A GenAI alkalmazásának top 4 biztonsági kockázata: Alapos elemzés a Gartner-től
A szervezetek manapság egyre nagyobb mértékben fordulnak a generatív mesterséges intelligencia (GenAI) felé, hogy növeljék termelékenységüket és elősegítsék az innovációt. Azonban minden gyorsan elterjedő technológiával együtt a biztonsági hátrányok is felszínre kerülnek, ami új biztonsági kockázatokat vet fel, melyek jelentős üzleti hatással bírnak.
Ebben a jelentésben a Gartner betekintést nyújt, és javaslatokat tesz a biztonsági és termékvezetők számára, hogy hogyan érhetnek el versenyelőnyt ezeknek a kockázatoknak a kezelésével kapcsolatos kulcsfontosságú átalakítási lehetőségek kihasználásával.
Ajánljuk a jelentés elolvasását, hogy megismerhesse:
· A GenAI területén megjelenő top 4 fő új kockázatot
· A közelgő hatásokat rövid távon
· A következő hat-tizennyolc hónapra szóló ajánlott intézkedéseket
Gartner, Emerging Tech: A GenAI top 4 biztonsági kockázata, Lawrence Pingree, Swati Rakheja, Leigh McMullen, Akif Khan, Mark Wah, Ayelet Hayman, Carl Manion, 2023. augusztus 10.
A GARTNER védjegye és szolgáltatási jele a Gartner, Inc. és annak amerikai, valamint nemzetközi leányvállalatainak tulajdona, és itt engedéllyel használják. Minden jog fenntartva.
A Gartner nem támogat semmilyen szolgáltatót, terméket vagy szolgáltatást kutatási kiadványaiban, és nem javasolja a technológiai felhasználóknak, hogy kizárólag a legmagasabb értékeléssel rendelkező szolgáltatókat válasszák. A Gartner kutatási kiadványai a Gartner kutatószervezetének véleményét tükrözik, és nem tekinthetők tényállításnak. A Gartner minden kifejezett vagy vélelmezett jótállást elutasít e kutatással kapcsolatban, beleértve a piacképességre vagy egy adott célra való alkalmasságra vonatkozó jótállásokat.
Forrás:
www.wiz.io
A TeamViewer, a távoli hozzáférési szolgáltatásokat nyújtó óriás bejelentette, hogy orosz kémek törték fel a vállalati hálózatát
A TeamViewer, amely széles körben használt távoli hozzáférési eszközöket biztosít vállalatok számára, megerősítette, hogy folyamatban van egy kibertámadás a vállalati hálózatuk ellen.
Egy pénteki közleményben a cég az orosz hírszerzés által támogatott hackerekre, az APT29 (és a Midnight Blizzard) csoportra vezette vissza a biztonsági incidens okát.
A Németországban székelő cég azt állítja, hogy eddigi vizsgálataik szerint az első behatolás június 26-án történt, amely egy standard alkalmazotti fiók hitelesítő adataihoz köthető a vállalati IT környezeten belül.
A TeamViewer szerint a kibertámadás kizárólag a vállalati hálózatot érintette, és a cég külön tartja belső hálózatát és az ügyfélrendszereket. A cég hozzátette, hogy „nincs bizonyíték arra, hogy a fenyegetési színész hozzáférhetett volna termék környezetünkhöz vagy ügyféladatainkhoz.”
Martina Dier, a TeamViewer szóvivője elutasította, hogy válaszoljon a TechCrunch több kérdésére, többek között arra, hogy rendelkezik-e a cég a szükséges technikai képességekkel, mint például naplózással, hogy megállapítsa, történt-e adatok hozzáférése vagy eltulajdonítása a hálózatukról.
