20. in 21. junija je Moskva gostila . Na podlagi rezultatov dogodka so obiskovalci lahko sklepali naslednje:
- digitalna nepismenost se širi tako med uporabniki kot med samimi kiberkriminalci;
- prvi še naprej nasedajo lažnemu predstavljanju, odpirajo nevarne povezave in prinašajo zlonamerno programsko opremo v omrežja podjetij z osebnih pametnih telefonov;
- med slednjimi je vse več novincev, ki lovijo lahek zaslužek, ne da bi se poglobili v tehnologijo – na temnem spletu so naložili botnet, postavili avtomatizacijo in spremljali stanje v denarnici;
- безопасникам остается полагаться на продвинутую аналитику, без которой в информационном шуме очень просто проглядеть угрозу.
Kongres je potekal v Svetovnem trgovinskem centru. Izbira lokacije je razložena z dejstvom, da je to eden redkih objektov z dovoljenjem Zvezne varnostne službe za prireditve z najvišjimi položaji v državi. Obiskovalci kongresa so lahko slišali govore ministra za digitalni razvoj Konstantina Noskova, vodje centralne banke Elvire Nabiulline in predsednika Sberbank Germana Grefa. Mednarodno občinstvo so predstavljali generalni direktor Huawei Rusija Aiden Wu, upokojeni direktor Europola Jürgen Storbeck, predsednik nemškega sveta za kibernetsko varnost Hans-Wilhelm Dünn in drugi visoki strokovnjaki.
Ali je bolnik živ?
Organizatorji so izbrali teme, ki so bile primerne tako za splošne razprave kot za praktično naravnana poročila o tehničnih vprašanjih. Na večini predstavitev je bila umetna inteligenca tako ali drugače omenjena – po zaslugi govorcev so pogosto tudi sami priznali, da je v trenutni inkarnaciji bolj “hype topic” kot pa resnično delujoč tehnološki sklad. Hkrati si danes težko predstavljamo zaščito velike korporativne infrastrukture brez strojnega učenja in podatkovne znanosti.
Napad je mogoče odkriti v povprečju tri mesece po prodoru v infrastrukturo.
Ker sami podpisi ne morejo ustaviti 300 tisoč novih zlonamernih programov, ki se vsak dan pojavijo na internetu (po podatkih Kaspersky Laba). In strokovnjaki za kibernetsko varnost potrebujejo povprečno tri mesece, da odkrijejo vsiljivce v svojem omrežju. V tem času se hekerjem uspe tako uveljaviti v infrastrukturi, da jih je treba trikrat ali štirikrat izgnati. Počistili smo shrambe in zlonamerna programska oprema se je vrnila prek ranljive oddaljene povezave. Vzpostavili so varnost omrežja - kriminalci uslužbenki pošljejo pismo s trojancem, domnevno od dolgoletnega poslovnega partnerja, ki jim ga je tudi uspelo kompromitirati. In tako naprej do grenkega konca, ne glede na to, kdo na koncu zmaga.
A in B sta zgradila informacijsko varnost
Na tej podlagi hitro rasteta dve vzporedni področji informacijske varnosti: razširjen nadzor nad infrastrukturo, ki temelji na centrih za kibernetsko varnost (Security Operations Center, SOC) in odkrivanje zlonamerne dejavnosti prek nenormalnega vedenja. Številni govorci, kot je podpredsednik družbe Trend Micro za Azijo, Pacifik, Bližnji vzhod in Afriko, Dhanya Thakkar, pozivajo skrbnike, naj domnevajo, da so že bili vdrti - da ne zamudijo sumljivih dogodkov, ne glede na to, kako nepomembni se zdijo.
IBM o tipičnem projektu SOC: "Najprej načrtovanje prihodnjega storitvenega modela, nato njegova implementacija in šele nato uvedba potrebnih tehničnih sistemov."
