În perioada 20-21 iunie, Moscova a găzduit . Pe baza rezultatelor evenimentului, vizitatorii au putut trage următoarele concluzii:
- analfabetismul digital se răspândește atât în rândul utilizatorilor, cât și printre infractorii cibernetici înșiși;
- primii continuă să se îndrăgostească de phishing, deschid legături periculoase și aduc malware în rețelele corporative de pe smartphone-uri personale;
- printre aceștia din urmă, sunt din ce în ce mai mulți nou-veniți care urmăresc bani ușori fără a se scufunda în tehnologie - au descărcat un botnet pe dark web, au configurat automatizarea și monitorizează soldul portofelului;
- profesioniștii în securitate sunt lăsați să se bazeze pe analize avansate, fără de care este foarte ușor să ratezi amenințarea din zgomotul informațional.
Congresul a avut loc la World Trade Center. Alegerea site-ului se explică prin faptul că aceasta este una dintre puținele facilități cu permisiunea Serviciului Federal de Securitate pentru a organiza evenimente cu cele mai înalte ranguri ale țării. Vizitatorii Congresului au putut asculta discursurile ministrului Dezvoltării Digitale Konstantin Noskov, a șefei Băncii Centrale Elvira Nabiullina și a președintelui Sberbank German Gref. Audiența internațională a fost reprezentată de CEO-ul Huawei Rusia, Aiden Wu, de directorul Europol în retragere, Jürgen Storbeck, de președintele Consiliului German de Securitate Cibernetică Hans-Wilhelm Dünn și de alți experți de rang înalt.
Pacientul este viu?
Organizatorii au selectat subiecte potrivite atât pentru discuții generale, cât și pentru rapoarte orientate practic pe probleme tehnice. La cele mai multe prezentări, inteligența artificială a fost menționată într-un fel sau altul - spre meritul vorbitorilor, ei înșiși au recunoscut adesea că, în încarnarea sa actuală, este mai mult un „subiect hype” decât o stivă de tehnologie cu adevărat funcțională. În același timp, astăzi este dificil să ne imaginăm protejarea infrastructurii corporative mari fără învățarea automată și știința datelor.
Un atac poate fi detectat în medie la trei luni după pătrunderea în infrastructură.
Pentru că numai semnăturile nu pot opri cele 300 de mii de noi malware care apar pe internet în fiecare zi (conform Kaspersky Lab). Și profesioniștilor în securitate cibernetică sunt necesare în medie trei luni pentru a detecta intrușii în rețeaua lor. În acest timp, hackerii reușesc să câștige un astfel de punct de sprijin în infrastructură încât trebuie să fie dați afară de trei sau patru ori. Am curățat depozitele și malware-ul a revenit printr-o conexiune vulnerabilă la distanță. Au stabilit securitatea rețelei - infractorii trimit unui angajat o scrisoare cu un troian presupus de la un partener de afaceri de mult timp, pe care au reușit să-l compromită. Și așa mai departe până la capătul amar, indiferent cine câștigă în cele din urmă.
A și B au construit o securitate a informațiilor
Pe această bază, două domenii paralele ale securității informațiilor se dezvoltă rapid: controlul pe scară largă asupra infrastructurii bazat pe centre de securitate cibernetică (Security Operations Center, SOC) și detectarea activităților rău intenționate prin comportament anormal. Mulți vorbitori, precum vicepreședintele Trend Micro pentru Asia Pacific, Orientul Mijlociu și Africa, Dhanya Thakkar, îndeamnă administratorii să presupună că au fost deja piratați - să nu rateze evenimentele suspecte, oricât de nesemnificative ar părea.
IBM pe un proiect SOC tipic: „Mai întâi proiectarea viitorului model de servicii, apoi implementarea acestuia și abia apoi implementarea sistemelor tehnice necesare.”
