На 20-21 юни Москва беше домакин . Въз основа на резултатите от събитието посетителите могат да направят следните изводи:
- цифровата неграмотност се разпространява както сред потребителите, така и сред самите киберпрестъпници;
- първите продължават да се поддават на фишинг, отварят опасни връзки и внасят зловреден софтуер в корпоративните мрежи от лични смартфони;
- сред последните има все повече новодошли, които преследват лесни пари, без да се потапят в технологиите - изтеглиха ботнет в тъмната мрежа, настроиха автоматизация и следят баланса на портфейла;
- специалистите по сигурността са оставени да разчитат на напреднали анализи, без които е много лесно да пропуснете заплахата в информационния шум.
Конгресът се проведе в Световния търговски център. Изборът на обекта се обяснява с факта, че това е едно от малкото съоръжения с разрешение на Федералната служба за сигурност за провеждане на събития с най-висок ранг на страната. Посетителите на конгреса можеха да чуят изказвания на министъра на цифровото развитие Константин Носков, ръководителя на Централната банка Елвира Набиулина и президента на Сбербанк Герман Греф. Международната публика беше представена от главния изпълнителен директор на Huawei Русия Ейдън Ву, пенсионирания директор на Европол Юрген Щорбек, президента на Германския съвет по киберсигурност Ханс-Вилхелм Дюн и други високопоставени експерти.
Жив ли е пациентът?
Организаторите подбраха теми, подходящи както за общи дискусии, така и за доклади с практическа насоченост по технически въпроси. В повечето презентации изкуственият интелект беше споменат по един или друг начин - за чест на лекторите, те често сами признаваха, че в сегашното си въплъщение това е по-скоро „хайп тема“, отколкото наистина работещ стек от технологии. В същото време днес е трудно да си представим защитата на голяма корпоративна инфраструктура без машинно обучение и Data Science.
Една атака може да бъде открита средно три месеца след проникване в инфраструктурата.
Защото сигнатурите сами по себе си не могат да спрат 300-те хиляди нови зловреден софтуер, които се появяват в интернет всеки ден (според Kaspersky Lab). И на професионалистите по киберсигурност са нужни средно три месеца, за да открият нарушители в тяхната мрежа. През това време хакерите успяват да се настанят до такава степен в инфраструктурата, че трябва да бъдат изгонени три-четири пъти. Изчистихме хранилищата и зловредният софтуер се върна чрез уязвима отдалечена връзка. Те са установили мрежова сигурност - престъпниците изпращат на служител писмо с троянски кон, уж от дългогодишен бизнес партньор, когото също са успели да компрометират. И така до горчивия край, без значение кой в крайна сметка ще спечели.
A и B изградиха информационна сигурност
На тази база бързо се разрастват две паралелни области на информационна сигурност: широко разпространен контрол върху инфраструктурата, базиран на центрове за киберсигурност (Security Operations Center, SOC) и откриване на злонамерена дейност чрез аномално поведение. Много лектори, като вицепрезидента на Trend Micro за Азия, Близкия изток и Африка, Dhanya Thakkar, призовават администраторите да приемат, че вече са били хакнати - да не пропускат подозрителни събития, колкото и незначителни да изглеждат.
IBM за типичен SOC проект: „Първо проектиране на бъдещия модел на услугата, след това внедряването му и едва след това внедряването на необходимите технически системи.“
Оттук и нарастващата популярност на SOC, които покриват всички области на инфраструктурата и своевременно съобщават за внезапната активност на някой забравен рутер. Както каза директорът на IBM Security Systems в Европа, Джорджи Рац, през последните години професионалната общност е развила определено разбиране за подобни структури за контрол, осъзнавайки, че сигурността не може да бъде постигната само с технически средства. Днешните SOC предоставят модел на услуга за информационна сигурност в компанията, позволявайки системите за сигурност да бъдат интегрирани в съществуващи процеси.
С теб са моят меч, моят лък и моята брадва
Бизнесът съществува в условията на кадрови дефицит - пазарът се нуждае от около 2 милиона специалисти по информационна сигурност. Това тласка компаниите към аутсорсинг модел. Корпорациите често предпочитат да преместят дори собствените си специалисти в отделно юридическо лице - тук можем да си припомним SberTech, собствения интегратор на летище Домодедово и други примери. Освен ако не сте индустриален гигант, е по-вероятно да се обърнете към някой като IBM, за да ви помогне да изградите свой собствен екип за сигурност. Значителна част от бюджета ще бъде изразходвана за процеси на преструктуриране с цел стартиране на информационната сигурност във формата на корпоративни услуги.
