Den 20-21 juni var Moskva värd . Baserat på resultaten från evenemanget kunde besökarna dra följande slutsatser:
- digital analfabetism sprider sig både bland användare och bland cyberkriminella själva;
- de förstnämnda fortsätter att falla för nätfiske, öppna farliga länkar och föra in skadlig programvara till företagsnätverk från personliga smartphones;
- bland de senare finns det fler och fler nykomlingar som jagar lätta pengar utan att fördjupa sig i teknik – de laddade ner ett botnät på den mörka webben, satte upp automatisering och övervakar plånbokens saldo;
- säkerhetsproffs får förlita sig på avancerad analys, utan vilken det är mycket lätt att missa hotet i informationsbruset.
Kongressen ägde rum på World Trade Center. Valet av webbplatsen förklaras av det faktum att detta är en av få anläggningar med tillstånd från Federal Security Service att hålla evenemang med de högsta rangerna i landet. Besökare på kongressen kunde höra tal av ministern för digital utveckling Konstantin Noskov, chefen för centralbanken Elvira Nabiullina och presidenten för Sberbank German Gref. Den internationella publiken representerades av Huawei Rysslands vd Aiden Wu, pensionerade Europoldirektör Jürgen Storbeck, ordförande för det tyska cybersäkerhetsrådet Hans-Wilhelm Dünn och andra högt uppsatta experter.
Lever patienten?
Arrangörerna valde ut ämnen som lämpade sig för både allmänna diskussioner och praktiskt inriktade rapporter om tekniska frågor. Vid de flesta presentationerna nämndes artificiell intelligens på ett eller annat sätt - till talarnas förtjänst erkände de ofta själva att det i sin nuvarande inkarnation är mer ett "hype-ämne" än en riktigt fungerande teknikstack. Samtidigt är det idag svårt att föreställa sig att skydda stora företagsinfrastrukturer utan maskininlärning och Data Science.
En attack kan upptäckas i genomsnitt tre månader efter penetration i infrastrukturen.
Eftersom signaturer ensamma inte kan stoppa de 300 tusen nya skadliga program som dyker upp på Internet varje dag (enligt Kaspersky Lab). Och det tar cybersäkerhetsproffs i genomsnitt tre månader att upptäcka inkräktare i deras nätverk. Under denna tid lyckas hackare få ett sådant fäste i infrastrukturen att de måste sparkas ut tre eller fyra gånger. Vi rensade ut lagringarna och skadlig programvara returnerades via en sårbar fjärranslutning. De har etablerat nätverkssäkerhet - brottslingarna skickar ett brev till en anställd med en trojan från en långvarig affärspartner, som de också lyckats kompromissa med. Och så vidare till det bittra slutet, oavsett vem som slutligen vinner.
A och B byggde en informationssäkerhet
På denna grundval växer två parallella områden av informationssäkerhet snabbt: utbredd kontroll över infrastruktur baserad på cybersäkerhetscenter (Security Operations Center, SOC) och upptäckt av skadlig aktivitet genom onormalt beteende. Många talare, som Trend Micros vicepresident för Asien och Stillahavsområdet, Mellanöstern och Afrika, Dhanya Thakkar, uppmanar administratörer att anta att de redan har blivit hackade – att inte missa misstänkta händelser, hur obetydliga de än kan verka.
IBM på ett typiskt SOC-projekt: "Först utformningen av den framtida tjänstemodellen, sedan dess implementering och först sedan utplaceringen av de nödvändiga tekniska systemen."
Därav den växande populariteten för SOC, som täcker alla delar av infrastrukturen och omedelbart rapporterar plötslig aktivitet hos någon bortglömd router. Som chef för IBM Security Systems i Europa, Georgy Racz, sa, har yrkeskåren under de senaste åren utvecklat en viss förståelse för sådana kontrollstrukturer, och insett att säkerhet inte kan uppnås enbart med tekniska medel. Dagens SOC:er tillför företaget en tjänstemodell för informationssäkerhet, vilket gör att säkerhetssystem kan integreras i befintliga processer.
Hos dig är mitt svärd och min båge och min yxa
Verksamheten existerar under förhållanden av personalbrist - marknaden behöver cirka 2 miljoner informationssäkerhetsspecialister. Detta driver företag mot en outsourcingmodell. Företag föredrar ofta att flytta till och med sina egna specialister till en separat juridisk enhet – här kan vi komma ihåg SberTech, Domodedovo Airports egen integratör och andra exempel. Om du inte är en branschjätte är det mer sannolikt att du vänder dig till någon som IBM för att hjälpa dig bygga ditt eget säkerhetsteam. En betydande del av budgeten kommer att läggas på omstruktureringsprocesser för att lansera informationssäkerhet i form av företagstjänster.
