Кибербезопасность: провожаем 2023 и встречаем 2024 год

Для защиты данных важно быть в курсе последних тенденций и реалий рынка. В Международный день защиты информации Сергей Андриевский, CTO «Инферит Облако», рассказывает о трендах в сфере безопасности облаков, IOT, про ИИ на службе ИБ и угрозы нового года. 

Ключевые тенденции в области кибербезопасности на ноябрь 2023 года

• Кибератаки с использованием искусственного интеллекта. Искусственный интеллект стал «двуликим Янусом»: с одной стороны, преступники используют его для написания вредоносных программ и усовершенствования фишинговых атак; с другой -ИИ помогает в обнаружении и анализе кибератак. 
• Кибератаки становятся инструментом геополитических конфликтов. «Лаборатория Касперского» в октябре 2023 года заявила о двух волнах вредоносных рассылок в учреждения государственного и индустриального секторов России. Ранее в августе Лаборатория выявила серии сложных целевых кибератак на промышленные предприятия в Восточной Европе с использованием новых версий вредоносного ПО FourteenHi и нового импланта MeatBall; такие атаки часто остаются незамеченными до тех пор, пока ущерб не станет очевидным.
• Растет внимание к безопасности цепочек поставок ПО. Это включает в себя проверку происхождения компонентов и оценку политик безопасности поставщиков.
• Наблюдается тренд на отказ от паролей в пользу беспарольной аутентификации. Такие стандарты, как passkeys, используют биометрические факторы и обеспечивают более высокий уровень безопасности.

Облако на прицеле

Организации активно используют облачные решения. Российский рынок в прошлом году показал рост более чем в 40%. При этом сложность и изощренность атак на облака растет, что вынуждает компании переосмыслить свои подходы к кибербезопасности. 

1. Злоумышленники  эксплуатируют уязвимости в программном обеспечении, либо некорректно настроенной конфигурации веб-приложений, для получения несанкционированного привилегированного доступа к облачным ресурсам.
2. Используют учетную запись администратора для контроля над инфраструктурой облачного провайдера, чтобы получить информацию о заказчиках и направить вектор атаки на инфраструктуру клиента. 
3. С помощью фишинга, перебора паролей, компрометации «второго фактора» получают доступ к аккаунтам пользователей или администраторов в облаке.
4. Используют критические уязвимости в корневом программном обеспечении облака или облачной платформы, чтобы получить несанкционированный доступ к ресурсам. 
5. Атакуют сетевую инфраструктуру с помощью различных методов по перехвату или подмене сетевого трафика, передаваемого между облачными ресурсами и пользователями. 
6. В лучших традициях фильмов «Миссия: невыполнима» могут пытаться физически осуществить доступ к инфраструктуре облачного провайдера — проникнуть в ЦОД, в стойку, чтобы подключиться к серверам, получить или уничтожить данные. 

Что делать?

Не пренебрегать базовыми правилами. Использовать сложные пароли, регулярно меняя их. Обязательно «привязывать» двухфакторную аутентификацию для входа в систему, это гигиенический минимум на сегодняшний день. Систематически обновлять все программное обеспечение. Создавать зашифрованные резервные копии. Настраивать и ограничивать доступ к информационным системам. Отслеживать аномальную и подозрительную активность в облачной инфраструктуре путем применения различных средств информационной безопасности: SIEM, IPS/IDS, NGWF, SOC, EDR и других. Все это в совокупности позволит добиться минимально приемлемого уровня киберустойчивости. 

Можно вкладывать миллионы и миллиарды в обеспечение безопасности информационных ресурсов и систем, но если пароль администратора «123» — все это не имеет значения. Исследование 1,8 млн паролей пользователей в статусе администраторов выявило, что admin — самый популярный пароль, а за ним в рейтинге следуют 123456, 12345678 и 1234. На пятой строчке — Password. 

Расширение арсенала киберпреступников

Современные технологии позволяют хакерам обойти традиционные системы безопасности, оставаться незамеченными, проводить долгосрочные и сложные атаки, нацеленные на критически важные системы. 

Злоумышленники используют eBPF-технологии (extended Berkeley Packet Filter), которые представляют собой мощный инструмент для создания сложных программ, выполняемых в ядре Linux, для создания маскированных атак, которые трудно обнаружить с помощью стандартных инструментов безопасности. 

Искусственный интеллект используется и для фишинга, и в составе сложных алгоритмов, нацеленных на нахождение и эксплуатацию уязвимостей в программном обеспечении и системах.

В 2022 году произошла серия нападений на оборонные предприятия и государственные учреждения Афганистана, России и ряда стран Восточной Европы. Предположительно, целью был кибершпионаж. В ряде случаев хакеры полностью захватили ИТ-инфраструктуру объектов. К фишинговым письмам в формате Microsoft Word прикрепляли вредоносный код: для его запуска со стороны пользователя не требовалось выполнять никаких действий. 

