20. – 21. júna hostila Moskva . Na základe výsledkov podujatia mohli návštevníci vyvodiť tieto závery:
- digitálna negramotnosť sa šíri medzi používateľmi aj medzi samotnými kyberzločincami;
- tí prví naďalej podliehajú phishingu, otvárajú nebezpečné odkazy a prinášajú malvér do podnikových sietí z osobných smartfónov;
- medzi tými poslednými je stále viac nováčikov, ktorí sa ženú za ľahkými peniazmi bez toho, aby sa ponorili do technológií – stiahli si botnet na dark webe, nastavili automatizáciu a monitorovali zostatok v peňaženke;
- profesionáli v oblasti bezpečnosti sa musia spoliehať na pokročilé analýzy, bez ktorých je veľmi ľahké prehliadnuť hrozbu v informačnom šume.
Kongres sa konal vo Svetovom obchodnom centre. Výber miesta sa vysvetľuje skutočnosťou, že ide o jedno z mála zariadení s povolením Federálnej bezpečnostnej služby organizovať podujatia s najvyššími hodnosťami krajiny. Návštevníci kongresu si mohli vypočuť prejavy ministra digitálneho rozvoja Konstantina Noskova, šéfky centrálnej banky Elviry Nabiullinovej a prezidenta Sberbank German Gref. Medzinárodné publikum zastupoval generálny riaditeľ Huawei Russia Aiden Wu, riaditeľ Europolu na dôchodku Jürgen Storbeck, predseda nemeckej Rady pre kybernetickú bezpečnosť Hans-Wilhelm Dünn a ďalší vysokopostavení odborníci.
Je pacient nažive?
Organizátori vyberali témy, ktoré boli vhodné ako na všeobecné diskusie, tak aj na prakticky orientované správy o technických problémoch. Na väčšine prezentácií sa umelá inteligencia spomínala tak či onak – ku cti prednášajúcich často sami priznali, že v jej súčasnej podobe ide skôr o “hype tému” ako o skutočne fungujúci technologický stack. Zároveň je dnes ťažké predstaviť si ochranu veľkej podnikovej infraštruktúry bez strojového učenia a Data Science.
Útok možno odhaliť v priemere tri mesiace po prieniku do infraštruktúry.
Pretože samotné podpisy nedokážu zastaviť 300 tisíc nových malvérov, ktoré sa denne objavia na internete (podľa spoločnosti Kaspersky Lab). A profesionálom v oblasti kybernetickej bezpečnosti trvá odhalenie narušiteľov v ich sieti v priemere tri mesiace. Za tento čas sa hackerom podarí získať v infraštruktúre také postavenie, že ich treba tri-štyrikrát vykopnúť. Vyčistili sme úložiská a malvér sa vrátil cez zraniteľné vzdialené pripojenie. Zaviedli sieťovú bezpečnosť – zločinci posielajú zamestnancovi list s trójskym koňom údajne od dlhoročného obchodného partnera, ktorého sa im tiež podarilo kompromitovať. A tak ďalej až do trpkého konca, bez ohľadu na to, kto nakoniec vyhrá.
A a B vybudovali informačnú bezpečnosť
Na tomto základe rýchlo rastú dve paralelné oblasti informačnej bezpečnosti: rozšírená kontrola nad infraštruktúrou založenou na centrách kybernetickej bezpečnosti (Security Operations Center, SOC) a detekcia zákernej činnosti prostredníctvom anomálneho správania. Mnohí rečníci, ako napríklad viceprezidentka Trend Micro pre Áziu, Tichomorie, Stredný východ a Afriku, Dhanya Thakkar, naliehajú na administrátorov, aby predpokladali, že už boli napadnutí – aby si nenechali ujsť podozrivé udalosti, bez ohľadu na to, aké bezvýznamné sa môžu zdať.
