Салют! Мы завершаем мини-цикл о том, что произошло в кибербезопасности (и не только) в 2023-м и как это откликнется в предстоящем году. Уже поведали о наиболее пострадавших от киберпреступников отраслях и резонансных атаках, а еще поделились своим видением, куда катится движется отечественный рынок ИБ. На десерт оставили самое интересное — российские и мировые тренды в области блокчейна, машинного обучения, разработки IT-продуктов, защиты приложений и ОС.

Итак, в следующем году наши эксперты ожидают увеличение отрыва мировых лидеров от отстающих вендоров по уровню безопасности их IT-решений, создание сервисов с помощью естественного языка, рост числа атак на блокчейн-проекты … но давайте обо всем по порядку и обстоятельно ???? Заваривайте чашечку ароматного чая и устраивайтесь поудобнее — занимательного чтива будет много.

Блокчейн развивается: ETHEREUM модернизируется, появляются новые игроки

Несмотря на угрозы и вызовы безопасности, стоящие перед блокчейн-индустрией, она продолжит развиваться в 2024 г., особенно с учетом предстоящего халвинга биткоина и одобрения спотовых BTC-ETF и ETH-ETF, что, несомненно, сделает блокчейн-технологии намного более ликвидными. В 2023 г. модернизировались и обновлялись известные блокчейн-платформы, такие как Ethereum, Ethereum L2, EVM-совместимые сети, Solana, Cosmos. Стали популярными новые сети — например, Aptos и Sui (создатели обеих команд являются бывшими руководителями Meta). На рынке возникли и очередные DeFi-проекты, стартапы в сфере id/auth, RWA, GameFi, а также появились любопытные инициативы в области безопасности: id/auth, onchain анализ, SAST и другие. Кроме того, в 2023 г. активно развивалась и сфера протоколов с нулевым разглашением.

Увеличение числа атак на блокчейн

Блокчейн-проекты останутся привлекательной целью для атак злоумышленников, которые, в свою очередь, будут совершенствовать методы нападения. Так, например, уже в 2023 г. киберпреступники использовали новую технику распространения кода, получившую название EtherHiding, которая злоупотребляет контрактами Binance Smart Chain (BSC) для сокрытия вредоносных сценариев в блокчейне.

Сумма ущерба от подобных атак будет достигать многомиллионных показателей, так как прямые финансовые потери являются основным последствием атак на блокчейн-проекты по результатам 2023 г. (87%). Из-за кибератаки на базу данных поставщика облачных услуг блокчейн-платформы Mixin Network была потеряна часть активов. Сумму ущерба оценивают в 200 млн долл. Кроме того, платформа Multichain стала жертвой кибератаки в июле 2023 г., из-за которой была вынуждена приостановить работу. После расследования представители платформы заявили, что киберпреступники похитили криптовалюту на сумму 125 млн долл.

Одна из проблем безопасности в 2023 г. была связана с недостаточным качеством контроля владельцами web3-кошельков, которые используют seed-фразы и пароли, закрытые ключами EOA. Вследствие этого они часто компрометируются или утрачиваются вместе со средствами владельца. Кроме того, желание побыстрее запустить новый проект, чтобы оправдать вложения инвесторов, создало предпосылки к снижению качества кода. При этом концепция open source в отношении разработки дает злоумышленникам возможности по изучению кодовой базы проектов и созданию эксплойтов.

Как мы и прогнозировали в прошлом году, в 2023 г. продолжились атаки на криптовалютные банкоматы. Примечательно, что целью атаки в 2023 г. стала компания GENERAL BYTES (за год ставшая лидером по количеству установленных криптоматов в мире), уже пострадавшая в 2022 г. В этом году ущерб от атаки составил не менее 1,58 млн долл. При этом аудиты, проводимые компанией с 2021 г., не помогли предотвратить случившиеся атаки последних лет.

Лаборатория Positive Technologies: препарируем DeFi-проекты, методы экспертизы смарт-контрактов и не-EVM-блокчейны

Среди последних работ нашего отдела безопасности распределенных систем хочется отметить анализ безопасности DeFi-проектов, исследование методов проверки безопасности смарт-контрактов (методы ручного аудита, формальная верификация, применение инструментов SAST) и исследования не-EVM-блокчейнов, востребованных в корпоративном секторе.