В числе угроз 2023 можно выделить FourteenHi — вредоносное ПО, нацеленное на государственные и промышленные организации, и MeatBall — имплантат, который обладает обширными возможностями удаленного доступа, включая составление списков запущенных процессов, подключенных устройств и дисков, выполнение операций с файлами, захват снимков экрана, использование удаленного shell и самообновление. Имплантат использует схему загрузки, основанную на технике DLL hijacking, при этом полезная нагрузка хранится непосредственно в зловредном загрузчике DLL, а не в отдельном файле. 

Продолжаются DDoS-атаки. По статистике, которую опубликовала ГК «Гарда», больше всего в России от таких атак страдает телеком-индустрия. Следующие цели касаются транспорта и госсектора. Например, в сентябре была атака на систему бронирования авиабилетов Leonardo, которая была разработана в России с целью заместить зарубежные системы.  

Искусственный интеллект

Киберпреступники используют ИИ для самых разных задач — от автоматизации фишинговых кампаний до создания убедительных фальшивых сайтов. В 2019 году гендиректор британской энергетической компании перевел деньги по указанию человека, представившегося исполнительным директором немецкой головной компании. Тогда нейросеть изменила только голос, но позже злоумышленники начали использовать технологию дипфейк для замены лица во время звонка для тех же целей.

В 2023 году количество фишинг-атак в Telegram увеличилось на 800%. «В первую очередь для этих целей злоумышленники использовали боты», — отмечают специалисты американской компании Confense. Аналитик Positive Technologies Екатерина Семыкина отмечала, что преступники рассылают фишинговые сообщения, направленные на кражу учетных данных, а также сообщения, содержащие вредоносные вложения под видом различных документов. Киберпреступники получили возможность автоматизировать и масштабировать фишинговые атаки с помощью генеративного искусственного интеллекта — таких проектов, как WormGPT. 

Что делать?

Кибератаку в 2024 году можно сравнить с игрой в шахматы. Искусственный интеллект — это ферзь, способный создавать стратегическое преимущество для того, кто играет лучше своего соперника.  

Преимущества использования ИИ в кибербезопасности: более быстрое обнаружение уязвимостей, лучшая идентификация рисков, круглосуточный мониторинг и смягчение угроз, снижение нагрузки на специалистов по кибербезопасности, улучшение эффективности и экономии затрат, улучшенный отклик на инциденты, масштабируемость и адаптивность, активный поиск потенциальных угроз​​.

Финансовые организации используют инструменты AI/ML для решения прикладных задач, включая антифрод. Во II квартале 2023 г. банки зафиксировали 279,7 тыс. мошеннических операций, что на 28,5% больше среднего значения предыдущих четырех кварталов. Искусственный интеллект активно используется банками для борьбы с мошенниками. Например, антифрод-проверка позволяет распознать попытки совершить покупки в онлайн-магазине с помощью украденных данных клиентов банка. 

Предотвратить использование искусственного интеллекта мошенниками пытаются на уровне государств. Спецслужбы ряда стран, включая США, Великобритании, Германии, Израиля и Японии подписали соглашение, которое содержит рекомендации для компаний-разработчиков ИИ. Такие компании должны учитывать риски на всех стадиях работы ИИ. 

Интернет вещей: безграничные возможности и риски

«Интернет вещей» (IoT) создает связанный мир, где все устройства взаимодействуют между собой. Траты на IoT в 2022 году составили 201 миллиард долларов. Количество подключенных устройств во всем мире уже превышает 15 млрд, а к 2030-2035 годам оно может вырасти до 29,4 млрд.

«Инферит» вместе с Softline Digital реализует проект «умные каски» для промышленности. Специальные устройства помогают мгновенно получить информацию о том, что сотрудник упал, что ему угрожает опасность — так можно сразу отправить помощь. И это лишь один из сценариев применения технологий из спектра «Интернета вещей», хотя на предприятии таких сценариев будут десятки. 

Но с каждым новым подключенным устройством — будь то датчики температуры в магазине или носимый гаджет у работника склада — появляется новая точка уязвимости. Для атаки, получения информации могут использоваться домашние камеры и роутеры, автомобили, «умные» холодильники и множество других вещей, которыми пользуются люди ежедневно дома, в офисе, на работе, в транспорте. Интеллектуализация несет огромные возможности и вместе с тем риски — их отлично иллюстрирует фильм «Крепкий орешек 4.0». 

