Očekávané trendy kybernetické bezpečnosti v roce 2024 lze rozdělit do tří oblastí:

• trendy související s rozvojem nástrojů umělé inteligence
• trendy související s kybernetickými útoky
• trendy v oblasti zabezpečení firemního provozu a dat.

Trendy spojené s rozvojem generativní umělé inteligence

Útoky budou mnohem častější, brzy jim budou čelit všechny firmy

Rozšíření generativní umělé inteligence v podobě velkých jazykových modelů (LLM) bylo v letošním roce jedním z faktorů, které budou mít na kybernetickou bezpečnost zásadní dopad a jejichž význam v loňském roce nebyl zcela doceněn. Nyní je však už zřejmé, že tyto nástroje výrazně změní kybernetické bojiště. I technicky nepříliš zdatné skupiny dnes totiž mohou snadno vytvořit složité skripty pro sofistikované kybernetické útoky, které dříve vyžadovaly hluboké technické znalosti.

To povede k rozšíření počtu skupin a jednotlivců, kteří se budou o tyto útoky pokoušet, a tedy k masivnímu rozšíření počtu útoků všeho druhu. „U firem, které dosud svoji odolnost vůči kybernetickým hrozbám zanedbávaly, se tak zvyšuje pravděpodobnost, že se stanou terčem úspěšného útoku. Jednoduše proto, že připravit a spustit takový útok bude snazší a rychlejší. Již nyní mohou útočníci své prostředky k vedení útoků kupovat jako službu. S rozvojem strojového učení se vývoj těchto prostředků bohužel zjednodušuje. Zároveň se odbourávají jazykové bariéry. Dříve byla čeština pro útočníky určitým odrazujícím faktorem, ale s rozvojem velkých jazykových modelů se jim bude nyní mnohem lépe útočit i mimo anglické prostředí a lze tak očekávat nárůst jejich aktivit u nás,“ upozorňuje Petr Mojžíš, konzultant kybernetické bezpečnosti ve společnosti ANECT.

Rychlý rozvoj útoků na AI (např. Prompt Injection)

Firmy, které budou využívat nástroje generativní umělé inteligence, se musejí připravit na útoky proti těmto nástrojům, například pomocí tzv. „Prompt Injection“. Jde o metodu, při které útočníci manipulují s nástroji na bázi velkých jazykových modelů tak, aby obešli jejich vestavěná ochranná opatření, která mají zabránit generování škodlivého obsahu. Šikovným vytvářením dotazů, tzv. promptů, však mohou tyto modely nejen přimět vytvářet škodlivý obsah či dezinformace, ale především se skrze ně mohou dostat k datům, na kterých jsou natrénované, nebo v extrémních případech spustit škodlivý kód uvnitř firemní sítě. „Spolu s využíváním nástrojů generativní umělé inteligence tak budou muset firmy adoptovat nové ochranné mechanismy a pravidla,“ upozorňuje Petr Mojžíš.

Exploze phishingu s dobrou češtinou

Jedním z důsledků rozvoje nástrojů generativní umělé inteligence je rychlý rozvoj dobře připravených phishingových kampaní a metod sociálního inženýrství v neanglicky mluvících zemích včetně Česka. Zatímco dříve byly phishingové e-maily cílící na zaměstnance často v angličtině nebo byly snadno odhalitelné díky gramatickým a stylistickým chybám, dnes už to neplatí. To spolu se zdokonalením personalizace povede k růstu úspěšných útoků.

Phishingové kampaně budou sofistikovanější

Nástroje generativní umělé inteligence umožní útočníkům lépe a chy­tře­ji zacílit na jednotlivé uživatele s cílem vylákat jejich přístupové údaje nebo je přimět k akci, která poškozuje je samotné nebo společnost, ve které pracují. Útočníci už teď mohou automatizovaně sesbírat informace o jednotlivých zaměstnancích v řádech několika minut, a za stejně dlouhou dobu připravit personalizovaný e-mail, na kterém na první pohled nebude nic podezřelého. „Pro firmy to znamená, že budou muset zintenzivnit práci na správě identit a pro každého zaměstnance nastavit co nejužší uživatelská práva. K ověřování zaměstnanců potom bude potřeba silná bezheslová autentizace, ideálně skrze multifaktorovou autentizaci, biometrii či další zabezpečené metody,“ říká Ivan Svoboda, poradce pro kybernetickou bezpečnost ve společnosti ANECT. Zároveň však upozorňuje, že ani opatření postavená na biometrii nemusejí být brzy dostatečná.

