20.-21. juni var Moskva vertskap . Basert på resultatene fra arrangementet kunne besøkende trekke følgende konklusjoner:
- digital analfabetisme sprer seg både blant brukere og blant nettkriminelle selv;
- førstnevnte fortsetter å falle for phishing, åpner farlige koblinger og bringer skadevare inn i bedriftsnettverk fra personlige smarttelefoner;
- blant de sistnevnte er det flere og flere nykommere som jager lettvinte penger uten å fordype seg i teknologi – de lastet ned et botnett på det mørke nettet, satte opp automatisering og overvåker lommebokbalansen;
- Sikkerhetseksperter er overlatt til å stole på avanserte analyser, uten hvilke det er veldig lett å gå glipp av trusselen i informasjonsstøyen.
Kongressen fant sted på World Trade Center. Valget av nettstedet forklares av det faktum at dette er et av få anlegg med tillatelse fra Federal Security Service til å holde arrangementer med de høyeste gradene i landet. Besøkende på kongressen kunne høre taler av ministeren for digital utvikling Konstantin Noskov, sjefen for sentralbanken Elvira Nabiullina og presidenten for Sberbank German Gref. Det internasjonale publikumet var representert av Huawei Russland-sjef Aiden Wu, pensjonert Europol-direktør Jürgen Storbeck, president for det tyske cybersikkerhetsrådet Hans-Wilhelm Dünn og andre høytstående eksperter.
Er pasienten i live?
Arrangørene valgte ut temaer som egnet seg for både generelle diskusjoner og praktisk orienterte rapporter om tekniske spørsmål. På de fleste presentasjonene ble kunstig intelligens nevnt på en eller annen måte - til ære for foredragsholderne innrømmet de ofte selv at det i sin nåværende inkarnasjon er mer et "hype-emne" enn en virkelig fungerende teknologistabel. Samtidig er det i dag vanskelig å forestille seg å beskytte stor bedriftsinfrastruktur uten maskinlæring og datavitenskap.
Et angrep kan i gjennomsnitt oppdages tre måneder etter penetrering i infrastrukturen.
Fordi signaturer alene ikke kan stoppe de 300 tusen nye skadelige programvarene som dukker opp på Internett hver dag (ifølge Kaspersky Lab). Og det tar cybersikkerhetsfagfolk i gjennomsnitt tre måneder å oppdage inntrengere på nettverket deres. I løpet av denne tiden klarer hackere å få et såpass fotfeste i infrastrukturen at de må sparkes ut tre eller fire ganger. Vi ryddet ut lagringene og skadelig programvare returnerte via en sårbar ekstern tilkobling. De har etablert nettverkssikkerhet – de kriminelle sender en ansatt et brev med en trojaner angivelig fra en mangeårig forretningspartner, som de også klarte å kompromittere. Og så videre til den bitre slutten, uansett hvem som til slutt vinner.
A og B bygget en informasjonssikkerhet
På dette grunnlaget vokser to parallelle områder for informasjonssikkerhet raskt: utbredt kontroll over infrastruktur basert på cybersikkerhetssentre (Security Operations Center, SOC) og deteksjon av ondsinnet aktivitet gjennom unormal oppførsel. Mange foredragsholdere, som Trend Micros visepresident for Asia-Stillehavsområdet, Midtøsten og Afrika, Dhanya Thakkar, oppfordrer administratorer til å anta at de allerede er blitt hacket – for ikke å gå glipp av mistenkelige hendelser, uansett hvor ubetydelige de kan virke.
IBM på et typisk SOC-prosjekt: "Først utformingen av den fremtidige tjenestemodellen, deretter implementeringen, og først deretter distribusjonen av de nødvendige tekniske systemene."
Derav den økende populariteten til SOC-er, som dekker alle områder av infrastrukturen og umiddelbart rapporterer den plutselige aktiviteten til en glemt ruter. Som direktør for IBM Security Systems i Europa, Georgy Racz, sa, har fagmiljøet de siste årene utviklet en viss forståelse av slike kontrollstrukturer, og innsett at sikkerhet ikke kan oppnås med tekniske midler alene. Dagens SOC-er bringer en informasjonssikkerhetstjenestemodell til selskapet, slik at sikkerhetssystemer kan integreres i eksisterende prosesser.
Hos deg er mitt sverd og min bue og min øks
Virksomheten eksisterer i forhold med mangel på personell - markedet trenger omtrent 2 millioner informasjonssikkerhetsspesialister. Dette presser bedrifter mot en outsourcing-modell. Selskaper foretrekker ofte å flytte til og med sine egne spesialister inn i en egen juridisk enhet – her kan vi huske SberTech, Domodedovo Airports egen integrator og andre eksempler. Med mindre du er en bransjegigant, er det mer sannsynlig at du henvender deg til noen som IBM for å hjelpe deg med å bygge ditt eget sikkerhetsteam. En betydelig del av budsjettet skal brukes på omstillingsprosesser for å lansere informasjonssikkerhet i form av bedriftstjenester.
