في 20-21 يونيو، استضافت موسكو . بناءً على نتائج الحدث، يمكن للزوار استخلاص الاستنتاجات التالية:
- وتنتشر الأمية الرقمية بين المستخدمين وبين مجرمي الإنترنت أنفسهم؛
- تستمر الشركات الأولى في الوقوع في فخ التصيد الاحتيالي، وفتح الروابط الخطيرة، وإدخال البرامج الضارة إلى شبكات الشركات من الهواتف الذكية الشخصية؛
- من بين هؤلاء، هناك المزيد والمزيد من الوافدين الجدد الذين يطاردون المال السهل دون الانغماس في التكنولوجيا - فقد قاموا بتنزيل شبكة الروبوتات على الويب المظلم، وإعداد الأتمتة ومراقبة رصيد المحفظة؛
- يُترك متخصصو الأمن للاعتماد على التحليلات المتقدمة، والتي بدونها يكون من السهل جدًا تفويت التهديد الموجود في ضجيج المعلومات.
وعقد المؤتمر في مركز التجارة العالمي. يرجع اختيار الموقع إلى حقيقة أن هذا هو أحد المرافق القليلة التي حصلت على إذن من جهاز الأمن الفيدرالي لعقد الأحداث على أعلى المستويات في البلاد. ويمكن لزوار المؤتمر الاستماع إلى خطابات وزير التنمية الرقمية كونستانتين نوسكوف، ورئيس البنك المركزي إلفيرا نابيولينا، ورئيس سبيربنك جيرمان جريف. ومثل الجمهور الدولي الرئيس التنفيذي لشركة هواوي روسيا إيدن وو، ومدير يوروبول المتقاعد يورغن ستوربيك، ورئيس مجلس الأمن السيبراني الألماني هانز فيلهلم دون وغيرهم من الخبراء رفيعي المستوى.
هل المريض على قيد الحياة؟
واختار المنظمون موضوعات مناسبة للمناقشات العامة والتقارير ذات التوجه العملي حول القضايا الفنية. في معظم العروض التقديمية، تم ذكر الذكاء الاصطناعي بطريقة أو بأخرى - ويُحسب للمتحدثين أنهم غالبًا ما اعترفوا بأنفسهم أنه في تجسيده الحالي هو "موضوع ضجيج" أكثر من كونه مجموعة تقنية فعالة حقًا. وفي الوقت نفسه، من الصعب اليوم تخيل حماية البنية التحتية الكبيرة للشركات دون التعلم الآلي وعلوم البيانات.
يمكن اكتشاف الهجوم في المتوسط بعد ثلاثة أشهر من اختراق البنية التحتية.
لأن التوقيعات وحدها لا تستطيع إيقاف 300 ألف برنامج ضار جديد يظهر على الإنترنت كل يوم (بحسب كاسبرسكي لاب). ويستغرق متخصصو الأمن السيبراني ما متوسطه ثلاثة أشهر لاكتشاف المتسللين على شبكتهم. خلال هذا الوقت، يتمكن المتسللون من الحصول على موطئ قدم في البنية التحتية بحيث يجب طردهم ثلاث أو أربع مرات. لقد قمنا بتنظيف المخازن وتم إرجاع البرامج الضارة عبر اتصال بعيد ضعيف. لقد أنشأوا أمانًا للشبكة - يرسل المجرمون رسالة إلى الموظف تحتوي على حصان طروادة من المفترض أنه من شريك تجاري منذ فترة طويلة، والذي تمكنوا أيضًا من اختراقه. وهكذا حتى النهاية المريرة، بغض النظر عمن سيفوز في النهاية.
