Vývoj v oblasti počítačové bezpečnosti pro rok 2015

Společnost Sophos zveřejnila zprávu Security Threat Trends 2015, ve které se zaměřuje na největší bezpečnostní rizika nadcházejícího roku a vysvětluje, jaký reálný dopad budou mít rozvíjející se hrozby na firmy i domácí uživatele.

Vzhledem k masivním útokům na data v roce 2014, se kterými se potýkaly například společnosti Home Depot a Sony, je více méně jisté, že jedním z hlavních témat roku 2015 bude právě počítačová bezpečnost.

Zpráva Security Threat Trends 2015 upozorňuje na 10 oblastí, o kterých si odborníci společnosti Sophos myslí, že budou mít v příštích letech největší vliv:

Regulační orgány si vynucují stále větší pravomoci včetně širšího přístupu k datům a informacím

Již jsme si řekli, že technologie i bezpečnost se velmi rychle vyvíjejí. Bohužel legislativa nezvládá s touto rychlostí držet krok. V následujících obdobích dojde v oblasti práva k celé řadě změn, které jsou prosazovány již po mnoho let a souvisí právě s počítačovou bezpečností.

Je přitom velmi pravděpodobné, že tyto změny vyvolají další vášnivé diskuse o nutnosti právní úpravy ochrany dat. A také o rozsahu soudních pravomocí v této oblasti.

Služby umožňující útoky i exploit kity přichází na nové platformy včetně mobilních

Několik posledních let počítačové kriminality velmi úzce souviselo s růstem popularity univerzálních útočných produktů a služeb, které výrazně zjednodušují tvorbu škodlivého kódu i útoky. Vzhledem ke stále větší oblibě mobilních platforem (a také zvětšujícímu se objemu dat na mobilních zařízeních), nebude trvat dlouho a začne se objevovat stále více zločineckých balíčků zaměřených právě na tato zařízení. Obdobně se tento trend týká i dalších platforem ze světa internetu věcí.

Zajímavé vlastnosti rootkitů a botů mohou vést k novým typům útoků

Spolu s tím, jak se vyvíjí informační technologie, dochází i ke změnám hlavních platforem a protokolů, které tvoří základy IT světa. Tyto změny na velmi nízké úrovni mohou odhalit "zajímavé" chyby, které by mohly počítačovým zločincům nabídnout nové možnosti.

Velké množství změn v dosavadních bezpečnostních technologiích tak povede nejen k opětovnému zneužití již známých možností, ale také k rizikům spojeným s novými bezpečnostními chybami.

Zabezpečení řídicích a dispečerských systémů bude zaostávat

Průmyslové řídicí systémy zaostávají z pohledu bezpečnosti za běžnými systémy nejméně o jedno desetiletí. Během následujících let se setkáme s celou řadou problémů, které v těchto systémech počítačoví zločinci bez váhání zneužijí. Motivy navíc budou velmi různorodé.

Vedle všech dnes běžných důvodů se setkáme například i se státem podporovanými útoky v rámci mezinárodních konfliktů či boje s terorismem. Stručně řečeno jde o oblast, kde je mnoho ohrožených subjektů.

Objeví se další velké chyby v široce využívaném software

Zranitelnosti Heartbleed (openSSL) a Shellshock (bash) ukázaly jednu nepříjemnou věc. Nikoli to, že existuje softwarový kód, který je všeobecně považován za bezpečný a používán v celé řadě dnešních systémů. Podstatné je, že o skutečné bezpečnosti takového kódu vlastně mnoho nevíme. A že se ani nemůžeme spolehnout na to, že by muselo jít o ojedinělé případy.

Události roku 2014 vedly k zájmu počítačových zločinců o systémy a aplikace, které zůstávaly na okraji zájmu. Dnes již víme, že díky falešnému pocitu o jejich skvělém zabezpečení. Firmy by se proto na tuto změnu přístupu počítačového podsvětí měli dobře připravit.

Růst zájmu útočníků o mobilní platební systémy poroste

Mobilní platební systémy se staly jedním z témat roku 2014 poté, co nepříliš poklidné bezpečnostní vody ještě více rozvířily diskuse o novém platebním systému Apple Pay. Počítačoví zločinci budou v příštích měsících a letech pátrat po chybách i nedostatcích těchto systémů, které jsou ale často velmi dobře zabezpečené.

Oprávněně proto můžeme očekávat, že počítačová kriminalita bude v případě platebních systémů ještě hodně dlouhou dobu využívat „klasické“ postupy. Například zneužívání kreditních i debetních karet.

Znalostní propast se bude i nadále zvětšovat

Spolu s tím, jak jsou technologie stále běžnější součástí našeho života a tvoří jeden ze základů globální ekonomiky, uvědomují si vlády i firmy rostoucí důležitost dovedností souvisejících s počítačovou bezpečností. Jde ovšem o běh na velmi dlouhou trať a některé státy předpokládají, že se stav nezmění nejméně do roku 2030.

Šifrování se stává standardem

Povědomí o důležitosti bezpečnosti se bezesporu zvyšuje. V podstatě ruku v ruce s růstem obav o soukromí, mimo jiné i v důsledku odhalení nekalých špionážních aktivit zpravodajských služeb. Pozitivním dopadem je, že šifrování se konečně stává standardní součástí mnoha systémů a aplikací. Nicméně některým organizacím, ke kterým patří i celá řada právních institucí, se to nelíbí. Odpůrci argumentují především tím, že šifrování má negativní vliv na bezpečí nás všech.

Útoky na svět internetu věcí

Během roku 2014 jsme se setkali s mnoha důkazy toho, že výrobci zařízení z kategorie internetu věcí na bezpečnost moc nemyslí. Vzhledem k tomu, že mnohdy nedodržují ani ty nejzákladnější bezpečnostní standardy, mohou mít útoky na svět internetu věcí opravdu velmi vážné negativní dopady na svět veskrze reálný. Bezpečnostní průmysl tak musí zohlednit i tento druh rizik.

Menší závažnost exploitů

Počítačoví zločinci se po mnoho let zaměřovali především na operační systémy Microsoft Windows. Díky velkému úsilí společnosti Microsoft o snížení závažnosti zneužitelných programátorských chyb je dnes ale vytvoření škodlivého software mnohem obtížnější.

Spolu s tím, jak roste složitost využití exploitů, vrací se mnozí zločinci zpět k technikám sociálního inženýrství. A mnozí z nich se zaměřují i na jiné platformy, než na ty z dílny společnosti Microsoft.

Další články k tématům - Apple - bezpečnost - hrozby - internet - Microsoft - software - SSL

Článek Sophos ze dne pondělí 5. ledna 2015