De aici și popularitatea tot mai mare a SOC-urilor, care acoperă toate zonele infrastructurii și raportează cu promptitudine activitatea bruscă a unui router uitat. După cum a spus directorul IBM Security Systems în Europa, Georgy Racz, în ultimii ani comunitatea profesională a dezvoltat o anumită înțelegere a unor astfel de structuri de control, realizând că securitatea nu poate fi realizată numai prin mijloace tehnice. SOC-urile de astăzi aduc companiei un model de servicii de securitate a informațiilor, permițând ca sistemele de securitate să fie integrate în procesele existente.
Cu tine este sabia și arcul și securea mea
Afacerea există în condiții de deficit de personal - piața are nevoie de aproximativ 2 milioane de specialiști în securitatea informațiilor. Acest lucru împinge companiile către un model de outsourcing. Corporațiile preferă adesea să-și mute chiar și proprii specialiști într-o entitate juridică separată – aici putem aminti SberTech, propriul integrator al Aeroportului Domodedovo și alte exemple. Dacă nu sunteți un gigant al industriei, este mai probabil să apelați la cineva ca IBM pentru a vă ajuta să vă construiți propria echipă de securitate. O parte semnificativă a bugetului va fi cheltuită pe procese de restructurare pentru a lansa securitatea informațiilor în formatul serviciilor corporative.
Scandalurile cu scurgeri de la Facebook, Uber și biroul american de credit Equifax au ridicat probleme de protecție IT la nivelul consiliilor de administrație. Prin urmare, CISO devine un participant frecvent la întâlniri și, în loc de o abordare tehnologică a securității, companiile folosesc o lentilă de afaceri - evaluează profitabilitatea, reduc riscurile, pun paie. Iar combaterea infractorilor cibernetici capătă o conotație economică - este necesar să facem atacul neprofitabil, astfel încât organizația să nu fie de interes pentru hackeri în principiu.
Există nuanțe
Toate aceste schimbări nu au trecut de atacatori, care au redirecționat eforturile de la corporații către utilizatori privați. Cifrele vorbesc de la sine: conform companiei BI.ZONE, în 2017-2018, pierderile băncilor ruse din cauza atacurilor cibernetice asupra sistemelor lor au scăzut de peste 10 ori. Pe de altă parte, incidentele de inginerie socială la aceleași bănci au crescut de la 13% în 2014 la 79% în 2018.
Infractorii au găsit o verigă slabă în perimetrul de securitate corporativă, care s-a dovedit a fi utilizatori privați. Când unul dintre vorbitori i-a rugat pe toți cei care aveau software antivirus specializat pe smartphone să ridice mâna, trei din câteva zeci de persoane au răspuns.
În 2018, utilizatorii privați au fost implicați în fiecare al cincilea incident de securitate; 80% dintre atacurile asupra băncilor au fost efectuate folosind inginerie socială.
Utilizatorii moderni sunt răsfățați de servicii intuitive care îi învață să evalueze IT-ul din punct de vedere al confortului. Instrumentele de securitate care adaugă câțiva pași suplimentari se dovedesc a fi o distragere a atenției. Drept urmare, serviciul securizat pierde în fața unui concurent cu butoane mai frumoase, iar atașamentele la e-mailurile de phishing sunt deschise fără a fi citite. Merită remarcat faptul că noua generație nu demonstrează alfabetizarea digitală care i se atribuie - în fiecare an victimele atacurilor devin tot mai tinere, iar dragostea milenialilor pentru gadgeturi nu face decât să extindă gama posibilelor vulnerabilități.
Ajunge la persoana
Instrumentele de securitate de astăzi combate lenea umană. Gândiți-vă dacă merită să deschideți acest fișier? Trebuie să urmăresc acest link? Lăsați acest proces să stea în cutia de nisip și veți evalua totul din nou. Instrumentele de învățare automată colectează în mod constant date despre comportamentul utilizatorilor pentru a dezvolta practici sigure care nu cauzează inconveniente inutile.
