2021 was een jaar waarin van alles escaleerde. De pandemie veroorzaakte meer afstand, isolement en daardoor een belemmering in ons vermogen om het goede van het slechte te onderscheiden. Op het gebied van cyberbeveiliging zagen we een sterke toename van het aantal threat actors dat inspeelde op de ransomware-trend, meer regeringen die cyberspace gebruikten om de politiek van het land te beïnvloeden en meer softwarekwetsbaarheden. Deze zaken hebben inbreuken eenvoudiger en beveiliging moeilijker gemaakt.
Maar wat heeft 2022 voor ons in petto? Hieronder staan de cybersecurity-voorspellingen van enkele van SentinelOne’s beste onderzoekers en experts.
1. De ransomware piek is nog niet bereikt
Aanvallers hebben het afgelopen jaar geen medelijden met organisaties getoond. Talloze spraakmakende aanvallen in 2021 hebben laten zien dat deze actoren elke kans zullen aangrijpen om winst te maken. In 2022 mag verwacht worden dat de beschikbaarheid van zeer kritieke kwetsbaarheden zoals log4j, die talloze omgevingen heeft blootgelegd en de tools van aanvallers aanzienlijk verbeterd heeft, meer dan eens de krantenkoppen zal halen.
Het afgelopen jaar zagen we ook de bredere en versnelde acceptatie van malware die is geschreven in Rust- en Go-programmeertaal, met als een van de belangrijkste voordelen de platformonafhankelijke compatibiliteit. Enkele recente voorbeelden hiervan zijn BlackCat/AlphaVM-ransomware, RansomEXX-ransomware en ElectroRAT. Dit jaar verwachten we nog meer nieuwe, platformonafhankelijke malwarefamilies te zien.
Daarnaast zal het targetten van zorginstellingen, zoals ziekenhuizen, medische onderzoeksfaciliteiten en privéklinieken ook in 2022 doorgaan. Hoewel veel aanvallers beweren dat ze geen medische doelen willen aanvallen, is de realiteit veel minder altruïstisch. We zien nog steeds dat ransomware deze omgevingen infecteert, wat soms levens kost. Verwacht in 2022 geen afname van agressieve, gewetenloze ransomware-operaties gericht op organisaties, ongeacht de impact op de openbare veiligheid.
Door Jim Walter, Senior Threat Researcher, SentinelLabs
2. Softwareafhankelijkheden zijn de zwakste schakel
Vanaf eind 2020 met SolarWinds tot eind 2021 met Log4j2 klinken de alarmbellen luid en duidelijk: softwareafhankelijkheden zijn een enorme blinde vlek en belangrijke vector voor supply chain-aanvallen.
De kans is klein dat veelgebruikte softwarecomponenten out-of-the-box veilig zijn. Voor de makers en delers van modules, plug-ins, pakketten en andere hulpprogramma-code is beveiliging meestal niet de belangrijkste focus. Bovendien kunnen organisaties moeilijk elk stukje software testen en evalueren dat hun netwerk binnenkomt. Ook de overheid niet.
2022 is zowel een kans als een dreiging. We kunnen het probleem aanpakken met technologie en zichtbaarheid in het hele cyberdomein, of we kunnen doorgaan op de oude voet: wachtend op de volgende goed doordachte aanval zoals Sunburst, of de volgende ‘universele kwetsbaarheid’ zoals Log4j2.
Door Migo Kedem, VP of Growth en oprichter van SentinelLabs, SentinelOne
3. Particuliere spionagebedrijven worden populairder
Particuliere spionagebedrijven stonden het afgelopen jaar vaak negatief in de aandacht, maar dat zal de groei van deze lucratieve en veelgevraagde handel niet afschrikken of verhinderen. In 2022 kunnen we verwachten dat onderzoekers nieuwe bedrijven ontdekken die over de hele wereld bewakingstechnologie en -middelen verkopen, zonder rekening te houden met de impact daarvan.
Hoewel een aantal bekende bedrijven, zoals het Russische Positive Technologies, het Singaporese Computer Security Initiative Consultancy, het Israëlische Candiru en misschien wel het meest bekende, de NSO Group, in 2021 te maken heeft gehad met verlammende overheidssancties of negatieve berichtgeving in de media, is de verwachting dat deze en andere bedrijven een nieuwe naam krijgen, opsplitsen of evolueren. Dit soort bedrijven zal in 2022 niet verdwijnen.