„Uživatelé byli vždy nejslabším článkem jakéhokoli systému kybernetické bezpečnosti. V dalších letech to bude bohužel platit dvojnásob. Firmy by určitě neměly rezignovat na snahu o smysluplné a pokud možno interaktivní vzdělávání svých zaměstnanců, ale na druhé straně musejí počítat s tím, že se část zaměstnanců stejně nechá obelstít. Proto by měly svoji síť a jednotlivé prvky v ní hlídat pomocí speciálních aplikací typu XDR a zavádět uvnitř firem koncepty nulové důvěry,“ říká Ivan Svoboda. Nástroje typu Extended Detection and Response monitorují chování koncových bodů (nejčastěji počítačů, ale i mobilních zařízení, serverů apod.), chování sítí či podezřelé emaily a v případě, že se objeví něco nestandardního, samy reagují nebo upozorní správce sítě nebo dohledové centrum. Ti mohou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout.

Trendy v oblasti útoků

Ransomwarové útoky se více zaměří na exfiltraci dat a dvojí vydírání

Stejně jako v roce 2023, i v roce 2024 budou pro firmy jednou z největších hrozeb ransomwarové útoky, při kterých dojde k zašifrování firemních dat a následnému požadavku na zaplacení výkupného. Trendem poslední doby, který bude nadále pokračovat, je však dvojí vydírání. Útočníci data nejdříve potají zkopírují mimo organizaci a teprve poté spustí šifrovací program. Tím, že firmě hrozí zveřejněním citlivých dat, zvyšují šanci na to, že dojde k zaplacení výkupného. Ukradená data navíc nejsou cenná jen pro jejich majitele, ale také pro další kyberzločince, takže se stávají předmětem dalšího prodeje na dark webu.

Hackeři přitom shromažďují i zašifrovaná data, která nyní nemohou odemknout. Vyčkávají totiž na příchod dostatečně výkonných kvantových počítačů, které umožní prolomení současného šifrování. „Pro firmy je tak sice stále zásadní mít kvalitní zálohy, ke kterým se útočník nemůže dostat a ze kterých lze důležitá data skutečně obnovit, ale to samo o sobě nestačí. Stejně tak nestačí klíčová data pouze chránit pomocí šifrování, ale je třeba se mnohem více zabývat také klasifikací dat a tím kde mají uložená svá nejcitlivější data a jaké přístupové cesty k nim mohou vést,“ upozorňuje Ivan Svoboda.

Rozvoj kybernetické kriminality jako služby

Řada ransomwarových skupin přechází na model „ransomware as a service“, tedy obchodní modely „jako službu“. Kyberzločinci si tak mohou na dark webu koupit celou infrastrukturu ransomwaru. Ransomwarové skupiny jsou nyní součástí širšího ekosystému kybernetické kriminality. K dispozici mají široké spektrum zdrojů, se specializací například na počáteční přístup do podnikových IT prostředí, pověření, útoky na soubory cookie pro aplikace SSO (Single Sign-On) a včetně infrastruktury pro distribuci.

Zároveň mají tyto skupiny odborníky zaměřené na rekrutování pomocníků z řad osob, které mají přístup do interního systému. Především firmy s cennými aktivy tak budou muset posílit také svoji vnitřní bezpečnost, včetně personálního dohledu, řízení a monitoringu přístupů a dalších souvisejících aktivit.

Větší sofistikovanost vektorů útoku

Kromě samotného počtu útoků v poslední době roste také složitost útoků. Kyberzločinci nyní využívají komplexní kombinace různých metod a technik. Jde například o využití více zranitelností v různých systémech nebo aplikacích současně, což ztěžuje detekci a obranu proti takovým útokům. Často kombinují sociální inženýrství, jako jsou phishingové kampaně, s pokročilými technickými útoky.

S nárůstem počtu digitálních identit se zvyšuje také počet útoků, které využívají slabin v uživatelských identitách, pověřeních a ověřovacích procesech. Tyto útoky mají za cíl získat neoprávněný přístup k citlivým datům a systémům a zahrnují hrozby, jako je phishing, podvržení pověření, krádež identity a útoky na systémy SSO a protokoly vícefaktorové autentizace.

