La 20-21-an de junio Moskvo gastigis . Surbaze de la rezultoj de la evento, vizitantoj povis eltiri la jenajn konkludojn:
- cifereca analfabeteco disvastiĝas kaj inter uzantoj kaj inter ciberkrimuloj mem;
- la unuaj daŭre falas por phishing, malfermas danĝerajn ligilojn kaj alportas malware en kompaniajn retojn de personaj inteligentaj telefonoj;
- inter ĉi-lastaj, estas pli kaj pli da novuloj, kiuj postkuras facilan monon sen mergi sin en teknologion - ili elŝutis botneton en la malluma reto, starigis aŭtomatigon kaj kontrolas la monujon ekvilibron;
- sekurecprofesiuloj estas lasitaj fidi al altnivela analizo, sen kiu estas tre facile maltrafi la minacon en la informa bruo.
La Kongreso okazis en la Monda Komerca Centro. La elekto de la retejo estas klarigita per la fakto, ke ĉi tiu estas unu el la malmultaj instalaĵoj kun permeso de la Federacia Sekureca Servo por okazigi eventojn kun la plej altaj rangoj de la lando. Vizitantoj de la Kongreso povis aŭdi paroladojn de la Ministro de Cifereca Disvolviĝo Konstantin Noskov, la estro de la Centra Banko Elvira Nabiullina, kaj la Prezidanto de Sberbank German Gref. La internacia publiko estis reprezentita de la CEO de Huawei en Rusio, Aiden Wu, la emerita Direktoro de Europol Jürgen Storbeck, la Prezidanto de la Germana Konsilio pri Sekureco de Ciber-Sekureco Hans-Wilhelm Dünn kaj aliaj altrangaj fakuloj.
Ĉu la paciento vivas?
La organizantoj elektis temojn taŭgajn por kaj ĝeneralaj diskutoj kaj praktike orientitaj raportoj pri teknikaj aferoj. Plejparte de la prezentoj oni menciis artefaritan inteligentecon iel aŭ alimaniere - al la merito de la prelegantoj, ili ofte mem konfesis, ke en ĝia nuna enkarniĝo ĝi estas pli "hype-temo" ol vere funkcianta teknologia stako. Samtempe, hodiaŭ estas malfacile imagi protekti grandan kompanian infrastrukturon sen maŝinlernado kaj Datuma Scienco.
Atako povas esti detektita averaĝe tri monatojn post penetrado en la infrastrukturon.
Ĉar nur subskriboj ne povas haltigi la 300 mil novajn malware kiuj aperas en la interreto ĉiutage (laŭ Kaspersky Lab). Kaj necesas profesiaj pri cibersekureco mezume tri monatojn por detekti entrudulojn en sia reto. Dum ĉi tiu tempo, piratoj sukcesas akiri tian piedtenejon en la infrastrukturo, ke ili devas esti elĵetitaj tri aŭ kvar fojojn. Ni purigis la stokaĵojn kaj la malware revenis per vundebla fora konekto. Ili establis retan sekurecon - la krimuloj sendas al dungito leteron kun trojano supozeble de longtempa komerca partnero, kiun ili ankaŭ sukcesis kompromiti. Kaj tiel plu ĝis la amara fino, negrave kiu finfine venkas.
A kaj B konstruis informan sekurecon
Sur tiu bazo, du paralelaj areoj de informa sekureco rapide kreskas: ĝeneraligita kontrolo de infrastrukturo bazita sur cibersekureccentroj (Security Operations Center, SOC) kaj detekto de malica agado per anomalia konduto. Multaj parolantoj, kiel la vicprezidanto de Trend Micro por Azio-Pacifiko, Mezoriento kaj Afriko, Dhanya Thakkar, instigas administrantojn supozi, ke ili jam estas hakitaj - por ne maltrafi suspektindajn eventojn, kiom ajn sensignifaj ili ŝajnas.
IBM pri tipa SOC-projekto: "Unue la dezajno de la estonta servomodelo, poste ĝia efektivigo, kaj nur tiam la deplojo de la necesaj teknikaj sistemoj."