A TeamViewer az egyik legnépszerűbb távoli hozzáférési eszközöket biztosító szolgáltató, lehetővé téve vállalati ügyfelei számára – többek között a szállítmányozási óriás DHL és az italgyártó Coca-Cola számára, weboldaluk szerint –, hogy hozzáférjenek más eszközökhöz és számítógépekhez az interneten keresztül. A cég azt állítja, hogy több mint 600,000 fizető ügyfelük van, és több mint 2,5 milliárd eszközhöz biztosítanak távoli hozzáférést világszerte.
Ismert, hogy a TeamViewer eszközeit rosszindulatú hackerek is kihasználják, lehetővé téve számukra, hogy távolról malware-t telepítsenek egy áldozat eszközére.
Nem ismert, hogy hogyan kerülhettek kompromittálásra a TeamViewer alkalmazottjának hitelesítő adatai, és a cég ezt nem is közölte.
Az Egyesült Államok kormánya és biztonsági kutatók régóta az APT29 csoportot, amely Oroszország külföldi hírszerzési szolgálata, az SVR munkatársaihoz kötik. Az APT29 az egyik legkitartóbb, jól felszerelt kormány által támogatott hackercsoport, és ismert egyszerű, de hatékony hackelési technikái – beleértve a jelszavak ellopását – használatáról, amelyek hosszú távú, rejtett kémkedési kampányok során érzékeny adatok ellopására támaszkodnak.
A TeamViewer az utóbbi időben az SVR által célba vett legújabb technológiai vállalat. Ugyanez a kormányzati hackercsoport korábban idén feltörte a Microsoft vállalati hálózatát is, hogy ellopja a legfelsőbb vezetők e-maileit, hogy megismerjék, mit tudnak a behatolókról. A Microsoft szerint más technológiai vállalatokat is kompromittáltak az orosz kémkedési kampány során, és az amerikai kiberbiztonsági ügynökség, a CISA megerősítette, hogy az amerikai kormányzat e-maileit is ellopták, amelyeket a Microsoft felhőjében tároltak.
Hónapokkal később a Microsoft azt állította, hogy nehezen tudja kizárni a hackereket a rendszereiből, és ezt az orosz kormány „folyamatos, jelentős elkötelezettségének” nevezte, amely „erőforrásokat, koordinációt és fókuszt” igényelt.
Az amerikai kormány azt is Oroszország APT29 csoportjának rótta fel, hogy 2019-2020-ban kémkedési kampányt indított az amerikai SolarWinds szoftvercég ellen. A kibertámadás során az amerikai szövetségi kormányzati ügynökségeket tömegesen hackelték meg, egy rejtett rosszindulatú hátsó ajtó beültetésével a SolarWinds zászlóshajó szoftverébe. Amikor a fertőzött szoftverfrissítést kiadták a SolarWinds ügyfeleinek, az orosz hackerek hozzáférhettek minden olyan hálózathoz, amely a kompromittált szoftvert futtatta, beleértve a Pénzügyminisztériumot, az Igazságügyi Minisztériumot és az Államminisztériumot.
A kritikus infrastruktúrák sebezhetősége: Miért fontos ez mindenki számára?
Amikor a „kritikus infrastruktúra” kifejezés kerül szóba, gyakran eszünkbe jutnak hídak, erőművek vagy vasúti rendszerek. De gondolt már arra, mi történik, amikor egy gyermek egy parkban lévő ivókútból iszik? Vagy amikor egy tanár mesterséges intelligenciát használ az oktatásban? Netán amikor egy ünnepi hétvégén repülőre szállunk?
Ritkán gondolunk azokra a rendszerekre, amelyek ezeket és számos más napi tevékenységet alátámasztanak, ám ezek a folyamatok egyre inkább digitalizálódnak, és gyakran olyan hálózatokra és rendszerekre támaszkodnak, amelyeket nem biztonsági szempontok előtérbe helyezésével terveztek.
Az energia-, egészségügyi-, víz-, telekommunikációs- és mezőgazdasági szektorokat – többek között – támogató rendszerek egyre inkább ki vannak téve a rosszindulatú kibertevékenységeknek, és a támadók folyamatosan fejlesztik technikáikat.
