Николай Гончаров (Security Vision) об ИИ, инсайдерах и киберстраховании

Какие существуют основные направления работы с искусственным интеллектом в сфере кибербезопасности? Какие риски связаны с их использованием?

Работа с ИИ сейчас включает 3 основных направления: защита от вредоносных ИИ-инструментов, использование ИИ для улучшения кибербезопасности, защита ИИ-технологий от специфических атак. Атакующие активно применяют технологии ИИ для формирования качественных фишинговых сообщений, создания голосовых и видео-дипфейков, поиска уязвимостей, разработки ВПО, быстрого анализа массивов похищенных данных, поиска оптимальных векторов кибератак и эффективного горизонтального перемещения в скомпрометированных инфраструктурах. В свою очередь, разработчики средств защиты используют ИИ для повышения уровня кибербезопасности — например, для выявления аномалий в сети, поиска потенциальных слабых мест в инфраструктуре компании, формирования рекомендаций ИБ-специалистам по выявлению атак и реагированию на киберугрозы, анализа применимых нормативных документов по ИБ, упрощения рутинных задач, таких как формирование отчетности, визуализация данных, рассылка информационных сообщений. Наконец, сами системы ИИ нуждаются в защите — важно предотвращать утечки данных из моделей ИИ, несанкционированный доступ к системам ИИ с кражей обученных моделей, вывод моделей ИИ из строя, а также защищаться от специфических угроз — например, от атак типа «внедрение запроса» (Prompt Injection) или «отравление данных» (Data Poisoning).

Какие основные тенденции наблюдаются в сфере киберугроз в последние годы?

Трендом нескольких последних лет являются массовые кибератаки, в результате которых происходят утечки данных, выводится из строя информационная инфраструктура, нарушается доступность важных интернет-сервисов. В числе основных типов и способов атак — фишинг и социальная инженерия, DDoS-атаки, эксплуатация уязвимостей, использование вредоносного ПО, включая вирусы-шпионы, вайперы и шифровальщики. Новые вызовы включают в себя атаки на цепочки поставок, атаки через доверительные отношения с контрагентами (подрядчиками, аутсорсерами, партнерами), а также использование особенности программных зависимостей, которые возникают при разработке или использовании ПО, включая Open Source решения. Кроме того, с развитием технологий ИИ атаки методом социальной инженерии вышли на новый уровень — фишинг становится все более грамотным, а дипфейки получаются настолько правдоподобными, что обмануть можно любого сотрудника в компании, в том числе и тех, кто принимает важные финансовые решения. Например, злоумышленники могут отправить грамотно составленное поддельное email-сообщение финансовому директору якобы от имени первого лица компании, а затем позвонить и за счет дипфейк-подделки голоса и изображения подтвердить необходимость якобы срочного перевода денежных средств, которые в итоге уйдут на счета мошенников.

Какие виды угроз представляют наибольшую опасность для организаций сегодня? Чему сейчас уделяется больше внимания — защите от внешних или от внутренних нарушителей?

С одной стороны, защита от внешних нарушителей (т.е. защита внешнего контура) особо востребована сейчас, в период глобального киберпротивостояния, когда разрушительным атакам подвергаются самые разные организации. Именно на недопущении DDoS-атак, дефейсов, вирусных заражений, эксплуатации уязвимостей на внешнем интернет-периметре сфокусированы основные усилия ИБ-специалистов. С другой стороны, как только невнимательный сотрудник открывает зараженное вложение из фишингового письма, его учетная запись попадает под управление атакующих, и если им повезет и аккаунт окажется высокопривилегированным, то цель атаки — кража данных и уничтожение инфраструктуры — будет достигнута в кратчайшие сроки. Если же организация стала объектом атаки кибершпионов или APT-групп, то скрытная вредоносная активность (шпионаж, кража интеллектуальной собственности, получение ценной внутренней информации) может ничем не выдавать себя на протяжении месяцев и даже лет, находясь под «прикрытием» скомпрометированной учетной записи. Кроме того, причиной киберинцидента может стать не только небдительный сотрудник, но и целенаправленное вредоносное воздействие инсайдера — подкупленного или завербованного сотрудника. В подобном случае злоумышленники могут предложить денежное вознаграждение нелояльному работнику за то, что он якобы случайно запустит файл из входящего email и не сообщит об этом специалистам ИБ-подразделения. Следует также учитывать, что зачастую атакующие могут оказывать мощнейшее психологическое воздействие, вынуждая людей продавать квартиры и брать кредиты, поэтому необходимо рассматривать и возможность целенаправленной социоинженерной атаки (с запугиванием и шантажом) на уязвимых работников организации.

