Тренды кибербезопасности
Краткие теоретические сведения
Организации думают об информационной безопасности по трем причинам:
1. Страх угрозы, реализации и последствий инцидента или кибератаки.
2. Compliance — угроза невыполнения требований законодательства. Специфична либо для конкретной отрасли, либо для государства в целом.
3. Бизнес — проблема информационной безопасности сужается до уровня конкретной организации. В одной организации ущерб от инцидента может быть существенным, в другой - нет, а в третьей – борьба с ним не предусмотрена, а затраты на последствия от ущерба заложены в себестоимость продукта/услуги.
Каждая компания имеет определенный уровень зрелости обеспечения информационной безопасности.
На финальном уровне компания из каждого направления деятельности извлекает прибыль и находит преимущества для бизнеса. Каждый уровень зрелости требует своих специалистов.
Мировая нехватка специалистов по кибербезопасности составляет 3 миллиона человек. В России - около 60 тысяч при ежегодной подготовкепорядка 18 тысяч (посостоянию на июль 2022 г.).
На сегодняшний день безопасность перемещается в сторону сервисной модели.
В сервисной модели обеспечение безопасности осуществляется аутсорсинговой компанией, а на специалиста по безопасности возлагается контроль данных процессов. Есть версия, что через пару лет до 90 % рынка кибербезопасности в России будет реализовано ввидесервисноймодели в связи с массовым уходом иностранных ком падий.
Российские компании не могут обеспечить достаточного объема рынка собственными решениями. Сервисная модель позволяет использовать привычные технологии, не афишируя их иностранное происхождение, а в условиях нехватки персонала зачастую является единственным решением задачи.
Изменения в бизнесе автоматически влекут изменения кибербезопасности. Так, внедрение виртуальных помощников подразумевает решение вопросов защиты самих помощников, интернета вещей и технологий машинного обучения.
Существуют технологии, которые защищают IT-инфраструктуру (файерволы на периметре, VPN для защиты каналов связи, DLP -системы для мониторинга коммуникаций в поисках утечек информации), а есть более крупный пласт задач, технологий и механизмов защиты, интегрированных в бизнес. Они имеют схожую структуру:
- угрозы;
- законодательство;
- IT-технологии;
- бизнес-процессы.
Безопасность сегодня является интегрированной, что больше способствует обеспечению информационной безопасности.
В первую очередь это касается киберугроз. Нембходимо знать, как действуют хакеры.
Защита от угроз.
Выделяются четыре основных типа злоумышленников:
1. Инсайдеры.
2. Хактивисты.
3. Киберкриминал.
4. Хакера на службе государства.
Хакерство - это полноценный бизнес, занимающий третье место по объему рынка и имеющий:
различные механизмы генерации прибылей;
собственную валюту и инструменты ее обмена и обналичивания;
различных экономических агентов (поставщики, производители, покупатели);
широкий продуктовый ряд;
особые экономические зоны;
найм персонала;
собственные торговые площадки;
глобальные механизмы дистрибуции;
саморегулирование;
специальный инструментарий (техподдержка, обучение и повышение квалификации);
психологов и физиологов.
Рынок киберпреступности будет развиваться. Государство не способно бороться с ним по следующим причинам:
• бюрократизированность;
• необходимость соблюдать требования закона, в отличие от преступников.
Ключевые угрозы на ближайшее будущее:
1. Интернет вещей как площадка для реализации атак (маршрутизаторы, видеокамеры, мобильные приложения).
2. Мобильные приложения как разносчики вредоносного ПО и «воры данных».
3. Программы-вымогатели и сопутствующие им технологии.
4. Атаки «третьего поколения». Использование протокола DNS для скрытия активности ВПО, CDN, BGP.
5. Целенаправленные угрозы, реализующие полный цикл kill chain.
6. Атаки на цепочки поставок (внедрение вредоносного кода в программное обеспечение в OpenSource).
7. Кража данных известных лиц с последующим шантажом.
8. Criminal-as-a-Service.
9. «Призраки Интернета прошлого». Угрозы от устаревшего программного и программно-аппаратного обеспечения, которое находится в Интернете.
10. Нехватка людей для реализации возрастающего числа задач. Согласно исследованию CISCO, с точки зрения реализации
мер защиты Россия обходит многие государства по 9 из 11 пунктов. Одной из основных сложностей в обеспечении ИБ в России является:
• отсутствие целостного взгляда на ИБ (архитектура);
• неполный мониторинг и реагирование на инциденты (SecOps).