Az idei év elején amerikai kiberbiztonsági hivatalos személyek figyelmeztettek az államilag támogatott kártékony kibertámadókra, akik a Kínai Népköztársasághoz köthetőek, beleértve a jól ismert Volt Typhoon hackercsoportot is, amely kompromittálja és folyamatosan hozzáfér az USA kritikus infrastruktúráihoz, készülve a lehetséges jövőbeli zavaró tevékenységekre, ha konfliktus lépne fel Kínával.
A Környezetvédelmi Ügynökség nemrég további figyelmeztetést adott ki a vízellátó rendszerek számára, sürgetve őket, hogy azonnali intézkedéseket tegyenek az ország ivóvize kiberfenyegetettsége ellen. Az EPA szerint a kibertámadások károsíthatják a vízinfrastruktúrát, mint például a szelepeket és szivattyúkat, zavarhatják a vízkezelést vagy tárolást, vagy veszélyesen magas szintre emelhetik a vegyi anyagok koncentrációját.
Nem minden amerikai kritikus infrastruktúra képes ellenállni és helyreállni egy kibertámadás után, egyes infrastruktúra-tulajdonosoknak több erőforrásra van szükségük a kiberbiztonság és az ellenálló képesség javításához. Jen Easterly, a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség igazgatója a Kongresszus előtt elmondta: “Sajnos a kritikus infrastruktúránkat alátámasztó technológia alapvetően biztonságtalan, mivel évtizedeken keresztül a szoftverfejlesztőket nem terhelte felelősség a hibás technológiáért.”
A vállalatoknak magas színvonalon kellene eljárniuk a digitális termékek fejlesztésében. Az Biden-Harris adminisztráció iparági felelősségre vonásra irányuló hangsúlyozása dicséretes ebben a tekintetben, de a szövetségi kormány folyamatos sürgős figyelmeztetései sürgős intézkedéseket követelnek a kiber-fizikai ellenállóképesség terén.
Például a Colonial Pipeline esemény rávilágított a kiberbiztonság javításának szükségességre. Fontos, hogy a mélyebb felhívás a szegmentálásra irányuljon, hogy a Colonial üzleti rendszereinek kompromittálása ne érintse a szélesebb működését.
Szükség van egy alapvető megközelítési váltásra – egy olyan lépésre, amely túlmutat a digitális biztonságon és az igazi ellenállóképességre összpontosít. Ez a termékek és szolgáltatások tervezésével és építésével kezdődik – olyan rendszerek tervezésével, amelyek támogatják a kritikus infrastruktúrákat, hogy azok a váratlan nyomás alatt is a várt módon működjenek.
Képzeljük el egy kórház folyamatos működését internetkapcsolat nélkül, vagy egy zsarolóvírusos támadás alatt; egy vízművet, amelyet kézzel kezelnek, miközben a hatóságok vizsgálják a gyanús tevékenységet egy tisztítóműnél; vagy egy villamos hálózatot, amely moduláris módon helyreállítható egy váratlan, széles körű áramkimaradás során egy viharban.
Eljuthatunk ide. El kell jutnunk ide.
A Tudományos és Technológiai Tanácsadó Testület a közelmúltban kiadott egy jelentést, amely javasolt intézkedéseket tartalmaz, hogy minden kritikus infrastruktúra rendszer elérje az ellenállóképességet, beleértve a teljesítménycélok meghatározását, a kutatás és fejlesztés koordinálását, a kormányzati kapacitás javítását a kiber-fizikai ellenállóképesség növelése érdekében a Szektori Kockázatkezelési Ügynökségeken keresztül, valamint a tulajdonosok/üzemeltetők felelősségének növelését a kiber-fizikai ellenállóképesség terén.
A kiberhivatalok folyamatos figyelmeztetése rámutat arra, hogy sürgősen szükség van infrastruktúránk megerősítésére és tartós ellenállóképességünk megteremtésére. A támadások csak növekednek. Készen állnak a rendszereink?