Драйверы роста блокчейн-проектов в 2024-м: технология ZK, сфера идентификации, рост инвестиций, применение в промышленности и IoT:

????В 2023 г. большое развитие получила технология ZKP, на основе которой уже реализован ряд L2-сетей Ethereum, технология Proof-of-Reserves, и, более того, ZKP уже начинает применяться за пределами блокчейнов.

????Большая работа была проведена в сфере идентификации: например, стартовавший не так давно проект Worldcoin, применяющий сканирование сетчатки глаза для идентификации личности, собрал уже более миллиона пользователей.

????Получат развитие и технологии межблокчейнового взаимодействия — например, экосистемы Cosmos и Polkadot.

????Рыночный объем блокчейн-технологий увеличивается, что свидетельствует о росте инвестиций и расходов на инновации в этой сфере.

????Блокчейн, помимо криптовалют, находит широкое применение в промышленности, цифровых финансовых активах, крупном корпоративном и консорциумном секторе, а также Интернете вещей.

????С 2020 г. наблюдается активное вложение средств в блокчейн-проекты, что способствует развитию бизнес-приложений технологии.

????Географическое распределение блокчейна повышает устойчивость проектов: лидерами в использовании блокчейн-технологий являются Северная Америка и Азиатско-Тихоокеанский регион.

????Появление новых стандартов и технологических решений, таких как частные сети, доверенные сети, и улучшенные методы криптографии обеспечивают технологическое развитие блокчейна.

ИИ и ИБ

В 2023 году новые возможности генеративного искусственного интеллекта перевернули многие индустрии. Еще год назад мало кто мог подумать, что так скоро можно будет комбинировать сразу несколько «способностей» ИИ — генерацию изображений, написание и озвучивание текста, создание видео в реальном времени с использованием составляемого сценария. Сегодня мы наблюдаем бум стартапов, возникающих на основе подобных сервисов искусственного интеллекта. В результате стремительного развития ИИ уже успел укорениться в некоторых областях, поэтому специалистам пришлось осваивать новые инструменты. Этот тренд затронул и область информационной безопасности. Технологии искусственного интеллекта принесли пользу как защищающим, так и атакующим. Компаниям они помогли повысить эффективность процесса обнаружения угроз и реагирования на них, а киберпреступникам — улучшить схемы нападений. На GitHub появилось много разных инструментов, основанных на использовании генеративных моделей ИИ для различных задач ИБ.

Кроме того, мы фиксируем тренд на применение технологий искусственного интеллекта в роли ассистента. В качестве примера можно привести Microsoft Security Copilot. Эта тенденция толкает индустрию к переосмыслению традиционных продуктов безопасности. Нельзя не отметить значительный вклад в развитие этого направления сообщества open source, которое разработало многие решения в области ML. Компании, академии и простые энтузиасты обучили множество больших языковых моделей, поделились алгоритмами генерации изображений на основе технологии диффузии, выложили в открытый доступ полезные материалы и инструкции. Благодаря этому передовые технологии, как никогда ранее, стали доступны практически всем.

Развитие ИИ в ближайшем будущем

Один из главных трендов 2023 г. — дистилляция больших моделей. Обучать большие модели трудозатратно, а использовать — дорого. Поэтому специалисты начали искать решение, которое позволило бы упростить эту задачу и сделать ее доступной широкому кругу. В результате появились квантизированные и дистиллированные модели, которые можно запускать на обычных ноутбуках, а некоторые из них — даже на мобильных устройствах. Вместе с этим стали доступны рекомендации по выполнению таких задач.

Сегодня зарождается еще один важный тренд — создание сервисов с помощью естественного языка. Вероятно, уже в следующем году он получит свое развитие и прорывные технологии будут разработаны без написания кода. Раньше, чтобы, например, создать приложение или запрос к базам данных, требовалось знать дополнительный синтаксис языков для работы с инструментами. Теперь многое можно сделать с использованием естественного языка: большие модели (LLM) все переведут в необходимый формат.

