Vyf kuberveiligheid en voldoeningstendense om in 2025 dop te hou
INHOUDSOPGAWE:
Die afgelope 12 maande het ons weereens geleer dat terwyl tegnologie steeds teen soms verblindende spoed vorder, baie van die makro-tendense in sekuriteit en voldoening onveranderd bly. Dit sal dus waarskynlik oor die komende jaar wees. Terwyl KI en diepvervalste innovasies sal voortgaan om vaardighede op te gradeer en nuwe geleenthede vir bedreigingakteurs te bied, sal die demokratisering van kubermisdaad, die groeiende bedreiging wat deur staatsakteurs inhou, en verhoogde druk op verskaffers van kritieke infrastruktuur (CNI) ongedemp bly.
Ons sal sien dat nuwe wette begin tref vir direksies, en ander begin vorm aanneem, veral in die Verenigde Koninkryk. En ons sal sien dat netwerkverdedigers in groter getalle na nul vertroue wend namate die voorsieningskettingrisiko spiraal. Hier is ons keuse vir vyf sleutelneigings waarna ons in 2025 moet kyk.
1. KI En Deepfake Bedreigings Loom Large
Die Nasionale Kuberveiligheidsentrum (NCSC) vroeër vanjaar gewaarsku dat KI “amper seker die volume sal verhoog en die impak van kuberaanvalle oor die volgende twee jaar sal vergroot”. En daar is min rede om daardie beoordeling te betwyfel. Generatiewe KI (GenAI), in die besonder, sal die toegangsgrens vir ontluikende uitvissing-akteurs verlaag en aanvalle bespoedig deur dit vinniger en makliker te maak om hoëwaarde-bates en kwesbare toestelle vir uitbuiting te identifiseer.
GenAI sal ook die vervalste bedreiging aanvul, wat in 'n ondernemingskonteks moeilikheid kan beteken vir Know Your Customer-tjeks wat staatmaak op biometrie (gesig, stem), wat nou met 'n hoë mate van akkuraatheid bedrieg kan word. Ons kan ook meer BEC-styl pogings sien om personeel te mislei om groot geld korporatiewe oorplasings te maak, deur stem of video te gebruik wat voorgee om die HUB of soortgelyke voor te doen.
Bedreigingsakteurs sal wettige dienste soos ChatGPT misbruik om ingeboude veiligheidsrelings te omseil en moontlik sulke toegang as 'n diens te verkoop. Die relatief klein aantal LLM-ontwikkelaars kan meer kubermisdadigers aanmoedig om na kwesbaarhede soos hierdie en ander te ondersoek.
KI sal egter ook die kuberveiligheidsgemeenskap help, met sekuriteitsbedrywighede (SecOps)-ontleders wat danksy GenAI-assistente vinniger en meer produktief kan werk. GenAI se vermoë om sintetiese inhoud te skep, sal spanne help om hul sekuriteitsinstrumente en gebruikers meer effektief op te lei, terwyl sy talent om groot datastelle vir ongewone patrone op te spoor, sal voortgaan om te help met die opsporing en reaksie van bedreigings. Trouens, 61% van globale organisasies glo nou KI moet noodsaaklik wees vir effektiewe, proaktiewe bedreigingsreaksie.
2. CNI onder groeiende druk
CNI-verskaffers was nog altyd gewilde teikens vir aanval. Maar aangemoedigde staatsakteurs, kubermisdadigers met goeie hulpbronne en 'n toenemende gebroke geopolitieke omgewing is besondere redes tot kommer terwyl ons 2025 binnegaan. Organisasies wat versuim het om die beste praktyke te implementeer wat deur NIS 2 en sy Britse ekwivalent vereis word, kan 'n groot risiko loop.
Verwag om meer meerjarige, hoogs gesofistikeerde veldtogte te sien soos Volt tifoon en opportunistiese aanvalle deur losprysware en hacktivistiese groepe wat geld wil verdien en/of 'n naam vir hulself wil maak. Historiese onderinvestering in die Verenigde Koninkryk het gelei tot 'n paar skokkende onthullings oor swak sekuriteitsposisie by die hou van Sellafield en Thames water. Hierdie sal sekerlik nie die laaste wees nie.