قام A وB ببناء أمن المعلومات
وعلى هذا الأساس، هناك مجالان متوازيان لأمن المعلومات ينموان بسرعة: السيطرة واسعة النطاق على البنية التحتية القائمة على مراكز الأمن السيبراني (مركز العمليات الأمنية، SOC) والكشف عن النشاط الضار من خلال السلوك الشاذ. يحث العديد من المتحدثين، مثل نائب رئيس تريند مايكرو لمنطقة آسيا والمحيط الهادئ والشرق الأوسط وإفريقيا، دانيا ثكار، المسؤولين على افتراض أنهم قد تعرضوا للاختراق بالفعل - وعدم تفويت الأحداث المشبوهة، بغض النظر عن مدى تافهتها.
IBM حول مشروع SOC نموذجي: "أولاً تصميم نموذج الخدمة المستقبلية، ثم تنفيذه، وبعد ذلك فقط نشر الأنظمة التقنية اللازمة."
ومن هنا تزايد شعبية مراكز عمليات الأمان (SOCs)، التي تغطي جميع مجالات البنية التحتية وتقوم على الفور بالإبلاغ عن النشاط المفاجئ لبعض أجهزة التوجيه المنسية. وكما قال جورجي راكز، مدير شركة IBM Security Systems في أوروبا، فقد طور المجتمع المهني في السنوات الأخيرة فهمًا معينًا لهياكل التحكم هذه، مدركًا أنه لا يمكن تحقيق الأمن بالوسائل التقنية وحدها. تقدم مراكز عمليات الأمن (SOCs) اليوم نموذجًا لخدمة أمن المعلومات للشركة، مما يسمح بدمج أنظمة الأمان في العمليات الحالية.
معك سيفي وقوسي وفأسي
الأعمال موجودة في ظل نقص الموظفين - يحتاج السوق إلى حوالي 2 مليون متخصص في أمن المعلومات. وهذا يدفع الشركات نحو نموذج الاستعانة بمصادر خارجية. غالبًا ما تفضل الشركات نقل المتخصصين لديها إلى كيان قانوني منفصل - وهنا يمكننا أن نتذكر شركة SberTech، شركة التكامل الخاصة بمطار دوموديدوفو، وأمثلة أخرى. ما لم تكن أحد عمالقة الصناعة، فمن المرجح أن تلجأ إلى شخص مثل IBM لمساعدتك في بناء فريق الأمان الخاص بك. سيتم إنفاق جزء كبير من الميزانية على عمليات إعادة الهيكلة من أجل إطلاق أمن المعلومات في شكل خدمات الشركات.
وقد أثارت فضائح التسريبات من فيسبوك، وأوبر، ومكتب الائتمان الأمريكي إيكويفاكس، قضايا حماية تكنولوجيا المعلومات إلى مستوى مجالس الإدارة. لذلك، يصبح CISO مشاركًا متكررًا في الاجتماعات، وبدلاً من النهج التكنولوجي للأمان، تستخدم الشركات عدسة الأعمال - لتقييم الربحية، وتقليل المخاطر، ووضع القش. ومكافحة مجرمي الإنترنت لها دلالة اقتصادية - من الضروري جعل الهجوم غير مربح حتى لا تكون المنظمة موضع اهتمام المتسللين من حيث المبدأ.
هناك فروق دقيقة
كل هذه التغييرات لم تمر على المهاجمين، الذين أعادوا توجيه الجهود من الشركات إلى المستخدمين الخاصين. الأرقام تتحدث عن نفسها: وفقًا لشركة BI.ZONE، في الفترة 2017-2018، انخفضت خسائر البنوك الروسية بسبب الهجمات السيبرانية على أنظمتها بأكثر من 10 مرات. من ناحية أخرى، ارتفعت حوادث الهندسة الاجتماعية في نفس البنوك من 13% في عام 2014 إلى 79% في عام 2018.
وجد المجرمون حلقة ضعيفة في محيط أمان الشركة، والتي تبين أنها مستخدمين خاصين. عندما طلب أحد المتحدثين من كل من لديه برنامج متخصص لمكافحة الفيروسات على هواتفهم الذكية أن يرفعوا أيديهم، استجاب ثلاثة من بين عشرات الأشخاص.
