На что уповают эксперты по защите данных? Репортаж с Международного конгресса кибербезопасности

w_3j4mhfry3feqikltyxghv7omc.jpeg

20–21 июня в Москве проходил Международный конгресс по кибербезопасности. По итогам мероприятия посетители могли сделать следующие выводы:

  • цифровая неграмотность распространяется как среди пользователей, так и среди самих киберпреступников;
  • первые продолжают попадаться на фишинг, открывать опасные ссылки, приносить в корпоративные сети зловреды с личных смартфонов;
  • среди вторых все больше новичков, которые гоняются за легким заработком без погружения в технологии — скачали ботнет в дарквебе, настроили автоматику и следят за балансом кошелька;
  • безопасникам остается полагаться на продвинутую аналитику, без которой в информационном шуме очень просто проглядеть угрозу.


Конгресс проходил в Центре международной торговли. Выбор площадки объясняется тем, что это один из немногих объектов с допуском ФСО на проведение мероприятий с высшими чинами страны. Посетители Конгресса могли услышать выступления министра цифрового развития Константина Носкова, главы Центробанка Эльвиры Набиуллиной, президента Сбербанка Германа Грефа. Международную аудиторию представляли Генеральный директор Huawei в России Эйден У (Aiden Wu), директор Европола в отставке Юрген Сторбек (Jürgen Storbeck), президент Совета по кибербезопасности Германии Ханс-Вильгельм Дюнн (Hans-Wilhelm Dünn) и другие высокопоставленные эксперты.

Пациент скорее жив?


Организаторы подобрали темы, которые подходили как для общих дискуссий, так и практически ориентированных докладов по техническим вопросам. На большинстве выступлений так или иначе упоминали искусственный интеллект — к чести спикеров, нередко они сами признавали, что в нынешнем воплощении это скорее «хайповая тема», чем реально работающий стек технологий. В то же время, без машинного обучения и Data Science сегодня уже сложно представить защиту крупной корпоративной инфраструктуры.

Обнаружить атаку удается в среднем через три месяца после проникновения в инфраструктуру.

Потому что по одним сигнатурам не остановить 300 тыс. новых вредоносов, которые появляются в Сети каждый день (по данным «Лаборатории Касперского»). А у кибербезопасников в среднем уходит три месяца на то, чтобы обнаружить злоумышленников в своей сети. За это время взломщики успевают так укрепиться в инфраструктуре, что выгонять их приходится по три-четыре раза. Почистили хранилища — зловред вернулся через уязвимое удаленное подключение. Наладили сетевую безопасность — преступники отправляют сотруднику письмо с трояном якобы от давнего бизнес-партнера, которого они тоже успели скомпрометировать. И так до победного конца, кто бы в итоге ни одержал верх.

А и Б построили ИБ


На этой почве бурно растут два параллельных направления ИБ: повсеместный контроль над инфраструктурой на базе центров кибербезопасности (Security Operations Center, SOC) и обнаружение вредоносной активности через аномальное поведение. Многие спикеры, например, вице-президент Trend Micro по Азиатско-Тихоокеанскому региону, Ближнему Востоку и Африке Даня Таккар (Dhanya Thakkar) призывают администраторов исходить из того, что их уже взломали — не пропускать подозрительные события, какими бы незначительными они ни казались.

IBM о типичном проекте по созданию SOC: «Сначала дизайн будущей сервисной модели, затем ее внедрение, и только потом развертывание необходимых технических систем».


Отсюда растущая популярность SOC, которые охватывают все участки инфраструктуры и вовремя сообщают о внезапной активности какого-нибудь забытого роутера. Как рассказал директор IBM Security Systems в Европе Джорджи Ратц (Gyorgy Racz), за последние годы профессиональное сообщество выработало определенное представление о таких контролирующих структурах, осознав, что одними техническими средствами безопасности не добиться. Сегодняшние SOC привносят в компанию сервисную модель ИБ, позволяя системам защиты встраиваться в существующие процессы.

С тобой мой меч и мой лук и моя секира


Бизнес существует в условиях кадрового голода — рынку нужны около 2 млн ИБ-специалистов. Это подталкивает компании к аутсорсинговой модели. Даже собственных специалистов корпорации нередко предпочитают вывести в отдельное юрлицо — тут можно вспомнить и СберТех, и собственного интегратора аэропорта Домодедово, и другие примеры. Если же вы не гигант своей отрасли, то с большей вероятностью вы обратитесь к кому-то вроде IBM, которые помогут вам построить собственную службу безопасности. Значительная часть бюджета при этом уйдет на перестройку процессов, чтобы запустить ИБ в формате корпоративных услуг.