Tial la kreskanta populareco de SOCoj, kiuj kovras ĉiujn areojn de la infrastrukturo kaj rapide raportas la subitan agadon de iu forgesita enkursigilo. Kiel diris direktoro de IBM Security Systems en Eŭropo, Georgy Racz, en la lastaj jaroj la profesia komunumo disvolvis certan komprenon pri tiaj kontrolstrukturoj, konsciante, ke sekureco ne povas esti atingita nur per teknikaj rimedoj. La hodiaŭaj SOCoj alportas modelon pri informa sekureca servo al la firmao, permesante sekurecsistemojn esti integritaj en ekzistantajn procezojn.
Kun vi estas mia glavo kaj mia pafarko kaj mia hakilo
Komerco ekzistas en kondiĉoj de manko de dungitaro - la merkato bezonas ĉirkaŭ 2 milionojn da informasekurecaj specialistoj. Ĉi tio puŝas kompaniojn al modelo de subkontraktado. Korporacioj ofte preferas movi eĉ siajn proprajn specialistojn en apartan juran enton - ĉi tie ni povas rememori SberTech, la propran integriston de Domodedovo Flughaveno, kaj aliajn ekzemplojn. Krom se vi estas industria giganto, vi pli verŝajne turnos vin al iu kiel IBM por helpi vin konstrui vian propran sekurecan teamon. Grava parto de la buĝeto estos elspezita por restrukturaj procezoj por lanĉi informan sekurecon en la formato de kompaniaj servoj.
Skandaloj kun likoj de Facebook, Uber kaj la usona kreditoburoo Equifax levis problemojn pri IT-protekto al la nivelo de estraroj. Sekve, CISO fariĝas ofta partoprenanto en kunvenoj, kaj anstataŭ teknologia aliro al sekureco, kompanioj uzas komercan lenson - taksas profiton, reduktas riskojn, demetas pajlojn. Kaj kontraŭbatali ciberkrimulojn alprenas ekonomian signifon - necesas igi la atakon neprofita, por ke la organizo principe ne interesu piratojn.
Estas nuancoj
Ĉiuj ĉi tiuj ŝanĝoj ne pasis de la atakantoj, kiuj redirektis klopodojn de korporacioj al privataj uzantoj. La nombroj parolas por si mem: laŭ la kompanio BI.ZONE, en 2017-2018, perdoj de rusaj bankoj pro ciberatakoj kontraŭ iliaj sistemoj malpliiĝis je pli ol 10 fojojn. Aliflanke, sociaj inĝenieraj okazaĵoj ĉe la samaj bankoj pliiĝis de 13% en 2014 ĝis 79% en 2018.
Krimuloj trovis malfortan ligon en la kompania sekureca perimetro, kiu rezultis esti privataj uzantoj. Kiam unu el la parolantoj petis ĉiujn, kiuj havis specialigitan kontraŭvirusan programaron sur sia inteligenta telefono, ke ili levi la manojn, tri el pluraj dekoj da homoj respondis.
En 2018, privataj uzantoj estis implikitaj en ĉiu kvina sekureca okazaĵo; 80% de atakoj kontraŭ bankoj estis faritaj per socia inĝenierado.
Modernaj uzantoj estas difektitaj de intuiciaj servoj, kiuj instruas ilin taksi IT laŭ oportuno. Sekurecaj iloj, kiuj aldonas kelkajn kromajn paŝojn, rezultas esti distraĵo. Kiel rezulto, la sekura servo perdas kontraŭ konkuranto kun pli belaj butonoj, kaj aldonaĵoj al phishing-retpoŝtoj estas malfermitaj sen esti legitaj. Rimarkindas, ke la nova generacio ne pruvas la ciferecan alfabetecon atribuitan al ĝi - ĉiujare viktimoj de atakoj plijuniĝas, kaj la amo de jarmiloj por aparatoj nur pligrandigas la gamon de eblaj vundeblecoj.
Atingu la personon
Sekurecaj iloj hodiaŭ batalas homan maldiligenton. Pensu ĉu indas malfermi ĉi tiun dosieron? Ĉu mi devas sekvi ĉi tiun ligon? Lasu ĉi tiun procezon sidi en la sablokesto, kaj vi taksos ĉion denove. Maŝinaj lernaj iloj konstante kolektas datumojn pri uzantkonduto por evoluigi sekurajn praktikojn, kiuj ne kaŭzas nenecesajn ĝenojn.
Sed kion fari kun kliento, kiu konvinkas kontraŭ-fraŭdan specialiston permesi suspektindan transakcion, kvankam oni rekte diras al li, ke la konto de la ricevanto estis detektita en fraŭdaj transakcioj (reala kazo de la praktiko de BI.ZONE)? Kiel protekti uzantojn de atakantoj, kiuj povas falsi vokon de banko?
