Hack The Box (HTB) nam donosi pogled glavnih trendova koji oblikuju nedostatke vještina u području kibernetičke sigurnosti. Identificirali su pet ključnih trendova koji će oblikovati kibernetičku sigurnost u 2025. godini.

1. Pri zapošljavanju će prednost imati znanje u odnosu na diplome

Tvrtke i poslodavci se sve više okreću zapošljavanju temeljenom na znaju i vještini, a sve manje na temelju diplome koju osoba posjeduje.

Na temelju HTB-ovog izvješća o spremnosti za kibernetičke napade (CARR) 2024., više od 67% timova za kibernetičku sigurnost koristi certifikate ili praktične laboratorije za usporedbu vještina, što naglašava da se sve više sigurnosnih timova usredotočuje na praktične vještine i certifikate umjesto na teorijsku obuku i tradicionalne diplome.

Ako zapošljavate, razmislite o procjeni nedostatka vještina kako biste saznali u čemu je vaš tim dobar, koje vještine nisu toliko zastupljene i koje su vještine vašem timu zapravo potrebne. Nakon toga pronađite načine za testiranje kandidata za te vještine i uključite te testove u svoj proces zapošljavanja – s mjerljivim kriterijima.

Možda ćete pronaći pravu osobu na najmanje očekivanom mjestu. Kandidat koji se ne snalazi dobro na intervju (u društvenom okruženju pod visokim pritiskom) mogao bi vas oduševiti svojim tehničkim znanjem (u okruženju u kojem ima više kontrole).

2. Plavi timovi dobit će više novca za usavršavanje

S obzirom na rast površine napada i novih prijetnji, raste i potražnja za usavršavanjem plavih timova.

Broj ranjivosti rapidno raste, a Centar za strateške i međunarodne studije izvijestio je da 8 od 10 regruta teško pronalazi sigurnosne stručnjake s odgovarajućim vještinama. Čak i nakon zapošljavanja osoblja s pravim vještinama, plavi timovi imaju manje vremena za proučavanje novih prijetnji i ranjivosti.

Sve ovo sugerira da postoji jaz između vještina koje posjeduju plavi timovi i onoga što im je potrebno da budu najbolji u svojem poslu.

Korištenje ljubičastog tima dobar je potez za unaprjeđivanje vještina i borbu s manjkom vremena i resursa. Ovaj sinergijski pristup omogućuje plavim timovima da ostanu u tijeku s novim napadi i što mogu učiniti da ih otkriju i spriječe.

3. Porast će potražnja za stručnjacima za sigurnost Active Directorya (AD)

Održavanje koraka s rizicima u stvarnom svijetu znači da se vještine koje su se nekoć smatrale “najmodernijima” lako mogu postati “očekivane”, čak i za juniore. Jedan od primjera je poznavanje obrane AD od napada. Ova vještina se prije smatrala znanjem iskusnog SOC profesionalca, ali to više nije slučaj. Budući da su AD napadi danas uobičajena praksa među napadačima, današnji mladi SOC stručnjaci trebali bi biti svjesni uobičajenih vektora napada i obrane od AD napada.

Osigurajte svojim sigurnjacima obuku o zaštiti AD-a kako bi se uspješno nosili s ovim problemom.

4. Timovi će se pripremati za napredne AI napade

Timovi za kibernetičku sigurnost suočavaju se s novim rizicima kako se umjetna inteligencija (AI) sve više ugrađuje u web-aplikacije i ponudu proizvoda. Dok AI može donijeti učinkovitost i inovaciju, njezino usvajanje dolazi s ranjivostima. Stručnjaci smatraju da će se AI koristiti za sofisticirane napade.

Aplikacije koje pokreće AI mogu biti iskorištene za provođenje naprednih napada društvenog inženjeringa – DeepFake, uvjerljive personalizirane prijevare putem e-pošte i dr.

Najbolji način da počnete pripremati svoje timove da uhvate korak je produbljivanje znanja o AI-u i sigurnosti web aplikacija. Potaknite svoje timove da čitaju o trendovima i upoznaju se s ranjivostima umjetne inteligencije i AppSec okvirima.

5. Naglasak na sigurnosti industrijskih sustava kontrole

Granica između tradicionalne IT sigurnosti i sigurnosti operativnih tehnologija (OT) je sve tanja.

Ova međusobna povezanost proširuje površinu napada, olakšavajući napadačima proboj u industrijske sustave kontrole putem IT ulaznih točaka. Dok je sigurnosno testiranje industrijskih sustava kontrole tek u nastajanju, već postoji mnoštvo dostupnih resursa kojima se svi zainteresirani mogu poslužiti. Predlažemo da timovi započnu s čitanjem nekih od temeljnih materijala za sigurnosno testiranje industrijskih sustava kontrole.

Profesionalni razvoj neće se dogoditi ako mu poslodavci ne daju prioritet. Svakodnevni poslovi lako mogu potisnuti usavršavanje, ali ako želite svoj tim osposobiti za budućnost, izdvajanje vremena za obuku je ključno.

#SurfajSigurnije