データ保護の専門家は何を期待していますか? 国際サイバーセキュリティ会議からの報告

20月21～XNUMX日、モスクワで サイバーセキュリティに関する国際会議。 イベントの結果に基づいて、訪問者は次の結論を導き出すことができます。

• デジタル文盲はユーザーとサイバー犯罪者自身の両方に広がっています。
• 前者は引き続きフィッシングに引っかかり、危険なリンクを開いて、個人のスマートフォンから企業ネットワークにマルウェアを持ち込みます。
• 後者の中には、テクノロジーに没頭することなく簡単にお金を手に入れようとする新参者がますます増えています。彼らはダークウェブ上でボットネットをダウンロードし、自動化を設定し、ウォレットの残高を監視しています。
• セキュリティ専門家は高度な分析に頼らざるを得ませんが、それがなければ情報ノイズの中にある脅威を簡単に見逃してしまいます。

会議は世界貿易センターで開催されました。 この場所が選ばれた理由は、ここが連邦保安局から国内最高ランクのイベントを開催する許可を得た数少ない施設の一つであるという事実によって説明される。 議会の訪問者は、コンスタンティン・ノスコフデジタル開発大臣、エルビラ・ナビウリナ中央銀行総裁、ズベルバンク・ジャーマン・グレフ頭取らのスピーチを聞くことができた。 ファーウェイ・ロシアの最高経営責任者（CEO）エイデン・ウー氏、ユーロポール元局長ユルゲン・シュトルベック氏、ドイツサイバーセキュリティ評議会会長ハンスヴィルヘルム・デュン氏、その他の高位の専門家が国際聴衆を代表して出席した。

患者は生きていますか？

主催者は、一般的なディスカッションと技術的な問題に関する実践的な報告の両方に適したトピックを選択しました。 ほとんどのプレゼンテーションでは、人工知能が何らかの形で言及されました。講演者の名誉のために言っておきますが、人工知能が現在の具体化では実際に機能する技術スタックというよりは「誇大宣伝のトピック」であることを講演者自身がしばしば認めていました。 同時に、今日では、機械学習とデータ サイエンスなしに大規模な企業インフラを保護することを想像するのは困難です。

攻撃は、インフラストラクチャに侵入してから平均 XNUMX か月後に検出されます。

なぜなら、シグネチャだけでは、インターネット上に毎日出現する 300 万の新しいマルウェアを阻止することはできないからです (Kaspersky Lab による)。 また、サイバーセキュリティの専門家がネットワーク上の侵入者を検出するには平均 XNUMX か月かかります。 この間、ハッカーは XNUMX ～ XNUMX 回追い出さなければならないほどインフラ内に足場を築くことに成功します。 私たちはストレージを一掃し、脆弱なリモート接続を介して戻ってきたマルウェアを駆除しました。 彼らはネットワーク セキュリティを確立しました。犯罪者は従業員に、おそらく長年のビジネス パートナーからのものと思われるトロイの木馬が含まれた手紙を送り、そのパートナーも侵害することに成功しました。 最終的に誰が勝ったとしても、最後の最後まで続きます。

A と B は情報セキュリティを構築しました

これに基づいて、情報セキュリティの XNUMX つの並行分野が急速に成長しています。サイバーセキュリティ センター (セキュリティ オペレーション センター、SOC) に基づくインフラストラクチャの広範な制御と、異常な動作による悪意のあるアクティビティの検出です。 トレンドマイクロのアジア太平洋・中東・アフリカ担当バイスプレジデント、ダーニャ・タカール氏をはじめとする多くの講演者は、管理者に対し、すでにハッキングされていると想定し、たとえそれがどれほど重要ではないように見えても、疑わしいイベントを見逃さないようにと促している。

IBM は典型的な SOC プロジェクトについて次のように述べています。「まず将来のサービス モデルを設計し、次にその実装を行い、その後で必要な技術システムを展開します。」

そのため、インフラストラクチャのすべての領域をカバーし、忘れられたルーターの突然のアクティビティを即座に報告する SOC の人気が高まっています。 IBM Security Systems in Europeのディレクター、Georgy Racz氏は、近年専門家コミュニティはそのような制御構造について一定の理解を深め、技術的手段だけではセキュリティを達成できないことを認識していると述べた。 今日の SOC は企業に情報セキュリティ サービス モデルをもたらし、セキュリティ システムを既存のプロセスに統合できるようにします。

あなたと共にあるのは私の剣と弓と斧です

ビジネスは人材不足の状況にあります。市場は約 2 万人の情報セキュリティ専門家を必要としています。 これにより、企業はアウトソーシング モデルに向かうことになります。 企業は、自社の専門家であっても別の法人に移管することを好むことがよくあります。ここで、ドモジェドヴォ空港のインテグレーターである SberTech やその他の例を思い出してください。 業界の巨人でない限り、独自のセキュリティ チームの構築を支援してくれる IBM のような企業に頼る可能性が高くなります。 予算の大部分は、企業向けサービスの形で情報セキュリティを開始するためのプロセスの再構築に費やされる予定です。