Скандали с изтичане на информация от Facebook, Uber и американското кредитно бюро Equifax повдигнаха въпросите за ИТ защитата на ниво бордове на директори. Поради това CISO става чест участник в срещите и вместо технологичен подход към сигурността, компаниите използват бизнес обектив - оценяват рентабилността, намаляват рисковете, подреждат сламки. А противодействието на киберпрестъпниците придобива икономическа конотация - необходимо е да се направи атаката нерентабилна, така че организацията да не представлява интерес за хакерите по принцип.
Има нюанси
Всички тези промени не подминаха нападателите, които пренасочиха усилията от корпорациите към частните потребители. Цифрите говорят сами за себе си: според компанията BI.ZONE през 2017-2018 г. загубите на руските банки от кибератаки срещу техните системи са намалели с повече от 10 пъти. От друга страна, инцидентите със социално инженерство в същите банки са се увеличили от 13% през 2014 г. на 79% през 2018 г.
Престъпниците откриха слабо звено в периметъра на корпоративната сигурност, което се оказа частни потребители. Когато един от лекторите помоли всички, които имат специализиран антивирусен софтуер на смартфона си, да вдигнат ръце, трима от няколко десетки души отговориха.
През 2018 г. частни потребители са участвали във всеки пети инцидент със сигурността; 80% от атаките срещу банки са извършени чрез социално инженерство.
Съвременните потребители са разглезени от интуитивни услуги, които ги учат да оценяват ИТ от гледна точка на удобство. Инструментите за сигурност, които добавят няколко допълнителни стъпки, се оказват разсейващи. В резултат на това защитената услуга губи от конкурент с по-красиви бутони и прикачените файлове към фишинг имейлите се отварят, без да бъдат прочетени. Струва си да се отбележи, че новото поколение не демонстрира цифровата грамотност, която му се приписва - всяка година жертвите на атаки стават все по-млади, а любовта на хилядолетията към джаджи само разширява обхвата на възможните уязвимости.
Достигнете до човека
Средствата за сигурност днес се борят с човешкия мързел. Помислете дали си струва да отворите този файл? Трябва ли да следвам този линк? Оставете този процес да седи в пясъчната кутия и вие ще оцените всичко отново. Инструментите за машинно обучение постоянно събират данни за поведението на потребителите, за да разработят безопасни практики, които не причиняват ненужно неудобство.
Но какво да правим с клиент, който убеждава специалист по борба с измамите да разреши съмнителна транзакция, въпреки че директно му е казано, че сметката на получателя е засечена в измамни транзакции (реален случай от практиката на BI.ZONE)? Как да защитим потребителите от нападатели, които могат да подправят обаждане от банка?
Осем от десет атаки чрез социално инженерство се извършват по телефона.
Именно телефонните обаждания се превръщат в основен канал за злонамерено социално инженерство – през 2018 г. делът на подобни атаки се е увеличил от 27% на 83%, далеч пред SMS-ите, социалните мрежи и имейлите. Престъпниците създават цели кол центрове, за да се обаждат на хора с предложения да правят пари на фондовата борса или да получават пари за участие в проучвания. На много хора им е трудно да възприемат критично информацията, когато от тях се изисква да вземат незабавни решения с обещание за впечатляващи награди.
Последната тенденция са измамите с програми за лоялност, които лишават жертвите от години натрупани мили, безплатни литри бензин и други бонуси. Доказалата се класика, платен абонамент за ненужни мобилни услуги, също остава актуална. В един от докладите имаше пример за потребител, който губи 8 хиляди рубли на ден поради такива услуги. На въпроса защо не го притеснява постоянно намаляващото салдо, мъжът отговори, че приписва всичко на алчността на своя доставчик.
Неруски хакери
Мобилните устройства размиват границата между атаките срещу частни и корпоративни потребители. Например, служител може тайно да търси нова работа. Той попада на услуга за изготвяне на автобиография в интернет и изтегля шаблон за приложение или документ на смартфона си. Ето как нападателите, стартирали фалшивия онлайн ресурс, се озовават на лична джаджа, откъдето могат да се преместят в корпоративната мрежа.
Както каза говорител от Group-IB, точно такава операция е извършена от напредналата група Lazarus, която се описва като звено на севернокорейското разузнаване. Това са едни от най-продуктивните киберпрестъпници през последните години - те са отговорни за кражби от и , и дори . APT групите (от английската напреднала постоянна заплаха, „стабилна напреднала заплаха“), чийто брой е нараснал до няколко десетки през последните години, навлизат в инфраструктурата сериозно и за дълго време, като предварително са проучили всички нейни характеристики и слабости. Така успяват да разберат за кариерните пътища на служител, който има достъп до необходимата информационна система.