Door Tom Hegel, Senior Threat Researcher, SentinelLabs
4. Beveiliging van enterprise cloud-afhankelijkheden
Bedrijven zullen sneller cloud-native beveiliging moeten toepassen en vanaf de frontlinie op deze dreigingen moeten reageren, aangezien de privacy van klantgegevens op cloud-native servers op de proef wordt gesteld. Ook in 2022 zal het stelen van cloudgegevens aan de orde van de dag zijn. Cloud-native ransomware wordt geïmplementeerd door misbruik te maken van zwakke machtigingen en gestolen Azure- en AWS API-referenties.
Daarnaast zal On-Premise Active Directory verdwijnen, terwijl Azure Active Directory breder geaccepteerd gaat worden. Naarmate bedrijven als Okta en JumpCloud meer buy-in krijgen, zullen ze meer belangstelling krijgen van elke hacker die toegang wil krijgen tot grote groepen slachtoffers tegelijk.
Vanuit het perspectief van de verdedigers zullen API-beveiligingsoplossingen een noodzaak worden. De acceptatie van XDR zal groeien via MSSP's waardoor threat hunters worden gedwongen om meer automatisering te gebruiken. Deze zullen dekking bieden voor de nieuwe gegevensbronnen en verdedigers in staat stellen de nieuwe dreigingen het hoofd te bieden.
Door Rafel Ivgi, Principal Security Technologist, SentinelLabs
5. Meer gerichte aanvallen op zakelijke Macs en andere Apple-devices
Niet geheel verrassend was er in 2021 een overvloed aan macOS- en iOS-kwetsbaarheden. Dit was het gevolg van de toegenomen aandacht voor de Apple-platforms, door zowel beveiligingsonderzoekers als aanvallers. NSO's Pegasus zero-click iMessage-exploit stal hierbij de show door een zero-day kwetsbaarheid (CVE-2021-30860) in Apple's Core Graphics-framework te gebruiken om een volledige geëmuleerde computerarchitectuur te bouwen.
Hoewel Macs bij de meeste bedrijven nooit het hart zijn geweest van netwerk- of serverinfrastructuren, is de Mac favoriet geworden onder ontwikkelaars en leidinggevenden op C-level. Dit is een verleidelijke combinatie voor aanvallers die geïnteresseerd zijn in hoogwaardige doelen.
Tegelijkertijd wordt de beveiliging van iOS en macOS regelmatig verkeerd begrepen door Apple-gebruikers en organisaties. Hoewel Mac-gebruikers de mogelijkheid hebben om EDR-producten van derden te installeren voor detectie en bescherming tegen malware, kiezen maar weinigen ervoor dit te doen. Zij zijn overtuigd door het "Macs zijn veilig door het ontwerp"-marketingbericht van Apple. Door te geloven dat de oude AV-scanner XProtect van de Mac en de regelmatig omzeilde Gatekeeper- en Notarization-technologieën voldoende zijn, maken gebruikers zichzelf en hun organisaties kwetsbaar voor aanvallen. Feit is dat de ingebouwde verdediging van de Mac verre van adequaat is, zoals zelfs Apple eerder dit jaar toegaf.
De recente geschiedenis heeft aangetoond dat aanvallers met de meeste middelen – overheden – bereid zijn die middelen te besteden aan het aanvallen van dissidenten, journalisten en politieke tegenstanders. Of het nu gaat om het kopen van NSO-spyware zoals Pegasus, of het creëren van Mac-specifieke backdoors zoals macOS.Macma, overheden (of hun volmachten) zijn tot nu toe de belangrijkste drivers geweest voor gerichte aanvallen op de Apple-platforms. En waar overheden gaan, volgen criminelen snel.
Deze drie factoren – meer aandacht voor kwetsbaarheden van Apple-apparaten, een breder gebruik van Macs in grote ondernemingen en de illusie dat Mac-gebruikers veilig zijn en geen bescherming van derden nodig hebben – zullen leiden tot meer succesvolle en gerichte aanvallen op gebruikers van Apple-apparaten in 2022.
Door Phil Stokes, macOS Threat Researcher, SentinelLabs
Welke uitdagingen 2022 ook met zich meebrengt, we moeten er allemaal voor zorgen dat de basis in orde is: sterke preventieve maatregelen en duidelijke Incident Response en Disaster Recovery-planning.
Over SentinelOne
SentinelOne levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporingsfunctionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk. Kijk voor meer informatie op
www.sentinelone.com en op
@SentinelOne, LinkedIn en Facebook.
Voor meer informatie
SentinelOne
Judith Veenhouwer
E-mail:
judithv@sentinelone.com
Deepr
Nini Joostens / Winnie Silvertand
E-mail:
sentinelone@deepr.nl