20-21 червня у Москві проходив . За підсумками заходу відвідувачі могли зробити такі висновки:
- цифрова неграмотність поширюється як серед користувачів, і серед самих кіберзлочинців;
- перші продовжують траплятися на фішинг, відкривати небезпечні посилання, приносити в корпоративні мережі шкідники з особистих смартфонів;
- серед других дедалі більше новачків, які ганяються за легким заробітком без занурення у технології — скачали ботнет у дарквебі, налаштували автоматику та стежать за балансом гаманця;
- Безпекам залишається покладатися на просунуту аналітику, без якої в інформаційному шумі дуже просто переглянути загрозу.
Конгрес відбувався у Центрі міжнародної торгівлі. Вибір майданчика пояснюється тим, що це один із небагатьох об'єктів із допуском ФСТ на проведення заходів із вищими чинами країни. Відвідувачі Конгресу могли почути виступи міністра цифрового розвитку Костянтина Носкова, голови Центробанку Ельвіри Набіулліної, президента Ощадбанку Германа Грефа. Міжнародну аудиторію представляли Генеральний директор Huawei в Росії Ейден У (Aiden Wu), директор Європолу у відставці Юрген Сторбек (Jürgen Storbeck), президент Ради з кібербезпеки Німеччини Ханс-Вільгельм Дюнн (Hans-Wilhelm Dünn) та інші високопоставлені експерти.
Пацієнт швидше живий?
Організатори підібрали теми, які підходили як для загальних дискусій, так і для практично орієнтованих доповідей з технічних питань. На більшості виступів так чи інакше згадували штучний інтелект — до честі спікерів, нерідко вони самі визнавали, що в нинішньому втіленні це радше «хайпова тема», ніж стек технологій, що реально працює. У той же час, без машинного навчання та Data Science сьогодні вже важко уявити захист великої корпоративної інфраструктури.
Виявити атаку вдається в середньому за три місяці після проникнення в інфраструктуру.
Тому що за одними сигнатурами не зупинити 300 тис. нових шкідливих даних, які з'являються в Мережі щодня (за даними «Лабораторії Касперського»). А у кібербезпечників у середньому йде три місяці на те, щоб виявити зловмисників у своїй мережі. За цей час зломщики встигають так зміцнитися в інфраструктурі, що виганяти їх доводиться три-чотири рази. Почистили сховища - зловред повернувся через вразливе віддалене підключення. Налагодили мережеву безпеку — злочинці надсилають співробітникові листа з трояном нібито від давнього бізнес-партнера, якого вони теж встигли скомпрометувати. І так до переможного кінця, хто б у результаті не здобув гору.
А і Б побудували ІБ
На цьому ґрунті бурхливо ростуть два паралельні напрямки ІБ: повсюдний контроль над інфраструктурою на базі центрів кібербезпеки (Security Operations Center, SOC) та виявлення шкідливої активності через аномальну поведінку. Багато спікерів, наприклад, віце-президент Trend Micro по Азіатсько-Тихоокеанському регіону, Близькому Сходу та Африці Даня Таккар (Dhanya Thakkar) закликають адміністраторів виходити з того, що їх уже зламали — не пропускати підозрілі події, хоч би якими незначними вони здавалися.
IBM про типовий проект створення SOC: «Спочатку дизайн майбутньої сервісної моделі, потім її впровадження, і тільки потім розгортання необхідних технічних систем».
Звідси зростаюча популярність SOC, які охоплюють усі ділянки інфраструктури та вчасно повідомляють про раптову активність якогось забутого роутера. Як розповів директор IBM Security Systems у Європі Джорджі Ратц (Gyorgy Racz), за останні роки професійне співтовариство виробило певне уявлення про такі контролюючі структури, усвідомивши, що одними технічними засобами безпеки не досягти. Сьогоднішні SOC привносять у компанію сервісну модель ІБ, дозволяючи системам захисту вбудовуватись у існуючі процеси.
З тобою мій меч і мій лук і моя сокира
Бізнес існує в умовах кадрового голоду — ринку потрібно близько 2 млн ІБ-фахівців. Це підштовхує компанії до аутсорсингової моделі. Навіть своїх фахівців корпорації нерідко воліють вивести в окрему юрособу - тут можна згадати і СберТех, і власного інтегратора аеропорту Домодєдово, та інші приклади. Якщо ж ви не гігант своєї галузі, то з більшою ймовірністю ви звернетеся до когось типу IBM, які допоможуть вам побудувати власну службу безпеки. Значна частина бюджету піде на перебудову процесів, щоб запустити ІБ у форматі корпоративних послуг.