Od tod vse večja priljubljenost SOC-jev, ki pokrivajo vsa področja infrastrukture in sproti sporočajo nenadno aktivnost kakšnega pozabljenega usmerjevalnika. Kot je dejal direktor IBM Security Systems v Evropi, Georgy Racz, je strokovna skupnost v zadnjih letih razvila določeno razumevanje tovrstnih nadzornih struktur, saj se zaveda, da varnosti ni mogoče doseči zgolj s tehničnimi sredstvi. Današnji SOC prinašajo v podjetje model storitve informacijske varnosti, ki omogoča integracijo varnostnih sistemov v obstoječe procese.
S tabo je moj meč in moj lok in moja sekira
Poslovanje obstaja v razmerah pomanjkanja osebja - trg potrebuje približno 2 milijona strokovnjakov za informacijsko varnost. To podjetja potiska k modelu zunanjega izvajanja. Korporacije pogosto raje preselijo celo svoje strokovnjake v ločeno pravno osebo - tukaj se lahko spomnimo SberTecha, lastnega integratorja letališča Domodedovo, in drugih primerov. Razen če ste industrijski velikan, je bolj verjetno, da se boste obrnili na nekoga, kot je IBM, da vam pomaga sestaviti lastno ekipo za varnost. Pomemben del proračuna bo porabljen za procese prestrukturiranja za uvedbo informacijske varnosti v obliki korporativnih storitev.
Škandali z uhajanjem informacij iz Facebooka, Uberja in ameriškega kreditnega urada Equifax so problematiko IT zaščite dvignili na raven upravnih odborov. Zato CISO postane pogost udeleženec sestankov, podjetja pa namesto tehnološkega pristopa k varnosti uporabljajo poslovno lečo – ocenjujejo dobičkonosnost, zmanjšujejo tveganja, podlagajo slamo. In boj proti kiberkriminalcem dobi ekonomsko konotacijo - napad je treba narediti nedobičkonosen, tako da organizacija načeloma ne zanima hekerjev.
Obstajajo nianse
Vse te spremembe niso prešle mimo napadalcev, ki so prizadevanja preusmerili s korporacij na zasebne uporabnike. Številke govorijo same zase: po podatkih podjetja BI.ZONE so se v letih 2017–2018 izgube ruskih bank zaradi kibernetskih napadov na njihove sisteme zmanjšale za več kot 10-krat. Po drugi strani pa so se incidenti socialnega inženiringa pri istih bankah povečali s 13 % leta 2014 na 79 % leta 2018.
Kriminalci so našli šibko povezavo v obodu korporativne varnosti, za katero se je izkazalo, da so zasebni uporabniki. Ko je eden od govornikov prosil vse, ki imajo na svojem pametnem telefonu specializirano protivirusno programsko opremo, naj dvignejo roke, so se odzvali trije od več deset ljudi.
V letu 2018 so bili zasebni uporabniki vpleteni v vsak peti varnostni incident, 80 % napadov na banke je bilo izvedenih s socialnim inženiringom.
Sodobni uporabniki so razvajeni z intuitivnimi storitvami, ki jih naučijo oceniti IT z vidika priročnosti. Varnostna orodja, ki dodajo nekaj dodatnih korakov, se izkažejo za motnjo. Posledično varna storitev izgubi prednost pred konkurentom z lepšimi gumbi, priponke lažnih e-poštnih sporočil pa se odprejo, ne da bi bile prebrane. Omeniti velja, da nova generacija ne izkazuje digitalne pismenosti, ki ji je pripisana - vsako leto so žrtve napadov vse mlajše, ljubezen milenijcev do pripomočkov pa le širi obseg možnih ranljivosti.
Doseči osebo
Današnja varnostna orodja se borijo proti človeški lenobi. Pomislite, ali je vredno odpreti to datoteko? Ali moram slediti tej povezavi? Pustite ta postopek v peskovniku in znova boste vse ocenili. Orodja za strojno učenje nenehno zbirajo podatke o vedenju uporabnikov za razvoj varnih praks, ki ne povzročajo nepotrebnih nevšečnosti.
