23 декабря 2020 г.
Есть области, прогнозы в которых делать относительно просто. Например, кибератаки, как легко предположить, будут сосредоточены на направлениях, которые являются новыми массовыми трендами и/или развиваются особенно быстро.
«Злоумышленники восхитительно быстро реагируют на новостную повестку», — говорит Артем Синицын, руководитель программ информационной безопасности Microsoft в странах Центральной и Восточной Европы. Заметим, что большинство атак сегодня по-прежнему выполняют методами социальной инженерии, то есть используют человеческую доверчивость или невнимательность. Более того: «В этом году мы видим смещение фокуса злоумышленников на фишинговые атаки (около 70%) как на более прямое средство достижения цели», — отмечает г-н Синицин. Но есть и технологические тренды в атаках, о которых мы сейчас и поговорим.
Атаки на IoT/IIoT-инфраструктуру. «Интернет вещей» по-прежнему в тренде, ситуация с защитой несколько улучшилась, но не принципиально, а количество устройств этого класса уже очень велико и продолжает быстро расти. Рост российского рынка «интернета вещей» на 15% за год в течение ближайших пяти лет прогнозирует МТС, как отметил Дмитрий Халин, вице-президент компании по облачным и цифровым сервисам. Учитывая снижение цен на компоненты, рост «install base» будет еще более значительным, а это в контексте нашего разговора означает увеличение поверхности для кибератак.
Иногда аналитики в тренды будущего года добавляют атаки с использованием уязвимости сетей «пятого поколения», но, по сути, это подмножество атак на «интернет вещей», только с акцентом на новые элементы в этом сегменте, которых пока много не будет — развитие 5G-сетей только начинается.
Атаки с использованием AI подразделяют на две группы: со злонамеренным вмешательством в процессы обучения корпоративных систем, использующих «искусственный интеллект», что позволяет впоследствии хакерам использовать для своих целей «дополнительные навыки» AI-решений после внедрения последних, и применение AI-инструментов для поиска уязвимостей в корпоративной инфраструктуре. Пока неизвестно о действительно масштабных атаках, где ключевую роль играли бы AI-инструменты, но такое должно случиться рано или поздно, учитывая продолжающийся бум AI-технологий и увеличение количества специалистов по данному направлению.
Примером таких атак является «коррекция» систем компьютерного зрения, как отметил Хайрам Андерсон, главный архитектор Azure Trustworthy Machine Learning в Microsoft, выступая на The Standoff, что позволяет сделать невидимыми для последних определенные объекты, области или активности, попавшие в поле зрения цифровых камер. Это может быть актуально для ряда преступных замыслов, включая комбинированные атаки, требующие физического проникновения кроме кибервторжений.
Заметим, что преступники все чаще выстраивают комплексные схемы атак, которые оказываются киберфизическими — хакерские действия упрощают физическое проникновение на объекты, а иногда бывают и обратные ситуации, когда проникновение обеспечивает прямой доступ к инфраструктуре, что бывает нужным для выполнения задач хакинга при таргетированной атаке.
Атаки на удаленные рабочие места становятся все активней. Удаленная работа стала необходимой для компаний, как считает Антон Павленко, руководитель дирекции вычислительных комплексов, сервиса и аутсорсинга «Инфосистемы Джет». Востребованность решений для удаленного доступа и для совместной работы растет. Однако тут есть проблемы: в ряде случаев, как отмечает Александр Казеннов, руководитель корпоративной практики ДКИС ALP Group, происходит ужесточение доступа к собственным данным. Это создает определенные проблемы, но таково требование рынка: «В корпоративном мире вопрос надёжности зачастую ставится во главе перед удобством», как отмечает г-н Казеннов.
Трендом стало и активное использование хакерами уязвимостей в средствах удаленного доступа, отметил Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». Количество атак на RDP (Remote Desktop Protocol) уже во втором квартале выросло вдвое по сравнению с первым кварталом, по данным Eset. Кроме взлома систем удаленного доступа злоумышленники стремятся через домашние компьютеры получить доступ в инфраструктуру компании.
Возрастает и риск взлома ИТ-инфраструктуры из-за расширения поверхности атаки при предоставлении удаленного доступа к корпоративным ресурсам и сервисам, отметили специалисты «Инфосистемы Джет». Например, взлом домашней системы может открыть доступ к самым разным данным — от паролей к корпоративным ресурсам, похищенным через привычные кейлоггеры, до перехвата отдельных корпоративных документов (файлов, таблиц, переписки, голосовых переговоров и т. д.), а также позволит собрать данные для элементов целевых атак, в которых можно использовать методы social engineering. Так что всегда следует помнить про возможность хищения и утечки информации, напоминает Андрей Янкин, директор Центра информационной безопасности «Инфосистемы Джет».
Атаки на небанковские структуры будут продолжать набор популярности. Они всегда были и будут — подход преступников прост и классичен: «Почему вы грабите банки? / Потому, что там есть деньги!» — но системы защиты там мощные, поэтому атаки непростые. Быстро развиваются и небанковские структуры, где тоже есть деньги и/или их аналоги, поэтому к ним особое внимание проявляют хакеры.
В качестве примера структур, которые будут находиться под пристальным вниманием хакеров, приведем открытую МТС в декабре платформу NUUM, которую компания называет «необанк» и создала для совершения финансовых операций со специальными бонусами, которые можно потратить на дополнительные возможности в играх для ПК, игровых приставок, планшетов и смартфонов. Бонусы можно тратить на приобретение премиум-аккаунтов, внутриигровых товаров (в том числе, по специальным ценам) и т. д., а пополнять счета в «необанке» можно переводом с карт любых традиционных банков. В планах — расширение перечня предлагаемых финансовых и бонусных сервисов, как отметил Илья Филатов, председатель правления «МТС Банка».
