Eksperci z firmy FireEye stworzyli listę prognoz dotyczących bezpieczeństwa na 2014 rok.
- Osoby odpowiedzialne za zaawansowane ataki nadal będą się ukrywać pod maską tradycyjnych narzędzi, aby utrudnić specjalistom ds. bezpieczeństwa sieci identyfikację i klasyfikację ataków. Wyrafinowani atakujący będą nadal ukrywać swoje działania przez używanie ogólnie dostępnych narzędzi dla cyberprzestępców.
- Coraz więcej plików binarnych używanych podczas ataku będzie wykorzystywać skradzione lub legalne sygnatury binarne. Dlaczego? Ponieważ w ten sposób mogą udawać zaufane pliki wykonywalne i omijać tradycyjne programy antywirusowe szukające takich cech.
- Złośliwe oprogramowanie atakujące urządzenia mobilne będą jeszcze bardziej złożone. Będziemy mieć do czynienia z mieszanymi zagrożeniami atakującymi zarówno komputery biurkowe, jak i urządzenia mobilne przez uzyskiwanie dostępu do mechanizmów uwierzytelniania za pomocą urządzeń mobilnych (takich jak potwierdzenia wysyłane w wiadomościach SMS). Ponieważ cyberprzestępcy podążają za użytkownikami, należy się spodziewać, że liczba ataków na te urządzenia pozostanie wysoka.
- Ataki typu zero-day w środowisku Java będą zdarzać się rzadziej. Mimo że eksploity w środowisku Java opracowuje się stosunkowo łatwo, po lutym 2013 r. nowe wersje ataków typu zero-day w środowisku Java przestały się często pojawiać. Nie wiadomo, dlaczego tak się stało, ale częściowo może to mieć związek z wyskakującymi oknami informującymi o zagrożeniach w wersji Java 1.7 lub z faktem, że specjaliści ds. bezpieczeństwa poświęcają temu zjawisku coraz więcej uwagi. Jest również możliwe, że podatnych na te zagrożenia wersji Javy używa niewystarczająca liczba osób, w związku z czym twórcy eksploitów mają niewielką motywację do kontynuowania pracy nad nowymi zagrożeniami.
- Cyberprzestępcy będą częściej wykorzystywać luki w przeglądarkach. Cyberprzestępcy coraz łatwiej omijają randomizację przestrzeni adresowej (ASLR — Address Space Layout Randomization) w przeglądarce, a w przeciwieństwie do zagrożeń ukierunkowanych na luki w środowisku Java oraz tradycyjne luki w parsowaniu danych wejściowych, liczba wykrytych ataków typu zero-day na przeglądarki nie zmniejszyła się.
- Coraz więcej twórców złośliwego oprogramowania będzie stosować bardziej ukryte techniki komunikacji sterującej. Będą wykorzystywać tunelowanie zaufanych protokołów i nadużywać zaufanych usług internetowych w celu przekazywania ruchu w taki sposób, aby uniknąć wykrycia. Jest to kolejny logiczny krok, biorąc pod uwagę to, że ich wysiłki są hamowane przez zabezpieczenia sieciowe.
- „Ataki przy wodopoju” (watering hole attacks) oraz obieranie celów przy użyciu mediów społecznościowych będą stanowić coraz częstsze uzupełnienie ataków typu spear phishing. „Wodopoje” i sieci społecznościowe stanowią neutralną przestrzeń, gdzie łatwo zdobyć zaufanie ludzi i zwabić ich w pułapkę minimalnym nakładem pracy.
- Więcej złośliwego oprogramowania w łańcuchu dostaw. Należy się spodziewać większej ilości złośliwych kodów w aktualizacjach BIOS i aktualizacjach oprogramowania wbudowanego.
- Coraz więcej sposobów przeprowadzenia ataków typu heap-spraying ze względu na wprowadzenie funkcji „click to play” we wtyczce Adobe Flash. Wcześniej wtyczka Flash była wykorzystywana do przeprowadzania ataków typu heap-spraying przy użyciu eksploitów, ale od wprowadzenia funkcji „click to play” w dokumentach Word taka taktyka już nie działa. Z tego powodu ostatnie zagrożenia typu zero-day w dokumentach docx/tiff nie wykorzystywały wtyczki Flash.
- Więcej sposobów na pokonanie systemów automatycznej analizy, np. ataki ukierunkowane na restart systemu, kliknięcia myszą, zamykanie aplikacji itp. Najbardziej znany przykład: złośliwe oprogramowanie ukierunkowane na określony moment, podobne do tych spotykanych w Japonii i Korei. Cyberprzestępcy skupiają się na unikaniu systemów z wydzielonym środowiskiem testowym (sandbox), ponieważ uważają, że dzięki temu znacznie zwiększą moc złośliwego oprogramowania.
- Więcej złośliwego oprogramowania będzie niszczyć systemy operacyjne. Dlaczego? Weźmy na przykład Europę. Władze państw europejskich odniosły ostatnio więcej sukcesów w walce z gangami cyberprzestępczymi. Ponieważ wirus Zeus został właśnie uzupełniony o funkcję czyszczenia systemu operacyjnego, cyberprzestępcy mogą ją wykorzystać do czyszczenia komputerów po dokonaniu ataku, aby usunąć wszelkie dowody i w ten sposób uniknąć aresztowania.
- Prawdopodobne jest zwiększenie liczby „cyfrowych kwatermistrzów” stojących za kampaniami ukierunkowanych ataków (np. Sunshop DQ to tylko początek). Coraz więcej cyberprzestępców będzie centralizować swoje działania w zakresie programowania i logistyki w celu uzyskania efektu skali oraz czerpania większych zysków ze złośliwego oprogramowania.
- Ze względu na coraz ściślejszą współpracę pomiędzy organizacjami przestępczymi na poziomie międzynarodowym duża liczba gangów cyberprzestępczych zostanie wykryta i zlikwidowana dzięki prowadzonym przez nie kampaniom.
- Cyberprzestępczość stanie się coraz bardziej spersonalizowana. Przestępcy będą coraz bardziej świadomi tego, że informacje ogólne są mniej warte niż konkretne. W związku z tym więcej atakujących skupi się na danych o wysokiej wartości..
- Czas wykrycia zaawansowanego złośliwego oprogramowania wzrośnie. W zależności od rodzaju rozwiązania (Verizon DBIR, Ponemon itd.) wykrycie zagrożenia może trwać od 80 do 100 dni, a naprawa od 120 do 150 dni. Najprawdopodobniej, czas wykrywania wydłuży się, co gorsza jednak wydłuży się także czas usuwania zniszczeń z uwagi na to, że cyberprzestępcy są coraz bardziej wyrafinowani w zaszywaniu się wewnątrz organizacji na dłuższe okresy.