Еще один важный момент: в индустрии продолжают разбираться с тем, каким должен быть artificial general intelligence (AGI) — искусственный разум, способный решить любые задачи и составить конкуренцию живым профессионалам. Существует много мнений в различных интерпретациях. Например, в ноябре 2023 г. компания DeepMind выпустила статью, в которой представила свое видение достижения AGI в формате классификации возможностей «искусственного разума» и его предшественников. Эксперты выделили шесть уровней (от 0 до 5). Нулевой уровень подразумевает отсутствие умных систем, даже тех, что основаны на строгих правилах. На следующей, первой ступени появляются начальные разработки, несущие хоть какую-то пользу, в отличие от необученного человека (например, традиционные системы машинного обучения). К этому уровню DeepMind относит такие модели, как ChatGPT и LLama2. Получается, что в 2023 г. мы находимся на первой ступени. До AGI, то есть до пятого уровня, нужно проделать немалый путь, однако он определен, а значит, его будут проходить.

Защищенность операционных систем

Безопасность ОС — это краеугольный камень, на котором строится безопасность всей информационной системы. С учетом того, что с каждым годом прикладное ПО становится все сложнее и разнообразнее, усложняется и задача по обеспечению безопасности и изоляции приложений со стороны операционной системы. Поэтому не ослабевает поток исследований и инноваций в мире безопасности ОС. Из важных тенденций 2023 г. в первую очередь стоит отметить развитие в области интеграции ОС с аппаратными механизмами безопасности, о котором мы говорили ранее. Компания Google выпустила смартфон Pixel 8 на собственном чипе, в котором присутствует аппаратная поддержка технологии ARM Memory Tagging Extension (MTE). Программная поддержка MTE для пользовательского пространства и ядра Linux разрабатывается сообществом уже несколько лет, и теперь появилось устройство, на котором можно ее протестировать. Данная технология позволяет специальным образом маркировать фрагменты оперативной памяти и благодаря этому обнаруживать ошибки использования памяти после освобождения и переполнения буфера, которым подвержены операционные системы.

Помимо этого, в ядре Linux до логической точки были доведены работы по поддержке аппаратных средств контроля потока управления (Control-Flow Integrity, CFI) для платформ X86_64 и ARM. Все это существенно повышает сложность эксплуатации уязвимостей в ядре ОС для атакующего.

Может даже показаться, что с применением новых технологий защиты ОС наконец-то настают тяжелые времена для атакующих. Однако тут стоит вспомнить историю: когда в 2004 г. в Windows XP и Linux появился механизм запрета выполнения данных (Data Execution Prevention, DEP), исследовательская мысль не остановилась и был изобретен метод возвратно-ориентированного программирования (Return Oriented Programming, ROP), который позволил обойти DEP. Поэтому создаваемые технологии защиты вряд ли станут окончательным решением вопроса безопасности операционных систем в ближайшие годы.

Еще одним важным явлением уходящего года стало применение идеи багбаунти в мире разработки открытых операционных систем. В частности, для исследователей безопасности ядра Linux проводится конкурс kCTF, который организован Google. В отличие от программ вознаграждения за уязвимости в проприетарных продуктах в результате kCTF публикуется огромное количество материалов по эксплуатации уязвимостей в ядре Linux. Это привело к впечатляющему скачку в развитии средств самозащиты ядра. В этом отношении открытая модель разработки и исследований имеет огромное преимущество по сравнению с попытками построить безопасную систему закрытым способом, скрывая подробности от других.

Наконец, хочется отметить тенденцию, усиление которой мы наблюдаем в последние годы, — это увеличивающаяся разница в уровне безопасности операционных систем в мировой IT-экосистеме. Лидеры индустрии все больше уходят в отрыв, в то время как множество производителей продолжают использовать устаревшие версии ПО и даже не исправляют известные уязвимости. Пожалуй, худшим примером здесь являются IoT-устройства, производители которых часто устанавливают на них безнадежно устаревшие версии операционных систем. Мы прогнозируем усиление этого тренда в 2024 г. и последующих, а значит, у экспертов по информационной безопасности будет все так же много работы.

NGFW, AppSec, контейнерные технологии и необходимость защиты данных

Относительно перспективных классов продуктов в 2024 году помимо NGFW следует обозначить продукты Container Security, а также решения для защиты баз данных. По нашей оценке, от 1 до 4% инфраструктуры крупных российских компаний сегодня работает в контейнерах, и со временем эта доля будет увеличиваться. При этом технологии их защиты только начинают обретать популярность.

