Op 20 en 21 juni was Moskou gastheer . Op basis van de resultaten van het evenement konden bezoekers de volgende conclusies trekken:
- digitaal analfabetisme verspreidt zich zowel onder gebruikers als onder cybercriminelen zelf;
- De eerstgenoemden blijven vallen voor phishing, openen gevaarlijke links en brengen malware vanaf persoonlijke smartphones naar bedrijfsnetwerken;
- onder deze laatste zijn er steeds meer nieuwkomers die op jacht zijn naar gemakkelijk geld zonder zich in technologie te verdiepen - ze hebben een botnet op het dark web gedownload, automatisering opgezet en het portemonneesaldo in de gaten gehouden;
- beveiligingsprofessionals moeten vertrouwen op geavanceerde analyses, zonder welke het heel gemakkelijk is om de dreiging in de informatieruis te missen.
Het congres vond plaats in het World Trade Center. De keuze voor de locatie wordt verklaard door het feit dat dit een van de weinige faciliteiten is met toestemming van de Federale Veiligheidsdienst om evenementen te organiseren met de hoogste rangen van het land. Bezoekers van het congres konden toespraken horen van de minister van Digitale Ontwikkeling Konstantin Noskov, het hoofd van de Centrale Bank Elvira Nabiullina, en de president van Sberbank German Gref. Het internationale publiek werd vertegenwoordigd door Aiden Wu, CEO van Huawei Rusland, de gepensioneerde Europol-directeur Jürgen Storbeck, voorzitter van de Duitse Cybersecurity Raad Hans-Wilhelm Dünn en andere hooggeplaatste experts.
Leeft de patiënt?
De organisatoren selecteerden onderwerpen die geschikt waren voor zowel algemene discussies als praktijkgerichte rapporten over technische kwesties. Bij de meeste presentaties werd kunstmatige intelligentie op de een of andere manier genoemd - tot eer van de sprekers, ze gaven vaak zelf toe dat het in zijn huidige incarnatie meer een 'hype-onderwerp' is dan een echt werkende technologie. Tegelijkertijd is het tegenwoordig moeilijk voor te stellen om grote bedrijfsinfrastructuur te beschermen zonder machine learning en datawetenschap.
Gemiddeld kan een aanval drie maanden na het binnendringen in de infrastructuur worden gedetecteerd.
Omdat handtekeningen alleen de 300 nieuwe malware die dagelijks op internet verschijnt niet kunnen tegenhouden (volgens Kaspersky Lab). En het kost cybersecurityprofessionals gemiddeld drie maanden om indringers op hun netwerk te detecteren. Gedurende deze tijd slagen hackers erin zo’n voet aan de grond te krijgen in de infrastructuur dat ze er drie tot vier keer uit moeten worden gezet. We hebben de opslagruimtes opgeruimd en de malware keerde terug via een kwetsbare externe verbinding. Ze hebben netwerkbeveiliging ingesteld: de criminelen sturen een werknemer een brief met een Trojaans paard, zogenaamd afkomstig van een oude zakenpartner, die ze ook hebben weten te compromitteren. En zo verder tot het bittere einde, ongeacht wie er uiteindelijk wint.
A en B bouwden een informatiebeveiliging
Op deze basis groeien twee parallelle gebieden van informatiebeveiliging snel: wijdverbreide controle over de infrastructuur op basis van cyberbeveiligingscentra (Security Operations Center, SOC) en detectie van kwaadaardige activiteiten door afwijkend gedrag. Veel sprekers, zoals Dhanya Thakkar, de vice-president van Trend Micro voor Azië-Pacific, het Midden-Oosten en Afrika, dringen er bij beheerders op aan om aan te nemen dat ze al zijn gehackt en om verdachte gebeurtenissen niet te missen, hoe onbeduidend ze ook lijken.
IBM over een typisch SOC-project: “Eerst het ontwerp van het toekomstige servicemodel, dan de implementatie ervan, en pas daarna de implementatie van de noodzakelijke technische systemen.”