Biztonsági kutatók egy olyan npm csomagot fedeztek fel, amely távoli hozzáférésű trójai programot (RAT) juttat a megfertőzött rendszerekre
A kiberbiztonsági kutatók egy új, gyanús csomagot azonosítottak az npm csomagregisztrációs rendszerben, amely távoli hozzáférésű trójai programot (RAT) telepít a kompromittált rendszerekre.
A kérdéses csomag a glup-debugger-log, amely a Gulp eszközkészlet felhasználóit célozza meg úgy, hogy “naplózóként a gulp és a gulp bővítmények számára” álcázza magát. Eddig 175 alkalommal töltötték le.
A szoftver-ellátási lánc biztonságával foglalkozó Phylum cég fedezte fel ezt a csomagot, amelyről elmondják, hogy két rejtjelezett fájlt tartalmaz, amelyek együttműködve telepítik a kártékony terhelést.
“Az egyik fájl egyfajta kezdeti dropperként működik, amely előkészíti a terepet a kártevőkampányhoz azáltal, hogy kompromittálja a célszámítógépet, ha az megfelel bizonyos követelményeknek, majd letölti a további kártevő komponenseket, a másik szkript pedig tartós távoli hozzáférési mechanizmust biztosít a támadónak a megsértett gép irányításához,” mondja a cég.
A Phylum alapos vizsgálata a könyvtár package.json fájljának – amely mintegy manifest fájlként szolgál, amely összefoglalja a csomaghoz kapcsolódó összes metaadatot – rámutatott, hogy egy tesztszkriptet használnak egy JavaScript fájl (“index.js”) futtatására, amely viszont egy rejtjelezett JavaScript fájlt (“play.js”) hív meg.
A második JavaScript fájl úgy működik, mint egy dropper, amely további szakaszos kártevőket tölt le, de csak azután, hogy sorozatban ellenőrzi a hálózati interfészeket, a különféle típusú Windows operációs rendszereket (Windows NT), és – egy szokatlan fordulattal – a Desktop mappa fájljainak számát.
“Az ellenőrzések során meggyőződnek arról, hogy a gép otthoni könyvtárában lévő Desktop mappában legalább hét vagy több elem található,” magyarázza a Phylum.
“Első pillantásra ez lehet, hogy abszurdul tetszőlegesnek tűnik, de valószínűleg egyfajta felhasználói tevékenység-indikátorként szolgál, vagy módot kínál arra, hogy elkerüljék a telepítést ellenőrzött vagy kezelt környezetekben, mint például a VM-ek vagy vadonatúj telepítések. Úgy tűnik, a támadó aktív fejlesztői gépeket céloz meg.”
Amennyictous mindegyik ellenőrzés sikeres, egy másik JavaScript indításra kerül a package.json fájlból (“play-safe.js”), amely beállítja a tartósságot. A betöltő további képességeket tartalmaz tetszőleges parancsok végrehajtására egy URL-ről vagy helyi fájlból.
A “play-safe.js” fájl egy HTTP-szervert hoz létre és figyel a 3004-es porton beérkező parancsokra, amelyeket végrehajt. A szerver a parancs kimenetét egyszerű szöveges válaszként küldi vissza a kliensnek.
A Phylum a RAT-ot egyszerre durvának és kifinomultnak írta le, mivel minimalista funkcionalitással, önellátó jelleggel rendelkezik, és a rejtjelezésre támaszkodik az elemzés ellenállására.
“Ez továbbra is hangsúlyozza a nyílt forráskódú ökoszisztémákban zajló kártevőfejlesztés folyamatosan fejlődő tájképét, ahol a támadók új és ravasz technikákat alkalmaznak azért, hogy kompakt, hatékony és rejtett kártevőket hozzanak létre, amelyek remélhetőleg elkerülik az észlelést, miközben erős képességekkel rendelkeznek,” mondta a cég.
Forrás: