เรามีเหตุการณ์สำคัญเกี่ยวกับความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับ API ครั้งแรกในปี 2023 และเพิ่งเริ่มต้นปีได้ไม่นาน การละเมิด T-Mobile API เปิดเผยข้อมูลส่วนบุคคล (PII) ของลูกค้า 37 ล้านราย การโจมตี API เกิดขึ้นตั้งแต่เดือนพฤศจิกายน แต่ไม่ถูกค้นพบและเปิดเผยจนถึงวันที่ 19 มกราคม แสดงให้เห็นถึงภัยคุกคามของการโจมตี API ที่”ต่ำและช้า”ซึ่งกำลังเพิ่มขึ้นอย่างต่อเนื่อง จากงานวิจัยโดย Sam Curry ที่ค้นพบช่องโหว่ API หลายร้อยรายการในยานยนต์ อุตสาหกรรม ตั้งแต่เมอร์เซเดส-เบนซ์ นิสสัน เกีย เฟอร์รารี และอีกมากมาย ไม่น่าแปลกใจที่ปี 2023 จะได้รับการขนานนามว่าเป็น”ปีแห่งความปลอดภัย API”
น่าเสียดายที่ภัยคุกคามไม่ได้หยุดอยู่แค่ความปลอดภัยของ API องค์กรในปัจจุบัน-และทั่วโลก-เผชิญกับความเสี่ยงด้านความปลอดภัยที่มากเกินไป ภัยคุกคามและแนวโน้มอื่นๆ ที่เราคาดว่าจะพบในปีหน้า
ดร. Edward Amoroso ซีอีโอของ TAG Cyber และศาสตราจารย์ด้านการวิจัย NYU
การโจมตีอัตโนมัติที่กำหนดเป้าหมายโครงสร้างพื้นฐานระบบควบคุมอุตสาหกรรม (ICS) จะระเบิดในปี 2566 ตามจังหวะประเภทแรนซัมแวร์และ ออกแบบมาสำหรับการหยุดชะงักสูงสุด
สงครามที่กำลังดำเนินอยู่ในยูเครนจะเป็นปัจจัยหนึ่งอย่างแน่นอน เราสามารถเห็นการหยุดชะงักทางไซเบอร์ของ ICS ที่มาจากต้นกำเนิดของรัฐชาติที่แท้จริง (เช่น รัสเซีย) หรือจากทีมที่อ้างว่าได้รับการสนับสนุนจากรัฐบาลรัสเซีย ICS เป้าหมายน่าจะอยู่ในสหรัฐอเมริกา สหราชอาณาจักร และอื่นๆ ยูเครนจะเห็นการโจมตี ICS เช่นเดียวกับที่เคยพบจากรัสเซียในปี 2015
สำหรับการโจมตีที่คาดไว้ เรายังไม่เห็น Stuxnet ในวงกว้าง และเวลาผ่านไปกว่า 12 ปีนับตั้งแต่เหตุการณ์นั้น การสร้างแบบจำลองภัยคุกคามของเราแสดงให้เห็นว่าจะมีการโจมตีประเภท Stuxnet อย่างต่อเนื่องในระดับต่างๆ และการเข้าถึงที่เป็นอันตรายโดยอัตโนมัติผ่าน API สาธารณะจะเป็นเวกเตอร์หลัก
เจฟฟ์ ฟารินิช, รองประธานฝ่ายเทคโนโลยีและ CISO, New American Funding
การโจมตีล่าสุดพิสูจน์ว่าการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) ไม่เพียงพออีกต่อไป ทำให้ต้องใช้การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านเพื่อเพิ่มการป้องกัน
การรักษาความปลอดภัยบนคลาวด์ไม่ได้จำกัดอยู่เพียง Infrastructure-as-a-Service (IaaS) อีกต่อไป การนำแอปบนคลาวด์ไปใช้อย่างแพร่หลายจำเป็นต้องมีการจัดการความปลอดภัย Software-as-a-Service (SaaS)
เบราว์เซอร์ ได้กลายเป็นพื้นที่ทำงานหลักแต่ยังคงค่อนข้างไม่ปลอดภัย โดยต้องใช้เบราว์เซอร์ขององค์กรหรือปลั๊กอินเพื่อให้มีการควบคุมความปลอดภัยแบบละเอียด
การขยายกฎระเบียบด้วยการบังคับใช้ที่เข้มงวดขึ้นในระดับรัฐบาลกลาง (FTC, SEC) และระดับรัฐ (แคลิฟอร์เนีย โคโลราโด คอนเนตทิคัต นิวยอร์ก ยูทาห์ และเวอร์จิเนีย) จะต้องมีการควบคุม นโยบาย และการปฏิบัติที่ครบกำหนด เพื่อปกป้องข้อมูลลูกค้าต่อไป
Michael Farnum, CTO, Set Solutions, Inc.