Vandaar de groeiende populariteit van SOC's, die alle delen van de infrastructuur bestrijken en onmiddellijk de plotselinge activiteit van een vergeten router melden. Georgy Racz, directeur van IBM Security Systems in Europa, zei dat de professionele gemeenschap de afgelopen jaren een zeker begrip van dergelijke controlestructuren heeft ontwikkeld, in het besef dat veiligheid niet alleen met technische middelen kan worden bereikt. De huidige SOC's brengen een informatiebeveiligingsservicemodel naar het bedrijf, waardoor beveiligingssystemen in bestaande processen kunnen worden geïntegreerd.
Bij jou is mijn zwaard en mijn boog en mijn bijl
Het bedrijfsleven bestaat in omstandigheden van personeelstekort: de markt heeft ongeveer 2 miljoen informatiebeveiligingsspecialisten nodig. Dit duwt bedrijven in de richting van een outsourcingmodel. Bedrijven geven er vaak de voorkeur aan om zelfs hun eigen specialisten onder te brengen in een aparte juridische entiteit – hier kunnen we ons SberTech, de eigen integrator van Domodedovo Airport, en andere voorbeelden herinneren. Tenzij u een industriegigant bent, is de kans groter dat u zich tot iemand als IBM wendt om u te helpen uw eigen beveiligingsteam op te bouwen. Een aanzienlijk deel van het budget zal worden besteed aan herstructureringsprocessen om informatiebeveiliging in de vorm van bedrijfsdiensten te lanceren.
Schandalen met lekken van Facebook, Uber en het Amerikaanse kredietbureau Equifax hebben kwesties van IT-bescherming op het niveau van de raden van bestuur gebracht. Daarom wordt de CISO een frequente deelnemer aan vergaderingen, en in plaats van een technologische benadering van beveiliging gebruiken bedrijven een zakelijke lens: beoordelen de winstgevendheid, verminderen de risico's, leggen de regels vast. En het tegengaan van cybercriminelen krijgt een economische connotatie: het is noodzakelijk om de aanval onrendabel te maken, zodat de organisatie in principe niet interessant is voor hackers.
Er zijn nuances
Al deze veranderingen gingen niet voorbij aan de aanvallers, die de inspanningen van bedrijven naar particuliere gebruikers verlegden. De cijfers spreken voor zich: volgens het bedrijf BI.ZONE zijn de verliezen van Russische banken als gevolg van cyberaanvallen op hun systemen in 2017-2018 ruim tien keer zo groot geworden. Aan de andere kant zijn de social engineering-incidenten bij dezelfde banken gestegen van 10% in 13 naar 2014% in 79.
Criminelen ontdekten een zwakke schakel in de beveiligingsperimeter van bedrijven, die particuliere gebruikers bleken te zijn. Toen een van de sprekers iedereen die gespecialiseerde antivirussoftware op hun smartphone had, vroeg om hun hand op te steken, reageerden drie van de tientallen mensen.
In 2018 waren particuliere gebruikers betrokken bij elk vijfde beveiligingsincident; 80% van de aanvallen op banken werd uitgevoerd met behulp van social engineering.
Moderne gebruikers worden verwend met intuïtieve diensten die hen leren IT te beoordelen in termen van gemak. Beveiligingstools die een paar extra stappen toevoegen, blijken een afleiding te zijn. Hierdoor verliest de beveiligde dienst het van een concurrent met mooiere knoppen en worden bijlagen bij phishing-e-mails geopend zonder gelezen te worden. Het is vermeldenswaard dat de nieuwe generatie niet de digitale geletterdheid demonstreert die eraan wordt toegeschreven - elk jaar worden de slachtoffers van aanvallen jonger, en de liefde van millennials voor gadgets vergroot het scala aan mogelijke kwetsbaarheden alleen maar.
Bereik de persoon
Beveiligingstools bestrijden tegenwoordig menselijke luiheid. Bedenk of het de moeite waard is om dit bestand te openen? Moet ik deze link volgen? Laat dit proces in de sandbox zitten en je zult alles opnieuw evalueren. Machine learning-tools verzamelen voortdurend gegevens over gebruikersgedrag om veilige praktijken te ontwikkelen die geen onnodig ongemak veroorzaken.
Maar wat te doen met een klant die een fraudebestrijdingsspecialist ervan overtuigt een verdachte transactie toe te staan, terwijl hem direct wordt verteld dat de rekening van de ontvanger is ontdekt bij frauduleuze transacties (een reëel geval uit de praktijk van BI.ZONE)? Hoe kunnen gebruikers worden beschermd tegen aanvallers die een oproep van een bank kunnen vervalsen?