Cloudové služby na vzestupu

Stále častější budou také útoky na cloudová prostředí, které se zaměřují na průnik do cloudových úložišť. Kromě počtu útoků na samotné cloudové poskytovatele výrazně vzroste také počet cloudových infostealerů, které se zaměřují na krádež dat ze zranitelných nebo velmi často špatně nakonfigurovaných cloudových služeb. „I ty firmy, které věnují kybernetické bezpečnosti velkou pozornost, se dostávají do situace, kdy ztrácejí přehled o veškerých zranitelnostech a provázanostech ve své síti, v cloudu a v aplikacích. Častá interní izolovanost IT specialistů starajících se o cloudové prostředky problém dále prohlubuje. Řešením je zde pouze konsolidace informací o zranitelnostech a obecně stavu bezpečnosti napříč aktivy organizace,“ říká Petr Mojžíš. Jde například o platformy SASE (Secure Acces Service Edge),CNAPP (Cloud-Native Application Protection), který hlídá bezpečnost aplikací napříč různými prostředími (například v multicloudu), či různé konsolidační nástroje pro správu zranitelností.

Další rozvoj klasických hrozeb spojených s prací na dálku a rozvojem IoT

V roce 2024 bude dále posilovat význam zabezpečení vzdáleného přístupu k pracovnímu prostředí zaměstnanců, které souvisí s přechodem řady firem na hybridní pracovní režim. Stejně tak se začne více mluvit o zabezpečení IoT zařízení, jejichž bezpečnost je dnes mnohdy velmi slabá. „O slabém zabezpečení chytrých přístrojů či spotřebičů se ví poměrně dlouho, ale dlouho zůstávalo spíše na okraji zájmu. Spolu s tím, jak stále roste počet těchto prvků, a s tím, že využití jejich zranitelností bude s rozvojem automaticky generovaných skriptů výrazně jednoduší a rychlejší, se však pozornost výrobců a bezpečnostní komunity bude muset zaměřit i tímto směrem,“ upozorňuje Ivan Svoboda.

Trendy v oblasti firemního zabezpečení

Přechod na komplexnější bezpečnostní nástroje a konsolidace počtu dodavatelů

Vzhledem k tomu, že zajištění kybernetické bezpečnosti bude stále složitější a rychlost růstu komplexity se bude zvyšovat, budou firmy bojovat s růstem počtu jednotlivých bezpečnostních řešení a jejich dodavatelů. To přinese problémy, jako je zvýšená složitost správy těchto nástrojů, problémy s integrací a potenciální mezery v bez­peč­nost­ním pokrytí organizací. Už dnes často firemní bezpečnostní týmy nejsou dostatečně orientované ve všech bezpečnostních nástrojích, což je nutí najímat nebo přibírat externí odborníky.

A protože se každá platforma zaměřuje na specifické věci a s ostatními se překrývá, týmy mají problém vidět, natož pochopit, všechny potenciální zranitelnosti a hrozby ve všech svých prostředích, zejména pokud zahrnují i různé cloudy. Jedním z hlavních trendů roku proto bude konsolidace bezpečnostních řešení pod hlavičku nových komplexních nástrojů, která umožní zjednodušit jejich provoz a maximalizovat stávající zdroje tím, že budou pracovat s menším počtem dodavatelů a systémů.

Přechod ke kybernetické odolnosti a začlenění odborníků na kybernetickou bezpečnost do nejvyšší ho vedení

Rostoucí počet kybernetických útoků spolu s novou regulací, která napříč státy postupně určuje osobní odpovědnost vedení firem za kybernetickou odolnost firem povede podle řady predikcí k tomu, že kybernetická bezpečnost se začne stále více řešit na úrovni nej­vyš­ší­ho vedení firem. Regulace bude zároveň řadu firem nutit pracovat s principem kybernetické odolnosti. To znamená nejen snahu zabránit kybernetickému útoku, ale také funkční plány a politiky pro případ vyřazení klíčových systémů. „Firmy si budou muset jednoduše udělat pořádek ve svých digitálních aktivitách a aktivech. Definovat si ta, která jsou pro jejich fungování klíčová, zabezpečit jejich ochranu před zašifrováním či krádeží či jiným poškozením a zároveň zpracovat krizové plány pro případ, že tato navzdory všem ochranným opatřením stejně nastane,“ dodává Ivan Svoboda.