211service.com
Vijf opkomende cyberbedreigingen om je zorgen over te maken in 2019
Conceptuele afbeelding met cijfers die cyberbeveiligingsbedreigingen vertegenwoordigen achter schermen die de verschillende bedreigingen vertegenwoordigen. Benedictus lucht
Vorig jaar was vol cyberbeveiligingsrampen, van de onthulling van beveiligingsfouten in miljarden microchips tot massale datalekken en aanvallen met kwaadaardige software die vergrendelt computersystemen totdat er losgeld wordt betaald, meestal in de vorm van een niet-traceerbare digitale valuta.
We zullen in 2019 meer mega-inbreuken en ransomware-aanvallen zien. Plannen om met deze en andere gevestigde risico's om te gaan, zoals bedreigingen voor met internet verbonden consumentenapparaten en kritieke infrastructuur zoals elektriciteitsnetten en transportsystemen, zal een topprioriteit zijn voor beveiligingsteams. Maar cyberverdedigers moeten ook letten op nieuwe bedreigingen. Hier zijn er enkele die op de watchlists zouden moeten staan:
Gebruik maken van door AI gegenereerde nepvideo en -audio
Dankzij de vooruitgang in kunstmatige intelligentie is het nu mogelijk om valse video- en audioberichten te maken die ongelooflijk moeilijk van echt te onderscheiden zijn. Deze deepfakes kunnen op een aantal manieren een zegen zijn voor hackers. AI-gegenereerde phishing-e-mails die tot doel hebben mensen te misleiden om wachtwoorden en andere gevoelige gegevens te overhandigen, zijn al getoond om effectiever te zijn dan door mensen gegenereerd. Nu kunnen hackers zeer realistische nep-video en -audio in de mix gooien, hetzij om instructies in een phishing-e-mail te versterken, hetzij als een op zichzelf staande tactiek.
Cybercriminelen kunnen de technologie ook gebruiken om aandelenkoersen te manipuleren door bijvoorbeeld een nepvideo te plaatsen van een CEO die aankondigt dat een bedrijf met een financieringsprobleem of een andere crisis wordt geconfronteerd. Er bestaat ook het gevaar dat deepfakes kunnen worden gebruikt om bij verkiezingen vals nieuws te verspreiden en geopolitieke spanningen aan te wakkeren.
Voor dergelijke trucs zou ooit de middelen van een grote filmstudio nodig zijn geweest, maar nu kunnen ze worden uitgevoerd door iedereen met een degelijke computer en een krachtige grafische kaart. Startups ontwikkelen technologie om deepfakes te detecteren, maar het is onduidelijk hoe effectief hun inspanningen zullen zijn. In de tussentijd is de enige echte verdedigingslinie een training voor beveiligingsbewustzijn om mensen te sensibiliseren voor het risico.
AI-verdediging vergiftigen
Beveiligingsbedrijven zijn overhaast om AI-modellen te omarmen als een manier om te helpen anticiperen op cyberaanvallen en deze te detecteren. Geavanceerde hackers kunnen echter proberen deze verdedigingen te corrumperen. AI kan ons helpen signalen van ruis te ontleden, zegt Nate Fick, CEO van het beveiligingsbedrijf Endgame, maar in de handen van de verkeerde mensen is het ook AI die de meest geavanceerde aanvallen zal genereren.
Generatieve adversariële netwerken, of GAN's, die twee neurale netwerken tegen elkaar opzetten, kunnen worden gebruikt om te raden welke algoritmen verdedigers gebruiken in hun AI-modellen. Een ander risico is dat hackers zich richten op datasets die worden gebruikt om modellen te trainen en deze te vergiftigen, bijvoorbeeld door labels te verwisselen voor voorbeelden van kwaadaardige code om aan te geven dat ze veilig zijn in plaats van verdacht.