Скандали з витоком із Facebook, Uber, американського кредитного бюро Equifax порушили питання захисту IT на рівень порад директорів. Тому CISO стає частим учасником із засідань, а замість технологічного підходу до безпеки компанії застосовують бізнес-призму — оцінити рентабельність, скоротити ризики, підстелити соломку. Та й протидія кіберзлочинцям набуває економічного відтінку — треба зробити атаку нерентабельною, щоб організація в принципі не цікавила хакерів.
Є нюанси
Всі ці зміни не пройшли повз зловмисників, які перенаправили зусилля з корпорацій на приватних користувачів. Цифри говорять самі за себе: за даними компанії BI.ZONE, у 2017-2018 роках втрати російських банків через кібератаки на їх системи скоротилися більш ніж у 10 разів. З іншого боку, інциденти із застосуванням соціальної інженерії у тих же банках зросли з 13% у 2014 році до 79% у 2018 році.
Злочинці намацали слабку ланку в периметрі корпоративної безпеки, якими виявились приватні користувачі. Коли один із доповідачів попросив підняти руки всіх, у кого на смартфоні стоїть спеціалізоване антивірусне ПЗ, відгукнулися троє людей з кількох десятків.
У 2018 році приватні користувачі брали участь у кожному п'ятому інциденті безпеки, 80% атак на банки вчинено за допомогою соціальної інженерії.
Сучасні користувачі розпещені інтуїтивними сервісами, які привчають їх оцінювати IT з погляду зручності. Засоби безпеки, які додають пару додаткових кроків, виявляються відволікаючим фактором. В результаті захищений сервіс програє конкуренту з більш привабливими кнопками, а вкладення до фішингових листів відкриваються без прочитання. Варто зазначити, що нове покоління не виявляє цифрової грамотності, що приписується йому, — з кожним роком жертви атак молодшають, а любов мільйонерів до гаджетів тільки розширює спектр можливих уразливостей.
Достукатися до людини
Засоби безпеки сьогодні борються з людською лінню. Подумайте, чи варто відкривати цей файл? Чи потрібно йти цим посиланням? Нехай цей процес посидить у пісочниці, а ви ще раз усе оціните. Засоби машинного навчання постійно збирають дані щодо поведінки користувачів, щоб виробляти безпечні практики, які не викликають зайвих незручностей.
Але що робити з клієнтом, який переконує антифрод-фахівця дозволити підозрілу транзакцію, хоча йому прямо говорять, що рахунок адресата помічений у шахрайських операціях (реальний випадок із практики BI.ZONE)? Як захистити користувачів від зловмисників, які можуть підробити дзвінок із банку?
Вісім із десяти атак із застосуванням соціальної інженерії відбувається по телефону.
Саме телефонні дзвінки стають основним каналом шкідливої соціальної інженерії — за 2018 рік частка таких атак зросла з 27% до 83%, далеко обігнавши SMS, соціальні мережі та електронну пошту. Злочинці створюють цілі колл-центри для обдзвону із пропозиціями заробити на біржі або отримати гроші за участь у опитуваннях. Багатьом людям важко сприймати інформацію критично, коли від них вимагають негайних рішень, обіцяючи за це вражаючу винагороду.
Останнє віяння - шахрайство з програмами лояльності, яке позбавляє жертву накопичених за роки миль, безкоштовних літрів бензину та інших бонусів. Перевірена класика, платна підписка на непотрібні мобільні сервіси теж не втрачає актуальності. В одній із доповідей був приклад користувача, який щодня втрачав по 8 тисяч рублів через такі послуги. На запитання, чому його не стурбував баланс, що постійно тане, людина відповіла, що списувала все на жадібність свого провайдера.
Неросійські хакери
Мобільні пристрої розмивають кордон між атаками на приватних та корпоративних користувачів. Наприклад, співробітник може потай шукати нове місце роботи. Він натикається в Інтернеті на сервіс для підготовки резюме, завантажує на смартфон програму або шаблон документа. Так зловмисники, які й запустили хибний онлайн-ресурс, потрапляють на особистий гаджет, звідки можуть переміститися до корпоративної мережі.
Як розповів доповідач із Group-IB, саме таку операцію провело просунуте угруповання Lazarus, про яке говорять як про підрозділ північнокорейської розвідки. Це одні з найпродуктивніших кіберзлочинців останніх років — на їхньому рахунку розкрадання и , і навіть . APT-угруповання (від англ. advanced persistent threat, "стійка просунута загроза"), кількість яких за останні роки зросла до декількох десятків, влазять в інфраструктуру всерйоз і надовго, попередньо вивчивши всі її особливості та слабкі місця. Саме так їм і вдається дізнатися про кар'єрні метання співробітника, який має доступ до потрібної інформаційної системи.