Facebook、Uber、アメリカの信用調査会社 Equifax からの漏洩を伴うスキャンダルにより、IT 保護の問題が取締役会レベルにまで浮上しました。 したがって、CISO は会議に頻繁に参加するようになり、企業はセキュリティに対する技術的なアプローチの代わりに、収益性の評価、リスクの軽減、藁を敷くというビジネスの視点を使用します。 そして、サイバー犯罪者への対抗には経済的な意味合いが含まれます。原則として組織がハッカーの興味を引かないように、攻撃を不利益なものにする必要があります。

ニュアンスがあります

これらすべての変更は攻撃者によって通過されず、攻撃の対象が企業から個人ユーザーに変更されました。 数字がそれを物語っています。BI.ZONE 社によると、2017 年から 2018 年にかけて、システムに対するサイバー攻撃によるロシアの銀行の損失は 10 分の 13 以上減少しました。 一方で、同じ銀行におけるソーシャルエンジニアリングインシデントは、2014年の79％から2018年にはXNUMX％に増加しました。

犯罪者は企業のセキュリティ境界に脆弱なリンクを発見し、それが個人ユーザーであることが判明しました。 講演者の一人がスマートフォンに専用のウイルス対策ソフトを入れている人全員に挙手するよう求めたところ、数十人中XNUMX人が応じた。

2018 年には、80 件に XNUMX 件のセキュリティ インシデントに個人ユーザーが関与しており、銀行に対する攻撃の XNUMX% はソーシャル エンジニアリングを使用して実行されました。

現代のユーザーは、利便性の観点から IT を評価することを教える直感的なサービスに甘やかされています。 いくつかの追加手順を追加するセキュリティ ツールは、注意をそらすものであることが判明しました。 その結果、安全なサービスは、よりきれいなボタンを備えた競合他社に負け、フィッシングメールの添付ファイルは読まれずに開かれてしまいます。 新世代がデジタルリテラシーを発揮していないことは注目に値します。攻撃の被害者は年々若くなっており、ミレニアル世代のガジェットへの愛情は、潜在的な脆弱性の範囲を拡大するだけです。

人に届く

今日のセキュリティ ツールは、人間の怠惰と闘います。 このファイルを開く価値があるかどうか考えてください。 このリンクをたどる必要がありますか? このプロセスをサンドボックス内に放置し、すべてを再度評価します。 機械学習ツールはユーザーの行動に関するデータを継続的に収集し、不必要な不便を引き起こさない安全な方法を開発します。

しかし、受取人のアカウントが不正取引で検出されたと直接告げられたにも関わらず、不正取引対策の専門家を説得して疑わしい取引を許可するクライアントはどうすればよいでしょうか (BI.ZONE の実践で実際に起こったケースです)。 銀行からの電話を騙る攻撃者からユーザーを守るにはどうすればよいでしょうか?

ソーシャル エンジニアリング攻撃の XNUMX 件中 XNUMX 件は電話で行われます。

悪意のあるソーシャル エンジニアリングの主なチャネルになりつつあるのは電話です。2018 年には、そのような攻撃の割合は 27% から 83% に増加し、SMS、ソーシャル ネットワーク、電子メールを大きく上回りました。 犯罪者はコールセンター全体を設立し、証券取引所で儲けたり、アンケートに参加してお金を受け取ったりするオファーを人々に電話をかけます。 多くの人は、素晴らしい報酬が約束されて即座に決定を下す必要がある場合、情報を批判的に認識することが難しいと感じています。

最近の傾向は、被害者から長年蓄積したマイル、無料のガソリン 8 リットル、その他のボーナスを奪うロイヤルティ プログラム詐欺です。 実証済みの古典的な、不必要なモバイル サービスへの有料サブスクリプションも、引き続き有効です。 報告書のXNUMXつに、そのようなサービスのために毎日XNUMXルーブルを失ったユーザーの例がありました。 減り続ける残高をなぜ気にしないのかと尋ねると、その男性は、すべては提供者の強欲のせいだと答えた。

ロシア人以外のハッカー

モバイル デバイスは、個人ユーザーと企業ユーザーに対する攻撃の境界線を曖昧にしています。 たとえば、従業員が密かに新しい仕事を探す場合があります。 彼はインターネットで履歴書作成サービスを見つけ、アプリケーションまたは書類のテンプレートをスマートフォンにダウンロードしました。 このようにして、偽のオンライン リソースを起動した攻撃者は最終的に個人用ガジェットにたどり着き、そこから企業ネットワークに移動することができます。

グループIBの講演者が述べたように、まさにそのような作戦は、北朝鮮諜報部隊と言われる先進グループ「ラザロ」によって実行された。 これらは近年最も生産性の高いサイバー犯罪者の一部であり、以下からの窃盗を犯しています。 バングラデシュ中央銀行 и 台湾最大の銀行FEIB, 仮想通貨業界への攻撃 とさえ 映画会社ソニー・ピクチャーズ。 APT グループ (英語の Advanced Persistent Threat、「安定した高度な脅威」に由来) は、近年その数が数十に増加しており、インフラストラクチャに真剣かつ長期間にわたって侵入し、そのすべての機能と弱点を事前に研究しています。 このようにして、必要な情報システムにアクセスできる従業員のキャリアパスを把握することができます。