Kaj pa storiti s stranko, ki prepriča specialista za boj proti goljufijam, da dovoli sumljivo transakcijo, čeprav mu neposredno povedo, da je bil račun prejemnika zaznan v goljufivih transakcijah (resničen primer iz prakse BI.ZONE)? Kako zaščititi uporabnike pred napadalci, ki lahko ponaredijo klic iz banke?
Osem od desetih napadov socialnega inženiringa se izvede po telefonu.
Prav telefonski klici postajajo glavni kanal zlonamernega družbenega inženiringa – v letu 2018 se je delež tovrstnih napadov povečal s 27 % na 83 %, kar je daleč pred SMS-i, družbenimi omrežji in elektronsko pošto. Kriminalci ustvarjajo cele klicne centre, da kličejo ljudi s ponudbami za zaslužek na borzi ali za prejem denarja za sodelovanje v anketah. Mnogim ljudem je težko kritično dojemati informacije, ko se od njih zahtevajo takojšnje odločitve z obljubo impresivnih nagrad.
Najnovejši trend so prevare s programi zvestobe, ki žrtvam odvzamejo leta nabrane milje, brezplačne litre bencina in druge bonuse. Aktualna ostaja tudi preverjena klasična, plačljiva naročnina na nepotrebne mobilne storitve. V enem od poročil je bil primer uporabnika, ki je zaradi takšnih storitev dnevno izgubil 8 tisoč rubljev. Na vprašanje, zakaj ga ne moti nenehno padajoče stanje, je moški odgovoril, da je vse pripisal pohlepu svojega ponudnika.
Neruski hekerji
Mobilne naprave brišejo mejo med napadi na zasebne in poslovne uporabnike. Na primer, zaposleni lahko skrivaj išče novo službo. Na spletu naleti na storitev za pripravo življenjepisa in si na pametni telefon naloži vlogo ali predlogo dokumenta. Tako napadalci, ki so lansirali lažni spletni vir, končajo na osebnem pripomočku, od koder se lahko premaknejo v omrežje podjetja.
Kot je povedal govornik iz Group-IB, je prav takšno operacijo izvedla napredna skupina Lazarus, ki jo opisujejo kot enoto severnokorejske obveščevalne službe. To so nekateri najbolj produktivni kiberkriminalci zadnjih let – odgovorni so za kraje iz и , in celo . Skupine APT (iz angleške napredne vztrajne grožnje, "stabilna napredna grožnja"), katerih število je v zadnjih letih naraslo na več deset, resno in dolgo časa vstopijo v infrastrukturo, potem ko so predhodno preučili vse njene značilnosti in slabosti. Tako uspejo izvedeti za karierno pot zaposlenega, ki ima dostop do potrebnega informacijskega sistema.
Danes velike organizacije ogroža 100-120 posebej nevarnih kibernetskih skupin, pri čemer vsaka peta napade podjetja v Rusiji.
Timur Biyachuev, vodja oddelka za raziskave groženj pri Kaspersky Labu, je število najnevarnejših skupin ocenil na 100–120 skupnosti, skupno pa jih je zdaj nekaj sto. Ruskim podjetjem grozi okoli 20 %. Precejšen delež kriminalcev, zlasti tistih iz novonastalih skupin, živi v jugovzhodni Aziji.
APT skupnosti lahko posebej ustanovijo podjetje za razvoj programske opreme, ki pokriva njihove dejavnosti oz da dosežete nekaj sto svojih ciljev. Strokovnjaki nenehno spremljajo takšne skupine in sestavljajo razpršene dokaze, da bi ugotovili korporativno identiteto vsake od njih. Obveščanje o grožnjah ostaja najboljše preventivno orožje proti kibernetski kriminaliteti.
Čigav boš?
Strokovnjaki pravijo, da lahko kriminalci zlahka spremenijo svoja orodja in taktike, napišejo novo zlonamerno programsko opremo in odkrijejo nove vektorje napadov. Isti Lazarus je v eni od svojih akcij v kodo vstavil ruske besede, da bi napačno usmeril preiskavo. Sam vzorec vedenja pa je veliko težje spremeniti, zato lahko strokovnjaki iz značilnih lastnosti ugibajo, kdo je izvedel ta ali oni napad. Pri tem so jim spet v pomoč tehnologije big data in strojnega učenja, ki v z nadzorom zbranih informacijah ločijo zrno od plev.