وفي عام 2018، شارك مستخدمون من القطاع الخاص في كل خامس حادث أمني، وتم تنفيذ 80% من الهجمات على البنوك باستخدام الهندسة الاجتماعية.
يُدلل المستخدمون المعاصرون بالخدمات البديهية التي تعلمهم تقييم تكنولوجيا المعلومات من حيث الراحة. أدوات الأمان التي تضيف بضع خطوات إضافية تتحول إلى مصدر إلهاء. ونتيجة لذلك، تخسر الخدمة الآمنة أمام منافس لديه أزرار أجمل، ويتم فتح مرفقات رسائل البريد الإلكتروني المخادعة دون قراءتها. تجدر الإشارة إلى أن الجيل الجديد لا يُظهر المعرفة الرقمية المنسوبة إليه - ففي كل عام يصبح ضحايا الهجمات أصغر سناً، كما أن حب جيل الألفية للأدوات الذكية لا يؤدي إلا إلى توسيع نطاق نقاط الضعف المحتملة.
الوصول إلى الشخص
أدوات الأمن اليوم تحارب الكسل البشري. فكر فيما إذا كان الأمر يستحق فتح هذا الملف؟ هل أحتاج إلى اتباع هذا الرابط؟ دع هذه العملية في وضع الحماية، وسوف تقوم بتقييم كل شيء مرة أخرى. تقوم أدوات التعلم الآلي بجمع بيانات حول سلوك المستخدم باستمرار لتطوير ممارسات آمنة لا تسبب أي إزعاج غير ضروري.
ولكن ماذا تفعل مع العميل الذي يقنع أحد المتخصصين في مكافحة الاحتيال بالسماح بمعاملة مشبوهة، على الرغم من إخباره مباشرة بأن حساب المستلم قد تم اكتشافه في معاملات احتيالية (حالة حقيقية من ممارسة BI.ZONE)؟ كيف تحمي المستخدمين من المهاجمين الذين يمكنهم انتحال مكالمة من أحد البنوك؟
يتم تنفيذ ثمانية من كل عشرة هجمات للهندسة الاجتماعية عبر الهاتف.
أصبحت المكالمات الهاتفية هي القناة الرئيسية للهندسة الاجتماعية الضارة - ففي عام 2018، زادت حصة هذه الهجمات من 27% إلى 83%، متفوقة بفارق كبير على الرسائل النصية القصيرة والشبكات الاجتماعية والبريد الإلكتروني. يقوم المجرمون بإنشاء مراكز اتصال كاملة للاتصال بالأشخاص لتقديم عروض لكسب المال في البورصة أو تلقي الأموال مقابل المشاركة في الاستطلاعات. يجد العديد من الأشخاص صعوبة في فهم المعلومات بشكل نقدي عندما يُطلب منهم اتخاذ قرارات فورية مع الوعد بمكافآت رائعة.
الاتجاه الأخير هو عمليات الاحتيال في برامج الولاء التي تحرم الضحايا من سنوات من الأميال المتراكمة، ولترات مجانية من البنزين وغيرها من المكافآت. كما يظل الاشتراك الكلاسيكي المدفوع في خدمات الهاتف المحمول غير الضرورية ذا صلة أيضًا. يحتوي أحد التقارير على مثال لمستخدم خسر 8 آلاف روبل يوميًا بسبب هذه الخدمات. وعندما سئل لماذا لم ينزعج من الرصيد المتناقص باستمرار، أجاب الرجل أنه يعزو ذلك كله إلى جشع معيله.
قراصنة غير روس
تعمل الأجهزة المحمولة على طمس الخط الفاصل بين الهجمات على المستخدمين من القطاع الخاص والشركات. على سبيل المثال، قد يبحث الموظف سرًا عن وظيفة جديدة. يصادف خدمة إعداد السيرة الذاتية على الإنترنت ويقوم بتنزيل تطبيق أو قالب مستند على هاتفه الذكي. هذه هي الطريقة التي ينتهي بها الأمر بالمهاجمين الذين أطلقوا المورد الزائف عبر الإنترنت إلى أداة شخصية، حيث يمكنهم الانتقال من خلالها إلى شبكة الشركة.
