Sånn takler du truslene i 2023: Ikke stol på AI, analyser din egen kode

En utvikler, en pentester, en sikkerhetskonsulent og en informatikkprofessor om sikkerhetsåret 2023.

Pentester Birgitte Sageng mener at devsecops fortsatt burde være høyt på agendaen for alle utviklere.📸: Privat
Pentester Birgitte Sageng mener at devsecops fortsatt burde være høyt på agendaen for alle utviklere.📸: Privat Vis mer

- I løpet av 2023 vil vi se større bruk av deepfakes og catfishing-teknikker for å oppnå tillit hos nøkkelpersoner i bedrifter og enkeltindivider. Både for å få økonomisk og informasjonsmessig gevinst, sier Ragnhild "Bridget" Sageng, pentester og "social engineer" i Orange Cyberdefense Norge, til kode24.

Hvordan blir sikkerhetsåret 2023?

Det spørsmålet har kode24 stilt til en utvikler, en pentester, en sikkerhetskonsulent og en informatikkprofessor.

Dette spår pentesteren

Sageng sier at sikkerhetsåret 2023 allerede er i gang, og viser til at flere norske medier allerede har skrevet om bruken av deepfakes, altså AI-genererte bilder og video, til svindling.

Sageng legger til at slutten av 2022 også markerte en stor interesse for AI-tjenester, slik som ChatGPT.

- Jeg er spent på å se hvordan dette kan bli brukt videre. Et nyttig verktøy kan fort blir misbrukt, og ChatGPT har alt gitt flere aktører som ikke nødvendigvis hadde kunnskapen, muligheten til å bygge skadevare og skadelig kode, sier hun.

«Utviklere må passe seg for å ikke gå i fella ved å støtte seg for mye på AI-teknologi.»

Ifølge Sageng har ChatGPT blitt en snarvei for mange i hverdagen.

- Jeg tror at utviklere må passe seg for å ikke gå i fella ved å støtte seg for mye på AI-teknologi for oppretting av kodesnutter som skal settes i drift i større programmer. Det er minst like viktig, om ikke viktigere, å være oppmerksom på eventuelle sikkerhetsfeil som kan oppstå når man skal ha noe til å fungere.

Hun mener at Devsecops fortsatt burde være høyt på agendaen for alle utviklere, samt at AI-teknologi kan være et nyttig verktøy - så lenge det brukes ansvarlig.

- Supplychain-angrep er også en fallgruve å ta hensyn til når det kommer til sikkerheten også i året som kommer. Det er viktig å være oppmerksom på eventuelle sårbarheter i kodebiblioteker man bruker, og ikke minst sikre kommunikasjonen mellom systemer skikkelig.

Dette spår dusørjegeren

- Jeg er redd 2023 fortsetter i samme spor som 2022 med fortsatt mange ransomware-angrep og store datalekkasjer, sier Roy Solberg, dusørjeger og Andorid-utvikler, til kode24.

I tillegg til ransomware og datalekkasjer tror Solberg at vi kommer til å se enda mer aktivitet fra statlige trusselaktører.

- Så regner jeg med at ChatGPT vil skape noen sensasjonelle overskrifter om at det liksom er hackerens beste venn, sier han.

Roy Solberg håper at flere utviklere i 2023 tar i bruk verktøy for kodeanalyse og sårbarhetsanalyse.📸: Privat
Roy Solberg håper at flere utviklere i 2023 tar i bruk verktøy for kodeanalyse og sårbarhetsanalyse.📸: Privat Vis mer

- Hva burde «alle» utviklere vite og gjøre når det gjelder sikkerhet i 2023?

- Jeg håper utviklere kan ta ansvar for egen læring og å være nysgjerrige når det kommer til sikkerhet. Den koden vi setter i produksjon hver dag er svært sårbar for feil vi gjør, sier Solberg.

Solberg legger til at dersom utviklere kan være litt mer fokusert på sikkerhet og å tenke litt mer på hvordan man selv kunne brutt seg inn i egen kode, vil det hjelpe alle.

- Så håper jeg at flere utviklingsteam får tilgang til og tar i bruk verktøy for kodeanalyse og sårbarhetsanalyse. Spesielt viktig er det å vite om det sniker seg inn noen pakke-avhengigheter som viser seg å være enten sårbare eller ondsinnede.

«Så regner jeg med at ChatGPT vil skape noen sensasjonelle overskrifter om at det liksom er hackerens beste venn.»

Dette spår sikkerhetskonsulenten

Nils Folvik Danielsen, sikkerhetskonsulent i Alv, tror at AI kommer til å spille en større rolle i informasjonssikkerhet i 2023, både på angreps- og forsvarssiden.