IBM na typickom projekte SOC: „Najprv návrh budúceho modelu služieb, potom jeho implementácia a až potom nasadenie potrebných technických systémov.“
Preto rastie popularita SOC, ktoré pokrývajú všetky oblasti infraštruktúry a pohotovo hlásia náhlu aktivitu nejakého zabudnutého smerovača. Ako povedal riaditeľ IBM Security Systems v Európe Georgy Racz, v posledných rokoch si odborná komunita vytvorila určité chápanie takýchto kontrolných štruktúr a uvedomila si, že bezpečnosť nemožno dosiahnuť len technickými prostriedkami. Dnešné SOC prinášajú spoločnosti model služieb informačnej bezpečnosti, ktorý umožňuje integráciu bezpečnostných systémov do existujúcich procesov.
S tebou je môj meč, môj luk a moja sekera
Podnikanie existuje v podmienkach nedostatku personálu - trh potrebuje asi 2 milióny špecialistov na informačnú bezpečnosť. To tlačí spoločnosti smerom k modelu outsourcingu. Korporácie často uprednostňujú presunutie aj vlastných špecialistov do samostatnej právnickej osoby – tu si môžeme spomenúť SberTech, vlastného integrátora letiska Domodedovo a ďalšie príklady. Pokiaľ nie ste veľký priemyselný gigant, je pravdepodobnejšie, že sa obrátite na niekoho, ako je IBM, aby vám pomohol vybudovať si vlastný bezpečnostný tím. Značná časť rozpočtu pôjde na reštrukturalizačné procesy s cieľom naštartovať informačnú bezpečnosť vo formáte firemných služieb.
Škandály s únikmi informácií z Facebooku, Uberu a americkej úverovej kancelárie Equifax posunuli otázky ochrany IT na úroveň správnych rád. Preto sa CISO stáva častým účastníkom stretnutí a firmy namiesto technologického prístupu k bezpečnosti využívajú biznis objektív – posudzujú ziskovosť, znižujú riziká, kladú slamky. A boj proti kyberzločincom naberá ekonomickú konotáciu – je potrebné urobiť útok nerentabilným, aby organizácia v zásade nebola pre hackerov zaujímavá.
Existujú nuansy
Všetky tieto zmeny neprešli útočníkom, ktorí presmerovali snahy korporácií na súkromných používateľov. Čísla hovoria samy za seba: podľa spoločnosti BI.ZONE sa v rokoch 2017-2018 straty ruských bánk v dôsledku kybernetických útokov na ich systémy znížili viac ako 10-krát. Na druhej strane, incidenty sociálneho inžinierstva v tých istých bankách vzrástli z 13 % v roku 2014 na 79 % v roku 2018.
Zločinci našli slabý článok v korporátnom bezpečnostnom perimetri, ktorým boli súkromní používatelia. Keď jeden z rečníkov požiadal všetkých, ktorí mali na svojom smartfóne špecializovaný antivírusový softvér, aby zdvihli ruky, odpovedali traja z niekoľkých desiatok ľudí.
V roku 2018 boli súkromní používatelia zapojení do každého piateho bezpečnostného incidentu, 80 % útokov na banky bolo vykonaných pomocou sociálneho inžinierstva.
Moderní používatelia sú rozmaznaní intuitívnymi službami, ktoré ich učia hodnotiť IT z hľadiska pohodlia. Bezpečnostné nástroje, ktoré pridávajú niekoľko krokov navyše, sa ukážu ako rušivé. Výsledkom je, že zabezpečená služba prehráva v porovnaní s konkurenciou s krajšími tlačidlami a prílohy k phishingovým e-mailom sa otvárajú bez prečítania. Stojí za zmienku, že nová generácia nepreukazuje digitálnu gramotnosť, ktorá sa jej pripisuje - každý rok sú obete útokov mladšie a láska mileniálov k gadgetom len rozširuje rozsah možných zraniteľností.
Oslovte osobu
Bezpečnostné nástroje dnes bojujú s ľudskou lenivosťou. Zamyslite sa nad tým, či sa oplatí otvárať tento súbor? Musím nasledovať tento odkaz? Nechajte tento proces sedieť v pieskovisku a všetko znova vyhodnotíte. Nástroje strojového učenia neustále zbierajú údaje o správaní používateľov s cieľom vyvinúť bezpečné postupy, ktoré nespôsobujú zbytočné nepríjemnosti.
