1) Több fájl nélküli támadás
Eddig a fájl nélküli támadások viszonylag izoláltan fordultak elől, azonban egyre gyakoribbá kezdenek válni (a Poweliks, egy kicsit az Angler, a Kovter és a Powmet). Ez természetes reakció a gépi tanuláson alapuló védelmek térnyerésére. Arra is számítani kell, hogy a Powershellt használó visszaélések száma nőni fog.
2) Újrahasznosított zsarolóvírus
A mostanában jellemző trendek alapján úgy tűnik, hogy a zsarolóvírusok használatát tekintve változást figyelhetünk meg. A többi malware-rel ellentétben a zsarolóvírus látványos és félelmetes: csak akkor működik, ha tudod, hogy fertőzés áldozata vagy, és félelmet vált ki belőled. A biztonsági eszközök hatásosabbá váltak a zsarolóvírusok kezelésével kapcsolatban, ezért a támadók egy része ezt a hatáskeltést használja fel technikaként abból a célból, hogy valamit elrejtsen, vagy végső megoldásként, miután már pénzt keresett rajtad például egy keyloggerrel vagy kriptovaluta-bányász szoftverrel.
Miután eltávolítottuk a feltűnő zsarolóvírus-fertőzést, könnyen azt gondolhatjuk, hogy a rendszerünk tiszta lett. A kérdés, amelyet fel kell tennünk magunknak, hogy „Miért éppen most robbant a bomba?”, és hogy „Mi futott, illetve mi fut még a számítógépen, amelyen a vírust találtuk?”.
3) Az adat felelősség, nem eszköz
Várható, hogy a következő hónapokban sok időt fogunk felesleges adatok törlésével foglalkozni, illetve rendkívül meggondoltak leszünk azzal kapcsolatban, hogy mit és hol tárolunk. Ez a többrétegű védelem (defence in depth) egyik tényezője – minél kevesebb adatot tárolsz, annál kevesebb veszítenivalód van.
Ez teljes vállalatokra is igaz, de talán még inkább olyan nyíltan hozzáférhető eszközökre is, mint például a webszerverek. Csak a szükséges adatokhoz kell hozzáférést biztosítani és nem többhöz. Például miért kell egy webszervernek hozzáférni egy illető társadalombiztosítási számához? Lehetséges, hogy valami miatt kell, vagy hogy egyszeri gyűjtés miatt kérvényezi, de biztos, hogy meg is kell tartania ezt az információt később?
A fuzzing – azaz, a rendszerek nagy mennyiségű, legalább részben véletlenszerűen előállított adatsorral történő bombázása a programhibák felderítése érdekében –kifinomultsága jelentős mértékben fejlődni fog. A fuzzing segítségével több milliárd „buta” tesztet lehet automatikusan létrehozni, majd ezeket okosabbá tenni azzal, hogy a teszteket létrehozó folyamatot tájékoztatjuk arról, hogyan működik egy program.
5) Azt kérdezd, hogy ki és mit, ne azt, hogy hol!
A kiberbiztonsági vizsgálatok tradicionálisan a domaint egészként kezelik. Ahogy azonban a klasszikus hálózatok és internet korlátai elmosódnak, a domainen belül lévő identitások és eszközök válnak fontossá. Az identitás és az identitáshoz kapcsolódó eszközök alapján kell meghatároznunk a fenyegetettséget. Ha ezen tényezőkre is biztonsági jelzést állítasz be, tudni fogod, hogy mi forog kockán, és gyorsan, megfelelő módon tudsz majd reagálni.
6) Az exploitlehetőségek csökkentésére való fókuszálás
A patchelés – azaz, javítás – már nem olyasmi, amelyet egy esős napra lehet halasztani. A Sophos szerint az következő 6-12 hónapban az ismert és ismeretlen szoftveres hibák és sebezhetőségek kihasználása, illetve az ilyen problémák kihasználásának módszerei elleni védekezés lesz a fókuszban.
Aggasztó, hogy rengeteg új védelmi termék csupán a Windowsos natív kártevők (Portable Executable, PE) detektálására helyezi a hangsúlyt, illetve a gépi tanulást az endpoint-biztonság alfájának és ómegájának tartja. Ez így egyszerűen nem igaz. A gépi tanulás remek dolog, de csupán egyetlen rétege lehet egy olyan biztonsági rendszernek, amelynél a többrétegű megközelítést kell alkalmazni.
