#Sựkiện #Bảomatmạng #CyberResilience #Tấncong hiện đại
Đã không còn là bí mật rằng ngành an ninh mạng đang phát triển mạnh mẽ với sự nổi lên của công nghệ mới – nhưng cùng với công cụ mới là các vector tấn công mới. Điều này cũng mang lại các phương pháp được tối ưu hóa cho các chiến thuật đã triển khai từ trước đến nay. Ví dụ, theo báo cáo đe dọa gần đây của Acronis, số lượng tấn công dựa trên email đã tăng lên đáng kể, con số này tăng 464% so với nửa đầu năm 2022. Mặc dù trí tuệ nhân tạo (AI) không phải 100% chịu trách nhiệm cho sự tăng này, chúng ta biết rằng ChatGPT đã làm dễ dàng hơn cho nhóm ransomware tạo ra các email lừa đảo phishinng có vẻ thuyết phục hơn – làm cho các cuộc tấn công dựa trên email trở nên phổ biến hơn và dễ dàng hơn để tiến hành.
Trong phần tiếp theo của bài viết ngày hôm qua, “Sự chịu đựng của mạng sau sự hợp nhất phần 1: Máy tính dễ nhất để xâm nhập”, chúng ta sẽ thảo luận về một số tiến bộ mới nhất trong lĩnh vực trí tuệ nhân tạo (AI) và các công nghệ mới phát triển khác, cũng như cách bảo vệ tốt nhất tổ chức của bạn khỏi các mối đe dọa mới.
Trí tuệ nhân tạo mang lại những rủi ro chưa từng có
Với sự phát triển nhanh chóng trong lĩnh vực công nghệ và sự gia tăng mạnh mẽ trong việc sử dụng, năm 2023 có vẻ như là năm của trí tuệ nhân tạo (AI). Với sự thống trị của ChatGPT và các mô hình khác, người dùng bình thường có thể truy cập vào các công cụ đột phá có thể giả lập tiếng nói của con người, xâm nhập qua nhiều năm văn bản được tạo ra bởi con người và học thông qua các mô hình trí tuệ phức tạp.
Trong tương lai, tội phạm mạng cũng sẽ nghiên cứu ChatGPT và các công cụ tương tự khác để thực hiện các cuộc tấn công của mình. Những mô hình ngôn ngữ lớn này có thể giúp tin tặc gia tăng tốc độ tấn công và tạo ra email lừa đảo phishinng đa ngôn ngữ với ít hoặc không có công sức. AI không chỉ được sử dụng để giả lập tiếng nói của con người, nó còn tự động hóa các cuộc tấn công và phân tích các chương trình độc hại của chính chúng để làm cho chúng hiệu quả hơn. Các cuộc tấn công cũng có thể sử dụng những chương trình này để theo dõi và thay đổi chữ ký malware, từ đó tránh được phát hiện. Có các tập lệnh tự động để tạo và gửi email lừa đảo phishinng và kiểm tra dữ liệu bị đánh cắp để tìm kiếm thông tin đăng nhập. Với công cụ tự động hóa hiệu quả và sự trợ giúp của học máy (ML), kẻ tấn công có thể mở rộng hoạt động của mình và tấn công nhiều mục tiêu hơn với các tải trọng cá nhân hóa, làm cho việc phòng thủ trở nên khó khăn hơn đối với các cuộc tấn công như vậy.
Một trong những phương pháp tấn công thú vị hơn là khi những kẻ tấn công cố gắng đảo ngược kỹ thuật AI thực sự. Các cuộc tấn công AI đối nghịch như vậy có thể giúp kẻ tấn công hiểu đường yếu và định kiến trong một số mô hình phát hiện nhất định, sau đó tạo ra một cuộc tấn công không bị phát hiện bởi mô hình đó. Cuối cùng, AI được sử dụng để tấn công AI.
Tình hình phá vỡ của email trong doanh nghiệp vẫn là thách thức lớn
Không chỉ có AI đang phát triển – các điều khiển bảo mật email mới có khả năng quét các liên kết đến trang web lừa đảo, nhưng không quét được mã QR. Điều này đã dẫn đến sự gia tăng của tội phạm sử dụng mã QR để giấu các liên kết độc hại. Tương tự, các email độc hại đang bắt đầu sử dụng các ứng dụng đám mây hợp pháp như Google Docs để gửi thông báo giả mạo cho người dùng thông thường mà thông báo này thường không bị chặn. Sau khi Microsoft Office làm cho việc thực thi các macro độc hại khó hơn, các tội phạm mạng đã chuyển sang sử dụng tệp liên kết và tệp Microsoft OneNote.