Skandaler med lekkasjer fra Facebook, Uber og det amerikanske kredittbyrået Equifax har reist spørsmål om IT-beskyttelse til styrenivå. Derfor blir CISO en hyppig deltaker i møter, og i stedet for en teknologisk tilnærming til sikkerhet, bruker bedrifter en forretningslinse – vurderer lønnsomhet, reduserer risiko, legger ned strå. Og bekjempelse av nettkriminelle får en økonomisk konnotasjon - det er nødvendig å gjøre angrepet ulønnsomt slik at organisasjonen ikke er av interesse for hackere i prinsippet.
Det er nyanser
Alle disse endringene gikk ikke forbi angriperne, som omdirigerte innsats fra selskaper til private brukere. Tallene taler for seg selv: ifølge selskapet BI.ZONE, i 2017-2018, ble tapene til russiske banker på grunn av cyberangrep på deres systemer redusert med mer enn 10 ganger. På den annen side økte sosiale ingeniørhendelser i de samme bankene fra 13 % i 2014 til 79 % i 2018.
Kriminelle fant et svakt ledd i bedriftens sikkerhetsomkrets, som viste seg å være private brukere. Da en av foredragsholderne ba alle som hadde spesialisert antivirusprogramvare på smarttelefonen om å rekke opp hendene, svarte tre av flere dusin personer.
I 2018 var private brukere involvert i hver femte sikkerhetshendelse; 80 % av angrepene på banker ble utført ved hjelp av sosial teknikk.
Moderne brukere blir bortskjemt med intuitive tjenester som lærer dem å vurdere IT med hensyn til bekvemmelighet. Sikkerhetsverktøy som legger til et par ekstra trinn viser seg å være en distraksjon. Som et resultat taper den sikre tjenesten mot en konkurrent med penere knapper, og vedlegg til phishing-e-poster åpnes uten å bli lest. Det er verdt å merke seg at den nye generasjonen ikke demonstrerer den digitale kompetansen som tilskrives den - hvert år blir ofre for angrep yngre, og millennials kjærlighet til gadgets utvider bare spekteret av mulige sårbarheter.
Nå personen
Sikkerhetsverktøy i dag bekjemper menneskelig latskap. Tenk på om det er verdt å åpne denne filen? Må jeg følge denne linken? La denne prosessen ligge i sandkassen, og du vil evaluere alt på nytt. Maskinlæringsverktøy samler stadig inn data om brukeratferd for å utvikle trygge praksiser som ikke forårsaker unødvendige ulemper.
Men hva skal man gjøre med en klient som overbeviser en anti-svindelspesialist om å tillate en mistenkelig transaksjon, selv om han får direkte beskjed om at mottakerens konto har blitt oppdaget i uredelige transaksjoner (en ekte sak fra praksisen til BI.ZONE)? Hvordan beskytte brukere mot angripere som kan forfalske en samtale fra en bank?
Åtte av ti sosiale ingeniørangrep utføres over telefon.
Det er telefonsamtaler som er i ferd med å bli hovedkanalen for ondsinnet social engineering – i 2018 økte andelen slike angrep fra 27 % til 83 %, langt foran SMS, sosiale nettverk og e-post. Kriminelle oppretter hele callsentre for å ringe folk med tilbud om å tjene penger på børsen eller motta penger for å delta i undersøkelser. Mange mennesker synes det er vanskelig å oppfatte informasjon kritisk når de er pålagt å ta umiddelbare beslutninger med løfte om imponerende belønninger.
Den siste trenden er lojalitetsprogram-svindel som fratar ofre for år med akkumulerte miles, gratis liter bensin og andre bonuser. Det velprøvde klassiske, betalte abonnementet på unødvendige mobiltjenester forblir også relevant. I en av rapportene var det et eksempel på en bruker som mistet 8 tusen rubler daglig på grunn av slike tjenester. På spørsmål om hvorfor han ikke var plaget av den stadig sviktende balansen, svarte mannen at han kalkulerte det hele opp til forsørgerens grådighet.
Ikke-russiske hackere
Mobile enheter visker ut grensen mellom angrep på private og bedriftsbrukere. For eksempel kan en ansatt i all hemmelighet se etter en ny jobb. Han kommer over en tjeneste for klargjøring av CV på Internett og laster ned en applikasjon eller dokumentmal til smarttelefonen. Slik havner angriperne som lanserte den falske nettressursen på en personlig gadget, hvorfra de kan flytte til bedriftsnettverket.
Som en foredragsholder fra Group-IB sa, ble nettopp en slik operasjon utført av den avanserte gruppen Lazarus, som beskrives som en enhet for nordkoreansk etterretning. Dette er noen av de mest produktive nettkriminelle de siste årene - de er ansvarlige for tyverier fra и , og selv . APT-grupper (fra den engelske avanserte vedvarende trusselen, "stabil avansert trussel"), hvor antallet har vokst til flere dusin de siste årene, kommer inn i infrastrukturen på alvor og i lang tid, etter å ha studert alle dens funksjoner og svakheter. Slik klarer de å finne ut om karriereveiene til en ansatt som har tilgang til nødvendig informasjonssystem.