Ok el dek sociaj inĝenieraj atakoj estas faritaj per telefono.
Telefonaj vokoj fariĝas la ĉefa kanalo por malica socia inĝenierado - en 2018, la proporcio de tiaj atakoj pliiĝis de 27% al 83%, multe antaŭ SMS, sociaj retoj kaj retpoŝto. Krimuloj kreas tutajn vokcentrojn por voki homojn kun ofertoj por gajni monon en la borso aŭ ricevi monon por partoprenado en enketoj. Multaj homoj malfacilas percepti informojn kritike kiam ili estas postulataj fari tujajn decidojn kun la promeso de imponaj rekompencoj.
La plej nova tendenco estas lojalecprogramoj, kiuj senigas viktimojn je jaroj da amasigitaj mejloj, senpagajn litrojn da benzino kaj aliajn gratifikojn. La pruvita klasika, pagita abono al nenecesaj moveblaj servoj, ankaŭ restas grava. En unu el la raportoj estis ekzemplo de uzanto, kiu perdis 8 mil rublojn ĉiutage pro tiaj servoj. Kiam oni demandis lin, kial li ne ĝenis la konstante malkreskanta ekvilibro, la viro respondis, ke li kalkulis ĉion laŭ la avideco de sia provizanto.
Ne-rusaj retpiratoj
Poŝtelefonoj malklarigas la limon inter atakoj kontraŭ privataj kaj kompaniaj uzantoj. Ekzemple, dungito povas sekrete serĉi novan laboron. Li renkontas rekomencan preparservon en la Interreto kaj elŝutas aplikaĵon aŭ dokumentŝablonon al sia saĝtelefono. Tiel la atakantoj, kiuj lanĉis la falsan retan rimedon, finiĝas sur personan aparaton, de kie ili povas moviĝi al la kompania reto.
Kiel diris parolanto de Grupo-IB, ĝuste tia operacio estis farita de la progresinta grupo Lazaro, kiu estas priskribita kiel unuo de nordkorea inteligenteco. Ĉi tiuj estas kelkaj el la plej produktivaj ciberkrimuloj de la lastaj jaroj - ili respondecas pri ŝteloj de и , kaj eĉ . APT-grupoj (el la angla progresinta persista minaco, "stabila altnivela minaco"), kies nombro kreskis al kelkaj dekoj en la lastaj jaroj, eniras la infrastrukturon serioze kaj dum longa tempo, antaŭe studinte ĉiujn ĝiajn trajtojn kaj malfortojn. Tiel ili sukcesas ekscii pri la karieroj de dungito, kiu havas aliron al la necesa informsistemo.
Hodiaŭ, grandaj organizoj estas minacitaj de 100-120 precipe danĝeraj cibergrupoj, kun ĉiu kvinono atakas kompaniojn en Rusio.
Timur Biyachuev, estro de la fako pri minaco-esplorado ĉe Kaspersky Lab, taksis la nombron de la plej danĝeraj grupoj je 100-120 komunumoj, kaj estas kelkcent da ili entute nun. Rusaj kompanioj estas minacataj kun ĉirkaŭ 20%. Signifa proporcio de krimuloj, precipe tiuj de lastatempe emerĝantaj grupoj, vivas en Sudorienta Azio.
APT-komunumoj povas specife krei softvarfirmaon por kovri siajn agadojn aŭ atingi plurajn centojn da viaj celoj. Fakuloj konstante monitoras tiajn grupojn, kunmetante disajn pruvojn por determini la kompanian identecon de ĉiu el ili. Minaca inteligenteco restas la plej bona preventa armilo kontraŭ ciberkrimo.
Kies vi estos?
Fakuloj diras, ke krimuloj povas facile ŝanĝi siajn ilojn kaj taktikojn, skribi novajn malbonaĵojn kaj malkovri novajn atakvektorojn. La sama Lazaro, en unu el siaj kampanjoj, enmetis rusajn vortojn en la kodon por misdirekti la esploron. Tamen, la ŝablono de konduto mem estas multe pli malfacile ŝanĝi, do spertuloj povas diveni laŭ la karakterizaj trajtoj, kiuj faris ĉi tiun aŭ alian atakon. Ĉi tie ili denove estas helpitaj de grandaj datumoj kaj maŝinlernado teknologioj, kiuj apartigas la tritikon de la grenventumaĵo en la informoj kolektitaj per monitorado.
