Технологии решают: про Web3, автоматизацию, кванты и российский open source28.12.2024 13:30

Уходящий год отчетливо дал понять, что в ближайшее время тренды на рынке кибербезопасности будут диктовать технологии. Блокчейн и искусственный интеллект все глубже проникают в бизнес- и государственные процессы, однако четких механизмов работы с ними все еще нет. Это формирует пространство для возникновения новых неизученных уязвимостей и атак. Продолжаем подводить киберитоги и киберпрогнозировать!

Web3: миллиарды потерь из-за ошибок кода

Уязвимости, хищения, платформы

За год, к декабрю 2024-го, было украдено 1,2 миллиарда долларов. При этом типичные уязвимости, которыми пользуются злоумышленники, не меняются: все те же reentrancy, манипуляция данными оракула, компрометация закрытых ключей.

Топ уязвимостей и хищений за год*

1.       Скомпрометированные закрытые ключи: 488 млн USD

2.       Зависимости от цен: 44,5 млн USD

3.       Повторный вход: 35 млн USD

4.       Непроверенный пользовательский ввод: 24 млн USD

5.       Неточности бизнес-логики: 21 млн USD

6.       Снижение точности вычислений: 20 млн USD

7.       Неправильная конфигурация: 16 млн USD

8.       Ошибки в аккаунтах: 8,13 млн USD

9.       Коллизия хранения: 7 млн USD

10.   Проблема контроля доступа: 5 млн USD

*На основе следующих источников: https://app.blocksec.com/explorer/security-incidents, https://defillama.com/hacks

Одним из ключевых событий остается выход на технологическую сцену более 50 новых блокчейн-платформ, отличительной чертой которых является большое количество текста. С их появлением старые капиталы перетекают из популярных блокчейнов в новые, создаются другие рынки, где образуются капиталы и появляются уязвимости. В частности, одной из самых быстро растущих стала платформа TON Павла Дурова, для которой мы подготовили чек-лист — первый публичный справочник возможных уязвимостей в смарт-контрактах. Разработчикам он пригодится, чтобы писать безопасные контракты, а исследователи безопасности с его помощью смогут проверять смарт-контракты на уязвимости. Это своего рода новинка прошедшего года — до сих пор такие списки никто не делал. Сейчас он активно распространяется в Твиттере, а некоторые разработчики активно используют его в создании своих контрактов.

ИИ и новые хакерские возможности

Перетекание активности из главной сети Ethereum в сторонние блокчейн-платформы чревато новыми крупными кражами и взломами в силу того, что инженерным сообществом пока не изучены особенности новых платформ. С начавшимся ростом крипторынка и с желанием бизнеса быстрее выйти на новый динамично развивающийся рынок, а также с учетом недостаточной опытности инженерного сообщества у хакеров появятся новые возможности обогатиться: уже сейчас мы видим ряд уязвимых публичных смарт-контрактов, которые могут быть атакованы в ближайшее время. Инженерным командам предстоит переосмыслить DeFi-протоколы и модели вычислений в блокчейн-технологиях. Потому что недостаточная экспертиза в работе платформ влечет за собой риск создания небезопасного кода. Пока же разработчики нередко не знают особенностей отдельных платформ и пытаются воссоздать уже известные копии, «обвешивая» их ошибками.

Со все более активным внедрением ИИ в сектор разработки смарт-контрактов и при отсутствии навыков проектирования разработки и анализа кода у бизнес-команд будут создаваться потенциально уязвимые смарт-контракты. Их не смогут оценить неопытные разработчики и проектировщики, и это значительно повлияет на безопасность Web3-приложений.

Взгляд на горизонт 2–3 лет: популяризация Web3

Массовое внедрение технологий

Происходит массовое внедрение блокчейн-технологий: североамериканское технологическое сообщество на фоне выборов нового президента США с энтузиазмом смотрит на массовое принятие биткоина и криптовалют. Это, конечно же, влечет приток новых пользователей в Web3-сферу, которые, к сожалению, уязвимы в силу своего незнания особенностей Web3-технологий.

Внедрение ИИ

С внедрением ИИ будет падать общая компетенция разработчиков в разных областях компьютерных наук, что повлечет за собой снижение навыков поиска и исследования несовершенств создаваемого ИИ-кода. Ценность аудитора безопасности возрастет.

Корпоративный сектор

Центральные банки разных стран продолжают активно внедрять блокчейн-технологии, а также запускают межблокчейновые проекты для интеграции своих информационных систем между собой. Примером может стать проект mBridge Ledger. В ближайшие годы расчеты между центральными банками могут начать проводиться с помощью блокчейн-технологий. Это скажется на создании новых точек удара для хакеров, могут пострадать международные расчеты и применение технологии блокчейна крупными компаниями.