Скандалы с утечками из Facebook, Uber, американского кредитного бюро Equifax подняли вопросы защиты IT на уровень советов директоров. Поэтому CISO становится частым участником из заседаний, а вместо технологического подхода к безопасности компании применяют бизнес-призму — оценить рентабельность, сократить риски, подстелить соломку. Да и противодействие киберпреступникам приобретает экономический оттенок — нужно сделать атаку нерентабельной, чтобы организация в принципе не интересовала взломщиков.

Есть нюансы


Все эти изменения не прошли мимо злоумышленников, которые перенаправили усилия с корпораций на частных пользователей. Цифры говорят сами за себя: по данным компании BI.ZONE, в 2017–2018 годах потери российских банков из-за кибератак на их системы сократились более чем в 10 раз. С другой стороны, инциденты с применением социальной инженерии в тех же банках выросли с 13% в 2014 году до 79% в 2018.

Преступники нащупали слабое звено в периметре корпоративной безопасности, которыми оказались частные юзеры. Когда один из докладчиков попросил поднять руки всех, у кого на смартфоне стоит специализированное антивирусное ПО, откликнулись три человека из нескольких десятков.

В 2018 году частные пользователи участвовали в каждом пятом инциденте безопасности, 80% атак на банки совершено с помощью социальной инженерии.


Современные пользователи избалованы интуитивными сервисами, которые приучают их оценивать IT с точки зрения удобства. Средства безопасности, добавляющие пару дополнительных шагов, оказываются отвлекающим фактором. В результате защищенный сервис проигрывает конкуренту с более симпатичными кнопками, а вложения к фишинговым письмам открываются без прочтения. Стоит отметить, что новое поколение не проявляет приписываемой ему цифровой грамотности — с каждым годом жертвы атак молодеют, а любовь миллениалов к гаджетам только расширяет спектр возможных уязвимостей.

Достучаться до человека


Средства безопасности сегодня борются с человеческой ленью. Подумайте, стоит ли открывать этот файл? Нужно ли идти по этой ссылке? Пусть этот процесс посидит в песочнице, а вы еще раз все оцените. Средства машинного обучения постоянно собирают данные о поведении пользователей, чтобы вырабатывать безопасные практики, которые не вызовут лишних неудобств.

Но что делать с клиентом, который убеждает антифрод-специалиста разрешить подозрительную транзакцию, хотя ему прямо говорят, что счет адресата замечен в мошеннических операциях (реальный случай из практики BI.ZONE)? Как защитить пользователей от злоумышленников, которые могут подделать звонок из банка?

Восемь из десяти атак с применением социальной инженерии совершается по телефону.


Именно телефонные звонки становятся основным каналом вредоносной социальной инженерии — за 2018 года доля таких атак выросла с 27% до 83% процентов, далеко обогнав SMS, социальные сети и электронную почту. Преступники создают целые колл-центры для обзвона с предложениями заработать на бирже или получить деньги за участие в опросах. Многим людям тяжело воспринимать информацию критически, когда от них требуют немедленных решений, обещая за это впечатляющее вознаграждение.

Последнее веяние — мошенничество с программами лояльности, которое лишает жертву накопленных за годы миль, бесплатных литров бензина и прочих бонусов. Проверенная классика, платная подписка на ненужные мобильные сервисы, тоже не теряет актуальности. В одном из докладов был пример пользователя, который ежедневно терял по 8 тысяч рублей из-за таких услуг. На вопрос, почему его не обеспокоил постоянно тающий баланс, человек ответил, что списывал все на жадность своего провайдера.

Нерусские хакеры


Мобильные устройства размывают границу между атаками на частных и корпоративных пользователей. Например, сотрудник может тайком искать новое место работы. Он натыкается в Интернете на сервис для подготовки резюме, скачивает на смартфон приложение или шаблон документа. Так злоумышленники, которые и запустили ложный онлайн-ресурс, попадают на личный гаджет, откуда могут переместиться в корпоративную сеть.

Как рассказал докладчик из Group-IB, именно такую операцию провела продвинутая группировка Lazarus, о которой говорят как о подразделении северокорейской разведки. Это одни из самых продуктивных киберпреступников последних лет — на их счету хищения из центрального банка Бангладеш и крупнейшего банка Тайваня FEIB, атаки на криптовалютную отрасль и даже кинокомпанию Sony Pictures. APT-группировки (от англ. advanced persistent threat, «устойчивая продвинутая угроза»), число которых за последние годы выросло до нескольких десятков, влезают в инфраструктуру всерьез и надолго, предварительно изучив все ее особенности и слабые места. Именно так им и удается узнать о карьерных метаниях сотрудника, у которого есть доступ к нужной информационной системе.