Dar ce să faci cu un client care convinge un specialist antifraudă să permită o tranzacție suspectă, deși i se spune direct că contul destinatarului a fost depistat în tranzacții frauduloase (un caz real din practica BI.ZONE)? Cum să protejăm utilizatorii de atacatorii care pot falsifica un apel de la o bancă?
Opt din zece atacuri de inginerie socială sunt efectuate prin telefon.
Apelurile telefonice devin principalul canal de inginerie socială rău intenționată - în 2018, ponderea unor astfel de atacuri a crescut de la 27% la 83%, cu mult înaintea SMS-urilor, rețelelor sociale și e-mailului. Criminalii creează centre de apel întregi pentru a suna oamenii cu oferte de a face bani la bursă sau de a primi bani pentru participarea la sondaje. Mulți oameni le este greu să perceapă informațiile în mod critic atunci când li se cere să ia decizii imediate cu promisiunea unor recompense impresionante.
Cea mai recentă tendință sunt înșelătoriile programelor de loialitate care privează victimele de ani de mile acumulate, litri gratuit de benzină și alte bonusuri. Abonamentul plătit, clasic, dovedit, la servicii mobile inutile, rămâne, de asemenea, relevant. Într-unul dintre rapoarte a fost un exemplu de utilizator care a pierdut 8 mii de ruble zilnic din cauza unor astfel de servicii. Când a fost întrebat de ce nu este deranjat de echilibrul în continuă scădere, bărbatul a răspuns că a atribuit totul lacomiei furnizorului său.
Hackerii non-ruși
Dispozitivele mobile estompează linia dintre atacurile asupra utilizatorilor privați și corporativi. De exemplu, un angajat poate căuta în secret un nou loc de muncă. Întâlnește un serviciu de pregătire a CV-ului pe Internet și descarcă pe smartphone-ul său o aplicație sau un șablon de document. Așa se face că atacatorii care au lansat falsa resursă online ajung pe un gadget personal, de unde se pot muta în rețeaua corporativă.
După cum a spus un vorbitor de la Group-IB, tocmai o astfel de operațiune a fost efectuată de grupul avansat Lazarus, care este descris ca o unitate a informațiilor nord-coreene. Aceștia sunt unii dintre cei mai productivi criminali cibernetici din ultimii ani - sunt responsabili pentru furturi de la и , și chiar . Grupurile APT (din engleză amenințare persistentă avansată, „amenințare avansată stabilă”), al căror număr a crescut la câteva zeci în ultimii ani, intră în infrastructură serios și pentru o lungă perioadă de timp, studiind anterior toate caracteristicile și punctele slabe ale acesteia. Așa reușesc să afle despre traseele de carieră ale unui angajat care are acces la sistemul informațional necesar.
Organizațiile mari de astăzi sunt amenințate de 100-120 de grupuri cibernetice deosebit de periculoase, fiecare a cincea atacă companiile din Rusia.
Șeful departamentului de cercetare a amenințărilor de la Kaspersky Lab, Timur Biyachuev, a estimat numărul celor mai periculoase grupuri la 100-120 de comunități, iar în total sunt câteva sute de ele care funcționează acum. Companiile rusești sunt amenințate cu aproximativ 20%. O proporție semnificativă a criminalilor, în special cei din grupurile nou apărute, trăiesc în Asia de Sud-Est.
Comunitățile APT pot crea în mod specific o companie de dezvoltare de software pentru a-și acoperi activitățile sau pentru a atinge câteva sute de ținte. Experții monitorizează în mod constant astfel de grupuri, adunând împreună dovezi împrăștiate pentru a determina identitatea corporativă a fiecăruia dintre ele. Informațiile despre amenințări rămân cea mai bună armă preventivă împotriva criminalității cibernetice.
Al cui vei fi?