Вывод: изучать, обучать, проверять

Рынку Web3 в широком смысле слова необходим квалифицированный аудит. Для качественного аудита безопасности смарт-контрактов нужно участие человека, чтобы перепроверить созданный искусственным интеллектом код. Одновременно с этим необходимо обучать пользователей, разработчиков и аудиторов. Пользователей — чтобы они не теряли деньги из-за собственной некомпетентности. Разработчиков — чтобы они писали (сами или с помощью ИИ) безопасные приложения. Аудиторов — чтобы они могли оценивать сложные Web3-проекты и подтверждать работу ИИ. В течение года-полутора это приведет к появлению новых открытых курсов по безопасности Web3 и росту запросов на внутреннее обучение.

И еще одна необходимость состоит в том, чтобы уделять больше внимания этапу проектирования программного обеспечения там, где ИИ может неадекватно оценить инженерные и бизнесовые требования к разрабатываемому ПО. Ошибки бизнес-логики остаются одними из самых частых (в 90% случаев происходят именно они) и при этом — самыми сложно определяемыми.

Защищенность ОС: новые механизмы безопасности и смена языков системного программирования

В 2024 году в мире безопасности операционных систем шла важная работа, которая значительно усложнит жизнь злоумышленникам.

Самый яркий пример — совершенствование аллокаторов памяти ядра в ОС: благодаря добавленной рандомизации и улучшенной изоляции объектов, эксплуатация уязвимостей, связанных с повреждением памяти (memory corruption), становится все более сложной. Работы в этом направлении начались с ядра XNU, которое использует в своих операционных системах компания Apple. После этого средства защиты аллокатора начали появляться и в основной (mainline) версии ядра Linux. Кажется, что в 2024 году мейнтейнеры ядра уже не так сильно противодействовали разработчикам средств безопасности, как они это делали раньше, ссылаясь на неприемлемые накладные расходы для производительности ОС.

Еще один важный тренд, усиление которого мы прогнозируем в 2025 году, — увеличение доли системного ПО, написанного на языках со встроенными средствами безопасной работы с памятью. Исторически операционные системы пишут на низкоуровневых языках: C и C++ с ассемблерными вставками. Эти языки дают высокую степень контроля над состоянием вычислительной машины и позволяют писать высокопроизводительный код. Вместе с тем код на низкоуровневых языках подвержен ошибкам повреждения памяти, которые часто приводят к уязвимостям ОС. Решением этой проблемы является использование более новых языков для системного программирования. В частности, в ядре Linux продолжается внедрение поддержки языка Rust.

Rust все больше используют и крупные производители системного ПО, внедряя недавно ставший популярным принцип — писать новую функциональность на новом языке и не пытаться переписать огромный объем старого наследованного кода. Это мудрый подход: в современных системах актуален именно новый код, который разрабатывается сейчас, а старый код для прежних применений постепенно выводится из эксплуатации.

В 2025 году мы в Positive Technologies продолжим развивать нашу экспертизу в области безопасности ОС, которая очень нужна отечественным отраслям ИТ и ИБ.

AI и автоматизация vs хакеры

Глобальный рынок ИБ быстро растет и нуждается в квалифицированных специалистах. Автоматизация процессов, включая использование ИИ, может смягчить эту проблему и активно применяется как крупными игроками (Fortinet, CrowdStrike, Palo Alto Networks), обладающими совокупной рыночной долей 50%, так и малыми компаниями, чья рыночная доля составляет 3% и менее).

46 крупнейших компаний в области информационной безопасности по рыночной капитализации (те, которые используют ИИ, выделены красным). Собственная оценка эксперта

В направлении «до атаки» сложился тренд на упрощение анализа инфраструктуры организации за счет ИИ. Например, CrowdStrike анонсировала платформу Falcon, в состав которой входит Charlotte AI — генеративный ИИ-аналитик, который помогает специалистам по ИБ лучше понимать угрозы и риски для организации. Таким образом, руководитель отдела информационной безопасности (CISO) может задать несколько простых вопросов Charlotte AI, чтобы в режиме реального времени получить информацию о профиле рисков для компании, включая уровень риска, связанный с критически опасными уязвимостями.

В области решений типа «во время атаки» искусственный интеллект все больше играет роль второго пилота, существенно ускоряя типовые операции. Fortinet представила FortiAI — инструмент, работающий на базе генеративного ИИ. Его основная задача — стать ассистентом для SecOps-команд. Например, FortiAI способен оптимизировать процесс расследования угроз, автоматизировать реагирование на них, а также создавать плейбуки для систем оркестрации, автоматизации и реагирования на инциденты (SOAR). FortiAI уже интегрирован в такие инструменты разработчика, как FortiAnalyzer, FortiSIEM и FortiSOAR.