Многие инциденты остаются незамеченными, что приводит к последствиям по реализации негативного ущерба. Умение измерять ущерб от инцидента информационной безопасности — важный навык, которому необходимо учиться.
Другие примеры последствий угроз:
смерть пациентов;
падение курса акций;
кража интеллектуальной собственности;
снижение объема обогащенного топлива;
влияние на результаты выборов;
нарушение работы сети Интернет;
блокирование дверей;
взлом кардиостимулятора;
отказ тормозов в автомобиле;
атака на систему управления полетами и транспортом.
Gartner создал Gartner hype cycle (Гартнер хайп) — это кривая развития технологий, показывающая, что любая технология со временем меняется. Гартнер хайп состоит из этапов:
R&D - исследования и разработки;
хайп - все говорят о технологии, не понимая, что она из себя представляет и какую пользу несёт для бизнеса;
время принимать решения;
время неоправданных ожиданий;
пилотирование;
плато продуктивности - технология приносит прибыль.
С помощью данной кривой можно оценивать различные решения и сегменты рынка по информационной безопасности.
Защита финтеха
В зависимости от финансовой сферы (банки, пенсионные фонды, инвестиции, страхование) будут развиваться собственные направления финтеха:
• краудфандинг;
• P2P — кредитование;
• мобильный банкинг;
• банк as-a-platform;
• алгоритмический трейдинг.
Цифровая трансформация делится на авральную (внедряем технологии внезапно) и плановую.
Новые технологии и тенденции, внедряемые в финансовые организации, невозможно рассматривать в отрыве от кибербезопасности:
1. Цифровые помощники (чат-боты, голосовые помощники).
2. Интернет вещей подключает автомобили, видеокамеры, денежные мешки, банкоматы, пропуска.
3. Облачные технологии позволяют сэкономить на материальных активах. Однако требуют обеспечения ИБ на платформе, не принадлежащей организации, с нечетким местоположением.
4. Мобильность. С целью увеличения прибыли организация направляет сотрудников как можно ближе к клиентам. Сотрудники оснащены смартфонами, ноутбуками, планшетами. Это размывает периметр, увеличивает площадь атаки и перекладывает часть задач ИБ на неопытных пользователей.
5. Программируемые сети (SDN) и отсутствие контроля за связностью в сети Интернет (BGP) открывают возможность для перехвата трафика. Например, контроль перемещения грузов и передвижения мобильных групп. С одной стороны, это возможность, с другой - угроза. На перемещаемый датчик на инкассаторском броневике можно воздействовать джаммером и тем самым блокировать передачу данных местонахождения охраняемого актива с последующей его кражей.
6. Социальные сети становятся источником распространения негативной информации о компании, а также каналом проникновения.
7. Новое рабочее место работника (динамичное, BYOD, BYOT) создает новые сложности для обеспечения ИБ.
8. Анализ больших данных приводит к нарушению законодательства о персональных данных.
9. Квантовые вычисления. Появление квантовых компьютеров ставит под вопрос текущие механизмы криптографической защиты информации, так как их можно будет легко и быстро взломать.
10. Искусственный интеллект и машинное обучение позволяют подменить результаты, по которым работает голосовой/видео помощник или чат-бот, и предпринять меры по предотвращению реализации угроз.
Переход на удаленную работу ставит задачу защиты удаленного доступа. Можно использовать решения VDI, RDP, решения по VPN. Они будут зависеть от применяемых приложений.
Защита машинного обучения также зависит от приложений, так как существуют технологии предиктивные, прогностические и аналитические. Необходимо бороться с угрозами, направленными на дата-сет. Для этого нужно разрабатывать механизмы защиты, не дожидаясь регуляторов.
С точки зрения кибербезопасности цифровой трансформации необходимо думать:
• о цифровых двойниках;
• блокчейне;
• средствах групповой работы (TrueConf, CommuniGate).
Данные решения являются приоритетными. Можно внедрять их в учебный процесс для того, чтобы при трудоустройстве молодые специалисты уже умели пользоваться новыми технологиями информационной безопасности.
Востребованные технологии на внутреннем рынке кибербезопасности Тенденции сетевой ИБ:
1. Централизованное управление, включая смешанное (cloud + on-premise).
2. Интеграция с решениями по расследованию сетевых инцидентов.