Acht van de tien social engineering-aanvallen worden via de telefoon uitgevoerd.
Het zijn telefoongesprekken die het belangrijkste kanaal voor kwaadwillige social engineering aan het worden zijn. In 2018 is het aandeel van dergelijke aanvallen gestegen van 27% naar 83%, ver vóór sms, sociale netwerken en e-mail. Criminelen creëren hele callcenters om mensen te bellen met aanbiedingen om geld te verdienen op de beurs of geld te ontvangen voor deelname aan enquêtes. Veel mensen vinden het moeilijk om informatie kritisch waar te nemen als ze onmiddellijk beslissingen moeten nemen met de belofte van indrukwekkende beloningen.
De nieuwste trend is oplichting via loyaliteitsprogramma's, waarbij slachtoffers worden beroofd van jarenlang verzamelde kilometers, gratis liters benzine en andere bonussen. Ook het beproefde klassieke, betaalde abonnement op onnodige mobiele diensten blijft relevant. In een van de rapporten was er een voorbeeld van een gebruiker die door dergelijke diensten dagelijks 8 roebel verloor. Op de vraag waarom hij geen last had van het voortdurend slinkende saldo, antwoordde de man dat hij dit allemaal toeschreef aan de hebzucht van zijn kostwinner.
Niet-Russische hackers
Mobiele apparaten vervagen de grens tussen aanvallen op particuliere en zakelijke gebruikers. Een werknemer kan bijvoorbeeld stiekem op zoek gaan naar een nieuwe baan. Hij komt op internet een service voor het opstellen van cv's tegen en downloadt een sollicitatie- of documentsjabloon naar zijn smartphone. Op deze manier komen de aanvallers die de valse onlinebron hebben gelanceerd terecht op een persoonlijk gadget, van waaruit ze naar het bedrijfsnetwerk kunnen gaan.
Zoals een spreker van Groep-IB zei, werd zo'n operatie uitgevoerd door de geavanceerde groep Lazarus, die wordt beschreven als een eenheid van de Noord-Koreaanse inlichtingendienst. Dit zijn enkele van de meest productieve cybercriminelen van de afgelopen jaren; zij zijn verantwoordelijk voor diefstallen и , en zelfs . APT-groepen (van de Engelse geavanceerde persistente dreiging, “stable advanced threat”), waarvan het aantal de afgelopen jaren is gegroeid tot enkele tientallen, gaan serieus en langdurig de infrastructuur in, nadat ze eerder alle kenmerken en zwakheden ervan hebben bestudeerd. Zo slagen ze erin om meer te weten te komen over de loopbaantrajecten van een medewerker die toegang heeft tot het benodigde informatiesysteem.
Tegenwoordig worden grote organisaties bedreigd door 100 tot 120 bijzonder gevaarlijke cybergroepen, waarbij elke vijfde bedrijven in Rusland aanvalt.
Timur Biyachuev, hoofd van de afdeling dreigingsonderzoek bij Kaspersky Lab, schatte het aantal van de gevaarlijkste groepen op 100 tot 120 gemeenschappen, en dat zijn er nu in totaal enkele honderden. Russische bedrijven worden bedreigd met ongeveer 20%. Een aanzienlijk deel van de criminelen, vooral die uit nieuw opkomende groepen, woont in Zuidoost-Azië.
APT-gemeenschappen kunnen specifiek een softwareontwikkelingsbedrijf oprichten om hun activiteiten te dekken om enkele honderden van uw doelen te bereiken. Deskundigen houden dergelijke groepen voortdurend in de gaten en voegen verspreid bewijsmateriaal samen om de bedrijfsidentiteit van elk van hen te bepalen. Bedreigingsinformatie blijft het beste preventieve wapen tegen cybercriminaliteit.
Van wie zal je zijn?
Experts zeggen dat criminelen gemakkelijk hun tools en tactieken kunnen veranderen, nieuwe malware kunnen schrijven en nieuwe aanvalsvectoren kunnen ontdekken. Dezelfde Lazarus heeft in een van zijn campagnes Russische woorden in de code ingevoegd om het onderzoek verkeerd te sturen. Het gedragspatroon zelf is echter veel moeilijker te veranderen, dus experts kunnen aan de hand van de karakteristieke kenmerken raden wie deze of gene aanval heeft uitgevoerd. Ook hier worden ze geholpen door big data en machine learning-technologieën, die het kaf van het koren scheiden in de informatie die door monitoring wordt verzameld.