وكما قال أحد المتحدثين من Group-IB، فإن مثل هذه العملية تم تنفيذها من قبل مجموعة لازاروس المتقدمة، والتي توصف بأنها وحدة من المخابرات الكورية الشمالية. هؤلاء هم بعض مجرمي الإنترنت الأكثر إنتاجية في السنوات الأخيرة - فهم مسؤولون عن السرقات من и , وحتى . مجموعات APT (من التهديد المستمر المتقدم باللغة الإنجليزية، "التهديد المتقدم المستقر")، والتي ارتفع عددها إلى عدة عشرات في السنوات الأخيرة، تدخل البنية التحتية بجدية ولفترة طويلة، بعد أن درست مسبقًا جميع ميزاتها ونقاط ضعفها. هذه هي الطريقة التي تمكنوا بها من التعرف على المسارات الوظيفية للموظف الذي لديه حق الوصول إلى نظام المعلومات الضروري.
واليوم، تتعرض المنظمات الكبرى للتهديد من قِبَل 100 إلى 120 مجموعة إلكترونية خطيرة بشكل خاص، حيث تهاجم كل خمس شركات في روسيا.
وقدر تيمور بياتشويف، رئيس قسم أبحاث التهديدات في كاسبرسكي لاب، عدد المجموعات الأكثر خطورة بما يتراوح بين 100 و120 مجتمعًا، ويوجد الآن عدة مئات منها في المجموع. الشركات الروسية مهددة بحوالي 20%. تعيش نسبة كبيرة من المجرمين، وخاصة أولئك الذين ينتمون إلى الجماعات الناشئة حديثًا، في جنوب شرق آسيا.
يجوز لمجتمعات APT إنشاء شركة لتطوير البرمجيات على وجه التحديد لتغطية أنشطتها أو للوصول إلى عدة مئات من أهدافك. ويراقب الخبراء باستمرار مثل هذه المجموعات، ويجمعون الأدلة المتفرقة لتحديد الهوية المؤسسية لكل منها. تظل الاستخبارات المتعلقة بالتهديدات أفضل سلاح وقائي ضد الجرائم الإلكترونية.
من ستكون؟
يقول الخبراء إن المجرمين يمكنهم بسهولة تغيير أدواتهم وتكتيكاتهم، وكتابة برامج ضارة جديدة، واكتشاف نواقل هجوم جديدة. قام نفس "لازاروس" في إحدى حملاته بإدخال كلمات روسية في الكود من أجل تضليل التحقيق. ومع ذلك، فإن نمط السلوك نفسه أكثر صعوبة في التغيير، لذلك يمكن للخبراء تخمين السمات المميزة التي نفذت هذا الهجوم أو ذاك. وهنا يتم مساعدتهم مرة أخرى من خلال البيانات الضخمة وتقنيات التعلم الآلي، التي تفصل القمح عن القشر في المعلومات التي يتم جمعها عن طريق المراقبة.
وتحدث المتحدثون في المؤتمر عن مشكلة الإسناد، أو تحديد هوية المهاجمين، أكثر من مرة أو مرتين. وتشمل هذه التحديات قضايا تكنولوجية وقانونية. على سبيل المثال، هل المجرمين محميون بموجب قوانين الخصوصية؟ بالطبع، نعم، مما يعني أنه لا يمكنك إرسال معلومات حول منظمي الحملة إلا في شكل مجهول. وهذا يفرض بعض القيود على عمليات تبادل البيانات داخل مجتمع أمن المعلومات المهني.