3. Инспектирование зашифрованного трафика путем:
расшифрования;
работы с зашифрованным трафиком через гомоморфное шифрование или использование машинного обучения для обнаружения смыслов.
4. Микросегментация.
5. Интеграция с Threat Intelligence.
6. Переход на SaaS-модель.
7. Использование виртуальных межсетевых экранов.
8. Использование облачных межсетевых экранов с готовыми сценариями для облаков (AWS, Azure, GCP, Sber).
9. Оркестрация и автоматизация процессов, которые объединят в единую инфраструктуру безопасности множество продуктов.
10. Мониторинг аномалий. Корректнее учить аномалиям, когда они неизвестны или их сложно описать. Нужно анализировать другие виды данных (трафик, логи более объемного состава, бизнесактивность организации).
Важны виртуальные файерволы, которые умеют фильтровать трафик с уровня Л-3 до Л-7. То же самое касается шифрованного трафика, который составляет более 50—60 % от общего объема трафика. Необходимо уметь его мониторить, выявлять вредоносный код, защищать.
Инфраструктурная безопасность — наиболее проработанный зрелый рынок, а также наиболее понятный для российских компаний. Тенденции защиты хостов:
использование EDR решений (Gartner) или STAP (IDC). Российские вендоры (Касперский, Юзергейт) активно входят в этот сегмент;
все в одном (шифрование, DLP, сканер);
локальная или облачная песочница для анализа подозрительных файлов;
интеграция с сетевыми решениями за счет обмена данными или резолюциями;
поддержка SaaS-модели;
решения класса NG Endpoint Security (несколько антивирусов, antimalware-движков, контроль репутации файлов, корреляция IP и URL).
Тенденции Identity & Access Management:
управление привилегированными пользователями (PAM);
многофакторная аутентификация;
софт-токены, позволяющие реализовать второй фактор без дорогостоящих решений;
биометрия;
динамическая (контекстная) аутентификация;
поддержка модели IdaaS;
интеграция с другими средствами защиты (МСЭ, IPS, SIEM);
идентификация сотрудников и клиентов;
федеративные системы;
контроль поведения пользователей с помощью UEBA (UBA).
UEBA, с одной стороны, относят к DLP-сегменту, а с другой — при ее разработке применяется большое количество технологий (SIEM, EDR, PAM, мониторинг утечек информации). Возможно, сегмент отдельных продуктов UEBA перестанет существовать и будет встроен в уже существующие решения (SIEM).
Тенденции DLP:
контроль облаков и мобильных устройств;
акцент на compliance (GDPR);
автоматизация и простота управления;
дополнительный мониторинг сотрудников, улучшенный workflow и управление инцидентами;
интеграция с другими решениями по ИБ:
- средства маскирования данных;
- шифрование файлов;
- файерволы для баз данных;
- шифрование баз данных;
- решение класса DRM;
- реализация конструкций compliance as a code, позволяющих продолжать работать в области регулирования и при этом погружаться в разработку программных систем.
Тенденции мобильной ИБ:
интеграция с инфраструктурой ИБ;
обмен информации об угрозах (Threat Intelligence);
поддержка SaaS-модели;
уклон в Detection & Response (EDR / STAP);
тенденции хостовой ИБ.
Облачные тенденции:
активное внедрение CASB (Cloud Access Security Broker);
смешанное управление (облачное + on-premise);
поддержка в модели SaaS;
переход к аутсорсингу/облачной ИБ по причине нехватки персонала;
переход от модели MSSP к MDR (позволяет передать функцию обеспечения информационной безопасности аутсорсинговой компании).
На горизонте 1—5 лет облачные технологии будут играть важную
роль. Необходимо обратить внимание, что объект защиты находится за пределами корпоративной или ведомственной сети.
Другие тенденции:
форензика - сбор цифровых доказательств, включая облака;
интеграция vulnerability management и решения AppSec — продукт не выпускается на рынок, если уязвимость критична (выведение решения из строя, нанесение ущерба, кража данных);
интеграция SecOps и DevOps;
внедрение Threat Intelligence в деятельность российских предприятий, занимающихся безопасностью;
возврат к обманным технологиям;
легковесная криптография - хорошо работает в электронном голосовании, интернете вещей, трейдинге бумагами, финансовой деятельности в целом;
балканизация интернет- и мирового рынка ИБ - американский сегмент + сателлиты, европейский, китайский, латиноамериканский или южноамериканский и российский сегменты;
аналитика и визуализация ИБ (SOC — это следствие);
страхование киберрисков — при реализации инцидента страховая компания возмещает ущерб;
отсутствие периметра (Zero Trust) — выстраивание защиты, исходя из парадигмы, что нас в любом случае атакуют. Надо уметь вовремя это обнаружить.