Skandaler med läckor från Facebook, Uber och den amerikanska kreditbyrån Equifax har lyft frågor om IT-skydd till styrelsernas nivå. Därför blir CISO en frekvent deltagare i möten, och istället för ett tekniskt förhållningssätt till säkerhet använder företag en affärslins – bedöm lönsamhet, minska risker, lägg ner strån. Och att bekämpa cyberbrottslingar får en ekonomisk klang – det är nödvändigt att göra attacken olönsam så att organisationen i princip inte är av intresse för hackare.
Det finns nyanser
Alla dessa förändringar gick inte förbi angriparna, som omdirigerade ansträngningar från företag till privata användare. Siffrorna talar för sig själva: enligt företaget BI.ZONE minskade ryska bankers förluster under 2017-2018 på grund av cyberattacker på deras system med mer än 10 gånger. Å andra sidan ökade sociala ingenjörsincidenter vid samma banker från 13 % 2014 till 79 % 2018.
Brottslingar hittade en svag länk i företagets säkerhetsperimeter, som visade sig vara privata användare. När en av talarna bad alla som hade specialiserat antivirusprogram på sin smartphone att räcka upp handen, svarade tre av flera dussin personer.
Under 2018 var privata användare inblandade i var femte säkerhetsincident; 80 % av attackerna mot banker utfördes med hjälp av social ingenjörskonst.
Moderna användare är bortskämda med intuitiva tjänster som lär dem att utvärdera IT i termer av bekvämlighet. Säkerhetsverktyg som lägger till ett par extra steg visar sig vara en distraktion. Som ett resultat förlorar den säkra tjänsten mot en konkurrent med snyggare knappar, och bilagor till nätfiske-e-postmeddelanden öppnas utan att bli lästa. Det är värt att notera att den nya generationen inte visar den digitala läskunnighet som tillskrivs den - varje år blir offer för attacker yngre, och millennials kärlek till prylar utökar bara utbudet av möjliga sårbarheter.
Nå personen
Säkerhetsverktyg idag bekämpar mänsklig lättja. Fundera på om det är värt att öppna den här filen? Behöver jag följa denna länk? Låt den här processen ligga i sandlådan så kommer du att utvärdera allt igen. Maskininlärningsverktyg samlar ständigt in data om användarbeteende för att utveckla säkra metoder som inte orsakar onödigt besvär.
Men vad ska man göra med en klient som övertygar en antibedrägerispecialist att tillåta en misstänkt transaktion, även om han direkt får veta att mottagarens konto har upptäckts i bedrägliga transaktioner (ett verkligt fall från BI.ZONEs praxis)? Hur skyddar man användare från angripare som kan förfalska ett samtal från en bank?
Åtta av tio sociala ingenjörsattacker utförs över telefon.
Det är telefonsamtal som håller på att bli huvudkanalen för skadlig social ingenjörskonst – 2018 ökade andelen sådana attacker från 27 % till 83 %, långt före SMS, sociala nätverk och e-post. Brottslingar skapar hela callcenter för att ringa folk med erbjudanden om att tjäna pengar på börsen eller få pengar för att delta i undersökningar. Många människor har svårt att uppfatta information kritiskt när de måste fatta omedelbara beslut med löfte om imponerande belöningar.
Den senaste trenden är lojalitetsprogram bedrägerier som berövar offer år av ackumulerade mil, gratis liter bensin och andra bonusar. Den beprövade klassiska, betalda prenumerationen på onödiga mobiltjänster förblir också relevant. I en av rapporterna fanns ett exempel på en användare som förlorade 8 tusen rubel dagligen på grund av sådana tjänster. På frågan varför han inte besvärades av den ständigt sjunkande balansen, svarade mannen att han kritade upp det hela till sin försörjares girighet.
Icke-ryska hackare
Mobila enheter suddar ut gränsen mellan attacker mot privata och företagsanvändare. Till exempel kan en anställd i smyg leta efter ett nytt jobb. Han kommer över en tjänst för att förbereda CV på Internet och laddar ner en applikation eller dokumentmall till sin smartphone. Så här hamnar angriparna som lanserade den falska onlineresursen på en personlig gadget, varifrån de kan flytta till företagets nätverk.
Som en talare från Group-IB sa, utfördes just en sådan operation av den avancerade gruppen Lazarus, som beskrivs som en enhet inom nordkoreansk underrättelsetjänst. Dessa är några av de senaste årens mest produktiva cyberbrottslingar – de är ansvariga för stölder från и , och även . APT-grupper (från det engelska avancerade ihållande hotet, "stabilt avancerat hot"), vars antal har vuxit till flera dussin under de senaste åren, kommer in i infrastrukturen på allvar och under lång tid, efter att ha studerat alla dess egenskaper och svagheter. Så lyckas de ta reda på karriärvägarna för en anställd som har tillgång till det nödvändiga informationssystemet.