Днес големите организации са заплашени от 100-120 особено опасни кибергрупи, като всяка пета атакува компании в Русия.
Тимур Биячуев, ръководител на отдела за изследване на заплахи в Kaspersky Lab, оцени броя на най-опасните групи на 100-120 общности, а сега има общо няколкостотин от тях. Руските компании са застрашени от около 20%. Значителна част от престъпниците, особено тези от новопоявилите се групи, живеят в Югоизточна Азия.
APT общностите могат специално да създадат компания за разработка на софтуер, която да покрива техните дейности или за да достигнете няколкостотин от вашите цели. Експертите непрекъснато наблюдават такива групи, събирайки разпръснати доказателства, за да определят корпоративната идентичност на всяка от тях. Разузнаването на заплахи остава най-доброто превантивно оръжие срещу киберпрестъпленията.
Чия ще бъдеш?
Експертите казват, че престъпниците могат лесно да променят своите инструменти и тактики, да пишат нов зловреден софтуер и да откриват нови вектори на атака. Същият Лазар в една от кампаниите си вмъкна руски думи в кода, за да насочи разследването погрешно. Самият модел на поведение обаче се променя много по-трудно, така че експертите могат да се досетят по характерните черти кой е извършил тази или онази атака. Тук отново им помагат технологиите за големи данни и машинно обучение, които разделят житото от плявата в информацията, събрана чрез мониторинг.
Лекторите на конгреса говориха за проблема с приписването или определянето на самоличността на нападателите повече от веднъж или два пъти. Тези предизвикателства включват както технологични, така и правни проблеми. Например, защитени ли са престъпниците от законите за поверителност? Разбира се, да, което означава, че можете да изпращате информация за организаторите на кампании само в анонимна форма. Това налага някои ограничения върху процесите на обмен на данни в рамките на общността за професионална информационна сигурност.
Учениците и хулиганите, клиенти на подземни хакерски магазини, също затрудняват разследването на инциденти. Прагът за навлизане в индустрията на киберпрестъпността е спаднал до такава степен, че редиците на злонамерените участници са безкрайни - не можете да ги преброите всички.
красиво далеч
Лесно е да се отчаем при мисълта, че служителите създават задната вратичка към финансовата система със собствените си ръце, но има и положителни тенденции. Нарастващата популярност на отворения код увеличава прозрачността на софтуера и улеснява борбата с инжектирането на зловреден код. Специалистите по Data Science създават нови алгоритми, които блокират нежелани действия, когато има признаци на злонамерено намерение. Експертите се опитват да доближат механиката на системите за сигурност до работата на човешкия мозък, така че защитите да използват интуицията заедно с емпиричните методи. Технологиите за дълбоко обучение позволяват на такива системи да се развиват независимо въз основа на модели на кибератаки.
Skoltech: „Изкуственият интелект е на мода и това е добре. Всъщност все още е дълъг път до там и това е още по-добре.“
Както напомни на слушателите Григорий Кабатянски, съветник на ректора на Сколковския институт за наука и технологии, подобни разработки не могат да се нарекат изкуствен интелект. Истинският AI ще може не само да приема задачи от хора, но и да ги задава самостоятелно. Появата на такива системи, които неминуемо ще заемат своето място сред акционерите на големите корпорации, е все още след няколко десетилетия.
Междувременно човечеството работи с технологиите на машинното обучение и невронните мрежи, за които академиците започнаха да говорят в средата на миналия век. Изследователите на Skoltech използват прогнозно моделиране, за да работят с интернет на нещата, мобилни мрежи и безжични комуникации, медицински и финансови решения. В някои области усъвършенстваният анализ се бори със заплахата от причинени от човека бедствия и проблеми с производителността на мрежата. В други предлага варианти за решаване на съществуващи и хипотетични проблеми, решава проблеми като в на пръв поглед безобидни медии.
Обучение на котки
Игор Ляпунов, вицепрезидент по информационната сигурност на Rostelecom PJSC, вижда основния проблем на машинното обучение в информационната сигурност в липсата на материал за интелигентни системи. Невронна мрежа може да бъде научена да разпознава котка, като покаже хиляди снимки на това животно. Къде мога да намеря хиляди кибератаки, които да цитирам като примери?
Днешният прото-AI помага за търсене на следи от престъпници в тъмната мрежа и за анализ на вече открит зловреден софтуер. Борба с измами, пране на пари, частично идентифициране на уязвимости в кода - всичко това може да се направи и с автоматизирани средства. Останалото може да се отдаде на маркетингови проекти на разработчици на софтуер и това няма да се промени през следващите 5-10 години.
Източник: www.habr.com