De congressprekers spraken meer dan een of twee keer over het probleem van attributie, oftewel het vaststellen van de identiteit van aanvallers. Deze uitdagingen omvatten zowel technologische als juridische kwesties. Worden criminelen bijvoorbeeld beschermd door de privacywetgeving? Natuurlijk wel, wat betekent dat u informatie over campagneorganisatoren alleen in geanonimiseerde vorm kunt verzenden. Dit legt enkele beperkingen op aan de processen van gegevensuitwisseling binnen de professionele informatiebeveiligingsgemeenschap.
Ook schoolkinderen en hooligans, klanten van ondergrondse hackershops, maken het lastig om incidenten te onderzoeken. De drempel om toegang te krijgen tot de cybercriminaliteitsindustrie is dermate gedaald dat de gelederen van kwaadwillende actoren bijna oneindig zijn; je kunt ze niet allemaal tellen.
Mooi is ver weg
Het is gemakkelijk om te wanhopen bij de gedachte dat werknemers met hun eigen handen een achterdeur naar het financiële systeem creëren, maar er zijn ook positieve trends. De groeiende populariteit van open source vergroot de transparantie van software en maakt het gemakkelijker om kwaadaardige code-injecties te bestrijden. Data Science-specialisten creëren nieuwe algoritmen die ongewenste acties blokkeren wanneer er tekenen zijn van kwaadwillige bedoelingen. Deskundigen proberen de werking van beveiligingssystemen dichter bij de werking van het menselijk brein te brengen, zodat verdedigingen gebruik maken van intuïtie en empirische methoden. Dankzij deep learning-technologieën kunnen dergelijke systemen onafhankelijk evolueren op basis van cyberaanvalmodellen.
Skoltech: “Kunstmatige intelligentie is in de mode, en dat is goed. Sterker nog, het is nog een lange weg om daar te komen, en dat is nog beter.”
Zoals Grigory Kabatyansky, adviseur van de rector van het Skolkovo Instituut voor Wetenschap en Technologie, de luisteraars eraan herinnerde, kunnen dergelijke ontwikkelingen geen kunstmatige intelligentie worden genoemd. Echte AI zal niet alleen taken van mensen kunnen accepteren, maar deze ook zelfstandig kunnen instellen. De opkomst van dergelijke systemen, die onvermijdelijk hun plaats zullen innemen onder de aandeelhouders van grote bedrijven, laat nog tientallen jaren op zich wachten.
Intussen werkt de mensheid met de technologieën van machinaal leren en neurale netwerken, waarover academici halverwege de vorige eeuw begonnen te praten. Skoltech-onderzoekers gebruiken voorspellende modellen om te werken met het internet der dingen, mobiele netwerken en draadloze communicatie, medische en financiële oplossingen. Op sommige gebieden bestrijdt geavanceerde analyse de dreiging van door de mens veroorzaakte rampen en problemen met de netwerkprestaties. In andere gevallen suggereert het opties voor het oplossen van bestaande en hypothetische problemen, lost het problemen op zoals in ogenschijnlijk onschuldige media.
Training op katten
Igor Lyapunov, vice-president voor informatiebeveiliging bij Rostelecom PJSC, ziet het fundamentele probleem van machinaal leren op het gebied van informatiebeveiliging in het gebrek aan materiaal voor slimme systemen. Een neuraal netwerk kan geleerd worden een kat te herkennen door duizenden foto’s van dit dier te laten zien. Waar kan ik duizenden cyberaanvallen vinden die ik als voorbeeld kan noemen?
De huidige proto-AI helpt bij het zoeken naar sporen van criminelen op het darknet en bij het analyseren van reeds ontdekte malware. Fraudebestrijding, het witwassen van geld, het gedeeltelijk identificeren van kwetsbaarheden in code: dit alles kan ook geautomatiseerd worden gedaan. De rest kan worden toegeschreven aan marketingprojecten van softwareontwikkelaars, en dit zal de komende 5-10 jaar niet veranderen.
Bron: www.habr.com