Аналитика - это обязательная функция любого продукта по информационной безопасности. Важно уделять внимание обучению аналитиков информационной безопасности. Бессмысленно учить в вузе администраторов файерволов, ВПН-решений или антивирусов. Нужно учить конструкторов, архитекторов, аналитиков информационной безопасности, тех, от кого зависит информационная безопасность, в том числе с точки зрения экономики для организации.
Средства защиты должны быть оснащены аналитикой. С ее помощью можно:
описать, что происходит (системы обнаружения вторжений, антивирусы, SIEM);
диагностировать, почему это происходит (NTA, UEBA, NFT, EDR);
предсказать, что произойдет (Fraud Detection);
предписать, что я должен сделать (Attack Simulation либо решение класса SOAR).
Особенности российского рынка
Важно понимать, как развивается российский рынок информационной безопасности.
Тенденции рынка до 24 февраля 2022 г.:
ужесточение требований ФСТЭК к разработчикам и лицензиатам. В учебном процессе стоит применять продукты, имеющие сертификаты, а также учить студентов выбирать средства защиты с точки зрения Compliance;
рост числа стартапов, ориентированных на западный рынок;
соотношение иностранных решений и отечественных 3/1. Сейчас соотношение будет меняться в сторону 0/1. Следует заранее учить студентов российским решениям;
усиление требований ФСТЭК по сертификации и снижение числа сертифицированных решений;
рост регуляторики;
цифровой суверенитет — импортозамещение операционных систем, баз данных, приложений, оборудования, серверов, процессоров.
С точки зрения того, на базе чего учить, у иностранных компаний большое количество решений, которые можно было внедрять в процесс обучения. У российских игроков их гораздо меньше.
Российский рынок средств защиты развит слабо и преимущественно ориентирован на регулятивные требования (наиболее развит рынок antimalware, СКЗИ/VPN, МСЭ/СОВ, DLP, SIEM). В большинстве продвинутых ниш рынка ИБ присутствует всего 1—2 игрока, что недостаточно для адекватного выбора и нормальной конкуренции. Функциональность, качество и возможность массового производства средств защиты российского производства сильно уступают зарубежным аналогам.
Тенденции в нормотворчестве:
безопасность критической инфраструктуры;
персональные данные;
требования по оценке соответствия;
усиление требований к квалификации персонала;
согласно Указу президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», организация, подпадающая под действие Указа, должна иметь заместителя генерального директора по информационной безопасности. Данную позицию может занимать человек, имеющий высшее образование в области информационной безопасности либо прошедший профессиональную переподготовку;
усиление контроля сети Интернет;
геополитика;
расширение роли Центрального банка.
С точки зрения того, чем защищаться, российский рынок информационной безопасности оценивается в 80 миллиардов рублей. Около 200 компаний разрабатывают средства защиты.
К лидерам рынка первого эшелона можно отнести Лаборатория Касперского, BI.ZONE, Positive Technologies, Ростелеком Солар.
Ко второму эшелону - Код безопасности, Инфотекс, Эшелон, Group-IB, Газинформсервис, Конфидент.
Третий эшелон - еще порядка 200 нишевых разработчиков, занимающихся разработкой 1—2 продуктов.
Не все из них выживут, так как помощь со стороны государства будет распределяться исходя из масштаба разработчика. Взаимодействовать в образовательном процессе стоит с теми, кто:
не первый год на рынке;
обладает финансовой подушкой;
может поддерживать собственное развитие в условиях непростой геополитической ситуации.
20 тем кибербезопасности на повестке дня руководителя службы информационной безопасности:
1. Поддержка руководства.
2. Метрики, которые имеют значение.
3. Обоснование бюджета.
4. Фокус: подтверждение/обнаружение.
5. Оценка влияния на бизнес.
6. Раскрытие фактов утечки в паблик.
7. Взаимодействие внутри компании.
8. Тренд на аутсорсинг.
9. Подготовка к инцидентам.
10. Влияние патчей на утечку данных.
11. Причины простоев.
12. Мобильные работники.
