Gartner specjalizujący się w badaniu i definiowaniu trendów, w tym kierunków z zakresu zarządzania i wykorzystania technologii, zdefiniował 7 najważniejszych trendów w zakresie bezpieczeństwa i zarządzania ryzykiem na 2019 rok:

1. Kwestie związane z podejmowaniem ryzykownych decyzji mają przełożenie na wyniki biznesowe.
2. Wdrażane są centra operacji bezpieczeństwa kładące nacisk na wykrywanie i reagowanie na zagrożenia.
3. Założenia dotyczące polityk bezpieczeństwa danych prioretetyzują nakłady na inwestycje organizacji w bezpieczeństwo danych.
4. Autentykacja bez użycia hasła może przełożyć się na nieuprawniony wyciek informacji.
5. Dostawcy produktów zabezpieczających coraz częściej oferują wysokiej jakości umiejętności/kompetencje i usługi szkoleniowe.
6. Inwestycje w kompetencje w zakresie bezpieczeństwa w chmurze jako główny nurt platformy obliczeniowej.
7. Zwiększenie obecności CARTA firmy Gartner na tradycyjnych rynkach bezpieczeństwa.

Z kolei Forbes Technology Council definiuje 5 trendów cyberbezpieczeństwa, na które należy zwrócić uwagę w 2019 roku. A są to:

1. Ukierunkowane ataki phishingowe.
2. Operacjonalizacja RODO.
3. Zarządzanie urządzeniami zarządzanymi i niezarządzanymi.
4. Świadomość użytkownika.
5. Kontrola nad nieuprawnionym korzystaniem z niezatwierdzonego w organizacji oprogramowania.

To są trendy globalne, którym organizacje i firmy specjalizujące się w bezpieczeństwie IT powinny szczególnie się przyglądać. Prawdopodobnie w nadchodzącym 2020 roku trendy te, co do zasady, nie powinny ulec drastycznej zmianie.

Techniki przełamywania zabezpieczeń.

Wstrzyknięcie kodu (code injection) - kod malware jest wstrzykiwany do legalnego procesu (np. explorer.exe) w celu ukrycia się przed zabezpieczeniami.

Pakowanie (packing) - kod malware jest zaciemniany lub szyfrowany za pomocą programów pakujących i szyfrujących, aby analiza statyczna kodu była bezużyteczna.

Obchodzenie sandbox (sandbox evasion) - techniki omijania dynamicznej analizy kodu, np. opóźnione wykonania złośliwych działań, wyszukanie znanych nazw procesów, sprawdzenie czasu potrzebnego do zakończenia operacji w celu zidentyfikowania zwirtualizowanych systemów.

Wielofazowe droppery (multiphase droppers) - początkowy dropper najpierw sprawdza system, a następnie pobiera prawdziwy malware z serwera command/control (C2). Części payload mogą być zaszyfrowane i otrzymywać dynamicznie kod deszyfrowania z serwera C2.

Zmiany sposobu działania (breaking execution flow) - techniki służące do zmiany sposobu działania złośliwego oprogramowania znane dla zabezpieczeń, np. złośliwe oprogramowanie współdziała z przeglądarką (IExplorer.exe) i klientem poczty (Outlook.exe) za pomocą interfejsów Microsoft COM (component object model), których używanie jest trudne do monitorowania.

Bez dotykania dysku (living off the land) - złośliwe oprogramowanie wykorzystuje PowerShell do uruchamiania kodu w pamięci bez dotykania dysku i innych działań w celu ominięcia zabezpieczeń skanujących pobrane pliki.

Omijanie przechwytów OS (OS hooks evasion) - techniki pozwalające ominąć zabezpieczenia, które umieszczają wiele przechwytów nad interfejsami API, przechwytują niektóre wywołania interfejsu Windows API i alarmują o złośliwej aktywności, np. używanie nieudokumentowanych interfejsów API.

Jednak istnieją metody, aby oszukać intruzów w sieciach wewnętrznych organizacji. Można to nazwać oszukiwaniem oszusta.Służby Security IT mogą zastosować:

• wabik (ang. decoy) - imitacja prawdziwego systemu, np. stacji roboczej, serwera, serwera bazy danych, drukarki, itp. W chwili gdy intruz dotrze do wabika, zainstalowany wcześniej system Fidelis Cybersecurity podnosi alarm,
• okruszek (ang. breadcrumb) - informacja umieszczana w rzeczywistym systemie, która w razie gdy dostanie się tam intruz ma za zadanie przekierować go do wabika, np. wpis w rejestrze, wpis w AD, plik cookie, które prowadzą do wabika (tzn. okłamują włamywacza, że znalazł coś wartościowego).