La kongresaj prelegantoj parolis pri la problemo de atribuo, aŭ determini la identecon de atakantoj, pli ol unu aŭ dufoje. Ĉi tiuj defioj implikas kaj teknologiajn kaj jurajn aferojn. Ekzemple, ĉu krimuloj estas protektataj de privatecaj leĝoj? Kompreneble, jes, tio signifas, ke vi povas sendi informojn pri kampanjo-organizantoj nur en anonimigita formo. Ĉi tio trudas iujn limigojn al la procezoj de interŝanĝo de datumoj ene de la profesia informsekureca komunumo.
Lernejinfanoj kaj huliganoj, klientoj de subteraj retpirataj butikoj, ankaŭ malfaciligas esplori okazaĵojn. La sojlo por eniro en la ciberkriman industrion malaltiĝis ĝis tia grado, ke la vicoj de malicaj aktoroj tendencas esti senfinaj—vi ne povas kalkuli ilin ĉiujn.
bela malproksime
Estas facile malesperi pro la penso, ke dungitoj kreas malantaŭan pordon al la financa sistemo per siaj propraj manoj, sed ankaŭ estas pozitivaj tendencoj. La kreskanta populareco de malferma fonto pliigas programaran travideblecon kaj faciligas kontraŭbatali malicajn kodajn injektojn. Specialistoj pri Datumscienco kreas novajn algoritmojn, kiuj blokas nedeziratajn agojn kiam estas signoj de malica intenco. Fakuloj provas alproksimigi la mekanikon de sekurecaj sistemoj al la funkciado de la homa cerbo, por ke defendoj uzu intuicion kune kun empiriaj metodoj. Profundaj lernaj teknologioj permesas al tiaj sistemoj evolui sendepende surbaze de ciberatak modeloj.
Skoltech: "Artfarita inteligenteco estas en modo, kaj tio estas bona. Fakte, estas ankoraŭ longa vojo por atingi tien, kaj tio estas eĉ pli bona."
Kiel Grigory Kabatyansky, konsilisto de la rektoro de la Skolkovo Instituto de Scienco kaj Teknologio, memorigis al la aŭskultantoj, tiaj evoluoj ne povas esti nomitaj artefarita inteligenteco. Reala AI povos ne nur akcepti taskojn de homoj, sed ankaŭ starigi ilin sendepende. La apero de tiaj sistemoj, kiuj neeviteble prenos sian lokon inter la akciuloj de grandaj korporacioj, estas ankoraŭ kelkajn jardekojn for.
Intertempe la homaro laboras kun la teknologioj de maŝinlernado kaj neŭralaj retoj, pri kiuj akademianoj komencis paroli meze de la pasinta jarcento. Skoltech-esploristoj uzas prognozan modeladon por labori kun la Interreto de Aĵoj, moveblaj retoj kaj sendrataj komunikadoj, medicinaj kaj financaj solvoj. En iuj lokoj, altnivela analizo kontraŭbatalas la minacon de homfaritaj katastrofoj kaj problemojn pri retaj rendimento. En aliaj, ĝi sugestas eblojn por solvi ekzistantajn kaj hipotezajn problemojn, solvas problemojn kiel en ŝajne sendanĝeraj amaskomunikiloj.
Trejnado pri katoj
Igor Lyapunov, Vicprezidanto pri Informa Sekureco ĉe Rostelecom PJSC, vidas la fundamentan problemon de maŝinlernado en informa sekureco en la manko de materialo por inteligentaj sistemoj. Neŭrala reto povas esti instruita rekoni katon montrante milojn da fotoj de ĉi tiu besto. Kie mi povas trovi milojn da ciberatakoj por citi kiel ekzemplojn?
La hodiaŭa pra-AI helpas serĉi spurojn de krimuloj en la mallumreto kaj analizi jam malkovritajn malware. Kontraŭfraŭdo, kontraŭ-monlavado, parte identigado de vundeblecoj en kodo - ĉio ĉi ankaŭ povas esti farita per aŭtomataj rimedoj. La resto povas esti atribuita al merkataj projektoj de programistoj, kaj ĉi tio ne ŝanĝos en la venontaj 5-10 jaroj.
fonto: www.habr.com