителна информация може да включва повече, отколкото очакваме. „Тъй като информацията се предоставя на тези чатботове от неструктурирани данни, ще има информация, която не е предназначена за публично потребление“, добавя Питър Ейвъри, вицепрезидент по сигурността и съответствието във Visual Edge IT.

Самите чатботове, за разлика от начина, по който се злоупотребява с тях чрез инжектиране на промптове, вероятно ще станат цели през 2025 г. Въпреки че това все още не е често срещано явление, Куентин Финеган, главен оперативен директор в Performanta, предупреждава: „Динамиката на доверието в чатботовете и други цифрови портали за обслужване на клиенти предоставя широки възможности за атакуващите. След като бъдат компрометирани, хакерите могат да използват чатботовете, за да извършват фишинг атаки или атаки с рансъмуер, улавяйки нищо неподозиращи хора, които не са наясно с опасностите от доверието в онлайн порталите.“

Бамбенек обобщава: „Реалността е, че сме в много ранни етапи на това какви атаки могат да бъдат извършени с незабавно инжектиране, как можем да открием и спрем тези атаки и как да кодираме уязвимостите в системите с изкуствен интелект.“

Повърхност на човешките атаки

Не става дума за това, че повърхността на човешките атаки ще се разшири през 2025 г., а по-скоро за това, че методите, мащабите и сложността на атаките срещу човешкия АЗ ще се увеличат – всичко това благодарение на ген-ИИ.

„Всички сме виждали и чували случаите на deepfake видео и аудио, които се разпространяват в социалните медии, и как неволни служители са провеждали видеоразговори с фалшиви версии на свои колеги, преди неволно да прехвърлят милионите на лошите“, коментира Мартин. Това ще се увеличи през 2025 г.

„Противниците все повече ще използват ИИ за създаване на високоцелеви и адаптивни атаки – техники като deepfake фишинг и социално инженерство, създадено от ИИ“, казва Симоне Сасоли, главен изпълнителен директор и главен оперативен директор на Virsec.

„Обещанията, които ИИ дава на нападателите, са експоненциални. Хората все още не са обучени да разпознават атаки, базирани на ИИ, като например дълбоко фалшиво видео или аудио, и тези методи за атака непрекъснато се развиват. Опасно е, че възможностите за обучение и автоматизация на ИИ означават, че нови методи за атака се стартират с голяма лекота и мащаб, което се дължи до голяма степен на ефективността на технологията“, предупреждава Финеган.

Влиянието на ИИ върху социалния инженеринг през 2025 г. е разгледано по-подробно в Cyber Insights 2025: Социалното инженерство получава крила.

Верига за доставки на софтуер

Можехме, а може би и трябваше, да включим веригата за доставки като постоянна болна точка. „Противниците все по-често се насочват към доставчици на трети страни и доставчици на софтуер, за да проникнат в по-големи организации. Тези атаки се възползват от уязвимостите във веригата за доставки, което води до широкообхватни последици“, коментира Къран. Това наистина продължава и ще се увеличи през 2025 г.

Ключова методология, но не и единствената методология за атаки по веригата на доставки, е проникването в софтуерни библиотеки с отворен код и изчакването на популярността на този OSS, за да се предостави уязвимост на множество – или хиляди – различни компании. Но точно както OSS може да бъде свободно изтеглен от сайтове на специализирани магазини, така и моделите на ИИ с отворен код могат да бъдат свободно изтеглени от други сайтове.

Основният ни подход за справяне с уязвимостите на OSS е да изискваме софтуерни сметки за материали (SBOM). Съществува интерес към разработването на еквивалентен AIBOM, но все още не е напълно приет. Всъщност в настоящата рамка на NIST за рисковете, свързани с изкуствения интелект, не се споменава AIBOM. В нея обаче се признава рискът от ИИ с отворен код. В GOVERN 6 се изисква: „Налице са политики и процедури за справяне с рисковете и ползите от ИИ, произтичащи от софтуер и данни на трети страни и други въпроси, свързани с веригата на доставки“.