現在、大規模組織は 100 ～ 120 の特に危険なサイバー グループの脅威にさらされており、XNUMX 分の XNUMX がロシアの企業を攻撃しています。

カスペルスキーの脅威研究部門責任者であるティムール・ビヤチュエフ氏は、最も危険なグループの数は 100 ～ 120 のコミュニティであると推定しており、現在その数は合計で数百に上ります。 ロシア企業は約20％の脅威にさらされている。 犯罪者のかなりの割合、特に新興グループの犯罪者が東南アジアに住んでいます。

APT コミュニティは、自分たちの活動や活動をカバーするソフトウェア開発会社を特別に設立する場合があります。 ASUSグローバルアップデートサービスを侵害する数百の目標を達成するために。 専門家はそのようなグループを常に監視し、散在する証拠をつなぎ合わせてそれぞれの企業のアイデンティティを特定します。 脅威インテリジェンスは依然としてサイバー犯罪に対する最良の予防手段です。

誰になりますか？

専門家らは、犯罪者はツールや戦術を簡単に変更し、新しいマルウェアを作成し、新たな攻撃ベクトルを発見することができると述べています。 同じラザロも、その作戦の一つで、捜査の方向を誤らせるために暗号にロシア語を挿入した。 ただし、行動パターン自体を変更するのははるかに難しいため、専門家は特徴から特定の攻撃を実行した人物を推測できます。 ここでもビッグデータと機械学習テクノロジーが役に立ち、監視によって収集された情報の中から、もみがらを分離します。

会議の講演者は、攻撃者の帰属の問題、つまり身元の特定の問題について、一度や二度ではありませんでした。 これらの課題には、技術的問題と法的問題の両方が含まれます。 たとえば、犯罪者はプライバシー法によって保護されますか? もちろん、はい。つまり、キャンペーン主催者に関する情報は匿名形式でのみ送信できます。 これにより、専門的な情報セキュリティ コミュニティ内でのデータ交換のプロセスにいくつかの制限が課されます。

地下ハッカーショップの顧客である小学生やフーリガンも、事件の捜査を困難にしています。 サイバー犯罪業界への参入の敷居は非常に低くなり、悪意のある行為者の数は無限になり、すべてを数えることはできません。

遠くで美しい

従業員が自らの手で金融システムへのバックドアを作成することを考えると絶望するのは簡単ですが、前向きな傾向もあります。 オープン ソースの人気の高まりにより、ソフトウェアの透明性が高まり、悪意のあるコード インジェクションとの闘いが容易になります。 データ サイエンスの専門家は、悪意のある意図の兆候がある場合に望ましくないアクションをブロックする新しいアルゴリズムを作成しています。 専門家らは、セキュリティシステムの仕組みを人間の脳の働きに近づけ、防御に経験的な方法とともに直感を活用できるようにしようとしている。 深層学習テクノロジーにより、このようなシステムはサイバー攻撃モデルに基づいて独自に進化することができます。

スコルテック: 「人工知能が流行っているが、それは良いことだ。 実際、そこに到達するまでにはまだ長い道のりがあるが、それはさらに良いことだ。」

スコルコボ科学技術大学の学長顧問グリゴリー・カバティアンスキー氏が聴衆に思い出させたように、そのような開発は人工知能とは言えません。 本物のAIは人間からタスクを受け入れるだけでなく、自らタスクを設定することもできるようになる。 このような制度が出現し、必然的に大企業の株主の間でその地位を占めるようになるのは、まだ数十年先のことである。

その一方で、人類は機械学習とニューラル ネットワークのテクノロジーを活用しています。これらのテクノロジーについては、前世紀半ばに学者たちが話し始めました。 スコルテックの研究者は、予測モデリングを使用して、モノのインターネット、モバイル ネットワークと無線通信、医療および金融ソリューションに取り組んでいます。 一部の分野では、高度な分析により人災やネットワーク パフォーマンスの問題の脅威に対処しています。 また、既存の問題や仮説の問題を解決するためのオプションを提案したり、次のような問題を解決したりする場合もあります。 隠されたメッセージを明らかにする 一見無害なメディアで。

猫のトレーニング

Rostelecom PJSC の情報セキュリティ担当副社長である Igor Lyapunov 氏は、情報セキュリティにおける機械学習の根本的な問題は、スマート システム向けの材料の不足にあると考えています。 猫の何千枚もの写真を見せることで、ニューラル ネットワークに猫を認識するよう教えることができます。 例として挙げられる何千ものサイバー攻撃はどこで見つけられますか?

現在のプロト AI は、ダークネット上の犯罪者の痕跡を検索し、すでに発見されたマルウェアを分析するのに役立ちます。 不正行為対策、マネーロンダリング対策、コードの脆弱性の部分的な特定など、これらすべてを自動化された手段で行うこともできます。 残りはソフトウェア開発者のマーケティング プロジェクトによるものであり、これは今後 5 ～ 10 年は変わらないでしょう。

出所： habr.com