Главный архитектор ОС «МСВСфера» Евгений Замрий отмечает, что в инфраструктуре есть полноценные операционные системы, для которых налажен процесс анализа с точки зрения безопасности, для которых выходят регулярные обновления безопасности. Системные администраторы, качественно выполняющие свою работу, должны следить за обновлениями, устанавливать их и снижать риски.

Перезагрузка операционной системы может привести к активации вирусов и злонамеренного ПО. Поэтому сейчас существует возможность устанавливать обновления без перезагрузки, тогда как раньше она была часто обязательном этапом настройки приложений. В Red Hat пропатчить ядро помогает инструмент kpatch, а серверы на дистрибутивах Ubuntu работают без рестарта после обновлений благодаря livepatch. Технология особенно ценна для критически важных систем и серверов, где даже короткие простои могут привести к значительным потерям. 

С другой стороны, концепция IoT очень часто подразумевает использование большого количества различных микрокомпьютеров, датчиков, реле. Здесь ситуация намного хуже, потому что часто это маломощные устройства, на которых нет полноценной ОС. Разрабатываются такие устройства часто без оглядки на безопасность, они передают данные по протоколу ZigBee, по Bluetooth или по Wi-Fi, что делает систему уязвимой.

Если в традиционных сетях возможно добиться безопасности за счет изоляции, то есть использования защищенных протоколов либо замкнутого контура в пределах организации, то в случае с IoT-устройствами злоумышленнику даже не требуется проникать в контур объекта да для того, чтобы как-то атаковать сеть. В пессимистичном сценарии преступник может приобрести датчик или сделать эмулятор датчика, который есть в контуре организации, «представиться» этим устройством и произвести нежелательную активность.

Проблема не кажется достаточно серьезной, если говорить о датчике температуры, управляющем работой одного кондиционера в офисном помещении. Но если мы представим реле, которое открывает и закрывает ворота на производство и является частью системы охраны объекта, или же устройство, управляющее подачей газа, то опасность становится очевидной.

Что делать?

Важную роль в защищенности промышленной и бизнес ИТ-инфраструктуры играет выбор операционной системы. Последнее время российский бизнес сталкивался с уходом вендоров, отключением технической поддержки, невозможностью получения обновлений безопасности. Оптимальным будет использование ОС на базе Linux от разработчика, который создает и развивает операционную систему с учетом требований к безопасности. Система при этом не должна зависеть от зарубежных обновлений. И от компании, которая в любой момент может уйти из России. 

В частности, для проекта «Умные каски» используется операционная система МСВСфера от подразделения российского ИТ-вендора «Инферит» — «Инферит ОС».

С точки зрения датчиков, реле и других устройств правильная стратегия — стратегия недоверия. Они должны быть изолированы от чувствительных частей системы. Нельзя доверять той информации и тем действиям, которые делают эти устройства: необходимо создать шлюз, который будет передавать обработанную информацию по безопасному пути, направлять ее на анализ в защищенный контур, после чего дополнительный слой-арбитр будет верифицировать данные и алгоритмически проверять их корректность, искать подмену, внешнюю симуляцию. 

Киберответ: рекомендации экспертов по кибербезопасности

Использование ИИ в ИБ — сегодня ключевой тренд. Он используется для обнаружения аномальной активности для предотвращения атак, ускоряет процесс нейтрализации угроз, помогает компаниям защищаться от фишинговых атак — анализирует сообщения, выявляя и блокируя фишинг. Часто угрозы взлома идут не снаружи, а изнутри компании: ИИ помогает в выявлении подозрительного поведения пользователей, чтобы дать возможность специалистам предотвратить утечки и другие угрозы. 

С учетом того, что бизнес в России все чаще становится целью кибератак, акцент должен быть сделан на разработку многоуровневой защиты и обучение сотрудников основам кибербезопасности. Необходимо осознать, любые  технологии не являются панацеей. 

Простейший пример касается защиты государственной тайны и конфиденциальной информации. Предприятие, коммерческая компания могут отключить выход в интернет от определенного устройства, заменить компьютер на ЗАРМ, но данные, которые подлежат защите, человек может запомнить, может переписать на лист бумаги и убрать в потайной карман. 

Информационная безопасность — это в первую очередь постоянное обучение сотрудников, создание культуры ИБ внутри компании, привлечение специалистов высокого уровня для организации обследований помещений (если существует риск промышленного шпионажа). Все это — ключевые моменты если не для предотвращения угроз, то для снижения риска. 

Мир кибербезопасности постоянно меняется. Адаптация к новым угрозам, инвестирование в новейшие технологии и непрерывное обучение — вот что позволит нам шагать в ногу с киберпреступниками и обеспечивать безопасное цифровое будущее.

Желаем всем читателям крепкого киберздоровья и поздравляем всех коллег в ИБ с Международным днем защиты информации!