Поставщики технологий постоянно разрабатывают новые функции, предназначенные для улучшения нашего цифрового опыта. Они старательно реагируют на запросы бизнеса и потребителей об улучшении функциональности, чтобы сделать их жизнь более удобной, а работу более эффективной. Однако новые технологии слишком часто внедряются с недостаточным вниманием к безопасности и конфиденциальности. Новые функции, которые делают работу более удобной, эффективной и быстрой, могут также дать возможность злоумышленникам отыскивать новые способы злоупотребления этими функциями и преимуществами, превращая их в недостатки.
Примеры неудачных инноваций, порождающих проблемы с безопасностью
Эта манипуляция представляет собой иную тенденцию, нежели атаки с использованием вредоносных программ, сообщения о которых наполняют средства массовой информации тревожными заголовками о том, что организации подвергаются риску одна за другой. Вот десять примечательных высокоуровневых образцов этой манипуляции только за последние пять лет или около того. Эти технологии успешно эксплуатируются злоумышленниками и подвергают опасности всех нас.
- Генеративный искусственный интеллект (ИИ). Самая популярная технология 2023 года, генеративный ИИ, ворвался на сцену в ноябре 2022 года с публичным дебютом ChatGPT от OpenAI. Этот термин широко описывает системы машинного обучения, способные генерировать текст, изображения, код или другие типы контента в ответ на запросы, вводимые пользователем. Созданный без особого внимания к безопасности и конфиденциальности при разработке и реализации, генеративный ИИ почти сразу же стал оружием злоумышленников. Они использовали его для создания дезинформации, которая усугубляла другие его уязвимые места. Генеративный искусственный интеллект сделал создание дипфейков доступным практически каждому. На хакерских форумах темной паутины (dark web) злонамеренные версии генеративного ИИ-как-услуги (AI-as-a-service) готовы генерировать вредоносный код, помогать создавать изощренные дипфейки и массово проводить еще более хитроумные и реалистичные кампании по компрометации деловой электронной переписки.
- Сквозное шифрование Zoom: Zoom, популярная платформа для видеоконференций, в 2020 году представила сквозное шифрование для повышения конфиденциальности пользователей. Однако исследователи безопасности обнаружили, что реализация шифрования в Zoom имеет значительные уязвимости, потенциально затрагивающие миллионы пользователей, которые полагались на Zoom, как на платформу для безопасного общения.
- Бэкдор шифрования WhatsApp. В 2017 году WhatsApp внедрил сквозное шифрование для защиты сообщений пользователей. Однако уязвимость его реализации позволила злоумышленникам воспользоваться бэкдором.
- Уязвимость технологии активного управления Intel (AMT). Технология Intel AMT, разработанная для облегчения удаленного управления устройствами, имела критическую уязвимость, которая позволяла злоумышленникам получить несанкционированный доступ к системам.
- Ошибка API Google+. В 2018 году Google+ представила функции, позволяющие пользователям более избирательно обмениваться информацией. Однако ошибка в API раскрывала пользовательские данные, которые не должны были быть общедоступными, что потенциально может повлиять на 500 000 пользователей.
- Умные устройства IoT. Рост количества устройств Интернета вещей (IoT), таких как интеллектуальные камеры и голосовые помощники, привнес удобство, но также и уязвимости. Слабые меры безопасности позволили хакерам неоднократно получать удаленный доступ к этим устройствам.
- Разрешения Facebook для друзей: в 2018 году Facebook позволил пользователям предоставлять сторонним приложениям доступ к данным своих друзей, что непреднамеренно способствовало скандалу с Cambridge Analytica.
- Биометрическая аутентификация на телефонах. Производители смартфонов представили методы биометрической аутентификации, такие как распознавание лиц и датчики отпечатков пальцев. Однако исследователи продемонстрировали, что эти методы можно обмануть, используя фотографии или 3D-модели.
- Уязвимости ЦП Spectre и Meltdown. Эти уязвимости используют встроенные OEM-функции для повышения производительности центральных процессоров (ЦП) от различных производителей, позволяя любой программе (включая веб-приложения и браузеры) просматривать содержимое защищенных областей памяти, которые часто содержат пароли, логины, ключи шифрования, кэшированные файлы и другие конфиденциальные данные.
- Ботнеты IoT. В 2016 году ботнет Mirai позволил провести масштабную распределенную атаку типа «отказ в обслуживании» (DDoS). Это было одно из худших сбывшихся опасений взлома, поскольку преступники использовали миллионы устройств Интернета вещей, таких как подключенные к Интернету радионяни, охранные сигнализации, камеры, термостаты и принтеры, для запуска успешной атаки, лишая людей возможности на протяжении нескольких часов подключаться к Интернету и веб-сайтам крупных компаний, таких как Amazon, Netflix и Twitter.
Почему кого-то из нас это должно волновать? Затраты для организации, которая не предпринимает превентивных мер для своей защиты, могут оказаться катастрофическими для ее репутации или для прибыли. Хотя реактивная позиция обходится дорого, проактивный подход также является дорогостоящим и потенциально разрушительным для бизнеса. Насколько дорого? В « Руководстве по расходам на безопасность во всем мире» IDC прогнозируется, что в 2023 году мировые расходы на решения и услуги безопасности составят 219 миллиардов долларов США, что на 12,1% больше, чем в 2022 году. Эти цифры не включают расходы на реагирование на инциденты или нарушения безопасности, которые экспоненциально увеличивают затраты пострадавшей организации.
Базовая гигиена безопасности – лучший выбор против недостатков новых технологий
Хотя лишь некоторые из этих недостатков стали полноценным оружием для кражи ценной информации или нарушения бизнеса, все они могут сыграть роль в многосторонней атаке. К счастью, вы можете предпринять эффективные шаги, не вкладывая огромных средств в решения по обеспечению безопасности. Принимает ли ваша организация хотя бы следующие меры предосторожности (назовем некоторые из них):
- Регулярно обновляйте системы и приложения.
- Регулярно и часто проверяйте резервные копии.
- Усиление процессов мониторинга безопасности.
- Используйте подход глубокоэшелонированной защиты.
- Полная проверка межфункциональных планов реагирования бизнес-подразделений на инциденты безопасности.
Многие из важных технологических инноваций и функций, которыми мы наслаждаемся, в конечном итоге могут быть использованы против нас. Фактическое «лекарство» для OEM-производителей и других технологических новаторов заключается в том, чтобы встраивать безопасность и конфиденциальность в свои проекты на уровне архитектуры, руководствуясь строгими этическими принципами. До тех пор, пока этот подход не укоренится, мы будем продолжать наблюдать эту тенденцию и связанные с ней убытки.
Источник: https://www.csoonline.com/article/655401/oops-when-tech-innovations-create-new-security-threats.html