Slimme contracten hacken
Slimme contracten zijn softwareprogramma's die zijn opgeslagen op een blockchain en die automatisch een vorm van digitale activa-uitwisseling uitvoeren als aan de daarin gecodeerde voorwaarden wordt voldaan. Ondernemers pitchen hun gebruik voor alles, van geldoverdrachten tot bescherming van intellectueel eigendom. Maar het is nog vroeg in hun ontwikkeling en onderzoekers vinden in sommige ervan bugs. Dat geldt ook voor hackers, die fouten hebben uitgebuit om voor miljoenen dollars aan cryptocurrencies te stelen.
Het fundamentele probleem is dat blockchains zijn ontworpen om transparant te zijn. Het privé houden van gegevens die verband houden met slimme contracten is daarom een uitdaging. We moeten privacybeschermende technologieën inbouwen in [smart contract]-platforms, zegt Dawn Song, een professor aan de University of California, Berkeley, en de CEO van Oasis Labs, een startup die werkt aan manieren om dit te doen met behulp van speciale hardware.
Versleuteling doorbreken met behulp van kwantumcomputers
Beveiligingsexperts voorspellen dat kwantumcomputers, die exotische fenomenen uit de kwantumfysica benutten om exponentiële sprongen in verwerkingskracht te produceren, encryptie zouden kunnen kraken die momenteel alles helpt beschermen, van e-commercetransacties tot gezondheidsdossiers.
Quantummachines staan nog in de kinderschoenen en het kan nog enkele jaren duren voordat ze een serieuze bedreiging gaan vormen. Maar producten zoals auto's waarvan de software op afstand kan worden bijgewerkt, zullen over tien jaar of langer nog steeds in gebruik zijn. De codering die er tegenwoordig in is ingebouwd, kan uiteindelijk kwetsbaar worden voor kwantumaanvallen. Hetzelfde geldt voor code die wordt gebruikt om gevoelige gegevens te beschermen, zoals financiële gegevens, die vele jaren moeten worden bewaard.
Een recent rapport van een groep Amerikaanse kwantumexperts dringt er bij organisaties op aan om nieuwe en toekomstige soorten versleutelingsalgoritmen te gaan gebruiken die bestand zijn tegen een kwantumaanval. En overheidsorganisaties zoals het Amerikaanse National Institute of Standards and Technology werken aan standaarden voor post-kwantumcryptografie om dit proces gemakkelijker te maken.
Aanvallen vanuit de computercloud
Bedrijven die de gegevens van andere bedrijven op hun servers hosten, of de IT-systemen van klanten op afstand beheren, vormen een superverleidelijk doelwit voor hackers. Door de systemen van deze bedrijven te doorbreken, kunnen ze ook toegang krijgen tot die van klanten. Grote cloudbedrijven zoals Amazon en Google kunnen het zich veroorloven zwaar te investeren in cyberbeveiliging en salarissen te betalen die een aantal van de beste talenten in het veld aantrekken. Dat maakt ze niet immuun voor een inbreuk, maar het is waarschijnlijker dat hackers zich op kleinere bedrijven zullen richten.
Dit is al begonnen te gebeuren. De Amerikaanse regering beschuldigde onlangs Chinese hackers ervan binnen te sluipen in de systemen van een bedrijf dat IT beheerde voor andere bedrijven. Met behulp van deze toegang zouden de hackers toegang hebben kunnen krijgen tot de computers van 45 bedrijven over de hele wereld, in industrieën van luchtvaart tot olie- en gasexploratie.
De aanval, door beveiligingsexperts Cloudhopper genoemd, is slechts het topje van wat een snelgroeiende ijsberg gaat worden. Je zult zien dat [hackers] overstappen van focus op desktopmalware naar datacentermalware die aanzienlijke schaalvoordelen biedt, zegt Chenxi Wang, de oprichter van Rain Capital, een durfkapitaalbedrijf dat gespecialiseerd is in cyberbeveiliging.
Sommige van de andere risico's die we hebben genoemd, lijken misschien minder urgent dan deze. Maar als het gaat om cyberbeveiliging, zijn de bedrijven die het best voorbereid zijn om de bedreigingen van morgen aan te pakken, degenen die vandaag het meest bereid zijn om hun verbeeldingskracht te gebruiken.