Бизнес трансформацията предефинира управлението на повърхността на атаката (ASM). Вече не можем просто да дефинираме повърхността на атаката (ASM, но без тази дефиниция как можем да я управляваме?
„Повърхността на атака на една организация представлява всички активи (физически, виртуални или човешки), които един злонамерен хакер може потенциално да използва, за да пробие организацията“, казва Алекс Хоф, съосновател и главен стратегически директор в Auvik Networks.
„Традиционно – продължава Радж Самани, SVP и главен научен сътрудник в Rapid7, – фокусът на управлението на повърхността на атака е върху защитата на по-широката повърхност на атака – но сега акцентът е върху предотвратяването на използването на активи във все по-сложни среди.“
Макар че традиционно сме смятали, че повърхността на атака е част от цялостната ИТ инфраструктура, която може да бъде третирана и управлявана дискретно, сега мнението ни е, че ASM включва всичко и всички, към които може да се насочи заплахата за експлоатация.
„Помислете за активи от всякакъв вид, включително ИТ, ОТ, IoT, специализирани устройства, хора, облачна инфраструктура, SaaS приложения, вериги за доставки, ИИ, структурирани и неструктурирани данни, идентичности и разрешения, отдалечена мрежова инфраструктура – и това са само някои от тях“, казва Брайън Мартин, директор по управление на продукти в Integrity360. Това е повърхността за атаки, която трябва да се управлява – породена от нарастващата сложност на бизнес трансформацията.
Всяка нова технология или оперативна техника, която се включва, увеличава тази повърхност за атаки. Тя продължава да се разширява, а през 2025 г. се очаква да се разшири и усложни значително. „Бързо нарастващият брой ИТ активи в мрежите на организациите ще направи повърхността за атаки по-голяма и по-сложна от всякога“, предупреждава Дейвид Шепърд, SVP EMEA в Ivanti.
Майуреш Дани, мениджър на отдела за изследване на сигурността в звеното за изследване на заплахите на Qualys, казва просто: „Повърхността за атаки ще продължи да се увеличава, тъй като тя е пряко пропорционална на внедряването на нови технологии.“
Тя ще се увеличава и на неочаквани места. „Повърхността на атаките вероятно ще се увеличава с нарастването на сложността на софтуера. По-големите кодови бази са пряко свързани с по-големи повърхности за атаки“, коментира Мехран Фаримани, главен изпълнителен директор на RapidFort. „Въпреки това, пренебрегваният риск е неизползваният код, който съставлява 70% до 80% от повечето софтуер. Този неактивен код често крие многобройни CVE.“
Може да се каже, че съвременната повърхност за атаки е цената на днешния бизнес – и с разрастването на бизнеса се увеличава и атакуващата зона. „Когато става въпрос за принципите на киберсигурността – наличност, поверителност и цялостност, повечето организации (извън средите на националната сигурност) се интересуват само от наличността“, казва Джон Бамбенек, президент на Bambenek Consulting. „Това означава, че все повече технологии ще бъдат възприети по-бързо; и докато повърхността на атаките расте, докато бизнесът може да печели повече пари, всичко върви с пълна скорост.“
„Цялостното разбиране на повърхността на атаката – включващо както вътрешни, така и външни активи и експозиции – е от съществено значение“, казва Мартин. „Атакуващите често верижно свързват уязвимостите и експозициите по пътищата на атаката, за да увеличат привилегиите си и да компрометират критични активи.“
Следователно първата ни задача е да разберем къде AS все още се разширява. Започвайки с настоящите, но нарастващи болезнени точки, ето няколко примера.
BYOD продължава. „ИТ екипите все още смятат, че компромисът с разходите за закупуване и поддръжка на устройства си заслужава в сравнение с разходите за защита на устройствата. Виждайки, че тази тенденция се засилва, това означава, че все повече устройства се добавят към повърхността за атаки на компаниите“, предупреждава Дейл Мадън, мениджър операции по симулиране на атаки в GuidePoint Security.
Но с течение на годините „донеси своето устройство“ се разшири в „направи своето нещо“. Технологиите станаха по-лесни за използване и често се използват от служителите само за да повишат ефективността си. Изграждането на S3, без да се помисли за сигурността на данните или да се включи екипът по сигурността, е класически пример. Разработчиците, които създават бърз код, вероятно използвайки нови приложения с лоу код/без код и може би добавяйки непроверени библиотеки с отворен код, могат да бъдат друг пример. А сега могат да се изтеглят и използват и готови модели на изкуствен интелект с отворен код, често без корпоративен или адекватен надзор на сигурността.
„Очаквам значително разширяване на повърхността за атаки, което ще се дължи основно на две производни на генеративния изкуствен интелект“, казва Стив Тейт, главен технически директор в Skyhigh Security: „корпоративни копилоти и бизнес приложения, създадени от граждански разработчици.“
Копилотите, казва той, „ще имат все по-голям достъп до корпоративни данни, като потенциално ще излагат корпоративна информация на непреднамерени потребители и ще увеличават въздействието на дейности като отравяне на подкани. Все по-често подкрепян от копилотите, гражданският разработчик разполага с лесен набор от инструменти, с които да създава нови приложения с все по-разширяваща се скорост.“
Той добавя: „Без основополагащо обучение по практики за сигурна разработка тези нови разработчици вероятно ще разкрият огромни количества данни извън предвидения им обхват и ще увеличат вероятността за хоризонтално повишаване на привилегиите в предприятието.“
Когато бързината е от съществено значение, а включването на екипа по сигурността е забавено, изкушението просто да продължиш и да направиш нещо свое винаги е налице. Ефектът е неконтролируемо разширяване на AS без надзор и слаба видимост за екипа по сигурността.
„Бързото внедряване на IoT устройства, вариращи от интелигентни домашни уреди до индустриални сензори, въвежда множество крайни точки, които често са неадекватно защитени. Това разрастване създава пропусклив пейзаж, уязвим за пробиви в данните“, обяснява Кевин Къран, старши член на IEEE и професор по киберсигурност в университета в Ълстър.
„Нарастващата интеграция на приложенията, задвижвани от изкуствен интелект, и устройствата на интернет на нещата, ще разкрие нови уязвимости и ще даде възможност на лошите актьори да увеличат мащаба на своите операции и тактики“, продължава Сюзън Бътън, полеви технически директор за EMEA в Elastic.
Продължаващата експлозия на IoT устройства, особено като част от OT в критични индустрии, представлява значително предизвикателство. „Много организации се борят да поддържат видимост върху тези активи, които често нямат надеждна сигурност по замисъл“, предупреждава Мартин.
„Организациите все по-често възприемат архитектури, базирани на облака, и решения SaaS, за да осигурят гъвкавост и мащабируемост. Макар и полезни, тези технологии често въвеждат сложни конфигурации, които, ако се управляват неправилно, излагат критични активи на атакуващите“, казва Мартин.
„Макар че много организации са преместили данни и услуги в облака и са работили за защита на тези облачни услуги, разпространението на SaaS приложения е увеличило повърхността на атаките отвъд това, което повечето ИТ екипи активно управляват днес, просто защото не са наясно с всички SaaS приложения, които трябва да защитят“, добавя Хоф.
Мариос Кириаку, директор по управление на продуктите в Bugcrowd, смята, че проблемът с SaaS ще се задълбочава, което се дължи на броя на създадените компании за SaaS, които са подхранвани от финансово финансиране. „Тъй като компаниите се разрастват и се осъществяват сливания и придобивания, това предлага много възможности за въвеждане на неизвестни повърхности за атаки, които в много случаи са забравени и не са обект на същите грижи като активите, за които се знае.“
API и тяхната роля в специфичната за SaaS повърхност за атаки не може да бъде пренебрегвана. Тази тема е разгледана в дълбочина в рамките на отделния доклад Cyber Insights 2025: API – заплахата продължава.