Idag hotas stora organisationer av 100-120 särskilt farliga cybergrupper, där var femte attackerar företag i Ryssland.
Timur Biyachuev, chef för hotforskningsavdelningen vid Kaspersky Lab, uppskattade antalet farligaste grupper till 100-120 samhällen, och det finns flera hundra av dem totalt nu. Ryska företag hotas med cirka 20 %. En betydande andel av brottslingarna, särskilt de från nya grupper, bor i Sydostasien.
APT-gemenskaper kan specifikt skapa ett mjukvaruutvecklingsföretag för att täcka deras aktiviteter eller att nå flera hundra av dina mål. Experter övervakar ständigt sådana grupper och lägger ihop spridda bevis för att fastställa företagsidentiteten för var och en av dem. Hotspaning är fortfarande det bästa förebyggande vapnet mot cyberbrottslighet.
Vems blir du?
Experter säger att brottslingar enkelt kan ändra sina verktyg och taktik, skriva ny skadlig programvara och upptäcka nya attackvektorer. Samma Lazarus, i en av sina kampanjer, infogade ryska ord i koden för att missrikta utredningen. Men själva beteendemönstret är mycket svårare att ändra, så experter kan gissa från de karakteristiska egenskaperna vem som utförde denna eller den attacken. Här får de återigen hjälp av big data och maskininlärningsteknik, som skiljer vetet från agnarna i informationen som samlas in genom övervakning.
Kongresstalarna talade om problemet med tillskrivning, eller fastställande av angripares identitet, mer än en eller två gånger. Dessa utmaningar involverar både tekniska och juridiska frågor. Skyddas brottslingar till exempel av integritetslagar? Naturligtvis, ja, vilket innebär att du endast kan skicka information om kampanjarrangörer i anonymiserad form. Detta medför vissa begränsningar för processerna för datautbyte inom den professionella informationssäkerhetsgemenskapen.
Skolbarn och huliganer, kunder till underjordiska hackerbutiker, gör det också svårt att utreda incidenter. Tröskeln för inträde i cyberbrottsindustrin har sjunkit i en sådan utsträckning att raden av illvilliga aktörer tenderar att vara oändliga – du kan inte räkna dem alla.
Vackert är långt borta
Det är lätt att misströsta vid tanken på att anställda skapar en bakdörr till det finansiella systemet med sina egna händer, men det finns också positiva trender. Den växande populariteten för öppen källkod ökar mjukvarans transparens och gör det lättare att bekämpa skadlig kodinjektioner. Data Science-specialister skapar nya algoritmer som blockerar oönskade åtgärder när det finns tecken på skadlig avsikt. Experter försöker föra säkerhetssystemens mekanik närmare den mänskliga hjärnans funktion, så att försvar använder intuition tillsammans med empiriska metoder. Teknik för djupinlärning tillåter sådana system att utvecklas oberoende baserat på cyberattacksmodeller.
Skoltech: "Artificiell intelligens är på modet, och det är bra. Faktum är att det fortfarande är långt dit, och det är ännu bättre.”
Som Grigory Kabatyansky, rådgivare till rektorn för Skolkovo Institute of Science and Technology, påminde lyssnarna om att sådan utveckling inte kan kallas artificiell intelligens. Real AI kommer inte bara att kunna acceptera uppgifter från människor, utan också ställa in dem självständigt. Framväxten av sådana system, som oundvikligen kommer att ta sin plats bland aktieägarna i stora företag, är fortfarande flera decennier borta.
Under tiden arbetar mänskligheten med teknikerna för maskininlärning och neurala nätverk, som akademiker började prata om i mitten av förra seklet. Skoltech-forskare använder prediktiv modellering för att arbeta med Internet of Things, mobila nätverk och trådlös kommunikation, medicinska och finansiella lösningar. Inom vissa områden bekämpar avancerad analys hotet om katastrofer orsakade av människor och problem med nätverksprestanda. I andra föreslår det alternativ för att lösa befintliga och hypotetiska problem, löser problem som i till synes harmlösa medier.
Träning på katter
Igor Lyapunov, Vice President för informationssäkerhet på Rostelecom PJSC, ser det grundläggande problemet med maskininlärning inom informationssäkerhet i bristen på material för smarta system. Ett neuralt nätverk kan läras att känna igen en katt genom att visa tusentals fotografier av detta djur. Var kan jag hitta tusentals cyberattacker att nämna som exempel?
Dagens proto-AI hjälper till att söka efter spår av brottslingar på darknet och analysera redan upptäckt skadlig programvara. Antibedrägeri, anti-penningtvätt, delvis identifiering av sårbarheter i kod – allt detta kan också göras med automatiserade medel. Resten kan hänföras till marknadsföringsprojekt av mjukvaruutvecklare, och detta kommer inte att förändras under de kommande 5-10 åren.
Källa: will.com