13. Обнаружение угроз и zero trust.
14. Сетевая инфраструктура.
15. Многовендорная сложность.
16. Причины киберусталости.
17. Преимущества облаков.
18. Цифровая трансформация.
19. Усиление реагирования на инциденты.
20. Улучшение состояния ИБ.
Сегодня решения по информационной безопасности меняются. Подходы к образованию должны меняться с учетом тенденций, влияющих на рынок, а именно:
угроз кибербезопасности;
технологий;
технологий кибербезопасности.
Это позволит развиваться российскому рынку информационной безопасности, образованию, технологиям и решениям.
Актуальность обеспечения кибербезопасности Вопросы кибербезопасности становятся повседневной проблемой бизнеса. Ландшафт угроз определяется массовым уходом сотрудников на удаленную работу во время пандемии и повсеместным распространением мобильных устройств и устройств интернета вещей. Указ президента России № 250 от 1 мая 2022 г. на ближайшие годы определяет потребности кибербезопасности в российском бизнесе и государственных организациях. На состоявшемся в мае 2022 г. Всемирном экономическом форуме в Давосе отмечался рост в 2021 г. объема кибератак на 125 % по сравнению с предыдущим годом. Атаки на критическую инфраструктуру, от которой зависит повседневная жизнь большого числа людей, заставляет рассматривать современную кибербезопасность как часть ESG. Что касается России, то, по данным Лаборатории Касперского, Россия оказывается самой атакуемой страной в мире.
С марта 2022 г. интенсивность кибератак на российские организации многократно возросла. Крупные компании и рейтинговые агентства публикуют на регулярной основе обзоры по состоянию кибербезопасности. В частности, 94 % кибератак начинаются с вредоносного сообщения электронной почты. 55 % атак на крупный бизнес происходят по модели supply chain attack.
Статистика, тенденции и эволюция киберугроз
По данным апрельского обзора Gartner за 2022 г., выделяются семь мировых тенденций в кибербезопасности.
1. Расширение поверхности атаки. В связи с массовой удаленной работой во время пандемии злоумышленникам оказалось легче проникать в корпоративные сети, атакуя слабо защищенные домашние или личные устройства сотрудников, работающих удаленно.
2. Защита систем идентификации. Рабочая пара логин/пароль в руках злоумышленника является в настоящее время ключом для успешного развития кибератак. Получить ее можно разными способами. Наиболее популярным из них является фишинг.
Gartner рассматривает защиту систем идентификации как мировой тренд.
3. Риск атак на цепочки поставок имеет тенденцию к росту. Большие корпорации хорошо защищены, что делает прямые атаки нерентабельными. Однако проникновения через сети компа- ний-партнеров более вероятны. Поскольку уровень зрелости кибербезопасности в небольших компаниях ниже, взломать их легче, а далее использовать их сети как плацдарм для развития атаки на основную компанию.
4. Консолидация вендоров. Наблюдаемая тенденция показывает улучшение совместимости продуктов кибербезопасности от разных вендоров (на уровне стандартов, протоколов), а также интеграцию разных функций кибербезопасности в одном продукте.
5. Сеть кибербезопасности. Речь идет о реализации принципа Zero Trust. Средства безопасности интегрируются с конечными устройствами, с серверами в дата-центрах или облачных инфраструктурах. Gartner предсказывает, что к 2024 г. организации, внедрившие подобную архитектуру, смогут снизить потери от индивидуальных инцидентов кибербезопасности на 90 %.
6. Распределенное принятие решений. В больших организациях централизованная роль CISO недостаточна для принятия решений по всему объему событий кибербезопасности. Может потребоваться либо географическое распределение центров принятия решений, либо их разнесение в зависимости от экспертизы.
7. Больше, чем осведомленность. Простого обучения недостаточно для выработки у сотрудников организации устойчивых навыков кибергигиены. Пользователей необходимо тренировать.
Тенденции кибербезопасности в России следуют мировым, но имеют и отличия. Россия в настоящее время является участником кибервойны, причем атакуемой стороной. США и Украина открыто признают, что проводят «наступательные» кибератаки в отношении российских организаций. Изменился и подход к DDoS-атакам.
Пользователи по политическим мотивам добровольно включают свои устройства в сети botnet, чтобы стать участниками кибератак.
Фейковые новости активно тиражируются благодаря соцсетям. Явная дезинформация вредит бизнесу и может преследовать политические цели. Сбербанк был вынужден открыть на своем вебсайте специальную страницу для разоблачения публикуемых фейков.