كما أن تلاميذ المدارس والمشاغبين، عملاء متاجر القرصنة السرية، يجعلون من الصعب التحقيق في الحوادث. لقد انخفضت عتبة الدخول إلى صناعة الجرائم الإلكترونية إلى حد أن صفوف الجهات الفاعلة الخبيثة تميل إلى أن تكون لا نهائية، ولا يمكنك إحصاؤها جميعًا.
جميل بعيد
من السهل أن نشعر باليأس من فكرة قيام الموظفين بإنشاء باب خلفي للنظام المالي بأيديهم، ولكن هناك أيضًا اتجاهات إيجابية. تؤدي الشعبية المتزايدة للمصادر المفتوحة إلى زيادة شفافية البرامج وتسهيل مكافحة عمليات حقن التعليمات البرمجية الضارة. يقوم متخصصو علوم البيانات بإنشاء خوارزميات جديدة تحظر الإجراءات غير المرغوب فيها عندما تكون هناك علامات على نوايا ضارة. ويحاول الخبراء تقريب آليات الأنظمة الأمنية إلى طريقة عمل الدماغ البشري، بحيث تستخدم الدفاعات الحدس إلى جانب الأساليب التجريبية. تسمح تقنيات التعلم العميق لمثل هذه الأنظمة بالتطور بشكل مستقل بناءً على نماذج الهجوم السيبراني.
سكولتيك: "الذكاء الاصطناعي رائج، وهذا أمر جيد. في الواقع، لا يزال الطريق طويلا للوصول إلى هناك، وهذا أفضل.
وكما ذكّر غريغوري كاباتيانسكي، مستشار رئيس معهد سكولكوفو للعلوم والتكنولوجيا، المستمعين، فإن مثل هذه التطورات لا يمكن أن تسمى الذكاء الاصطناعي. لن يتمكن الذكاء الاصطناعي الحقيقي من قبول المهام من البشر فحسب، بل سيكون قادرًا أيضًا على تعيينها بشكل مستقل. إن ظهور مثل هذه الأنظمة، التي ستأخذ مكانها حتما بين المساهمين في الشركات الكبرى، لا يزال على بعد عدة عقود.
وفي هذه الأثناء، تعمل البشرية بتقنيات التعلم الآلي والشبكات العصبية، التي بدأ الأكاديميون يتحدثون عنها في منتصف القرن الماضي. يستخدم باحثو Skoltech النمذجة التنبؤية للعمل مع إنترنت الأشياء وشبكات الهاتف المحمول والاتصالات اللاسلكية والحلول الطبية والمالية. في بعض المناطق، تعمل التحليلات المتقدمة على مكافحة تهديد الكوارث التي من صنع الإنسان ومشاكل أداء الشبكة. وفي حالات أخرى، يقترح خيارات لحل المشكلات الحالية والافتراضية، ويحل مشكلات مثل في وسائل الإعلام التي تبدو غير ضارة.
التدريب على القطط
يرى إيجور لابونوف، نائب الرئيس لأمن المعلومات في شركة Rostelecom PJSC، أن المشكلة الأساسية للتعلم الآلي في أمن المعلومات تكمن في نقص المواد اللازمة للأنظمة الذكية. يمكن تعليم الشبكة العصبية كيفية التعرف على قطة من خلال عرض آلاف الصور الفوتوغرافية لهذا الحيوان. أين يمكنني أن أجد الآلاف من الهجمات السيبرانية لأذكرها كأمثلة؟
يساعد الذكاء الاصطناعي الأولي اليوم في البحث عن آثار المجرمين على الإنترنت المظلم وتحليل البرامج الضارة المكتشفة بالفعل. مكافحة الاحتيال، ومكافحة غسيل الأموال، وتحديد نقاط الضعف في التعليمات البرمجية جزئيًا - كل هذا يمكن القيام به أيضًا بوسائل آلية. ويمكن أن يعزى الباقي إلى المشاريع التسويقية لمطوري البرمجيات، وهذا لن يتغير خلال السنوات الخمس إلى العشر القادمة.
المصدر: www.habr.com