Съществува риск противници да проникнат в ИИ с отворен код. Ако това се случи, през 2025 г. повърхността за атаки с отворен код може да получи нов тласък, благодарение на gen-AI.

„Повърхността на атаките ще продължи да се увеличава, тъй като светът ни продължава да става все по-взаимосвързан, а веригите ни за доставки се разширяват. Това се дължи отчасти на инструментите, приложенията, моделите на изкуствения интелект и т.н., които продължаваме да свързваме, за да подобрим способностите и достъпа на крайните потребители“, казва Кристъл Морин, стратег по киберсигурност в Sysdig.

„Първоначалното откриване на тези нови инструменти ще бъде основната болезнена точка през 2025 г.“, предполага Дани. „Тъй като ИИ и облачните платформи стават все по-интегрирани в бизнес операциите, ще се наблюдават пропуски при включването на тези инструменти в процесите на сигурност. Излагането на данни на тези платформи за ИИ/МЛ ще бъде вторичната болна точка. Служителите, които споделят информация за проектите си на злонамерени LLM, ще позволят на лошите да изградят вероятна повърхност за атака и да използват тази слабост.“

Какво да направите

ASM вече е много повече от просто наблюдение на CVE и поправяне на известни уязвимости. „Докато ASM остава фокусиран единствено върху управлението на изложените в интернет CVE – изоставащи индикатори за риск – защитниците ще останат в неизгодно положение“, казва Джо Силва, главен изпълнителен директор в Spektion.

Това може да бъде и подвеждащо, добавя Морин. „Уязвимост по CVSS 10 във вашата среда е причина за безпокойство, но тя има по-малко значение от уязвимост по CVSS 7 – или множество верижно свързани уязвимости – които се експлоатират активно.“ Ефективният ASM се основава на информираност (разузнаване на заплахите), ограничаване на излагането на риск (управление на идентичността и нулево доверие) и максимална видимост (управление на активите и анализ на поведението на мрежата).

Тя също така е нещо повече от защита на крайните точки. Крайните точки могат да бъдат преодолени с откраднати идентификационни данни независимо от защитата на крайните точки. Крайните точки дори не са включени, когато персоналът прави своите собствени действия (вж. по-горе). А те може да са нечии други крайни точки и да не се разглеждат като риск за компанията.

Управлението на повърхността на атаката на практика се е превърнало в друг термин за киберсигурност. Дните, когато можехме да кажем, че тази част от нашата система е изложена на атака и следователно е нашата повърхност за атака, отдавна отминаха. Сложността, свързаността и променливостта на съвременните технологии, благодарение на трансформацията на бизнеса, на практика означава, че целият бизнес – неговите технологии, помещения, хората, техните технологии и домове, доставчиците и клиентите и дори автопаркът на ръководителите – днес е повърхност за атака.

Единственият начин да се управлява тази повърхност е с цялостна – и неграматично, смеем да кажем много цялостна – киберсигурност. Трудността за защитниците се състои в това, че настоящите инструменти за сигурност не осигуряват цялостна сигурност. Те осигуряват частична сигурност: малко тук и малко там, и още едно малко там. CISO трябва да обединят тези малки частици сигурност в опит за цялостен подход, знаейки, че всяка пролука може да осигури на нападателите път към атакуема повърхност в рамките на бизнеса.

Основният проблем е, че повърхността на атаката се е разширила, за да включва всичко и навсякъде, а управлението на повърхността на атаката не се е разширило.

Източник: По материали от Интернет

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
6 февруари 2025

Руските хакери са използвали 0-Day уязвимост в ...

Руски групи за заплахи са провеждали кампании за кибершпионаж срещу...
Бъдете социални
Още по темата
07/02/2025

Astra и Invary набираха ми...

Тази седмица стартиращите компании за киберсигурност...
06/02/2025

Нигерия с успехи в киберсиг...

Правителството на Нигерия предприе по-строги мерки...
05/02/2025

Петте очи дадоха насоки за ...

Агенциите за киберсигурност на Петте  очи...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!