Kiberbiztonság 2025 – gyakorlati trendek a hype-on túl (Florian Roth)
Florian Roth a Nextron Systems kutatási és fejlesztési vezetője a Cyber Security 2024: Key Trends Beyond the Hype című cikkében rámutatott, hogy a legtöbb valós támadás még mindig foltozatlan rendszereken fordul elő, gyenge hitelesítő adatok és social engineering révén. Az elmúlt évben ezek az állítások nagyrészt igazak maradtak. A 2025. február 3-án közzétett blogbejegyzésben a szakember frissített példákon keresztül újra áttekinti az előző évi jelentésben megjelölt területeket.
Ellátási lánc támadások
Az ellátási láncot érő támadások továbbra is komoly fenyegetést jelentenek minden méretű szervezetre, még a kifinomult biztonsági intézkedésekkel rendelkező szervezetekre is. Míg ezek a támadások gyakran a szoftverszolgáltatókat vagy megbízható harmadik fél beszállítóit veszik célba, a közelmúltbeli események azt mutatják, hogy maguk az IAM szolgáltatók is SPOF-é válhatnak. Egy nagy identity platformot érintő egyetlen kiberbiztonsági incidens egyszerre több ezer vállalat kompromittálását is eredményezheti, és így hitelesítő adatok, tokenek és egyéb értékes adatok kerülhetnek nyilvánosságra.
Token és felhő API visszaélés
A session tokenek a modern hitelesítési folyamatok kritikus részévé váltak. Lehetővé teszik, hogy a felhasználók bejelentkezve maradjanak a webes alkalmazásokba, felhőszolgáltatásokba és vállalati szolgáltatásokba anélkül, hogy ismételten meg kellene adniuk a hitelesítő adatokat. Bár ez kényelmesnek tűnik, új lehetőségeket is teremt a támadók számára, hogy megkerüljék a védelmet még a többfaktoros hitelesítés (MFA) használata esetén is. Ha egy tokent ellopnak vagy meghamisítanak, egy rosszindulatú személy számos biztonsági ellenőrzést megkerülhet, és oldalirányba is mozoghat.
Az EDR megkerülése monitorozott környezetben
Ahogy az EDR (Endpoint Detection and Response) megoldások egyre elterjedtebbé válnak a munkaállomásokon és szervereken, a támadók is alkalmazkodtak. Ahelyett, hogy nyilvánvaló rosszindulatú programokat juttatnának a jól felügyelt végpontokra, gyakran régebbi vagy nem felügyelt rendszereken (pl. hálózati eszközök, nyomtatószerverek, egzotikus rendszerek, elavult beágyazott eszközök) tárolnak rosszindulatú eszközöket, és később az EDR által védett zónába irányítják őket. Azonban nem minden támadó áll meg itt – egyesek aktívan letiltják az EDR agenteket a fokozottan felügyelt végpontokon, hogy észrevétlenül mozoghassanak.
Visszaélés a legitim szoftverekkel
A támadók egyre gyakrabban cserélnek hagyományos rosszindulatú szoftvereket legitim szoftverekre, hogy elkerüljék az észlelést. Míg a klasszikus távoli hozzáférési trójaiak (RAT-ok) gyakran váltanak ki vírusirtó és EDR riasztásokat, az olyan legitim eszközök, mint a ConnectWise Control, Anydesk, NetSupport, TeamViewer, Atera, LogMeIn vagy Splashtop általában észrevétlenek, mivel az IT-csapatok széles körben használják őket. Ugyanez vonatkozik a beépített segédprogramokra és a gyakori harmadik féltől származó alkalmazásokra is, amelyek eredendően nem rosszindulatú szoftverek. Amikor a támadók ezeket kihasználják, a biztonsági termékek nehezebben jelzik a tevékenységet szokatlannak – különösen a nagy szervezeteknél.
Mesterséges intelligencia által támogatott támadások
A szakértők évek óta vitatkoznak az AI által vezérelt kibertámadások lehetőségéről. Bár az AI racionalizálhatja a kártékony műveleteket, a kiberszereplők többnyire arra használják a mesterséges intelligenciát, hogy felgyorsítsák vagy automatizálják a már elvégzett feladatokat – például szkriptek írását, kódok hibakeresését vagy adathalász csalik készítését.
