20月21日至XNUMX日,莫斯科主办 。 根据活动结果,参观者可以得出以下结论:
- 数字文盲正在用户和网络犯罪分子之间蔓延;
- 前者继续陷入网络钓鱼、打开危险链接并将恶意软件从个人智能手机带入公司网络;
- 后者中,有越来越多的新人追逐轻松赚钱,而不是沉浸在技术中——他们在暗网上下载僵尸网络,设置自动化并监控钱包余额;
- 安全专业人员只能依赖高级分析,否则很容易错过信息噪音中的威胁。
大会在世界贸易中心举行。 选择该地点的原因是,这是少数获得联邦安全局许可举办全国最高级别活动的设施之一。 出席大会的参观者可以听到数字发展部长康斯坦丁·诺斯科夫、中央银行行长埃尔维拉·纳比乌林娜和俄罗斯联邦储蓄银行行长格尔曼·格列夫的讲话。 国际观众包括华为俄罗斯公司首席执行官吴艾登、退休的欧洲刑警组织主任尤尔根·斯托贝克、德国网络安全委员会主席汉斯·威廉·邓恩等高级专家。
病人还活着吗?
组织者选择了既适合一般性讨论又适合实用技术问题报告的主题。 在大多数演讲中,人工智能都以这样或那样的方式被提及——值得称赞的是,他们自己也经常承认,在目前的情况下,人工智能更多的是一个“炒作话题”,而不是一个真正有效的技术堆栈。 与此同时,今天很难想象在没有机器学习和数据科学的情况下保护大型企业基础设施。
攻击渗透到基础设施后平均三个月即可检测到。
因为仅靠签名无法阻止互联网上每天出现的 300 万个新恶意软件(根据卡巴斯基实验室的数据)。 网络安全专业人员平均需要三个月的时间才能检测到网络上的入侵者。 在此期间,黑客设法在基础设施中站稳脚跟,以至于不得不被踢出三四次。 我们清理了存储并通过易受攻击的远程连接返回恶意软件。 他们已经建立了网络安全——犯罪分子向一名员工发送了一封带有木马的信件,据称该信件来自长期的业务合作伙伴,他们也成功地入侵了该合作伙伴。 依此类推,直到最后的结局,无论谁最终获胜。
A 和 B 构建了信息安全
在此基础上,信息安全的两个平行领域正在快速发展:基于网络安全中心(安全运营中心,SOC)对基础设施的广泛控制和通过异常行为检测恶意活动。 许多发言人,例如趋势科技亚太、中东和非洲副总裁 Dhanya Thakkar,敦促管理员假设他们已经遭到黑客攻击,不要错过可疑事件,无论它们看起来多么微不足道。
IBM 在一个典型的 SOC 项目中:“首先设计未来的服务模型,然后实施,最后部署必要的技术系统。”
因此,SOC 越来越受欢迎,它覆盖基础设施的所有领域,并及时报告某些被遗忘的路由器的突然活动。 IBM欧洲安全系统总监Georgy Racz表示,近年来,专业界对这种控制结构有了一定的认识,认识到安全性不能仅靠技术手段来实现。 今天的 SOC 为公司带来了信息安全服务模型,允许安全系统集成到现有流程中。
和你在一起的是我的剑、我的弓和我的斧头
企业存在人员短缺的情况——市场需要约2万信息安全专家。 这正在推动公司转向外包模式。 公司通常甚至更愿意将自己的专家转移到一个单独的法人实体中——在这里我们可以回忆一下 SberTech、多莫杰多沃机场自己的集成商和其他例子。 除非您是行业巨头,否则您更有可能求助于 IBM 等公司来帮助您建立自己的安全团队。 预算的很大一部分将用于重组流程,以便以企业服务的形式启动信息安全。
Facebook、Uber 和美国信用机构 Equifax 的泄密丑闻已将 IT 保护问题提升至董事会层面。 因此,CISO 成为会议的频繁参与者,公司不再使用技术方法来确保安全,而是使用业务视角 - 评估盈利能力、降低风险、放下救命稻草。 打击网络犯罪分子具有经济含义——有必要使攻击无利可图,以便原则上黑客对组织不感兴趣。
有细微差别
所有这些变化都没有通过攻击者,他们将攻击从公司转向私人用户。 这些数字不言而喻:根据 BI.ZONE 公司的数据,2017 年至 2018 年,俄罗斯银行因系统遭受网络攻击而造成的损失减少了 10 倍以上。 另一方面,同一银行的社会工程事件从13年的2014%增加到79年的2018%。
犯罪分子在公司安全边界中发现了一个薄弱环节,结果发现该薄弱环节是私人用户。 当其中一位发言者要求智能手机上装有专门防病毒软件的所有人举手时,几十人中有三人做出了回应。
2018年,每五起安全事件中就有私人用户参与;80%的银行攻击是通过社会工程学进行的。
现代用户被直观的服务宠坏了,这些服务教会他们根据便利性来评估 IT。 增加一些额外步骤的安全工具最终会分散注意力。 结果,安全服务输给了拥有更漂亮按钮的竞争对手,并且网络钓鱼电子邮件的附件在不被阅读的情况下被打开。 值得注意的是,新一代并没有表现出由此带来的数字素养——攻击的受害者每年都在变得更年轻,而千禧一代对小工具的热爱只会扩大可能的漏洞范围。
到达该人
如今的安全工具可以对抗人类的懒惰。 想想这个文件是否值得打开? 我需要点击此链接吗? 让这个过程放在沙箱中,你将再次评估一切。 机器学习工具不断收集有关用户行为的数据,以制定不会造成不必要的不便的安全做法。
但是,如果客户说服反欺诈专家允许可疑交易,尽管他直接被告知收款人的账户已被检测到存在欺诈交易(BI.ZONE 实践中的真实案例),该怎么办? 如何保护用户免受可以欺骗银行电话的攻击者的侵害?