Čo však robiť s klientom, ktorý presvedčí špecialistu na boj proti podvodom, aby povolil podozrivú transakciu, hoci je mu priamo povedané, že účet príjemcu bol odhalený pri podvodných transakciách (reálny prípad z praxe BI.ZONE)? Ako ochrániť používateľov pred útočníkmi, ktorí môžu sfalšovať hovor z banky?
Osem z desiatich útokov sociálneho inžinierstva sa uskutočňuje cez telefón.
Práve telefónne hovory sa stávajú hlavným kanálom pre škodlivé sociálne inžinierstvo – v roku 2018 sa podiel takýchto útokov zvýšil z 27 % na 83 %, ďaleko pred SMS, sociálnymi sieťami a e-mailom. Zločinci si vytvárajú celé call centrá, aby obvolávali ľudí s ponukami zarobiť peniaze na burze alebo dostávať peniaze za účasť v prieskumoch. Pre mnohých ľudí je ťažké kriticky vnímať informácie, keď sa od nich vyžaduje okamžité rozhodnutie s prísľubom pôsobivých odmien.
Najnovším trendom sú podvody s vernostnými programami, ktoré obete pripravujú o roky nazbierané míle, bezplatné litre benzínu a ďalšie bonusy. Relevantná zostáva aj osvedčená klasika, platené predplatné nepotrebných mobilných služieb. V jednej zo správ bol príklad používateľa, ktorý v dôsledku takýchto služieb stratil 8 XNUMX rubľov denne. Na otázku, prečo mu neprekáža neustále sa zmenšujúci zostatok, muž odpovedal, že to všetko pripísal chamtivosti svojho poskytovateľa.
Neruskí hackeri
Mobilné zariadenia stierajú hranicu medzi útokmi na súkromných a firemných používateľov. Zamestnanec si môže napríklad tajne hľadať novú prácu. Na internete natrafí na službu prípravy životopisu a do smartfónu si stiahne aplikáciu alebo šablónu dokumentu. Takto skončia útočníci, ktorí spustili falošný online zdroj, na osobnom gadget, odkiaľ sa môžu presunúť do podnikovej siete.
Ako povedal rečník zo skupiny IB, práve takúto operáciu vykonala predsunutá skupina Lazarus, ktorá je označovaná za jednotku severokórejskej rozviedky. Toto sú niektorí z najproduktívnejších kyberzločincov posledných rokov – sú zodpovední za krádeže z и , a dokonca . Skupiny APT (z anglického pokročilá perzistentná hrozba, „stabilná pokročilá hrozba“), ktorých počet v posledných rokoch vzrástol na niekoľko desiatok, sa do infraštruktúry dostávajú vážne a dlhodobo, pričom predtým študovali všetky jej vlastnosti a slabé stránky. Takto sa im darí zisťovať kariérne cesty zamestnanca, ktorý má prístup k potrebnému informačnému systému.
Veľké organizácie dnes ohrozuje 100-120 obzvlášť nebezpečných kybernetických skupín, pričom každá piata útočí na firmy v Rusku.
Timur Biyachuev, vedúci oddelenia výskumu hrozieb v Kaspersky Lab, odhadol počet najnebezpečnejších skupín na 100-120 komunít a celkovo ich je teraz niekoľko stoviek. Ruským firmám hrozí asi 20 %. Značná časť zločincov, najmä tých z novovznikajúcich skupín, žije v juhovýchodnej Ázii.
Komunity APT môžu špecificky vytvoriť spoločnosť zaoberajúcu sa vývojom softvéru na zastrešenie svojich aktivít resp aby ste dosiahli niekoľko stoviek vašich cieľov. Odborníci neustále monitorujú takéto skupiny a dávajú dohromady roztrúsené dôkazy, aby určili firemnú identitu každej z nich. Najlepšou preventívnou zbraňou proti počítačovej kriminalite zostáva spravodajstvo o hrozbách.
Koho budeš?
Odborníci tvrdia, že zločinci môžu ľahko meniť svoje nástroje a taktiky, písať nový malvér a objavovať nové vektory útokov. Ten istý Lazarus v jednej zo svojich kampaní vložil do kódu ruské slová, aby nesprávne nasmeroval vyšetrovanie. Samotný vzorec správania sa však mení oveľa ťažšie, a tak odborníci vedia podľa charakteristických znakov uhádnuť, kto ten či onen útok vykonal. Tu im opäť pomáhajú veľké dáta a technológie strojového učenia, ktoré v informáciách zozbieraných monitoringom oddeľujú zrno od pliev.