Великим організаціям сьогодні загрожують 100-120 особливо небезпечних кіберугруповань, кожне п'яте атакує компанії в Росії.
Керівник управління дослідження загроз «Лабораторії Касперського» Тимур Біячуєв оцінив кількість найгрізніших угруповань у 100-120 співтовариств, а їх зараз діє кілька сотень. Російським компаніям загрожують близько 20%. Значна частина злочинців, особливо з груп, що нещодавно з'явилися, проживає в Південно-Східній Азії.
APT-спільноти можуть спеціально створити компанію-розробника ПЗ для прикриття своєї діяльності або , щоб дістатися до кількох сотень своїх цілей. Експерти постійно спостерігають за такими угрупованнями, збираючи воєдино розрізнені докази, щоб визначити фірмовий стиль кожного з них. Така розвідка (threat intelligence) залишається найкращою превентивною зброєю проти кіберзлочинності.
Ти чиїх будеш?
Як міркують експерти, злочинці можуть легко змінювати інструментарій та тактику, писати нові зловреди та відкривати нові вектори атак. Та сама Lazarus в одній із кампаній розставила в коді російськомовні слова, щоб направити розслідування хибним слідом. Проте сам патерн поведінки змінити набагато складніше, тому фахівці можуть за характерними особливостями припускати, хто провів ту чи іншу атаку. Тут їм знову допомагають технології великих даних та машинного навчання, які відокремлюють зерна від полови в зібраній моніторингом інформації.
Про проблему атрибуції, чи визначення особи атакуючих, доповідачі конгресу говорили не раз і не два. З цими завданнями пов'язані і технологічні, і правові питання. Скажімо, чи злочинці потрапляють під захист законодавства про персональні дані? Зрозуміло, так, а значить, пересилати інформацію про організаторів кампаній можна тільки в знеособленому вигляді. Це накладає деякі обмеження на процеси обміну даними усередині професійної ІБ-спільноти.
Школярі та хулігани, клієнти підпільних магазинів хакерів, теж ускладнюють розслідування інцидентів. Поріг входу в галузь кіберзлочинності знизився настільки, що ряди шкідливих акторів прагнуть нескінченності — всіх не перерахуєш.
прекрасне далеко
Легко впасти у відчай від думки про співробітників, які своїми руками ставлять бекдор до фінансової системи, але позитивні тенденції теж є. Зростаюча популярність open source підвищує прозорість і спрощує боротьбу з ін'єкціями шкідливого коду. Фахівці з Data Science створюють нові алгоритми, які блокують небажані дії за ознаками шкідливого наміру. Експерти намагаються наблизити механіку систем безпеки до роботи людського мозку, щоб захисні засоби використовували інтуїцію разом із емпіричними методами. Технології глибинного навчання дозволяють таким системам еволюціонувати самостійно на моделях кібератак.
Сколтех: «Штучний інтелект у моді, і це добре. Насправді йти до нього ще дуже довго і це ще краще».
Як нагадав слухачам Григорій Кабатянський, радник ректора Сколківського інституту науки та технологій, такі розробки не можна називати штучним інтелектом. Справжній ІІ зможе як приймати завдання від людини, а й самостійно їх ставити. До появи таких систем, котрі неминуче займуть місця серед акціонерів великих корпорацій, ще кілька десятиліть.
Поки що людство працює з технологіями машинного навчання та нейронних мереж, про які академіки заговорили ще в середині минулого століття. Дослідники Сколтеха застосовують передбачуване моделювання для роботи з Інтернетом речей, мобільними мережами та бездротовим зв'язком, медичними та фінансовими рішеннями. В одних областях просунута аналітика бореться із загрозою техногенних катастроф та проблемами мережевої продуктивності. В інших — підказує варіанти вирішення існуючих та гіпотетичних проблем, вирішує завдання на кшталт у невинних на перший погляд носіях.
Тренування на кішках
Віце-президент з інформаційної безпеки ПАТ «Ростелеком» Ігор Ляпунов бачить фундаментальну проблему машинного навчання в ІБ у нестачі матеріалу для розумних систем. Нейросети можна навчити впізнавати кішку, показавши тисячі фотографій із цією твариною. Де взяти тисячі кібератак, щоб навести їх у приклад?
Сьогоднішній прото-ІІ допомагає шукати сліди злочинців у даркнеті та аналізувати вже виявлені зловреди. Антифрод, протидія відмиванню грошей, частково виявлення вразливостей у коді — це теж можна робити автоматизованими засобами. Решта ж можна зарахувати до маркетингових проектів розробників ПЗ, й у найближчі 5-10 років це зміниться.
Джерело: habr.com