ในขณะที่ผู้จำหน่าย SaaS มีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง และ PaaS และเครื่องมือที่ใช้โค้ดน้อย/ไม่มีโค้ดช่วยให้เกิดความเคลื่อนไหวของ Citizen Developer พนักงานที่ไม่ได้ทำงานด้านไอทีจะสร้างแอปและฟังก์ชันต่างๆ มากขึ้นโดยที่ฝ่ายไอทีและความปลอดภัยไม่มีส่วนร่วม บริษัทต่างๆ จะพยายามก้าวไปข้างหน้า (และก้าวนำหน้า) ของ Shadow IT เนื่องจากฟังก์ชันการทำงานที่ซับซ้อนมากขึ้นถูกสร้างขึ้นในแอปพลิเคชันและ API ที่ไม่ผ่านการรับรอง/ไม่ใช่แบบรวมศูนย์
CISO อันดับแรกต้องแน่ใจว่ามีนโยบายและการศึกษาอยู่ในสถานที่ เพื่อให้พนักงานเข้าใจถึงอันตรายและผลกระทบที่อาจเกิดขึ้นจากการนำ SaaS และ PaaS ที่ไม่ใช่แบบรวมศูนย์ไปใช้ ประการที่สอง เครื่องมือเกี่ยวกับการค้นพบ การรวมศูนย์ การควบคุม และการนำเครื่องมือ SaaS และ PaaS ออกจากระบบต้องได้รับการตรวจสอบตั้งแต่ตอนนี้เพื่อให้ไอทีเงาอยู่ภายใต้การควบคุม (แม้ว่าพวกเขาจะไม่รู้ว่ามีปัญหานี้ก็ตาม)
Richard Stiennon หัวหน้านักวิเคราะห์การวิจัย IT-Harvest
เมื่อสองปีที่แล้ว เราได้เรียนรู้เกี่ยวกับหนึ่งในการโจมตีโดยตรงที่อาจสร้างความเสียหายได้มากที่สุดเท่าที่เคยมีมา นั่นคือความเสียหายของการอัปเดตซอฟต์แวร์ SolarWinds
กระบวนการ CI/CD ที่ไม่ปลอดภัยนั้นไม่ใช่ ปัญหาราก ปัญหาที่แท้จริงคือเราใช้เวลาหลายทศวรรษในการโน้มน้าวทีมให้แพตช์ทันที สแกนระบบอย่างต่อเนื่อง ให้คะแนนช่องโหว่ที่ค้นพบตามความรุนแรงหรือ”ความเสี่ยง”และแพตช์ แพตช์ แพตช์
การอัปเดตซอฟต์แวร์ที่เป็นอันตรายไม่ใช่เรื่องใหม่ ในระหว่างการแข่งขันกีฬาโอลิมปิกที่กรุงเอเธนส์ในปี 2547 สวิตช์ของ Ericsson ที่ผู้ให้บริการโทรคมนาคมของกรีกได้รับการปรับปรุงให้เปิดใช้การสกัดกั้นมาตรฐานตามกฎหมาย และนักกีฬา เจ้าหน้าที่โอลิมปิก และนักการเมืองก็ลักลอบดักฟังโทรศัพท์ NotPetya เวิร์มอันตรายที่เพาะเมล็ดในยูเครน เกิดจากการอัปเดตที่ถูกบุกรุกจากบริษัทซอฟต์แวร์บัญชี และมัลแวร์ FLAME ถูกส่งผ่านการอัปเดตของ Microsoft ที่ปลอมแปลงไปยังเป้าหมายที่เฉพาะเจาะจง
ในปี 2023 เราจะได้รับการแจ้งเตือนเพิ่มเติมว่าเราไม่สามารถเชื่อถือการอัปเดตซอฟต์แวร์ได้ แม้ว่าจะลงนาม ปิดผนึก และจัดส่งโดยตรงจากซัพพลายเชนก็ตาม เราต้องมองหาวิธีป้องกันตัวเองตั้งแต่ตอนนี้ ก่อน SolarWinds ครั้งต่อไป
แพทริเซีย ไททัส, หัวหน้าเจ้าหน้าที่ความเป็นส่วนตัวและความปลอดภัยของข้อมูล Markel Corporation
ตลาดแรงงานด้านความปลอดภัยในโลกไซเบอร์จะยังคงต่อสู้กับตำแหน่งงานว่างและความหลากหลาย ผู้มีความสามารถที่มีประสบการณ์ในการดำเนินงานด้านความปลอดภัยและวิศวกรระบุตัวตนจะเป็นเรื่องยากที่จะค้นหาและรักษาไว้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จะต้องการสิทธิประโยชน์มากขึ้น เช่น การทำงานจากระยะไกลและค่าจ้างที่มากเกินไป