Mô hình cũ của các thành lũy có con đào xáng đã lùi xa khi nói đến bảo mật mạng. Nhiều công ty đã bắt đầu chuyển sang sử dụng truy cập không tin cậy (zero trust access), yêu cầu tất cả yêu cầu truy cập được phê duyệt động mà không có ngoại lệ. Họ cũng đang theo dõi các mô hình hành vi để phát hiện các sự bất thường và mối đe dọa tiềm năng. Điều này cho phép truy cập người dùng đã được xác minh từ mọi nơi, mà không mở cửa cho những kẻ tấn công. Thật không may, việc phá vỡ bảo mật vẫn là một sự thật rằng hầu như tất cả các công ty sẽ gặp phải do những sai lầm đơn giản. Tuy nhiên, sự khác biệt chủ yếu giữa các công ty bị tấn công và những công ty không bị tấn công là tốc độ mà họ phát hiện và phản ứng đối với các mối đe dọa. Ví dụ, hệ thống thông báo cho người dùng rằng mật khẩu của họ đã bị đánh cắp vào tuần trước là hữu ích, nhưng sẽ tốt hơn nếu hệ thống thông báo cho người dùng ngay lập tức và thay đổi mật khẩu một cách tự động.
Xây dựng một phòng thủ đáng tin cậy thông qua đơn giản và linh hoạt
Mặc dù các vấn đề đang gia tăng do các cuộc tấn công mạng đối với cả cá nhân và doanh nghiệp, vẫn có thể tiến xa trước các đối thủ và vượt qua các kẻ tấn công mạng. Sự phức tạp quá mức trong bảo mật là một trong những vấn đề lớn nhất: Các doanh nghiệp mọi kích cỡ cài đặt quá nhiều công cụ vào hệ thống cơ sở hạ tầng của họ và tạo ra một diện tích bề mặt lớn để các cuộc tấn công tiềm năng xâm nhập. Một nghiên cứu gần đây cho thấy 76% các công ty đã gặp ít nhất một sự cố hệ thống sản xuất trong năm qua. Trong số đó, chỉ có 36% được cho là do cuộc tấn công mạng cổ điển, trong khi 42% là do sai sót của con người. Ngo
Head over to our on-demand library to view sessions from VB Transform 2023. Register Here
It’s no secret that the cybersecurity industry is growing exponentially in terms of emerging technology – but with new tools come new attack vectors. This also brings streamlined approaches to already implemented tactics. For example, according to Acronis’ recent threat report, the number of email-based attacks seen thus far in 2023 has surged by 464% compared to the first half of 2022.
While AI is not 100% responsible for this jump, we know that ChatGPT has made it easier for ransomware gangs to craft more convincing phishing emails — making email-based attacks more prevalent and easier to initiate.
In this follow up piece to yesterday’s post, Cyber resilience through consolidation part 1: The easiest computer to hack, we’ll discuss some of the latest advancements in AI and other emerging technology, and how to best protect your organization from new threats.
Artificial intelligence poses unprecedented risks
With rapidly developing innovations in the tech field and exponential growth in use cases, 2023 seems to be the year of AI. As ChatGPT and other models dominate global headlines, the average user can access ground-breaking tools that can mimic human speech, crawl through years of human-generated text and learning via sophisticated intelligence models.
Event
VB Transform 2023 On-Demand
Did you miss a session from VB Transform 2023? Register to access the on-demand library for all of our featured sessions.
In due time, cybercriminals will also look at ChatGPT and other similar tools to help carry out their attacks. These large language models (LLMs) can help hackers accelerate their attacks and make it easy to generate ever-changing phishing emails with multiple languages and with little to no effort.
AI isn’t only being used to mimic human speech, however; it is automating cyberattacks. Attackers can utilize the technology to automate attacks and analyze their own malicious programs to make them more effective. They can also use these programs to monitor and change malware signatures, ultimately skirting detection. There are automated scripts to create and send phishing emails and to check stolen data for user credentials.
With efficient automation and the help of machine learning (ML), attackers can scale their operations and attack more targets with more individualized payloads, making it harder to defend against such attacks.
One of the more interesting methods of attacks is when attackers try to reverse engineer the actual AI models themselves. Such adversarial AI attacks can help attackers understand weaknesses or biases in certain detection model, then create an attack that is not detected by the model. Ultimately, AI is being used to attack AI.