- Man kan anta og samtidig håpe på et større fokus på cybersikkerhet i både offentlig sektor og kritisk infrastruktur. Dette fordi man i fjoråret har sett flere angrep mot offentlige organisasjoner, og grunnet den geopolitiske situasjonen spesielt Europa står ovenfor, sier han til kode24.

Ifølge Danielsen er ett eksempel som er med på å bygge opp under denne antagelsen den nylige forordningen om Digital operasjonell motstandskraft (DORA) foreslått av EU-Kommisjonen, som skal være med å robustgjøre finanssektoren i Europa.

- Fokus på leverandørkjedeangrep vil øke. Man har vært vitne til at tredjeparter og leverandører sender ut skadelige programvareoppdateringer i de siste årene, og angripere forstår skadepotensialet om leverandører som kunder stoler på, blir kompromittert, sier han.

Nils Folvik Danielsen tror at AI kommer til å spille en større rolle i informasjonssikkerhet i 2023, både på angreps- og forsvarssiden.📸: Privat
Nils Folvik Danielsen tror at AI kommer til å spille en større rolle i informasjonssikkerhet i 2023, både på angreps- og forsvarssiden.📸: Privat Vis mer

- Hva burde «alle» utviklere vite og gjøre når det gjelder sikkerhet i 2023?

- Få kontroll på de generelle og grunnleggende sikkerhetsprinsippene, og introduser disse tidlig i utviklingsprosessen. Et system blir mye mer robust om sikkerhet er med fra startstreken av utviklingen, enn om sikkerhetsmekanismer blir "lappet på" underveis, sier Danielsen.

Han legger til at du også bør vite hvordan du beskytter deg mot de vanligste sårbarhetene, for eksempel OWASP Top 10, i det språket du skriver i.

- Beskytt deg mot "scriptkiddies" før du går løs på beskyttelse mot avanserte aktører, sier han.

I tillegg mener Danielsen at du må holde deg oppdatert om hendelser, nye sårbarheter, angrepsvektorer og nulldagssårbarheter. Han legger til at det er derfor det er viktig å være på ballen, og oppdatere nye kritiske sårbarheter så fort som mulig.

- Ha kontroll på tredjepartsprogramvare og biblioteker som blir brukt. Påse at tredjepartsprogramvare ikke har kjente sårbarheter. Prøv også å ta utgangspunkt i at kompromitterte tredjeparter kan oppstå, og bygg motstandsdyktighet mot dette.

Dette spår informatikkprofessoren

Lothar Fritsch er professor i informatikk ved OsloMet. Han trekker fram tre hovedtrender i 2023.

Den første kaller han for "Recovery-øvelser", som innebærer at organisasjoner som ikke har blitt hacket eller opplevd IKT-sammenbrudd, øver på gjenoppretting etter cyberangrep, utpressingsangrep eller sabotasje.

- Oppbemanning med egen intern cybersikkerhets-ekspertise. Det blir vanskeligere og betydelig dyrere å leie inn cybersikkerhetskonsulenter. Organisasjoner med kritiske IKT-baserte prosesser må legge til rette å reparere selv, sier han til kode24.

Den tredje trenden er økt fokus på utdanning og etterutdanning i områdene cybersikkerhet til teknologer og grunnleggende sikkerhet og personvern til arbeidstakere i andre bransjer.

- Økt "securisering" og militarisering av sikkerhetsarbeid og IKT-infrastruktur i sivil sektor, sier han.

Det blir vanskeligere og betydelig dyrere å leie inn cybersikkerhetskonsulenter i 2023, mener Lothar Fritsch. 📸: Privat
Det blir vanskeligere og betydelig dyrere å leie inn cybersikkerhetskonsulenter i 2023, mener Lothar Fritsch. 📸: Privat Vis mer

På spørsmålet om hva alle utviklere bør vite og gjøre når det gjelder sikkerhet i 2023, lister professoren opp følgende punkter:

  • Kjenne til MITRE ATT&CK og Cyber Kill Chain
  • Kjøre en søk på egen bedrift på Shodan.io
  • Kjøre et praktisk forsøk på gjenopprettelse av kjernevirksomheten fra eksisterende back-up
  • Utprøve hvor lenge bedriften overlever strømbrudd
  • Planlegge og utprøve rutiner for lengre kommunikasjonsbrudd på sjøkabler til skyeleverandører, på fiber og mobilnett.
  • Planlegge for plan B ved bortfall eller kompromittering av viktige underleverandører, slik som betalingstjenester, digital ID og sky-API.