十分之八的社会工程攻击是通过电话进行的。
电话正在成为恶意社会工程的主要渠道——2018年,此类攻击的比例从27%增加到83%,远远领先于短信、社交网络和电子邮件。 犯罪分子创建了整个呼叫中心,向人们打电话,提出在证券交易所赚钱或通过参与调查获得金钱的优惠。 许多人发现,当他们需要立即做出决定并承诺获得可观的回报时,他们很难批判性地感知信息。
最新的趋势是忠诚度计划诈骗,这些诈骗剥夺了受害者多年累积的里程、免费汽油和其他奖金。 行之有效的经典做法,即付费订阅不必要的移动服务,也仍然具有相关性。 在其中一份报告中,有一个用户因此类服务而每天损失 8 卢布的例子。 当被问及为什么他对不断减少的余额不感到困扰时,该男子回答说,他将这一切都归因于他的提供者的贪婪。
非俄罗斯黑客
移动设备正在模糊针对私人用户和企业用户的攻击之间的界限。 例如,员工可能会秘密寻找新工作。 他在互联网上发现了简历准备服务,并将应用程序或文档模板下载到他的智能手机上。 这就是启动虚假在线资源的攻击者最终进入个人设备的方式,他们可以从那里转移到公司网络。
正如Group-IB的一位发言者所说,这样的行动正是由先进组织Lazarus实施的,该组织被描述为朝鲜情报部门的一个单位。 这些是近年来最有成效的网络犯罪分子——他们负责盗窃 и , 乃至 。 APT组织(源自英语“高级持续威胁”,“稳定的高级威胁”)的数量近年来已增长到数十个,他们长期认真地进入基础设施,事先研究了其所有特征和弱点。 这就是他们设法了解有权访问必要信息系统的员工的职业道路的方法。
如今,大型组织受到 100-120 个特别危险的网络组织的威胁,其中五分之一的组织攻击的是俄罗斯公司。
卡巴斯基实验室威胁研究部门负责人 Timur Biyachuev 估计,最危险的团体数量为 100-120 个社区,目前总数有数百个。 俄罗斯公司受到约20%的威胁。 很大一部分犯罪分子,尤其是来自新兴群体的犯罪分子,居住在东南亚。
APT 社区可能会专门创建一家软件开发公司来覆盖他们的活动或 达到数百个目标。 专家们不断监视这些团体,拼凑分散的证据来确定每个团体的企业身份。 威胁情报仍然是抵御网络犯罪的最佳预防武器。
你是谁?
专家表示,犯罪分子可以轻松改变他们的工具和策略,编写新的恶意软件,并发现新的攻击媒介。 同一个拉撒路在其中一项活动中,在代码中插入了俄语单词,以误导调查。 然而,行为模式本身更难以改变,因此专家可以根据特征来猜测是谁实施了这种或那种攻击。 在这里,他们再次得到了大数据和机器学习技术的帮助,这些技术在监控收集的信息中将小麦与谷壳分开。
大会发言人不止一次或两次谈到归因问题或确定攻击者的身份。 这些挑战涉及技术和法律问题。 例如,犯罪分子是否受到隐私法的保护? 当然可以,这意味着您只能以匿名形式发送有关活动组织者的信息。 这对专业信息安全社区内的数据交换过程施加了一些限制。
学童和流氓是地下黑客商店的客户,也使调查事件变得困难。 网络犯罪行业的进入门槛已经降低到了如此程度,以至于恶意行为者的队伍往往是无穷无尽的——你无法将他们全部数清。
美丽的远方
一想到员工亲手为金融系统创建后门,人们很容易感到绝望,但也有积极的趋势。 开源的日益普及提高了软件透明度,并使打击恶意代码注入变得更加容易。 数据科学专家正在创建新的算法,当存在恶意意图的迹象时,可以阻止不需要的操作。 专家们正试图使安全系统的机制更接近人脑的运作方式,以便防御能够结合直觉和经验方法。 深度学习技术允许此类系统根据网络攻击模型独立发展。
Skoltech:“人工智能正在流行,这很好。 事实上,要达到这个目标还有很长的路要走,而且这样就更好了。”
正如斯科尔科沃科技学院院长顾问格里戈里·卡巴蒂扬斯基(Grigory Kabatyansky)提醒听众的那样,这种发展不能被称为人工智能。 真正的人工智能不仅能够接受人类的任务,还能独立设置任务。 这种系统的出现将不可避免地在大公司的股东中占据一席之地,距离出现还需要几十年的时间。
与此同时,人类正在研究机器学习和神经网络技术,这是院士们在上世纪中叶开始谈论的。 Skoltech 研究人员使用预测模型来处理物联网、移动网络和无线通信、医疗和金融解决方案。 在某些领域,高级分析可以应对人为灾难和网络性能问题的威胁。 在其他方面,它提出了解决现有问题和假设问题的选项,解决了诸如 在看似无害的媒体中。
对猫的训练
Rostelecom PJSC 信息安全副总裁 Igor Lyapunov 认为,信息安全中机器学习的根本问题在于缺乏智能系统的材料。 通过展示数千张猫的照片,可以教会神经网络识别猫。 我在哪里可以找到数以千计的网络攻击作为示例?
今天的原始人工智能有助于在暗网上搜索犯罪分子的踪迹并分析已发现的恶意软件。 反欺诈、反洗钱、部分识别代码中的漏洞——所有这些也可以通过自动化方式完成。 其余的可以归因于软件开发商的营销项目,这一点在未来5-10年内不会改变。
来源: habr.com