Всем привет, меня зовут Александр Дворянский, я директор по коммуникации компании «Инфосекьюрити». Сегодня я рассмотрю основные тренды и векторы развития кибербезопасности, как мировые, так и Российские, которые на мой взгляд будут актуальны в самое ближайшее время. В этом году их всего 10 по сравнению с 12 в прошлом, поэтому прошу сразу не винить автора за излишнюю лень. Во второй части мы сравню сегодняшний прогноз с предыдущим.

Сразу замечу, в этом тексте совершенно нет упоминаний хайповых сейчас тем: кортоновирус, фундаментальные причины роста спроса на гречку и туалетную бумагу. Так же к сожалению, или к счастью нет «экспертных» рассуждений на тему финансового состояния страны.

Ну а теперь разберемся совсем по порядку.


Тренд №1. Защита от таргетированных атак




В контексте кибербезопасности 2019 год прошел под знаком сложных APT-атак, причем как для атакующей стороны, так и для защищающейся.

В начале 2019 года было совершено несколько кибератак на крупные промышленные компании. Производитель алюминия Norsk Hydro перевел в ручной режим часть рабочих процессов и приостановил несколько заводов из-за кибератаки, которая привела к шифрованию файлов в инфраструктуре заводов и филиалов компании по всему миру. В первых трех кварталах 2019 года в 83% атак на промышленные компании применялся фишинг и в 89% атак использовалось ВПО. Основной целью киберпреступников в атаках на промышленные и энергетические компании остается шпионаж: хакеры стремятся на максимально возможное время закрепиться в инфраструктуре компании и получить контроль не только над IT-системами, над ключевыми компьютерами и серверами, но и над технологической сетью с промышленным оборудованием.
А вот в финансовой отрасли, целью злоумышленников по-прежнему остается вывод денежных средств и компрометация высокочувствительных данных.

Наиболее ярким тому подтверждением становится рынок Darkweb, где продается масса запрещенных товаров и услуг, в том числе и хакерские утилиты и доступ к уже взломанным инфраструктурам. Кроме того, преступники продолжают использовать неграмотность пользователей в вопросах обеспечения собственной безопасности. APT-группировки активно эксплуатируют новейшие уязвимости, действуют очень быстро, а главное — часто меняют инструментарий и тактики.

По прогнозу Grand View Research, рынок кибербезопасности достигнет $9,88 млрд к 2025 году, среднегодовые темпы прироста рынка в течение прогнозного периода (CAGR) составят 29,7%. Движущей силой рынка станет спрос на повышенную конфиденциальность. Ожидается, что рост усилий правительства по внедрению строгих правил для ограничения объема данных, собираемых устройствами IoT, в таких отраслях, как BFSI (Banking, financial services and insurance), розничная торговля и здравоохранение, будет стимулировать рост рынка решений для кибербезопасности.

По данным Positive Technologies более 60% атак в 2019 году имели целенаправленный характер.

habr.com/ru/company/softline/blog/439130

Тренд №2. Безопасность интернет вещей




Об угрозе безопасности со стороны IoT устройств всерьез заговорили еще в 2016 году, после масштабной DDoS атаки ботнетом Mirai, в который входили сотни тысяч зараженных устройств.
Возможность организации ботнета подобного масштаба связана с низким уровнем защищенности подобных устройств: во многих помимо первоначально слабых паролей «по умолчанию», так же присутствуют и критические уязвимости.

Перечень типов устройств постоянно пополняется: домашние маршрутизаторы и web-камеры, различные датчики и компоненты умного дома, медицинское и промышленное оборудование.
В последние годы возрастает и интерес к уязвимостям в программном обеспечении автомобилей, умных колонок, итп умных девайсов. Все мы помним историю хакера терроризировавшего молодую маму угрожая ей с помощью радио-няни.

Поскольку с каждым годом количество оборудования, подключенного к интернету, только возрастает мы прогнозируем существенный рост числа инцидентов, связанных с этим направлением.

Атаки на беспилотные, транспортные средства и персональные данные.

Современные автомобили управляются огромными объемами данных. Так, почти каждый автомобиль оснащен разнообразными GPS устройствами, сенсорами, платформами для управления автомобилем, что делает его уязвимым перед атаками злоумышленников. Хакеры могут получить такие данные, как адрес электронной почты, а также получить доступ к персональным данным, включая банковские счета и.т.п… Это стало возможным за счет использования хранения данных в облаке.

Тренд №3. Облачный SOC в противовес on premise






На российском рынке про SOC сейчас не говорит только ленивый. Для разработчиков – это глубокий рынок, для заказчиков это возможность качественно повысить общий уровень информационной безопасности компании и построить комплексную эшелонированную защиту.
Однако если ранее мы все больше наблюдали картину построения своего собственного SOC'а на площадке заказчика, то сегодня все больше участников рынка отдают свои предпочтения сервисной модели подключения к центрам мониторинга и обработке событий ИБ или сделают это в ближайшие 2 года, нежели чем возьмутся за постройку своего собственного. Это связано в первую очередь с существенно более низкой стоимостью решения и более быстрым сроком возврата инвестиций. Так же заказчику нет необходимости формировать и содержать команду аналитиков, которые, к слову сказать, сегодня совсем недешево стоят.