Business email compromise remains a major challenge
It’s not just AI that’s evolving — new email security controls have the ability to scan links to phishing sites, but not QR codes. This has led to the proliferation of criminals using QR codes to hide malicious links. Similarly, malicious emails are starting to use more legitimate cloud applications such as Google Docs to send fake notifications to users that usually go unblocked. After Microsoft Office began to make it more difficult for malicious macros to be executed, cybercriminals shifted towards link files and Microsoft OneNote files.
The old paradigm of castles with a moat is long gone when it comes to cybersecurity. Many companies have started to move away from virtual private networks (VPNs) towards zero trust access, which requires all access requests to be dynamically authorized without exception. They are also monitoring behavior patterns to detect anomalies and potential threats. This enables access to verified users from anywhere, without opening the floodgates for attackers.
It is, unfortunately, still a fact that most companies will get breached due to simple mistakes. However, the main difference between the companies that get breached and those that don’t is how fast they detect and react to threats.
For example, systems that inform a user that their password was stolen last week are helpful, but it would have been better if the system told the user in real time and even changed the password automatically.
Building a proper defense through simplicity and resiliency
Despite the mounting issues cyberattacks pose to both individuals and businesses alike, it’s still possible to stay ahead of the game and outsmart cyber attackers. Overcomplexity in cybersecurity is one of the biggest issues: Businesses of all sizes install too many tools into their infrastructure and create a large surface area for potential cyber-attacks to infiltrate.
A recent study showed that 76% of companies had at least one production system outage in the last year. Of those, only 36% were attributed to classic cyberattacks, whereas 42% were due to human errors.
Additionally, Microsoft recently found that 80% of ransomware attacks were caused by configuration errors, which could otherwise be mitigated had organizations had fewer protection solutions to configure and manage.
By reducing the number of security vendors involved in infrastructure, organizations also save a substantial amount of training time on the latest versions of each tool. They also save money, freeing up resources for other, more profitable areas of their business. With good integration, tools can work efficiently across silos.
Be aware of every app and data it touches
There have also been effective advances in behavior-based analysis that analyzes and catalogs what individual applications do on a system. This includes endpoint detection and response (EDR) and extended detection and response (XDR) tools, which help tech leaders gather more data and visibility into activity. Awareness of every application on a system, every piece of data it touches and every network connection it conducts is critical.
However, our tools must not burden administrators with thousands of alerts that they need to analyze manually. This can easily cause alert fatigue and result in missed threats. Instead, administrators should leverage AI or ML to automatically close out false alerts to free up security engineers’ time so they can concentrate on critical alerts.
Of course, the use of these technologies should be expanded beyond just typical security data. The field of AIOps and observability increases visibility of the whole infrastructure and uses AI or ML to predict where the next issue will occur and automatically counteract before it’s too late.
AI or ML behavior-based solutions are also especially important, as signature-based detection alone will not protect one against the many new malware samples discovered every day. Additionally, AI can enhance cybersecurity systems if tech leaders feed in the right information and data sets, allowing it to evaluate and detect threats faster and more accurately than a human could.
Taking advantage of AI and ML is essential to staying ahead of the attackers, although it is also important to remember that some processes will always require human involvement. AI or ML is to be used as a tool, never a replacement. Once fine-tuned, such systems can help to save a lot of work and effort and can ultimately preserve resources.
Overall, it’s always important to create comprehensive defenses and stay resilient in your fight against cybercriminals. Organizations need to prepare for attacks and prevent them as early as possible. This includes quickly patching software vulnerabilities using multi-factor authentication (MFA) and having a software and hardware inventory.
Offense, not just defense
Finally, organizations should test their incident response plan. They should perform periodic exercises to verify if they could restore all critical servers in the event of an attack and ensure they are equipped to remove malicious emails from all inboxes.
Being cybersecurity-savvy requires preparation, vigilance and playing offense, not just defense. Even with the mounting sophistication of some attacks, equipping oneself with knowledge of how to spot phishing attempts or keeping credentials unique and safe will help exponentially in the fight against cyber threats.
In short, the key to achieving cyber resilience is through consolidation and eliminating the needless over-complexity that plagues small and large businesses everywhere.
Candid Wüest is VP of Research at Acronis.
DataDecisionMakers
Welcome to the VentureBeat community!
DataDecisionMakers is where experts, including the technical people doing data work, can share data-related insights and innovation.
If you want to read about cutting-edge ideas and up-to-date information, best practices, and the future of data and data tech, join us at DataDecisionMakers.
You might even consider contributing an article of your own!