I dag er store organisasjoner truet av 100-120 spesielt farlige cybergrupper, hvor hver femte angriper selskaper i Russland.
Timur Biyachuev, leder for trusselforskningsavdelingen ved Kaspersky Lab, estimerte antallet av de farligste gruppene til 100-120 samfunn, og det er flere hundre av dem totalt nå. Russiske selskaper er truet med rundt 20 %. En betydelig andel av kriminelle, spesielt de fra nye grupper, bor i Sørøst-Asia.
APT-samfunn kan spesifikt opprette et programvareutviklingsselskap for å dekke deres aktiviteter eller for å nå flere hundre av målene dine. Eksperter overvåker stadig slike grupper, og samler spredte bevis for å fastslå bedriftsidentiteten til hver av dem. Trusseletterretning er fortsatt det beste forebyggende våpenet mot nettkriminalitet.
Hvem sin vil du være?
Eksperter sier at kriminelle enkelt kan endre verktøy og taktikk, skrive ny skadelig programvare og oppdage nye angrepsvektorer. Den samme Lazarus, i en av sine kampanjer, satte inn russiske ord i koden for å feildirigere etterforskningen. Imidlertid er selve atferdsmønsteret mye vanskeligere å endre, så eksperter kan gjette fra de karakteristiske trekkene hvem som utførte dette eller det angrepet. Her får de igjen hjelp av big data og maskinlæringsteknologier, som skiller hveten fra klinten i informasjonen som samles inn ved overvåking.
Kongressens foredragsholdere snakket om problemet med attribusjon, eller å fastslå identiteten til angripere, mer enn en eller to ganger. Disse utfordringene involverer både teknologiske og juridiske spørsmål. Er for eksempel kriminelle beskyttet av personvernlovgivningen? Selvfølgelig, ja, noe som betyr at du kun kan sende informasjon om kampanjearrangører i anonymisert form. Dette pålegger noen begrensninger på prosessene for datautveksling innen det profesjonelle informasjonssikkerhetsmiljøet.
Skolebarn og hooligans, kunder av underjordiske hackerbutikker, gjør det også vanskelig å etterforske hendelser. Terskelen for å komme inn i cyberkriminalitetsindustrien har sunket i en slik grad at rekkene av ondsinnede aktører har en tendens til å være uendelige – du kan ikke telle dem alle.
Vakkert er langt unna
Det er lett å fortvile ved tanken på at ansatte skaper en bakdør til det finansielle systemet med egne hender, men det er også positive trender. Den økende populariteten til åpen kildekode øker programvaretransparensen og gjør det lettere å bekjempe ondsinnet kodeinjeksjon. Data Science-spesialister lager nye algoritmer som blokkerer uønskede handlinger når det er tegn på ondsinnet hensikt. Eksperter prøver å bringe mekanikken til sikkerhetssystemer nærmere funksjonene til den menneskelige hjernen, slik at forsvar bruker intuisjon sammen med empiriske metoder. Dyplæringsteknologier lar slike systemer utvikle seg uavhengig basert på nettangrepsmodeller.
Skoltech: «Kunstig intelligens er på moten, og det er bra. Faktisk er det fortsatt en lang vei å komme dit, og det er enda bedre.»
Som Grigory Kabatyansky, rådgiver for rektor ved Skolkovo Institute of Science and Technology, minnet lytterne om, kan ikke en slik utvikling kalles kunstig intelligens. Ekte AI vil ikke bare kunne akseptere oppgaver fra mennesker, men også sette dem uavhengig. Fremveksten av slike systemer, som uunngåelig vil ta deres plass blant aksjonærene i store selskaper, er fortsatt flere tiår unna.
I mellomtiden jobber menneskeheten med teknologiene maskinlæring og nevrale nettverk, som akademikere begynte å snakke om i midten av forrige århundre. Skoltech-forskere bruker prediktiv modellering for å jobbe med tingenes internett, mobilnettverk og trådløs kommunikasjon, medisinske og økonomiske løsninger. På noen områder bekjemper avansert analyse trusselen om menneskeskapte katastrofer og problemer med nettverksytelse. I andre foreslår det alternativer for å løse eksisterende og hypotetiske problemer, løser problemer som i tilsynelatende harmløse medier.
Trening på katter
Igor Lyapunov, visepresident for informasjonssikkerhet ved Rostelecom PJSC, ser det grunnleggende problemet med maskinlæring innen informasjonssikkerhet i mangelen på materiale for smarte systemer. Et nevralt nettverk kan læres å gjenkjenne en katt ved å vise tusenvis av fotografier av dette dyret. Hvor kan jeg finne tusenvis av cyberangrep å nevne som eksempler?
Dagens proto-AI hjelper med å søke etter spor etter kriminelle på darknet og analysere allerede oppdaget skadelig programvare. Antisvindel, anti-hvitvasking, delvis identifisering av sårbarheter i kode – alt dette kan også gjøres med automatiserte midler. Resten kan tilskrives markedsføringsprosjekter til programvareutviklere, og dette vil ikke endre seg de neste 5-10 årene.
Kilde: www.habr.com