O problemu atribucije oziroma ugotavljanja identitete napadalcev so kongresni govorci govorili več kot enkrat ali dvakrat. Ti izzivi vključujejo tako tehnološka kot pravna vprašanja. Ali so na primer kriminalci zaščiteni z zakoni o zasebnosti? Seveda da, kar pomeni, da lahko podatke o organizatorjih akcije pošiljate samo v anonimizirani obliki. To nalaga nekatere omejitve procesom izmenjave podatkov v poklicni skupnosti informacijske varnosti.
Preiskovanje incidentov otežujejo tudi šolarji in huligani, stranke podtalnih hekerskih trgovin. Prag za vstop v industrijo kibernetske kriminalitete se je znižal do te mere, da je zlonamernih akterjev neskončno – ne morete jih vseh prešteti.
Lepo je daleč
Lahko obupamo ob misli, da zaposleni z lastnimi rokami ustvarjajo zakulisje v finančni sistem, a obstajajo tudi pozitivni trendi. Naraščajoča priljubljenost odprte kode povečuje preglednost programske opreme in olajša boj proti vbrizgavanju zlonamerne kode. Strokovnjaki za podatkovno znanost ustvarjajo nove algoritme, ki blokirajo neželena dejanja, ko obstajajo znaki zlonamernih namenov. Strokovnjaki poskušajo mehaniko varnostnih sistemov približati delovanju človeških možganov, tako da obramba poleg empiričnih metod uporablja tudi intuicijo. Tehnologije globokega učenja omogočajo takim sistemom, da se razvijajo neodvisno na podlagi modelov kibernetskih napadov.
Skoltech: »Umetna inteligenca je v modi in to je dobro. Pravzaprav je do tja še daleč in to je še bolje.«
Kot je opozoril poslušalce Grigorij Kabatjanski, svetovalec rektorja Inštituta za znanost in tehnologijo Skolkovo, takšnega razvoja ni mogoče imenovati umetna inteligenca. Prava umetna inteligenca bo lahko ne samo sprejemala naloge od ljudi, ampak jih bo tudi samostojno postavljala. Do nastanka tovrstnih sistemov, ki bodo neizogibno zasedli svoje mesto med delničarji velikih korporacij, je še nekaj desetletij.
Medtem se človeštvo ukvarja s tehnologijami strojnega učenja in nevronskih mrež, o katerih so akademiki začeli govoriti že sredi prejšnjega stoletja. Raziskovalci Skoltecha uporabljajo napovedno modeliranje za delo z internetom stvari, mobilnimi omrežji in brezžičnimi komunikacijami, medicinskimi in finančnimi rešitvami. Na nekaterih področjih se napredna analitika bori proti grožnjam nesreč, ki jih povzroči človek, in težavam z delovanjem omrežja. V drugih predlaga možnosti za reševanje obstoječih in hipotetičnih problemov, rešuje probleme, kot je v na videz neškodljivih medijih.
Trening na mačkah
Igor Lyapunov, podpredsednik za informacijsko varnost pri Rostelecom PJSC, vidi temeljni problem strojnega učenja v informacijski varnosti v pomanjkanju gradiva za pametne sisteme. Nevronsko mrežo lahko naučimo prepoznati mačko tako, da pokažemo na tisoče fotografij te živali. Kje lahko najdem na tisoče kibernetskih napadov, ki jih lahko navedem kot primere?
Današnji proto-AI pomaga iskati sledi kriminalcev na temnem omrežju in analizirati že odkrito zlonamerno programsko opremo. Proti goljufijam, pranju denarja, delno prepoznavanje ranljivosti v kodi - vse to je mogoče storiti tudi z avtomatiziranimi sredstvi. Ostalo lahko pripišemo marketinškim projektom razvijalcev programske opreme in to se v naslednjih 5-10 letih ne bo spremenilo.
Vir: www.habr.com