Experții spun că infractorii își pot schimba cu ușurință instrumentele și tacticile, pot scrie noi programe malware și pot descoperi noi vectori de atac. Același Lazăr, într-una din campaniile sale, a introdus în cod cuvinte rusești pentru a dirija greșit ancheta. Cu toate acestea, modelul de comportament în sine este mult mai dificil de schimbat, astfel încât experții pot ghici din trăsăturile caracteristice care a efectuat acest sau acel atac. Aici sunt din nou ajutați de tehnologiile big data și de învățare automată, care separă grâul de pleava în informațiile colectate prin monitorizare.
Vorbitorii congresului au vorbit despre problema atribuirii, sau determinării identității atacatorilor, de mai multe ori sau de două ori. Aceste provocări implică atât probleme tehnologice, cât și juridice. De exemplu, sunt criminalii protejați de legile privind confidențialitatea? Desigur, da, ceea ce înseamnă că puteți trimite informații despre organizatorii campaniei doar în formă anonimizată. Acest lucru impune unele restricții asupra proceselor de schimb de date în cadrul comunității profesionale de securitate a informațiilor.
Școlari și huligani, clienți ai magazinelor de hackeri subterane, îngreunează și investigarea incidentelor. Pragul de intrare în industria criminalității cibernetice a scăzut într-o asemenea măsură încât rândurile actorilor rău intenționați tind să fie infinite – nu îi puteți număra pe toți.
Frumos este departe
Este ușor să disperi la gândul că angajații își creează o ușă în spate către sistemul financiar cu propriile mâini, dar există și tendințe pozitive. Popularitatea în creștere a open source crește transparența software-ului și facilitează combaterea injectărilor de cod rău intenționat. Specialiștii în știința datelor creează noi algoritmi care blochează acțiunile nedorite atunci când există semne de intenție rău intenționată. Experții încearcă să aducă mecanica sistemelor de securitate mai aproape de funcționarea creierului uman, astfel încât apărările să folosească intuiția împreună cu metode empirice. Tehnologiile de învățare profundă permit unor astfel de sisteme să evolueze independent pe baza modelelor de atac cibernetic.
Skoltech: „Inteligenta artificiala este la moda si asta e bine. De fapt, este încă un drum lung până acolo, și asta este și mai bine.”
După cum Grigory Kabatyansky, consilier al rectorului Institutului de Știință și Tehnologie Skolkovo, le-a reamintit ascultătorilor, astfel de evoluții nu pot fi numite inteligență artificială. AI reală va putea nu numai să accepte sarcini de la oameni, ci și să le stabilească independent. Apariția unor astfel de sisteme, care în mod inevitabil își vor lua locul în rândul acționarilor marilor corporații, este încă la câteva decenii.
Între timp, omenirea lucrează cu tehnologiile de învățare automată și rețele neuronale, despre care academicienii au început să vorbească la mijlocul secolului trecut. Cercetătorii Skoltech folosesc modelarea predictivă pentru a lucra cu internetul obiectelor, rețelele mobile și comunicațiile fără fir, soluțiile medicale și financiare. În unele zone, analiza avansată combate amenințarea dezastrelor provocate de om și problemele de performanță a rețelei. În altele, sugerează opțiuni pentru rezolvarea problemelor existente și ipotetice, rezolvă probleme precum în mass-media aparent inofensive.
Antrenament pe pisici
Igor Lyapunov, vicepreședinte pentru securitatea informațiilor la Rostelecom PJSC, vede problema fundamentală a învățării automate în securitatea informațiilor în lipsa de material pentru sistemele inteligente. O rețea neuronală poate fi învățată să recunoască o pisică arătând mii de fotografii ale acestui animal. Unde pot găsi mii de atacuri cibernetice pentru a le cita ca exemple?
Proto-AI de astăzi ajută la căutarea urmelor criminalilor pe rețeaua întunecată și la analiza programelor malware deja descoperite. Antifraudă, anti-spălarea banilor, identificarea parțială a vulnerabilităților în cod - toate acestea pot fi realizate și prin mijloace automate. Restul poate fi atribuit proiectelor de marketing ale dezvoltatorilor de software, iar acest lucru nu se va schimba în următorii 5-10 ani.
Sursa: www.habr.com