Bardzo ważną technologią, nad którą pracuje między innymi firma Forcepoint jest analiza zachowań użytkownika i zrozumienie/nauka przez system sposobu jego działania. Technologia ta nosi nazwę UEBA (User and Entity Behavior Analitics).Nietypowe dla pojedynczego użytkownika działanie np. nagłe logowanie się z Nigerii jeśli użytkownik 2 godziny wcześniej logował się z Polski, czy bardzo nietypowe dla niego godziny logowania się do systemu powodują alert.

Zarządzanie bezpieczeństwem, automatyzacja i reagowanie (SOAR - Security Orchestration, Automation and Response) to rozwiązanie umożliwiające zespołom bezpieczeństwa IT na sprawne i szybkie identyfikowanie incydentów oraz ustalenie ścieżki priorytetów.

Wykrywanie punktu końcowego i odpowiedź (EDR - Endpoint Detection and Response) to szybko rozwijająca się dziedzina cyberbezpieczeństwa, która uzupełnia standardowe produkty służące zabezpieczeniu użytkowników (punktów) końcowych. Umożliwia skuteczniejszą ochronę przed wyrafinowanymi atakami a służbom bezpieczeństwa IT ich skuteczniejszym zarządzaniem.

Coraz więcej danych, często kluczowych dla organizacji, znajduje się w chmurze. CASB (Cloud Access Security Broker) to rozwiązanie umożliwiające:

• monitorowanie działań użytkowników w chmurze SaaS,
• wbudowane DLP lub integracja z zewnętrznymi DLP (ICAP),
• kontrola współdzielenia danych w chmurze,
• wykrywanie incydentów (User Behavior Analysis),
• wymuszanie MFA,
• API aplikacji SaaS,
• Forward Proxy: endpoint agent, przekierowanie DNS,
• Reverse Proxy: SSO w Identity-as-a-Service (przekierowanie SAML),
• analiza logów FW i Proxy.

Widoczność i kontrola urządzenia (DVC - Device Visibility and Control) to rozwiązanie Forescout, które między innymi:

• odpytuje przełączniki sieciowe, koncentratory VPN, punkty dostępowe i kontrolery WiFi ,
• odbiera SNMP Traps z przełączników i kontrolerów,
• monitoruje zapytania 802.1X na wbudowanym lub zewnętrznym serwerze RADIUS,
• monitoruje zapytania DHCP, aby wykryć kiedy nowy host prosi o adres IP,
• opcjonalnie monitoruje ruch sieciowy, taki jak ruch HTTP i banery,
• uruchamia skanowanie Network Mapper (Nmap),
• używa poświadczeń, aby uruchomić skanowanie na urządzeniu,
• odbiera NetFlow,
• importuje zewnętrzną klasyfikację adresów Media Access Control lub odpytuje LDAP,
• monitoruje maszyny wirtualne w chmurze publicznej/prywatnej,
• klasyfikuje urządzenia za pomocą protokołu Power over Ethernet with SNMP,
• używa opcjonalnego agenta.

Warto zwrócić uwagę na monitorowanie bezpieczeństwa sieci OT. Umożliwia ono między innymi:

• wykrywanie anomalii w sieci przemysłowej oparte na analizie zachowania i dopasowywaniu wzorców szkodliwej aktywności,
• automatycznie wykrywanie zasobów, wizualizuje ścieżki komunikacyjne aż do najniższych poziomów sieci OT gdzie kontrolowane są procesy technologiczne,
• pasywny system monitorowania - nie wywiera żadnego wpływu na sieć OT, nie jest wymagane aktywne skanowanie, nie ma potrzeby instalowania oprogramowania na urządzeniach końcowych,
• wysyła alarmy bezpieczeństwa do systemu zarządzania i SOC.

Pamiętajmy, że cyberbezpieczeństwo jest obowiązkiem prawnym nałożonym na organizacje, w szczególnym zakresie dotyczącym danych osobowych (RODO) a każde naruszenie musi zostać zgłoszone organowi nadzorczemu. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia musi incydent zgłosić. Podobne wymagania nakłada ustawa o krajowym systemie cyberbezpieczeństwa - incydent poważny wymaga zgłoszenia do właściwego CSIRT niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia. Specjalistyczne narzędzia jak UEBA, EDR i SOAR mogą znacząco pomóc organizacjom w spełnieniu tych wymagań.