De 20 a 21 de junho, Moscou sediou . Com base nos resultados do evento, os visitantes puderam tirar as seguintes conclusões:
- a iliteracia digital está a espalhar-se tanto entre os utilizadores como entre os próprios cibercriminosos;
- os primeiros continuam a cair no phishing, abrem links perigosos e trazem malware para redes corporativas a partir de smartphones pessoais;
- entre estes últimos, há cada vez mais recém-chegados que buscam dinheiro fácil sem mergulhar na tecnologia - baixaram uma botnet na dark web, configuraram a automação e monitoraram o saldo da carteira;
- os profissionais de segurança dependem de análises avançadas, sem as quais é muito fácil não perceber a ameaça no ruído da informação.
O Congresso aconteceu no World Trade Center. A escolha do local se explica pelo fato de ser uma das poucas instalações com autorização do Serviço de Segurança Federal para a realização de eventos dos mais altos escalões do país. Os visitantes do Congresso puderam ouvir discursos do Ministro do Desenvolvimento Digital Konstantin Noskov, da chefe do Banco Central Elvira Nabiullina e do presidente do Sberbank German Gref. O público internacional foi representado pelo CEO da Huawei Rússia, Aiden Wu, pelo diretor aposentado da Europol, Jürgen Storbeck, pelo presidente do Conselho Alemão de Segurança Cibernética, Hans-Wilhelm Dünn, e por outros especialistas de alto escalão.
O paciente está vivo?
Os organizadores selecionaram tópicos adequados tanto para discussões gerais quanto para relatórios práticos sobre questões técnicas. Na maioria das apresentações, a inteligência artificial foi mencionada de uma forma ou de outra - para crédito dos palestrantes, eles próprios muitas vezes admitiram que em sua encarnação atual é mais um “tópico exagerado” do que uma pilha de tecnologia realmente funcional. Ao mesmo tempo, hoje é difícil imaginar a proteção de grandes infraestruturas corporativas sem aprendizado de máquina e ciência de dados.
Um ataque pode ser detectado em média três meses após a penetração na infraestrutura.
Porque as assinaturas por si só não conseguem impedir os 300 mil novos malwares que aparecem na Internet todos os dias (de acordo com a Kaspersky Lab). E os profissionais de segurança cibernética levam em média três meses para detectar intrusos em suas redes. Durante esse período, os hackers conseguem ganhar uma posição tão forte na infraestrutura que precisam ser expulsos três ou quatro vezes. Limpamos os armazenamentos e o malware retornou por meio de uma conexão remota vulnerável. Eles estabeleceram a segurança da rede - os criminosos enviam a um funcionário uma carta com um Trojan supostamente de um parceiro de negócios de longa data, que também conseguiram comprometer. E assim por diante até o amargo fim, não importa quem vença.
A e B construíram uma segurança da informação
Nesta base, duas áreas paralelas de segurança da informação estão a crescer rapidamente: o controlo generalizado sobre a infraestrutura baseada em centros de cibersegurança (Centro de Operações de Segurança, SOC) e a deteção de atividades maliciosas através de comportamento anómalo. Muitos palestrantes, como o vice-presidente da Trend Micro para Ásia-Pacífico, Oriente Médio e África, Dhanya Thakkar, exortam os administradores a assumirem que já foram hackeados – para não perderem eventos suspeitos, por mais insignificantes que possam parecer.
IBM em um projeto SOC típico: “Primeiro o design do futuro modelo de serviço, depois sua implementação e só então a implantação dos sistemas técnicos necessários”.
Daí a crescente popularidade dos SOCs, que cobrem todas as áreas da infraestrutura e informam prontamente a atividade repentina de algum roteador esquecido. Como disse o diretor da IBM Security Systems na Europa, Georgy Racz, nos últimos anos a comunidade profissional desenvolveu uma certa compreensão de tais estruturas de controle, percebendo que a segurança não pode ser alcançada apenas por meios técnicos. Os SOCs atuais trazem um modelo de serviço de segurança da informação para a empresa, permitindo que os sistemas de segurança sejam integrados aos processos existentes.
Com você está minha espada e meu arco e meu machado
Os negócios existem em condições de escassez de pessoal - o mercado precisa de cerca de 2 milhões de especialistas em segurança da informação. Isso está empurrando as empresas para um modelo de terceirização. As empresas muitas vezes preferem transferir até mesmo os seus próprios especialistas para uma entidade jurídica separada – aqui podemos recordar a SberTech, o próprio integrador do Aeroporto Domodedovo, e outros exemplos. A menos que você seja um gigante do setor, é mais provável que você recorra a alguém como a IBM para ajudá-lo a criar sua própria equipe de segurança. Uma parte significativa do orçamento será gasta em processos de reestruturação, a fim de lançar a segurança da informação no formato de serviços corporativos.