3. Die Verenigde Koninkryk speel in met kuberveiligheidswette
Daar is baie wat in die Verenigde Koninkryk gaan gebeur vanuit 'n regulatoriese voldoeningsperspektief in 2025, soos twee groot stukke wetgewing naby die wetboeke. Die Wetsontwerp op Kubersekuriteit en Veerkragtigheid sal die Netwerk- en Inligtingstelselregulasies 2018 (NIS-regulasies) bywerk. Alhoewel dit minder ambisieus is as die EU se pogings om dit te doen, moet NIS 2 broodnodige bepalings instel. Dit sluit in die uitbreiding van die omvang van die wet na meer sektore, die verbetering van die verskaffingskettingsekuriteit en die opdrag van voorvalverslagdoening, veral vir losprysware. Die regering wil ook regulatoriese magte versterk, insluitend die vermoë om kwesbaarhede proaktief te ondersoek en gelde van gereguleerde organisasies in te vorder.
Intussen is die Wetsontwerp op Digitale Inligting en Smart Data effektief 'n opdatering van die vorige regering s'n Wetsontwerp op Databeskerming en Digitale Inligting (DPDI). en beloof 'n verversing van die GDPR. Dit hoop om nakomingskoste vir besighede te verminder, die deel van data te stroomlyn en innovasie in digitale identiteit te versnel. Volgens die ander voorgestelde wet sal dit die magte van die Inligtingskommissaris se kantoor (ICO) versterk, wat op sy beurt groter druk op voldoeningspersoneel kan plaas.
4. Die C-suite neem beheer oor kuber
Dit kom al lankal. Die nuwe vereistes in die SEC se bekendmakingsreëls vir kuberveiligheid en in NIS 2 sal groter verantwoordelikheid op direksies plaas om kuberrisiko te verstaan. In die geval van die EU-richtlijn moet senior bestuur op kuberrisikobestuursmaatreëls afteken, toesig hou oor die implementering daarvan en aan gespesialiseerde sekuriteitsopleiding deelneem. Hulle sal ook persoonlik aanspreeklik gehou word deur reguleerders in gevalle van growwe nalatigheid en opsetlike verwaarlosing. Die SEC eis intussen nou dat genoteerde maatskappye jaarlikse openbaarmakings maak oor hul kuberrisikobestuurstrategie en -bestuur, asook die direksie se toesig oor kuberrisiko wat uit bedreigings spruit, beskryf.
Soortgelyke maatreëls om aanspreeklikheid en deursigtigheid op 'n senior bestuursvlak te verbeter, sal in 2025 in 'n toenemende aantal nuwe wette, insluitend die EU se Wet op Digitale Operasionele Veerkragtigheid (DORA). Dit gee 'n mandaat dat direksies "alle reëlings wat met die IKT-risikobestuursraamwerk verband hou, definieer, goedkeur, toesig hou en verantwoordelik is vir die implementering daarvan." Hierdie skuiwe kan meer ondersoek instel na die rol van die CISO, maar behoort dit ten minste makliker te maak om die oor van die direksie te kry wanneer kwessies oor kuberrisiko bespreek word.
5. Nasiestaat- en kubermisdaadlyne bly vervaag
Teen die agtergrond van toenemende geopolitieke risiko, is een langdurige neiging wat ons in 2025 meer uitgesproke sal sien die kruising tussen nasionale staat en kubermisdaadaktiwiteite. Microsoft het dit in sy jaarlikse uitgeroep Digitale Verdedigingsverslag onlangs, waarsku dat nie net staatsakteurs (dws Iran en Noord-Korea) toenemend finansieel gemotiveer word nie, maar dat sommige (bv. Rusland) kubermisdaad-TTP's gebruik en selfs sommige bedrywighede aan kriminele bendes uitkontrakteer. Ons kan ook sien hoe hacktivistiese groepe voortgaan om verby DDoS-aanvalle te beweeg om potshots te neem op vermeende vyandige 'teikens' in die Weste met losprysware, data-afpersing en vernietigende aanvalle, aangesien die NCSC het reeds gewaarsku.
CNI-firmas kan eerste in die spervuur wees, aangesien 'n ontwrigtende aanval 'n groot impak op die bevolking sal hê. Soos genoem, is dit ook dikwels van die teikens wat die minste goed beskerm word, met 'n lae verdraagsaamheid vir onderbrekings, wat hulle 'n ideale kandidaat vir losprysware maak.
Dit alles beteken kuberveiligheid- en voldoeningsprofessionals sal in 2025 besiger as ooit tevore wees. Gelukkig sal beste praktykstandaarde soos ISO 27001 voortgaan om 'n stewige fondament te bied om hierdie en baie ander uitdagings wat in 2025 na vore te kom, die hoof te bied. Maar dit kan wees 'n stamperige rit.