Разумеется, под прицелом злоумышленников будут находиться и другие менее технологичные бонусные системы, а также криптовалютные биржи и обменники, равно как и любые другие системы, атаку на которые хакеры могут быстро монетизировать.
Наряду с активностью хакеров-любителей, каждый из которых может нанести значительный вред, увеличивается количество таргетированных атак, выполняемых прекрасно подготовленными и слаженно действующими группами, включающими как хакеров, так и «офлайновых» преступников.
«Облака» продолжают развитие и также нуждаются в развитой защите. Требования эффективной работы в «облаке» вынуждает организации пересмотреть традиционные решения ИБ и внедрить инструменты безопасности во все аспекты разработки приложений и развития инфраструктуры, отмечает Евгений Дыханов, директор ИБ-практики EPAM Systems.
В широком смысле следует помнить, что хакеры атакуют все элементы информационных систем, как физические, так и виртуальные. «Злоумышленники активно атакуют VPN для последующей продажи VPN-доступа в Даркнете», — напоминает Муслим Косер, основатель Volon.
Использование аппаратных уязвимостей — тренд старый, но по-прежнему восходящий. Например, злоумышленники все чаще смещают свой фокус на уровень прошивки и пытаются скомпрометировать процедуру загрузки системы, когда ни один из традиционных защитных механизмов еще не действует, отметил г-н Синицин и рассказал об инициативе Microsoft в продвижении Secured-core PCs (SecOps) — компьютеров с прошивками, защищенными от таких атак. Такие решения поддерживают крупнейшие производители компьютеров — HP, Lenovo Dell, а также Dynabook, Panasonic, сам Microsoft и др.
Масштаб атак растет. Хакеры нацеливаются на «умные города», производственные предприятия (включая дата-центры и «облачные» ресурсы), объекты критической информационной инфраструктуры (КИИ) и т. д. Напомним, что хакерским атакам подвергаются даже системы DNS, являющиеся основой Интернета! Такие атаки будут продолжаться по простой причине: в случае успеха хакеры могут получить большой куш.
Что это значит для российского рынка
Вопросы ИБ становятся стратегическими, они попадают в сферу компетенции не только «айтишников» и специалистов по безопасности, но и риск-менеджеров, финансистов и высшего руководства компании.
«Банкам нужно анализировать не только то, как их могут атаковать, но и сколько денег они теряют из-за конкретных угроз», — говорит Тимур Юнусов, директор по исследованиям, Cyber R&D Lab, заметим, что сказанное справедливо не только для банков, а для любых бизнесов.
Риски высоки. «На текущий момент, по нашим данным, в 97% компаний злоумышленник может проникнуть извне за 4 дня, а иногда это происходит и за 30 минут, — говорит Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Это показывает, с какой скоростью должны реагировать службы ИТ и ИБ для обнаружения этого злоумышленника». Неготовность большинства компаний к отражению масштабных кибератакам отмечают и специалисты Bi.Zone. «Киберпреступность растет, векторов потенциальных атак становится все больше, а у компаний зачастую нет средств на содержание большой команды специалистов и поддержку дорогостоящих локальных решений», — говорит Антон Окошкин, технический директор Bi.Zone. Однако всегда можно найти варианты с аутсором, переложить часть задач на AI — в фаворе направление максимальной автоматизации и роботизации, как отмечает г-н Казеннов — и т. д. Только организацией защиты как единого комплекса должны заниматься профессионалы.
Очевидно, что с ростом количества, разнообразия и масштабов угроз будет увеличиваться спрос на ИБ. "В прошлом году на рынке был заметен существенный рост интереса к реализации проектов в области информационной безопасности. Все больше заказчиков осознают важность комплексного подхода«,— говорит Владимир Лавров, директор управления информационной безопасности группы компаний Softline. Сегодня комплексный подход нужен в самом широком плане — от подготовки специалистов до тренировки защитных AI-систем методами «состязательного машинного обучения», от поставки профильных программ и аппаратных решений до предоставления ИБ-сервисов вплоть до SoC и cloud-ресурсов нового типа, примером которых является Def.Zone, платформа «облачных» сервисов для защиты от цифровых угроз. Будущее за интегральным управление рисками, не только «кибер-», но и других классов в единых системах, уверен Станислав Кузнецов, заместитель Председателя Правления «Сбербанка». Система безопасности компаний должна быть сплетена из компонентов разных типов — «зашитых» вендорами в используемые решения, профильных программных или аппаратных элементов, внешних услуг — от консалтинговых до «облачных», включая сервисы SOC.
Систему ИБ необходимо постоянно тестировать и непрерывно развивать — рельеф рынка угроз быстро развивается, ему должна соответствовать защита. «Соблюдение норм и стандартов может показать высокую эффективность используемых инструментов ИБ, но лишь на бумаге, — говорит Адам Бишоп, генеральный директор, Cyber R&D Lab. — Стресс-тест систем защиты компании с привлечением сторонних пентестеров продемонстрирует, насколько эти инструменты эффективны в реальных условиях».
Соответственно, участников рынка, задействованных в сегменте ИБ, будет много, как по количеству, так и по вариантам профиля деятельности — начиная от привычных (вендоров, дистрибьюторов, интеграторов) до профильных (предоставляющих SOC, услуги консалтинга, «компьютерных следователей» и т. д.), включая неожиданные (например, страховые компании, которых киберинциденты по понятной причине волнуют все больше).
Источник: Александр Маляревский, внештатный обозреватель CRN/RE