26 июня 2025 г.

Окончание. Начало тут

Как бороться с новой напастью?

На этот счёт Константин Мельников, руководитель Департамента специальных сервисов компании Infosecurity (с 2024 г. входит в ГК Softline), даёт такие рекомендации: «Основная защита от киберугроз начинается с осознанности действий. Поэтому, прежде чем скачивать программное обеспечение или переходить на сомнительные ресурсы, следует оценить легитимность этих действий и возможные риски. Особую осторожность требуется проявлять в ситуациях, связанных с цифровыми двойниками и дипфейками. Например, если сотрудник аналитического отдела получает сообщения от представителей силовых структур или высшего руководства компании через личные мессенджеры или телефон, это должно вызывать вопросы. В подобных случаях контакт должен осуществляться через непосредственного руководителя.

Дипфейки можно распознать по ряду признаков. Несмотря на высокое качество современных подделок, они редко бывают идеальными. Во-первых, такие записи чаще всего ограничиваются изображением лица, шеи и плеч, так как злоумышленники не всегда располагают полными данными о внешности человека. Например, если реальный человек имеет особенности телосложения, а на видео выглядит неестественно безупречно, это вызывает подозрения.

Во-вторых, речевые обороты и произношение в дипфейках могут быть неестественными из-за недостаточной обработки звука. В-третьих, ранее злоумышленники маскировали низкое качество подделок искусственными помехами — размытым видео, плохим звуком или отговорками о плохом интернет-соединении. Чтобы защититься от угроз необходимо повышать цифровую грамотность, соблюдать правила кибергигиены, быть внимательным к деталям, которые могут указывать на подделку и использовать базовые средства защиты, такие как антивирусное ПО и своевременное обновление систем. Эти меры не гарантируют абсолютной безопасности, но значительно снижают риски попадания на фишинговые ресурсы или загрузки вредоносного ПО».

А вот что рассказал директор по продукту Crosstech Solutions Group Альберт Газизов: «Да, можно сказать, что число атак с применением технологии искусственного интеллекта стремительно растет. Росту числа атак способствует развивающийся уровень автоматизации. Даже неквалифицированные злоумышленники с доступом к ИИ-инструментам могут запускать относительно сложные атаки. Однако важно уточнить, что на текущей момент еще небольшая доля злоумышленников действительно используют продвинутый искусственный интеллект. Чаще всего киберпреступники используют ИИ для автоматизации фишинга и формирования качественного контента. Например, deepfake-аудио и видео, генерация гиперперсонализированных электронных писем с высоким уровнем социальной инженерии.

С приходом ИИ усилились угрозы, связанные с автоматизацией поиска и эксплуатации уязвимостей. Современные технологии значительно ускоряют процессы сканирования, позволяя в реальном времени подбирать и использовать уязвимости, формируя оптимальные цепочки эксплуатации под конкретные операционные системы. Началось активное развитие полиморфного вредоносного ПО — ИИ помогает создавать самоизменяющиеся исполняемые файлы и скрипты, что существенно затрудняет их обнаружение средствами защиты. Кроме того, уже появляются сценарии, при которых сотрудники скачивают скрипты или копируют фрагменты кода, сгенерированные LLM, в которых могут быть внедрены вредоносные команды. Часто такие скрипты маскируются под административные утилиты, что делает их особенно опасными.

Следующим этапом эволюции будет использование ИИ для создания более адаптивных и скрытных вредоносных программ, развитие автоматизированных механизмов, которые будут самостоятельно менять тактики и инструменты в реальном времени. ИИ значительно расширяет возможности злоумышленников, делая атаки на операционные системы более масштабными, быстрыми, точечными и адаптивными, которые трудно обнаружить классическими средствами защиты. Поэтому компаниям необходимо внедрять более продвинутые средства киберзащиты с применением новейших технологий».

Об эволюции методов киберзащиты можно говорить долго. На вопрос «Какие именно средства защиты ОС вы считаете современными?» Альберт Газизов ответил так: "Современные средства защиты ОС включают автоматизированные возможности мониторинга, оповещения и исправления на основе ИИ. Они обеспечивают прозрачность происходящего в реальном времени и в компонентах распределенной инфраструктуры. В этот перечень также входят автоматическая микросегментация и инструменты, которые восстанавливают критические файлы и конфигурации ОС.

На передний план выходят технологии проактивного поиска угроз и поведенческая аналитика. Эти технологии отслеживают поведение процессов и обнаруживают аномалии, например, изменение в работе ядра, dll injection. Именно поведенческий подход и автоматизированный поиск угроз должны быть в приоритете для защиты от атак с применением ИИ«‎.

Интересно отметить, что во время упомянутого выше круглого стола никто не упомянул ГОСТ Р 56939-202Х «Защита информации. Разработка безопасного программного обеспечения. Общие требования», который пришел на смену ранее действовавшему, но уже во многом устаревшему стандарту ГОСТ Р 56939-2016, и который активно обсуждался год назад в рамках OS Day 2024. Поэтому после завершения нынешнего круглого стола мы задали его ведущему Андрею Духвалову, вице-президенту, директору департамента перспективных технологий «Лаборатории Касперского», вопрос: «Что делать в нынешних условиях разработчикам ОС и другого системного ПО для радикального повышения уровня кибербезопасности своих продуктов? Можно ли сказать, что им первым делом стоит повнимательнее присмотреться к ГОСТ Р 56939-202Х „Защита информации. Разработка безопасного программного обеспечения. Общие требования“, который активно обсуждался на прошлогоднем OS Day 2024?»

Вот как он ответил: «Безопасность — это такое же свойство разрабатываемой системы, как и любая другая функциональность. И проектировать свойства безопасности нужно одновременно с проектированием системы в целом. А, значит, и требования к безопасности системы нужно предъявлять одновременно с остальными требованиями. Если же говорить о радикальном повышении уровня кибербезопасности в системном ПО, то главный шаг — это не просто улучшение отдельных защитных механизмов, а переосмысление архитектуры систем. Именно поэтому мы выступаем за внедрение решений, безопасных на уровне архитектуры. В „Лаборатории Касперского“ такие решения создаются с помощью кибериммунного подхода к разработке. Он подразумевает, что безопасность закладывается в продукт с самого начала. В таких системах даже при наличии уязвимостей атаки не приводят к серьёзным последствиям, потому что архитектура по определению ограничивает действия потенциального злоумышленника. Что касается упомянутого вами ГОСТа по разработке безопасного ПО — да, это важнейший документ. Стандарты — это, в первую очередь, каркас, набор методических и процессных рекомендаций. Их применение действительно может улучшить процессы разработки, особенно в части управления уязвимостями, требований к обновлениям и контроля качества. Поэтому изучение и внедрение ГОСТов необходимо, особенно в сочетании с переходом к созданию конструктивно безопасных решений. То есть от наложенных средств защиты софта необходимо переходить к защите на уровне его архитектуры. И именно такой подход, на наш взгляд, станет ключевым в будущем безопасного программного обеспечения».

Источник: Владимир Митин