ИИ-системы, определяющие развитие кибербезопасности

В числе главных технологий ИИ, которые будут актуальны на мировом рынке ИБ на горизонте двух-трех лет, стоит отметить:

• AI TRiSM (trust, risk, and security management), который предоставляет инструменты для моделирования, проактивной защиты данных, обеспечения безопасности, мониторинга моделей и контроля рисков. К 2026 году применение AI TRiSM позволит повысить точность работы ИИ-моделей за счет устранения до 80% ошибочной и/или некорректной информации.

• Мультиагентные системы, в которых несколько программных агентов взаимодействуют друг с другом для решения поставленных задач. Так, например, агенты могут имитировать поведение злоумышленников и специалистов по защите, что позволяет системе обучаться на симулированных сценариях и улучшать свои защитные механизмы.

• Автономные системы, которые способны самостоятельно управлять своим поведением в реальном времени, анализирую текущую ситуацию. Они позволяют давать команды системе безопасности на естественном языке, быстро анализировать текстовые данные (отчеты об угрозах, логи, сообщения) для выявления потенциальных угроз, используя большие языковые модели (LLM). Кроме того, эти решения умеют обновлять свои знания в области кибербезопасности, адаптируясь к новым угрозам без необходимости ручного обновления.

Открытый код: путь России и тренды в мире

 В 2024 году в мире open source мы наблюдаем несколько значимых трендов, усиление которых прогнозируем в следующем году.

 Все больше российских компаний осознают преимущества open-source-решений, учитывая уход из страны западных вендоров. Рост применения открытого кода также связан с тем, что российские компании вместо покупки лицензионного ПО часто предпочитают нанять разработчиков и адаптировать открытый проект под свои нужды.

 При этом мы отмечаем рост публикаций открытых проектов российских IT-вендоров, осознающих важность и ценность создания профессиональных сообществ вокруг своих технологий. Positive Technologies тоже ведет такую работу.

 Важным трендом стало развитие AI-ассистентов для разработчиков. Это непосредственно связано с темой open source, так как нейросети для кодогенерации обучаются на массиве открытого кода. Кстати, это приводит к дилемме лицензирования кода, сгенерированного AI-ассистентами. Кроме того, важно отметить постепенное движение в сторону открытости у разработчиков самих ML-моделей.

 При этом геополитические события оказывают свое негативное влияние на некоторые open-source-проекты мирового масштаба. Известный пример — поведение Линуса Торвальдса, создателя ядра Linux, по отношению к российским мейнтейнерам подсистем ядра в ноябре 2024 года. Такие инциденты наносят сильный ущерб сообществу разработчиков и подрывают в нем доверие, которое бережно выстраивалось на протяжении десятилетий.

 Тем не менее открытая разработка продолжает быть ключевым драйвером инноваций в информационных технологиях. Понаблюдаем, как она будет трансформироваться в наступающем 2025 году.

Квантовые технологии выходят на ринг и…

Одним из главных событий 2024 года стало создание в России 50-кубитного ионного квантового компьютера. Теперь мы входим в число мировых лидеров в сфере квантовых технологий: на 2024 год только шесть стран, включая Россию, обладают квантовыми компьютерами на ионах в 50 кубитов и более.

Тема, которая была на слуху весь год, — это стандартизация в области постквантовых алгоритмов шифрования. Постквантовая криптография не относится непосредственно к квантовым технологиям, однако сейчас это направление активно развивается, чтобы обеспечить должную защиту от взлома привычных методов шифрования квантовыми компьютерами. В 2024 году NIST стандартизировал первые алгоритмы постквантового шифрования.

2024 год богат на научные открытия и разработки: квантовые процессоры ставили новые рекорды точности операций, также мы наблюдали исследования по объединению квантового интернета с классическим. Еще одна интересная находка этого года: оказалось, что квантовый интернет может работать в текущей городской инфраструктуре. Результаты этих работ могут стать важным шагом в создании будущих гибридных квантово-классических телекоммуникационных сетей.

Прогнозы на 2025 г.: квант станет заметнее

Эксперты считают, что квантовые технологии станут доступны в ближайшие пять лет, при этом использовать квантовые вычисления на базе эмуляторов квантовых компьютеров можно уже сейчас. Аналитики полагают, что объем рынка квантовых вычислений в России к 2040 году может превысить 250 млрд рублей.

Генеральной Ассамблеей ООН 2025 год был объявлен международным годом квантовой науки и технологий. В течение года по всему миру будут проходить мероприятия, посвященные квантовым наукам, это повлечет за собой волну разработок в области квантовых технологий, также мы увидим коллаборации различных компаний и научных центров для внедрения технологий.

Это повлияет и на развитие кибербезопасности. Исследователи будут изучать и использовать новые технологии, а регуляторы — обращать на них большее внимание и проводить исследования безопасности. Например, уже в 2024 году специалисты Федерального управления по информационной безопасности Германии (BSI) исследовали кибератаки на системы квантовой криптографии. Кроме того, организации по всему миру начнут активнее переходить на постквантовые алгоритмы шифрования в связи с растущей квантовой угрозой.

© Habrahabr.ru