Нехватка специалистов в области кибербезопасности ощущается во всем мире, но в России вопрос стоит более остро в связи с необходимостью выполнять Указ президента России № 250 от 1 мая 2022 г. В частности, большое число организаций должны создать выделенные департаменты информационной безопасности и до начала 2025 г. перейти на средства киберзащиты, разработанные в России или дружественных странах. Реализация Указа потребует привлечь дополнительно не менее 30 тыс. высококвалифицированных специалистов в области кибербезопасности.
Прекращение предоставления услуг большинством мировых удостоверяющих центров российским компаниям, по сути, означает подрыв мирового доверия в киберпространстве, поскольку именно на доверии основана инфраструктура открытых ключей. Аннулирование подписок на облачные услуги, включая подписки на функционал, относящийся к средствам безопасности, также оставляет организации открытыми перед киберугрозами. Доверие к производителям решений кибербезопасности утрачивается.
Большинство успешных кибератак и утечек конфиденциальной информации происходит из-за человеческих ошибок, а не из- за уязвимостей в информационных системах. Но если человеческие ошибки имеют поведенческие решения, то технологические уязвимости можно исправить лишь установкой исправлений ПО.
В декабре 2021 г. была обнаружена критическая уязвимость Log4Shell в очень популярной JAVA-библиотеке. Она затрагивает сотни миллионов экземпляров веб-серверов Apache, дает возможность выполнить на веб-сервере произвольный код с административными правами, а проэксплуатировать уязвимость могут даже начинающие хакеры. Уязвимость в открытом исходном коде (open source) оставалась незамеченной с 2013 г. Уязвимость Log4Shell считается одной из самых серьезных найденных уязвимостей за всю историю, и даже сейчас она остается незакрытой на многих веб-серверах.
Другой тенденцией остается взлом устройств интернета вещей (IoT) для организации дальнейших кибератак. Устройства IoT в большинстве своем обладают лишь базовыми средствами безопасности. Их ПО не обновляется или обновляется нерегулярно. К ним невозможно применить накладные средства защиты. Все эти недостатки эксплуатируются злоумышленниками. Именно так развивались события с роутерами Mikrotik, в которых firmware не последней версии оказалось уязвимо. В результате злоумышленники получили контроль над 250 тыс. устройств IoT и использовали их в мощнейшей DDoS-атаке на Yandex в сентябре 2021 г.
Для защиты инфраструктур с использованием устройств IoT необходимо выделять последние в отдельные IP-подсети с контролем трафика. Но самым эффективным методом защиты является поведенческий анализ сетевого трафика от устройств IoT с использованием моделей машинного обучения.
Вирусы-шифровальщики громко заявили о себе в 2017 г. эпидемиями WannaCry, Petya, NotPetya. Однако и в 2021 г. наблюдается двукратный рост атак, предпринимаемых вирусами-шифровальщи- ками. Так, успешная атака в мае 2021 г. на американскую компанию Colonial Pipeline, обеспечивающую перекачку нефтепродуктов по всей территории США, привела к тому, что работа компании была парализована и компания была вынуждена заплатить злоумышленникам выкуп. В результате нарушения снабжения топливом аэропорта в Атланте пришлось перестраивать множество авиарейсов. Дальнемагистральные рейсы выполнялись с промежуточными посадками для дозаправки.
Для распространения по сети вирусы-шифровальщики используют общеизвестные критические уязвимости. Широкое распространение получила модель Ransomware as a Service, когда злоумышленник может не разрабатывать собственный вирус-шифровальщик, а «арендовать» стороннее вредоносное ПО для организации собственной кибератаки.
Другая тенденция получила наименование double extortion ransomware. В последнее время перед шифрованием предпринимается попытка скопировать из сети организации конфиденциальную информацию с целью двойного шантажа. Компания не вернет зашифрованную информацию, если не заплатит выкуп, и по этой же причине злоумышленники угрожают опубликовать конфиденциальную информацию компании или продать ее всем, кого она заинтересует.
За исторически короткий период в 40 лет кибератаки совершили гигантский скачок. От простого угадывания паролей до deepfake — почти не отличимой цифровой копии личности со звуком и видео. Кибератаки стали доступными как по бюджету, так и по требуемым компетенциям.