Escândalos com vazamentos do Facebook, Uber e da agência de crédito americana Equifax levantaram questões de proteção de TI ao nível dos conselhos de administração. Portanto, o CISO torna-se um participante frequente nas reuniões e, em vez de uma abordagem tecnológica à segurança, as empresas utilizam uma lente empresarial – avaliam a rentabilidade, reduzem riscos, estabelecem palhinhas. E o combate aos cibercriminosos assume uma conotação econômica - é necessário tornar o ataque não lucrativo para que a organização não seja do interesse dos hackers em princípio.
Existem nuances
Todas essas mudanças não passaram pelos invasores, que redirecionaram os esforços das corporações para usuários privados. Os números falam por si: segundo a empresa BI.ZONE, em 2017-2018, as perdas dos bancos russos devido a ataques cibernéticos aos seus sistemas diminuíram mais de 10 vezes. Por outro lado, os incidentes de engenharia social nos mesmos bancos aumentaram de 13% em 2014 para 79% em 2018.
Os criminosos encontraram um elo fraco no perímetro de segurança corporativa, que eram usuários privados. Quando um dos palestrantes pediu a todos que tinham software antivírus especializado em seus smartphones que levantassem a mão, três em cada dezenas de pessoas responderam.
Em 2018, os utilizadores privados estiveram envolvidos em cada quinto incidente de segurança; 80% dos ataques aos bancos foram realizados através de engenharia social.
Os usuários modernos são mimados por serviços intuitivos que os ensinam a avaliar a TI em termos de conveniência. Ferramentas de segurança que adicionam algumas etapas extras acabam sendo uma distração. Como resultado, o serviço seguro perde para um concorrente com botões mais bonitos e os anexos de e-mails de phishing são abertos sem serem lidos. É importante notar que a nova geração não demonstra a alfabetização digital que lhe é atribuída - a cada ano as vítimas de ataques ficam mais jovens, e o amor dos millennials pelos gadgets apenas amplia o leque de possíveis vulnerabilidades.
Alcance a pessoa
As ferramentas de segurança hoje combatem a preguiça humana. Pense se vale a pena abrir este arquivo? Preciso seguir este link? Deixe esse processo ficar na caixa de areia e você avaliará tudo novamente. As ferramentas de aprendizado de máquina coletam constantemente dados sobre o comportamento do usuário para desenvolver práticas seguras que não causem transtornos desnecessários.
Mas o que fazer com um cliente que convence um especialista antifraude a permitir uma transação suspeita, embora lhe seja diretamente informado que a conta do destinatário foi detectada em transações fraudulentas (um caso real da prática da BI.ZONE)? Como proteger os usuários de invasores que podem falsificar uma chamada de um banco?
Oito em cada dez ataques de engenharia social são realizados por telefone.
São as chamadas telefónicas que se estão a tornar o principal canal de engenharia social maliciosa - em 2018, a percentagem de tais ataques aumentou de 27% para 83%, muito à frente de SMS, redes sociais e e-mail. Os criminosos criam call centers inteiros para ligar para as pessoas com ofertas de ganhar dinheiro na bolsa ou receber dinheiro por participar de pesquisas. Muitas pessoas têm dificuldade em perceber as informações de forma crítica quando são obrigadas a tomar decisões imediatas com a promessa de recompensas impressionantes.
A última tendência são os golpes de programas de fidelidade que privam as vítimas de anos de milhas acumuladas, litros de gasolina grátis e outros bônus. A comprovada assinatura paga clássica de serviços móveis desnecessários também permanece relevante. Em um dos relatórios havia o exemplo de um usuário que perdia 8 mil rublos diariamente devido a esses serviços. Quando questionado sobre por que não se incomodava com o saldo cada vez menor, o homem respondeu que atribuía tudo à ganância de seu provedor.
Hackers não russos
Os dispositivos móveis estão confundindo a linha entre ataques a usuários privados e corporativos. Por exemplo, um funcionário pode procurar secretamente um novo emprego. Ele se depara com um serviço de preparação de currículos na Internet e baixa um aplicativo ou modelo de documento em seu smartphone. É assim que os invasores que lançaram o falso recurso online acabam em um gadget pessoal, de onde podem se deslocar para a rede corporativa.
Como disse um orador do Grupo-IB, tal operação foi realizada pelo grupo avançado Lazarus, que é descrito como uma unidade de inteligência norte-coreana. Estes são alguns dos cibercriminosos mais produtivos dos últimos anos - são responsáveis por roubos de и , e ainda . Os grupos APT (da ameaça persistente avançada inglesa, “ameaça avançada estável”), cujo número cresceu para várias dezenas nos últimos anos, entram na infra-estrutura a sério e por muito tempo, tendo previamente estudado todas as suas características e fraquezas. É assim que conseguem conhecer o percurso profissional de um colaborador que tem acesso ao sistema de informação necessário.
Hoje, as grandes organizações são ameaçadas por 100 a 120 grupos cibernéticos particularmente perigosos, com um em cada cinco atacando empresas na Rússia.