Непрекъснатото развитие на крайните устройства и инфраструктури ще бъде основно предизвикателство през 2025 г. „Наблюдаваме тревожен модел, при който национални държави систематично се насочват към крайните технологии. Тяхната методология включва изчакване на актуализации, обратното им разработване и бързо разработване на експлойти. Традиционните подходи за управление на активите се оказват недостатъчни за този нов пейзаж, особено като се има предвид сложността на управлението на различните мрежови приставки и интеграциите с трети страни“, коментира Натаниъл Джоунс, вицепрезидент на отдела за изследване на заплахи в Darktrace.
Въвеждането на националните групи в дискусията за повърхността на атаката налага разглеждането на два други свързани, но неспецифични за ИТ инфраструктурата проблема: геополитиката и регулациите.
Геополитиката не увеличава повърхността на атаките, но може да увеличи атаките срещу тази повърхност, осъществявани от елитни противници. „През 2025 г. може да се увеличат заплахите за критичната инфраструктура, особено поради глобалните размирици. Сектори като енергетиката, транспорта и здравеопазването са все по-често обект на кибератаки“, предупреждава Кърън. Той отбелязва: „Австралийската дирекция за сигнали съобщава, че над 11% от инцидентите в областта на киберсигурността през изминалата година са били насочени към сектора на критичната инфраструктура.“
Нарастващите заплахи винаги са свързани с нова повърхност за атака; а правителствата са склонни да реагират с все по-сложни и подробни разпоредби. „Друга болезнена точка за 2025 г. ще бъде еволюцията на регулаторните изисквания и изискванията за съответствие“, казва Радж Малемпати, главен изпълнителен директор и съосновател на BlueFlag Security. Регулациите, тяхната роля и ефекти, са разгледани отделно в Cyber Insights 2025: В тази статия се разглеждат въпроси, свързани с регулаторния хаос.
Причината, поради която не можем да изпреварим нападателите и да управляваме напълно AS, е, че AS продължава да се разширява по начини, които не успяваме да предвидим. Една от причините за това е появата на нови технологии, които използваме, преди да сме разбрали последиците от тях. Изкуственият интелект е една от тези нови технологии – и през 2025 г. той ще въведе множество нови болезнени точки в AS.
Засега използването на изкуствен интелект се основава на машинното обучение (ML), или по-точно на специализираната форма на ML, известна като голям езиков модел (LLM) – както е въведена от ChatGPT на OpenAI през 2022 г., а сега се повтаря от няколко други (нека ги наречем „основополагащи“) LLM. Тези LLM използват обработка на естествен език (NLP), за да осигурят интерфейса между хората и данните. Съвкупно системата е известна като генеративен изкуствен интелект (gen-AI).
LLM с gen-AI не притежават интелект. Всичко, което знаят, им е предоставено – предимно от интернет. Начинът, по който използват тази информация и по който решават кое е точно и кое не, се контролира от алгоритми, които ние не познаваме и нямаме надежда да разберем. И все пак приемаме, че те са правилни и сигурни. Предположението е опасно нещо в киберсигурността.
Чатботовете, известни също като копилоти, обикновено се описват като организационни реализации на LLM със специфично допълнително обучение на организационни данни за цели като обслужване на клиенти, техническа поддръжка, продажби и маркетинг и извличане на данни. По необходимост те имат достъп или познания за големи количества фирмени данни. Но всички те, в една или друга степен, са обект на бързи инженерни атаки. Бързият инженеринг е познат също като бърза инжекция и джейлбрейк.