Ряд компаний (Radware, Лаборатория Касперского, CheckPoint, SpamHaus), предлагающих решения в области кибербезопасности, поддерживают на своих сайтах онлайн-визуализации, показывающие кибератаки, которые происходят в реальном времени. В качестве поставщиков данных выступает антивирусное ПО на конечных устройствах, сетевое оборудование и т. д.
Успехи и достижения кибербезопасности
В начале 2022 г. решения Сбербанка в области кибербезопасности получили престижные золотые и серебряные европейские награды в 7 номинациях. Борьба со спамом — мировой успех кибербезопасности.
На рубеже нулевых и десятых годов объем спама в мировом трафике электронной почты достигал 90 %. Однако в настоящее время его доля снизилась более чем в 3 раза. Это не победа, но очевидный перелом ситуации, и он стал возможным благодаря внедрению эффективных антиспам-фильтров на основе моделей машинного обучения. Решение, когда модель обучается на заранее классифицированном большом наборе электронных писем, а затем приступает к обработке реального потока, оказалось эффективным с малым числом ложных срабатываний. Другой успех — финансовые антифрод-системы и, в частности, антифрод в Сбербанке.
Эффективная борьба с кибермошенничеством позволяет России находиться в числе стран с самым высоким уровнем предоставления финансовых услуг через Интернет. В антифрод-систе- му Сбербанка стекается информация о финансовых транзакциях по всем возможным каналам обслуживания.
В анализе задействовано около 100 моделей на основе искусственного интеллекта. Платежная система дает лишь порядка 100 мс на принятие одного из решений: разрешить финансовую транзакцию, отклонить ее или направить на дополнительную аутентификацию.
Рабочие модели в антифроде включают:
• скоринги сущностей: оценивают клиентов и их устройства, участвующие в финансовой транзакции, на основании их «поведения» в прошлом и по другим аспектам;
• гео-модели: выявляют нетипичные перемещения участников финансовой транзакции;
• графовые: строят финансовые связи между клиентами, устройствами, оценивают их финансовую близость, эффективны при выявлении мошеннических групп.
Еще одно достижение, которым предстоит воспользоваться в ближайшем будущем, относится к области криптографии. Современные асимметричные криптографические алгоритмы демонстрируют свою устойчивость и применяются повсеместно — от больших серверов до мобильных устройств. Но так будет не всегда. Уже доказано, что асимметричный шифр можно взломать за разумное время на квантовом компьютере. Пока не существует квантовых компьютеров требуемой мощности, но ожидается, что они будут созданы в течение ближайших 10 лет.
После этого современные и используемые повсюду асимметричные криптографические алгоритмы больше не будут считаться стойкими. Одно из решений состоит в безопасной передаче симметричного ключа шифрования (именно он шифруется на открытом ключе в асимметричной криптографии) благодаря не математике, а на основе физических принципов, а именно квантово-механических свойств фотонов. Соответствующий протокол был разработан еще в 1984 г. Такой подход уже прошел экспериментальную проверку, и в 2021 г. в России, между Москвой и Санкт-Петербургом, заработала первая линия оптоволоконной связи с полностью квантовой передачей симметричного ключа.
Атака как сервис
Среди мотивов кибератакующих с явным преимуществом лидирует финансовый. Хакерам либо платят за их работу, либо они, как в случаях с вирусами-шифровальщиками, требуют выкуп. Инсайдеры также должны оставаться в центре внимания, поскольку, будучи сотрудниками, они уже имеют доступ к информационным ресурсам организации. Они могут действовать как со злым умыслом, так и по незнанию.
Третью строчку занимают, как правило, начинающие хакеры, для которых взлом — способ повысить самооценку и авторитет в сообществе. Хакерские группы, выполняющие государственные заказы, уже не являются тайной в условиях развязанной кибервойны и занимают четвертое место в рейтинге. Их не следует смешивать с группами, действующими в политических интересах. Причем их политические цели могут время от времени меняться. Наиболее известными такими группами до недавнего времени была Wikileaks, сейчас — Anonymous. Их еще называют хактивистами, однако к последним также относятся добровольные специалисты по безопасности, которые находят уязвимости безопасности в сетях больших организаций и конфиденциально сообщают о своей находке. При этом они дают срок на устранение и по истечении этого срока, независимо от того, устранена ли уязвимость, публикуют о ней информацию в открытых источниках. У организации не остается выхода, как своевременно устранить уязвимость и повысить свою безопасность.