Крупным организациям сегодня угрожают 100–120 особо опасных кибергруппировок, каждая пятая атакует компании в России.


Руководитель управления исследования угроз «Лаборатории Касперского» Тимур Биячуев оценил количество наиболее грозных группировок в 100–120 сообществ, а всего их сейчас действует несколько сотен. Российским компаниям угрожают около 20%. Значительная часть преступников, особенно из недавно появившихся групп, проживает в Юго-Восточной Азии.

APT-сообщества могут специально создать компанию-разработчика ПО для прикрытия своей деятельности или скомпрометировать глобальный сервис обновления ASUS, чтобы добраться до нескольких сотен своих целей. Эксперты постоянно наблюдают за такими группировками, собирая воедино разрозненные улики, чтобы определить фирменный стиль каждой из них. Такая разведка (threat intelligence) остается лучшим превентивным оружием против киберпреступности.

Ты чьих будешь?


Как рассуждают эксперты, преступники могут легко менять инструментарий и тактику, писать новые зловреды и открывать новые векторы атак. Та же Lazarus в одной из кампаний расставила в коде русскоязычные слова, чтобы направить расследование по ложному следу. Однако сам паттерн поведения изменить гораздо сложнее, поэтому специалисты могут по характерным особенностям предполагать, кто провел ту или иную атаку. Здесь им вновь помогают технологии больших данных и машинного обучения, которые отделяют зерна от плевел в собранной мониторингом информации.

О проблеме атрибуции, или определения личности атакующих, докладчики конгресса говорили не раз и не два. С этими задачами связаны и технологические, и правовые вопросы. Скажем, попадают ли преступники под защиту законодательства о персональных данных? Разумеется, да, а значит пересылать информацию об организаторах кампаний можно только в обезличенном виде. Это накладывает некоторые ограничения на процессы обмена данными внутри профессионального ИБ-сообщества.

Школьники и хулиганы, клиенты подпольных хакерских магазинов, тоже затрудняют расследование инцидентов. Порог входа в отрасль киберпреступности снизился до такой степени, что ряды вредоносных акторов стремятся к бесконечности — всех не пересчитаешь.

Прекрасное далеко


Легко впасть в отчаяние при мысли о сотрудниках, которые своими руками ставят бэкдор к финансовой системе, но позитивные тенденции тоже есть. Растущая популярность open source повышает прозрачность ПО и упрощает борьбу с инъекциями вредоносного кода. Специалисты по Data Science создают новые алгоритмы, которые блокируют нежелательные действия при признаках вредоносного умысла. Эксперты стараются приблизить механику систем безопасности к работе человеческого мозга, чтобы защитные средства использовали интуицию вместе с эмпирическими методами. Технологии глубинного обучения позволяют таким системам эволюционировать самостоятельно на моделях кибератак.

Сколтех: «Искусственный интеллект в моде, и это хорошо. На самом деле идти до него еще очень долго, и это еще лучше».


Как напомнил слушателям Григорий Кабатянский, советник ректора Сколковского института науки и технологий, такие разработки нельзя называть искусственным интеллектом. Настоящий ИИ сможет не только принимать задачи от человека, но и самостоятельно их ставить. До появления таких систем, которые неизбежно займут места среди акционеров крупных корпораций, еще несколько десятилетий.

Пока же человечество работает с технологиями машинного обучения и нейронных сетей, о которых академики заговорили еще в середине прошлого века. Исследователи Сколтеха применяют предсказательное моделирование для работы с Интернетом вещей, мобильными сетями и беспроводной связью, медицинскими и финансовыми решениями. В одних областях продвинутая аналитика борется с угрозой техногенных катастроф и проблемами сетевой производительности. В других — подсказывает варианты решения существующих и гипотетических проблем, решает задачи вроде выявления скрытых сообщений в безобидных на первый взгляд носителях.

Тренировка на кошках


Вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов видит фундаментальную проблему машинного обучения в ИБ в недостатке материала для умных систем. Нейросети можно научить узнавать кошку, показав тысячи фотографий с этим животным. Где взять тысячи кибератак, чтобы привести их в пример?

Сегодняшний прото-ИИ помогает искать следы преступников в даркнете и анализировать уже обнаруженные зловреды. Антифрод, противодействие отмыванию денег, отчасти выявление уязвимостей в коде — все это тоже можно делать автоматизированными средствами. Остальное же можно отнести к маркетинговым проектам разработчиков ПО, и в ближайшие 5–10 лет это не изменится.

© Habrahabr.ru