Timur Biyachuev, chefe do departamento de pesquisa de ameaças da Kaspersky Lab, estimou o número dos grupos mais perigosos em 100-120 comunidades, e agora existem várias centenas deles no total. As empresas russas estão ameaçadas com cerca de 20%. Uma proporção significativa de criminosos, especialmente os de grupos emergentes, vive no Sudeste Asiático.
As comunidades APT podem criar especificamente uma empresa de desenvolvimento de software para cobrir as suas atividades ou para alcançar várias centenas de seus alvos. Os especialistas monitoram constantemente esses grupos, reunindo evidências dispersas para determinar a identidade corporativa de cada um deles. A inteligência sobre ameaças continua sendo a melhor arma preventiva contra o crime cibernético.
De quem você será?
Especialistas dizem que os criminosos podem facilmente mudar suas ferramentas e táticas, escrever novos malwares e descobrir novos vetores de ataque. O mesmo Lázaro, em uma de suas campanhas, inseriu palavras russas no código para desviar a investigação. No entanto, o padrão de comportamento em si é muito mais difícil de mudar, de modo que os especialistas podem adivinhar pelos traços característicos quem realizou este ou aquele ataque. Aqui eles são novamente auxiliados por tecnologias de big data e machine learning, que separam o joio do trigo nas informações coletadas pelo monitoramento.
Os palestrantes do congresso falaram sobre o problema da atribuição, ou determinação da identidade dos agressores, mais de uma ou duas vezes. Esses desafios envolvem questões tecnológicas e jurídicas. Por exemplo, os criminosos estão protegidos pelas leis de privacidade? Claro que sim, o que significa que você pode enviar informações sobre os organizadores da campanha apenas de forma anônima. Isto impõe algumas restrições aos processos de troca de dados dentro da comunidade profissional de segurança da informação.
Crianças em idade escolar e hooligans, clientes de lojas clandestinas de hackers, também dificultam a investigação de incidentes. O limiar de entrada na indústria do crime cibernético caiu de tal forma que o número de atores mal-intencionados tende a ser infinito – não é possível contá-los todos.
linda longe
É fácil desesperar-se com a ideia de os funcionários criarem uma porta dos fundos para o sistema financeiro com as próprias mãos, mas também existem tendências positivas. A crescente popularidade do código aberto aumenta a transparência do software e facilita o combate às injeções de códigos maliciosos. Especialistas em Data Science estão criando novos algoritmos que bloqueiam ações indesejadas quando há sinais de intenção maliciosa. Os especialistas estão tentando aproximar a mecânica dos sistemas de segurança do funcionamento do cérebro humano, para que as defesas utilizem a intuição juntamente com métodos empíricos. As tecnologias de aprendizagem profunda permitem que tais sistemas evoluam de forma independente com base em modelos de ataques cibernéticos.
Skoltech: “A inteligência artificial está na moda e isso é bom. Na verdade, ainda há um longo caminho a percorrer e isso é ainda melhor.”
Como Grigory Kabatyansky, conselheiro do reitor do Instituto Skolkovo de Ciência e Tecnologia, lembrou aos ouvintes, tais desenvolvimentos não podem ser chamados de inteligência artificial. A IA real será capaz não apenas de aceitar tarefas de humanos, mas também de defini-las de forma independente. O surgimento de tais sistemas, que inevitavelmente ocuparão o seu lugar entre os acionistas das grandes empresas, ainda está a várias décadas de distância.
Enquanto isso, a humanidade trabalha com as tecnologias de aprendizado de máquina e redes neurais, das quais os acadêmicos começaram a falar em meados do século passado. Os pesquisadores da Skoltech usam modelagem preditiva para trabalhar com a Internet das Coisas, redes móveis e comunicações sem fio, além de soluções médicas e financeiras. Em algumas áreas, a análise avançada combate a ameaça de desastres provocados pelo homem e problemas de desempenho de rede. Noutros, sugere opções para resolver problemas existentes e hipotéticos, resolve problemas como em meios de comunicação aparentemente inofensivos.
Treinamento em gatos
Igor Lyapunov, vice-presidente de segurança da informação da Rostelecom PJSC, vê o problema fundamental do aprendizado de máquina na segurança da informação na falta de material para sistemas inteligentes. Uma rede neural pode ser ensinada a reconhecer um gato mostrando milhares de fotografias desse animal. Onde posso encontrar milhares de ataques cibernéticos para citar como exemplos?
A proto-AI de hoje ajuda a procurar vestígios de criminosos na darknet e a analisar malware já descoberto. Antifraude, combate à lavagem de dinheiro, identificação parcial de vulnerabilidades no código - tudo isso também pode ser feito por meios automatizados. O resto pode ser atribuído a projetos de marketing de desenvolvedores de software, e isso não mudará nos próximos 5 a 10 anos.
Fonte: habr.com