Существует и иная мотивация, но она менее распространена. Чтобы организовать кибератаку, не требуются специальные знания или значительный бюджет. Кибератаку заказать очень просто. Для этого не нужно искать исполнителя в даркнете. С помощью обычной поисковой системы легко найти предложения услуг, чтобы, например, организовать DDoS-атаку на сайт конкурирующей фирмы. Рынок киберпреступности очень хорошо организован. Он не зависит от национальных законодательств, границ и таможен.
Различные механизмы генерации прибылей, собственные всеми признаваемые валюты (криптовалюты), хакерские форумы как торговые площадки, где можно договориться об услуге, посмотреть предложения о работе в хакерской группе или разместить свое предложение, найти инсайдера в выбранной компании, обучиться инструментарию злоумышленников или получить техническую поддержку. Есть даже штатные психологи, разрабатывающие новые сценарии социальной инженерии.
Модель Kill Chain
Для описания кибератак и злоумышленников в кибербезопасности применяются различные модели.
Мы рассмотрим популярную модель Cyber Kill Chain - модель многоступенчатой развивающейся во времени кибератаки. Она содержит 7 шагов и дополнительный — уничтожение следов.
На первом шаге — разведке — злоумышленник использует открытые источники для сбора подробной информации об атакуемой компании: адреса электронной почты, технические заголовки писем, веб-сайт организации, данные WhoIs, сканирование портов узлов компании в Интернете. На основании собранной информации разрабатывается план кибератаки.
На втором шаге - вооружении — злоумышленник пишет самостоятельно или заказывает разработку вредоносного кода и планирует его доставку. Также может использоваться стандартный инструментарий.
На третьем шаге происходит доставка. Самым популярным способом доставки является фишинг.
Если вредоносный код удалось запустить, то атака развивается и переходит на четвертый шаг — проникновение.
На шаге инсталляции запущенное вредоносное ПО дозагружает недостающие компоненты — они могут составлять значительный объем. Предпринимаются усилия по повышению привилегий в системе. Не исключено, что будет сформирован канал коммуникации с центром управления злоумышленника.
На шаге управления злоумышленник получает информацию изнутри атакуемой информационной системы, контроль над новыми компьютерами или иными устройствами, т. е. изучает внутреннее устройство системы и горизонтально расширяет атаку.
Если злоумышленник не обнаружен, он переходит к реализации целей. Это может быть выведение из строя инфраструктуры, хищение конфиденциальной информации, шифрование данных с требованием выкупа.
Если цель атакующего достигнута и он до сих пор не обнаружен, то злоумышленник уходит, уничтожая за собой логи и иные следы, которые могут выдать его присутствие и помочь расследованию.
По модели Kill Chain в качестве примера расписана атака на British Airways, которая произошла в 2018 г. Персональные данные почти 400 тыс. клиентов, приобретавших билеты на сайте British Airways, включая данные банковских карт, утекли к злоумышленникам.
Это также пример атаки на цепочку поставок, когда атаке подвергся веб-сайт компании-партнера (через нее проходила финансовая транзакция), а пострадала основная компания. Путем сканирования портов хакеры обнаружили уязвимость на веб-сайте и разработали, а затем разместили на сайте вредоносный скрипт, похищающий персональные данные клиентов. Информация отправлялась на созданный злоумышленниками веб-узел с именем, созвучным с наименованием авиакомпании, но не имеющий к ней никакого отношения. Злоумышленники даже получили для него публичный сертификат.
Современные парадигмы кибербезопасности
В октябрьском обзоре Microsoft за 2021 г. перечислены современные парадигмы кибербезопасности. Кибербезопасность в настоящее время рассматривается как часть устойчивости бизнеса. Важнейшей парадигмой считается цифровая гигиена. От навыков сотрудников использовать сложные и разные пароли, противостоять фишингу и социальной инженерии зависит предотвращение кибератак на начальной стадии.
Кроме того, в настоящее время риски кибербезопасности должны рассматриваться как часть бизнес-рисков, и все принимаемые решения должны расцениваться с точки зрения кибербезопасности.
Средства кибербезопасности должны выполнять свои функции, но в то же время не мешать основной работе. Более того, следует стремиться к комфортной и дружелюбной рабочей среде, чтобы стандартные операции, связанные с кибербезопасностью, например, смена пароля, сброс забытого пароля, были удобны, понятны и не приводили пользователя в состояние растерянности.