„Вече сме свидетели на редица случаи на „prompt injection“ и мисля, че тази техника за атаки е в много начален стадий“, предупреждава Дейн Грейс, мениджър технически решения в Brinqa. Той се опасява, че ситуацията ще се влоши от все по-честото използване на LLM за създаване на кода, който създава чатбота. „Това в крайна сметка ще увеличи количеството на лошо написания софтуер, защото мисля, че разработчиците, които са ограничени от времето и други фактори, просто ще копират, ще пуснат бърза дебъгваща програма, за да се уверят, че работи, и ще продължат напред.“
Сохроб Казерунян, изтъкнат изследовател в областта на изкуствения интелект във Vectra AI, посочва: „За да бъдат полезни, LLM в крайна сметка трябва да получат достъп до информация и системи, за да отговарят на въпроси и да предприемат действия, които иначе биха били възложени на човек.“ Той добавя: „През 2025 г. ще чуем за многобройни случаи, в които заплахи ще измамят корпоративно решение за изкуствен интелект Gen AI, за да предоставят чувствителна информация и да причинят високопрофилни нарушения на сигурността на данните.“
Тази чувствителна информация може да включва повече, отколкото очакваме. „Тъй като информацията се предоставя на тези чатботове от неструктурирани данни, ще има информация, която не е предназначена за публично потребление“, добавя Питър Ейвъри, вицепрезидент по сигурността и съответствието във Visual Edge IT.
Самите чатботове, за разлика от начина, по който се злоупотребява с тях чрез инжектиране на промптове, вероятно ще станат цели през 2025 г. Въпреки че това все още не е често срещано явление, Куентин Финеган, главен оперативен директор в Performanta, предупреждава: „Динамиката на доверието в чатботовете и други цифрови портали за обслужване на клиенти предоставя широки възможности за атакуващите. След като бъдат компрометирани, хакерите могат да използват чатботовете, за да извършват фишинг атаки или атаки с рансъмуер, улавяйки нищо неподозиращи хора, които не са наясно с опасностите от доверието в онлайн порталите.“
Бамбенек обобщава: „Реалността е, че сме в много ранни етапи на това какви атаки могат да бъдат извършени с незабавно инжектиране, как можем да открием и спрем тези атаки и как да кодираме уязвимостите в системите с изкуствен интелект.“
Не става дума за това, че повърхността на човешките атаки ще се разшири през 2025 г., а по-скоро за това, че методите, мащабите и сложността на атаките срещу човешкия АЗ ще се увеличат – всичко това благодарение на ген-ИИ.
„Всички сме виждали и чували случаите на deepfake видео и аудио, които се разпространяват в социалните медии, и как неволни служители са провеждали видеоразговори с фалшиви версии на свои колеги, преди неволно да прехвърлят милионите на лошите“, коментира Мартин. Това ще се увеличи през 2025 г.
„Противниците все повече ще използват ИИ за създаване на високоцелеви и адаптивни атаки – техники като deepfake фишинг и социално инженерство, създадено от ИИ“, казва Симоне Сасоли, главен изпълнителен директор и главен оперативен директор на Virsec.
„Обещанията, които ИИ дава на нападателите, са експоненциални. Хората все още не са обучени да разпознават атаки, базирани на ИИ, като например дълбоко фалшиво видео или аудио, и тези методи за атака непрекъснато се развиват. Опасно е, че възможностите за обучение и автоматизация на ИИ означават, че нови методи за атака се стартират с голяма лекота и мащаб, което се дължи до голяма степен на ефективността на технологията“, предупреждава Финеган.
Влиянието на ИИ върху социалния инженеринг през 2025 г. е разгледано по-подробно в Cyber Insights 2025: Социалното инженерство получава крила.
Можехме, а може би и трябваше, да включим веригата за доставки като постоянна болна точка. „Противниците все по-често се насочват към доставчици на трети страни и доставчици на софтуер, за да проникнат в по-големи организации. Тези атаки се възползват от уязвимостите във веригата за доставки, което води до широкообхватни последици“, коментира Къран. Това наистина продължава и ще се увеличи през 2025 г.
Ключова методология, но не и единствената методология за атаки по веригата на доставки, е проникването в софтуерни библиотеки с отворен код и изчакването на популярността на този OSS, за да се предостави уязвимост на множество – или хиляди – различни компании. Но точно както OSS може да бъде свободно изтеглен от сайтове на специализирани магазини, така и моделите на ИИ с отворен код могат да бъдат свободно изтеглени от други сайтове.