Современные разработки, как правило, крутятся в облаках и Kubernetes, новые подходы требуют и новых подходов к обеспечению безопасности. Например, для защиты контейнерной инфраструктуры необходимы решения класса Container Security. В четвертом квартале 2023 года линейка Positive Technologies пополнилась PT Contaner Security, а также обновленной версией межсетевого экрана уровня приложений (PT Application Firewall Pro). WAF, «умеющий в контейнеры» и дающий возможность работать с огромными нагрузками — то, в чем сейчас остро нуждаются организации с высоконагруженными инфраструктурами, а также современные высокотехнологичные компании.

В 2023 году один из главных векторов атаки на веб-приложения был связан с хищением данных. Параллельно менялись и способы работы организаций с информацией: четко оформился тренд на создание data lake. При этом вопрос их безопасности еще не решен. Компании остро нуждаются в инструменте, который будет понимать, где какие данные находятся и как они соотносятся друг с другом, и уже с учетом этого знания обеспечивать защиту.

Можно в целом назвать ренессансом то состояние, которое сейчас переживают отечественные технологии в области защиты веб-приложений. Чтобы восполнить образовавшуюся из-за ухода западных вендоров брешь, новая разработка стартует волнами, причем на разных качественных и профессиональных уровнях. Это касается как заказной разработки, так и собственной, которую ведут компании, не найдя ничего соответствующего своим потребностям на российском рынке. При этом я выделяю продолжающийся тренд выпуска на рынок эффективных облачных технологий.

«Облака» и экосистемность: уже неизбежность

В числе глобальных тенденций, которые будут актуальны в том числе и в России, — переход к гибридным облакам в инфраструктурах. Этот эволюционный трек я бы назвал неизбежностью, к которой мы уже пришли. Сейчас мы должны максимально быстро адаптироваться к работе в них, изменить подходы и мощности IT-решений и продуктов по защите таким образом, чтобы они прозрачно и наиболее эффективно функционировали в контейнерных и облачных средах.

Экосистемность — второй мировой тренд, который нас по-настоящему догнал. Она заключается главным образом в построении результативной защиты на базе технологий одного производителя. Вендор, имеющий в портфеле максимально полный набор технологий защиты, умеющий упаковать их в связанную экосистему, правильно оркеструемую и интегрированную, позволяет компании-пользователю получить кибербезопасность с большей эффективностью. При этом такая кибербезопасность, как процесс, отличается легкостью интеграции, управления, повышенной скоростью и эффективностью работы отдельных элементов экосистемы, быстрой активацией и наращиванием мощности. Здесь важно не забывать про ключевой смысл, ради которого разрабатываются технологии и решения в области информационной безопасности, — повышение практической результативности ИБ в компании.

В 2024 году наибольшее распространение будут набирать ML и большие языковые модели (LLM). Реальность сегодня такова, что преимущественно весь механический человеческий труд, будет заменен технологиями ML и (или) LLM. И кибербезопасность не исключение: здесь есть множество действий, часто механических, которые делают специалисты SOC при построении процессов по реагированию. Они собирают расширенный контекст, аналитику, ищут и сопоставляют неявные связи между событиями в системе. Все это уже сейчас за человека во многом может делать Security Copilot и сразу же транслировать на языке, понятном оператору. При этом вероятность ошибки в такой работе ничтожно мала — стремится к нулю. Средства безопасности, использующие такие технологии, переведут скорость и, соответственно, эффективность работы любого SOC на качественно новый уровень. И в этом смысле в нашей разработке автопилота для результативной кибербезопасности MaxPatrol О2 неизбежно эти технологии тоже появятся. Осталось только решить главный вопрос — как научиться обучать ИИ высокоуровневой экспертизе, которая до сих пор остается исключительно на стороне человека. Тот, кто сделает это первым, совершит своего рода новый технологический переворот. Конечно, это одна из стратегических технологических целей и для нас.

????Что технологически прорывного в уходящем году запомнилось вам? Какие прогнозы на 2024-й? Пишите в комментариях!