O probléme pripisovania, respektíve určovania identity útočníkov, hovorili prednášajúci na kongrese viackrát až dvakrát. Tieto výzvy zahŕňajú technologické aj právne otázky. Sú napríklad zločinci chránení zákonmi na ochranu súkromia? Samozrejme, áno, čo znamená, že informácie o organizátoroch kampane môžete posielať len v anonymizovanej podobe. To ukladá určité obmedzenia na procesy výmeny údajov v rámci profesionálnej komunity informačnej bezpečnosti.
Vyšetrovanie incidentov sťažujú aj školáci a chuligáni, klienti podzemných hackerských obchodov. Hranica pre vstup do odvetvia počítačovej kriminality klesla do takej miery, že rady škodlivých aktérov majú tendenciu byť nekonečné – nemôžete ich spočítať všetkých.
Krásne je ďaleko
Je ľahké zúfať pri myšlienke, že zamestnanci si vlastnými rukami vytvárajú zadné vrátka do finančného systému, ale existujú aj pozitívne trendy. Rastúca popularita open source zvyšuje transparentnosť softvéru a uľahčuje boj proti vstrekovaniu škodlivého kódu. Špecialisti na dátovú vedu vytvárajú nové algoritmy, ktoré blokujú nežiaduce akcie, keď existujú známky nekalého úmyslu. Odborníci sa snažia priblížiť mechaniku bezpečnostných systémov fungovaniu ľudského mozgu, aby obrany využívali intuíciu spolu s empirickými metódami. Technológie hlbokého učenia umožňujú takýmto systémom, aby sa nezávisle vyvíjali na základe modelov kybernetických útokov.
Skoltech: „Umelá inteligencia je v móde a to je dobré. V skutočnosti je to ešte dlhá cesta, ako sa tam dostať, a to je ešte lepšie."
Ako pripomenul poslucháčom poradca rektora Skolkovského inštitútu vedy a techniky Grigorij Kabatjanskij, takýto vývoj nemožno nazvať umelou inteligenciou. Skutočná AI bude môcť nielen prijímať úlohy od ľudí, ale ich aj samostatne nastavovať. Do vzniku takýchto systémov, ktoré nevyhnutne zaujmú svoje miesto medzi akcionármi veľkých korporácií, zostáva ešte niekoľko desaťročí.
Ľudstvo medzitým pracuje s technológiami strojového učenia a neurónových sietí, o ktorých akademici začali rozprávať v polovici minulého storočia. Výskumníci zo Skoltechu používajú prediktívne modelovanie na prácu s internetom vecí, mobilnými sieťami a bezdrôtovou komunikáciou, medicínskymi a finančnými riešeniami. V niektorých oblastiach pokročilá analytika bojuje proti hrozbe katastrof spôsobených človekom a problémom s výkonom siete. V iných navrhuje možnosti riešenia existujúcich a hypotetických problémov, rieši problémy ako v zdanlivo neškodných médiách.
Výcvik na mačkách
Igor Ljapunov, viceprezident pre informačnú bezpečnosť v Rostelecom PJSC, vidí zásadný problém strojového učenia v informačnej bezpečnosti v nedostatku materiálu pre inteligentné systémy. Neurónovú sieť možno naučiť rozpoznať mačku zobrazením tisícov fotografií tohto zvieraťa. Kde nájdem tisíce kybernetických útokov, ktoré by som uviedol ako príklad?
Dnešná proto-AI pomáha hľadať stopy zločincov na darknete a analyzovať už objavený malvér. Boj proti podvodom, praniu špinavých peňazí, čiastočne identifikácia slabín v kóde – to všetko sa dá robiť aj automatizovanými prostriedkami. Zvyšok možno pripísať marketingovým projektom softvérových vývojárov a nezmení sa to ani v najbližších 5-10 rokoch.
Zdroj: hab.com