Основният ни подход за справяне с уязвимостите на OSS е да изискваме софтуерни сметки за материали (SBOM). Съществува интерес към разработването на еквивалентен AIBOM, но все още не е напълно приет. Всъщност в настоящата рамка на NIST за рисковете, свързани с изкуствения интелект, не се споменава AIBOM. В нея обаче се признава рискът от ИИ с отворен код. В GOVERN 6 се изисква: „Налице са политики и процедури за справяне с рисковете и ползите от ИИ, произтичащи от софтуер и данни на трети страни и други въпроси, свързани с веригата на доставки“.
Съществува риск противници да проникнат в ИИ с отворен код. Ако това се случи, през 2025 г. повърхността за атаки с отворен код може да получи нов тласък, благодарение на gen-AI.
„Повърхността на атаките ще продължи да се увеличава, тъй като светът ни продължава да става все по-взаимосвързан, а веригите ни за доставки се разширяват. Това се дължи отчасти на инструментите, приложенията, моделите на изкуствения интелект и т.н., които продължаваме да свързваме, за да подобрим способностите и достъпа на крайните потребители“, казва Кристъл Морин, стратег по киберсигурност в Sysdig.
„Първоначалното откриване на тези нови инструменти ще бъде основната болезнена точка през 2025 г.“, предполага Дани. „Тъй като ИИ и облачните платформи стават все по-интегрирани в бизнес операциите, ще се наблюдават пропуски при включването на тези инструменти в процесите на сигурност. Излагането на данни на тези платформи за ИИ/МЛ ще бъде вторичната болна точка. Служителите, които споделят информация за проектите си на злонамерени LLM, ще позволят на лошите да изградят вероятна повърхност за атака и да използват тази слабост.“
ASM вече е много повече от просто наблюдение на CVE и поправяне на известни уязвимости. „Докато ASM остава фокусиран единствено върху управлението на изложените в интернет CVE – изоставащи индикатори за риск – защитниците ще останат в неизгодно положение“, казва Джо Силва, главен изпълнителен директор в Spektion.
Това може да бъде и подвеждащо, добавя Морин. „Уязвимост по CVSS 10 във вашата среда е причина за безпокойство, но тя има по-малко значение от уязвимост по CVSS 7 – или множество верижно свързани уязвимости – които се експлоатират активно.“ Ефективният ASM се основава на информираност (разузнаване на заплахите), ограничаване на излагането на риск (управление на идентичността и нулево доверие) и максимална видимост (управление на активите и анализ на поведението на мрежата).
Тя също така е нещо повече от защита на крайните точки. Крайните точки могат да бъдат преодолени с откраднати идентификационни данни независимо от защитата на крайните точки. Крайните точки дори не са включени, когато персоналът прави своите собствени действия (вж. по-горе). А те може да са нечии други крайни точки и да не се разглеждат като риск за компанията.
Управлението на повърхността на атаката на практика се е превърнало в друг термин за киберсигурност. Дните, когато можехме да кажем, че тази част от нашата система е изложена на атака и следователно е нашата повърхност за атака, отдавна отминаха. Сложността, свързаността и променливостта на съвременните технологии, благодарение на трансформацията на бизнеса, на практика означава, че целият бизнес – неговите технологии, помещения, хората, техните технологии и домове, доставчиците и клиентите и дори автопаркът на ръководителите – днес е повърхност за атака.
Единственият начин да се управлява тази повърхност е с цялостна – и неграматично, смеем да кажем много цялостна – киберсигурност. Трудността за защитниците се състои в това, че настоящите инструменти за сигурност не осигуряват цялостна сигурност. Те осигуряват частична сигурност: малко тук и малко там, и още едно малко там. CISO трябва да обединят тези малки частици сигурност в опит за цялостен подход, знаейки, че всяка пролука може да осигури на нападателите път към атакуема повърхност в рамките на бизнеса.
Основният проблем е, че повърхността на атаката се е разширила, за да включва всичко и навсякъде, а управлението на повърхността на атаката не се е разширило.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.