Какие меры можно предпринять для повышения уровня киберзащищенности компании?

Обучение сотрудников — это одна из наиболее действенных и экономически эффективных мер для повышения уровня киберзащищенности компании. Важно проводить и вводные занятия с новыми работниками, и периодические регулярные тренинги, и делать информационные рассылки с описанием актуальных киберугроз. Кроме того, живые учебные демонстрации кибератак помогают персоналу лучше понять, как действуют злоумышленники — и подготовиться к противодействию им. Например, часто применяется метод рассылки учебных фишинговых сообщений с оценкой процентного соотношения сотрудников, перешедших по ссылке из сообщения, затем проводится дополнительное обучение невнимательных работников, а затем — повторная учебная рассылка, которая помогает понять, как персонал усвоил правила ИБ. Важно не наказывать работников за случайный переход по фишинговым ссылкам или за выполнение других ненамеренных действий, которые нарушают требования ИБ — в противном случае сотрудники будут скрывать свои ошибки и неверные действия, а кибератака пройдет незамеченной. Следует поддерживать обратную связь с персоналом, доходчиво разъяснять причины установки тех или иных правил кибербезопасности, оценивать предъявляемые к работникам требования по ИБ с точки зрения их реализуемости и удобства для конечного пользователя. Кроме того, нужно предоставить работникам практичный инструмент для отправки сообщений о подозрении на киберинцидент — это может быть внутренний номер телефона, электронная почта, которую регулярно проверяют сотрудники департамента ИБ, чат-бот или выделенный контакт в корпоративном мессенджере. Работники должны твердо знать свои должностные права и обязанности для противостояния возможному психологическому воздействию. Более того, правила кибергигиены, усвоенные на работе, сотрудникам следует переносить и в личную жизнь — это поможет им защитить себя и близких от различных мошеннических схем и кибератак.

Сталкивается ли малый и средний бизнес с кибератаками? Какие решения и подходы наиболее эффективны для обеспечения кибербезопасности в таких компаниях?

Малый и средний бизнес также сталкивается с кибератаками, но в силу бюджетных и ресурсных ограничений не имеет возможности адекватно защищаться. Кроме того, в связи с тем, что реальность кибернападений и их последствий стала очевидна руководителям компаний из данного сегмента лишь совсем недавно, в таких организациях может вообще не быть выделенного подразделения по ИБ, а задачами кибербезопасности могут заниматься немногочисленные ИТ-специалисты. Соответственно, многие небольшие и средние компании еще находятся на невысоких уровнях зрелости процессов ИБ, а первоочередными задачами для них могут являться инвентаризация информационных активов и управление уязвимостями, а также внедрение базовых мер защиты (антивирусы или EDR-решения, межсетевые экраны, системы защиты электронной почты, средства мультифакторной аутентификации, сканеры уязвимостей). Многие МСБ-компании предпочитают коробочные продукты, которые не требуют длительной настройки и начинают приносить пользу сразу после инсталляции, а также содержат предустановленные пакеты экспертизы. Кроме интереса к коробочным решениям, которые все же требуют наличие специалистов для их администрирования и эксплуатации, многие МСБ-организации обращаются к поставщикам услуг по кибербезопасности — к MSS-провайдерам и в коммерческие SOC-центры, которые могут оперативно подключить малый и средний бизнес на мониторинг и помогут оперативно выявлять кибератаки и реагировать на них.

Нужно ли компаниям киберстрахование? С чем связана низкая популярность киберстраховки?

В условиях достаточно серьезных потенциальных последствий от кибератак, киберстрахование является логичным решением для закрытия остаточных киберрисков, которые присутствуют даже при реализации всех мер защиты в самых крупных компаниях с огромными ИБ-бюджетами. Страхование киберрисков позволяет получить компенсацию при наступлении страхового случая и хотя бы частично возместить затраты на расследование инцидента, восстановление инфраструктуры, кризисную коммуникацию и компенсацию пострадавшим клиентам. Текущая низкая популярность связана с недостатком накопленных статистических данных для корректных страховых расчетов, со сложностями в объективной оценке состояния защищенности страхуемых компаний и при расследовании киберинцидентов. Однако, совсем недавно в России ввели существенные штрафы за утечки персональных данных, что может подхлестнуть рынок киберстрахования — по крайней мере, несколько лет назад зарубежом именно введение оборотных штрафов за утечки персональных данных вызвало всплеск интереса к такому виду страхования.