CISOs จะได้รับผลกระทบเช่นกัน เนื่องจากพวกเขาต้องการประกันกรรมการและเจ้าหน้าที่ การชดเชย และผลประโยชน์ก่อนและหลังการจ้างงาน พวกเขาอาจเลือกรับบทบาทหมายเลขสองเพื่อหลีกเลี่ยงความเสี่ยงหรือย้ายออกจากตำแหน่งไปพร้อมกัน ซึ่งเป็นการเพิ่มช่องว่างความเป็นผู้นำด้านความปลอดภัยในโลกไซเบอร์
เป้าหมายของโอกาสจะเป็นจุดอ่อนที่สุดในเกราะ-มนุษย์ ด้วยภัยคุกคามที่ซับซ้อนซึ่งสร้างแคมเปญฟิชชิ่งที่สมจริงมากขึ้น และการแพร่หลายของการตรวจสอบหลายปัจจัย (MFA) ทิ้งระเบิด/ความเหนื่อยล้า ผู้โจมตีจะยังคงเข้าสู่ระบบอีเมล โดยตั้งใจที่จะโอนธุรกรรมทางการเงินไปยังบัญชีธนาคารที่ฉ้อฉล
แดเนียล ฟาน สโลชเทเรน ประธานเจ้าหน้าที่ฝ่ายนวัตกรรมที่ Open Line
การลงทุนที่ขับเคลื่อนด้วยเทคโนโลยีจะไม่เกิดผลตอบแทน บริษัทส่วนใหญ่ลงทุนในเทคโนโลยีที่ขับเคลื่อนด้วยความปลอดภัยในโลกไซเบอร์ โดยมีผลลัพธ์ดังต่อไปนี้: ไม่มีภาพรวม ค่าใช้จ่ายที่พุ่งสูงขึ้น และโซลูชันที่เป็นผ้าพันแผลแต่ไม่หยุดไหล
องค์กรต้องเชื่อมโยงการลงทุนด้านความปลอดภัยทางไซเบอร์กับความเสี่ยงทางธุรกิจดิจิทัลที่อาจเกิดขึ้น อาจส่งผลกระทบอย่างรุนแรงต่อวัตถุประสงค์หลักของธุรกิจ
บริษัทต่างๆ ต้องการแนวทางแบบ’จากบนลงล่าง’ซึ่งวัตถุประสงค์ทางธุรกิจและการวิจัยเกี่ยวกับความเสี่ยงทางธุรกิจนำไปสู่การตัดสินใจ การสร้างสถานการณ์ตามความเสี่ยงที่เป็นไปได้และกรณีการใช้งานตามความเสี่ยงช่วยให้บริษัทสามารถกำหนดได้ว่าการบันทึก เครื่องมือ และซอฟต์แวร์ใดที่จำเป็นต่อการจัดการความเสี่ยงของธุรกิจดิจิทัล เมื่อมุ่งเน้นไปที่สิ่งที่สำคัญจริงๆ บริษัทต่างๆ จะสามารถควบคุมมาตรการรักษาความปลอดภัยทางไซเบอร์และการลงทุนได้
Colin Williams, Business Line CTO, Computacenter UK
ตอนนี้องค์กรต่าง ๆ ต้องเผชิญกับความท้าทายเพิ่มเติม ที่อาจยิ่งใหญ่พอ ๆ กับโลกไซเบอร์ การต่อสู้ป้องกันต่อสู้ทุกวัน–ความซับซ้อน
การรักษาสภาพแวดล้อมการรักษาความปลอดภัยขององค์กรที่มีค่าใช้จ่ายสูงและซับซ้อนสูง ในขณะที่ต่อสู้กับความท้าทายที่ใหญ่กว่าในการหาผู้เชี่ยวชาญด้านการรักษาความปลอดภัยที่มีคุณสมบัติเหมาะสมมาบำรุงรักษา อาจทำให้องค์กรมีสถานะการดำเนินงานที่ไม่ปลอดภัยและไม่ปลอดภัย. ความคิดริเริ่มแรกในปี 2566 คือการตรวจสอบโซลูชันการรักษาความปลอดภัยที่มีอยู่สำหรับพื้นที่ที่ทับซ้อนกันและกำจัดความซ้ำซ้อนนั้น”สัญลักษณ์แสดงหัวข้อย่อยสีเงิน”ด้านความปลอดภัยใหม่เพียงหนึ่งเดียวที่จะแนะนำควรให้การป้องกันที่ชัดเจนและแตกต่างซึ่งรักษาความปลอดภัยให้กับทรัพย์สินที่ไม่ปลอดภัยในปัจจุบัน บริษัทต้องลดความซับซ้อนลงเพื่อลดต้นทุน เพิ่มทัศนวิสัย และเพิ่มประสิทธิภาพการดำเนินงาน มุ่งเน้นไปที่ช่องว่างการครอบคลุมด้านความปลอดภัยที่แท้จริงและวางรากฐานสำหรับการใช้ระบบอัตโนมัติที่เพิ่มขึ้น
ในขณะที่เรามุ่งหน้าต่อไปในปี 2023 บริษัทต่างๆ ควรให้ความสำคัญกับสิ่งที่สำคัญจริงๆ เพื่อให้สามารถควบคุมมาตรการและการลงทุนด้านความปลอดภัยทางไซเบอร์ได้
เครดิตรูปภาพ: IgorVetushko/depositphotos.com
Michael Nicosia เป็น COO และผู้ร่วมก่อตั้งที่ ความปลอดภัยของเกลือ