Подтверждением интереса профессионального сообщества к тематике SOC'ов и все что с ними связано, ярко демонстрирует последний SOC-Forum 2019, очередь на вход могла бы посоперничать с очередью в легендарный McDonald’s на Пушкинской 25 лет назад.

Тренд №4. Сервисы по модели MSSP (Managed Security Service Provider)




Все больше крупных и средних организаций открывают для себя управляемые услуги, оказываемые сервис-провайдерами, по предоставлению сервисов информационной безопасности на коммерческой основе.

В чем же ценность для клиентов и почему за MSSP ближайшее будущее?

Во-первых, это сокращение расходов, поскольку нет необходимости покупать специализированное ПО и оборудование, кроме того оплата происходит исключительно за фактически оказанные услуги клиенту.

Во-вторых, услуги оказываются профессионалами, которые, основываясь на собственном опыте, помогут вам быстро и грамотно реагировать на инциденты и справляться с другими трудностями.
Вам же, в свою очередь, остается сосредоточиться на основном бизнесе и забыть об ИБ, ну или же только контролировать и оптимизировать услуги, оказываемые сервис-провайдером.
В России MSSP еще только начинает набирать обороты, хотя до мировых показателей, конечно, еще далеко. Все больше заказчиков начинают доверять сервис провайдерами, передавать на аутсорсинг ключевые IT и ИБ процессы.

Тренд №5. КИИ и ГосСОПКА




Если ты субъект КИИ, не важно какого класса, ты обязан сообщать обо всех инцидентах в ГосСОПКА. Наказание за неисполнение или ненадлежащее исполнение требований законодательства, здесь суровое вплоть до уголовного. Поэтому все субъекты КИИ, государственные, коммерческие, вплоть до ИП (если он вдруг оказывает подобные услуги) в обязательном порядке должны и будут проводить мероприятия для соответствия требованиям законодательства.

По закону, субъекты КИИ должны:

  • провести категорирование объектов КИИ;
  • обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
  • принять организационные и технические меры по обеспечению безопасности объектов КИИ.

А подключение к ГосСОПКА требует от субъектов КИИ следующего:

  • информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
  • оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Так же наконец появилось понятие средств ГосСОПКА, сформулированное в приказах ФСБ № 196, 281, 282. В них описаны инструменты, которые должен использовать центр ГосСОПКА. Кроме того, были опубликованы конкретные требования к субъектам ГосСОПКА, и это уже не рекомендации, а обязательные для исполнения документы. Начала складываться практика привлечения к ответственности по ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»), но пока только по поводу очевидных вещей: наказывают за атаки на субъекты КИИ и за серьезные нарушения должностных инструкций.

Тренд №6. Machine Learning и машинное обучение




Машинное обучение используется в среде производителей средств защиты достаточно давно, позволяя выстраивать более гибкие и адаптивные методики выявления угроз.

В настоящее время наблюдаются тренды по наращиванию этой компетенции не только на стороне обороняющихся, но и у хакеров.

В основном злоумышленники используют машинное обучение для разработки вредоносов, обходящих сигнатурные методы детектирования, создания фишинговых писем, практически неотличимых от регулярной почтовой корреспонденции, а также поиска уязвимостей в коде приложений.

Не стоит забыть о том, что машинное обучение может быть использовано и с точки зрения работы с алгоритмами компании. Как только у мошенников появится понимание о том, каким образом алгоритм был обучен, у них сразу же появятся рычаги манипуляции им.

Тренд № 7. Обучение и повышение ИБ-осведомленности




Повышение осведомленности – это один из вечных трендов информационной безопасности.

Если компания не обучает своих сотрудников правилам ИБ, нарушение этих правил – просто дело времени: нельзя соблюдать то, чего не знаешь. В качестве внешней угрозы выступают мошенники – социальные инженеры. Чтобы заполучить ценные данные, они паразитируют на человеческих слабостях – любопытстве, доверчивости, боязни санкций со стороны начальства. Сложные технические решения становятся не нужны: зачем создавать вирус, троян или шпионскую программу, если вам могут поднести информацию на блюдечке с голубой каемочкой?

Из всего этого вытекает, что обучение сотрудников – незаменимое средство защиты активов любой компании. Чтобы обучение было эффективным, нужно проводить его регулярно и сделать как можно более интересным. С первым все обычно неплохо, а вот о втором часто забывают. На помощь руководителям подразделений ИБ приходят несколько аварнес-трендов:

  • Обучаем дистанционно – сотрудники должны просматривать материалы на разных видах устройств в удобное для них время;
  • Используем персональный подход – разной целевой аудитории нужны разные форматы;
  • Внедряем микрообучение – информация подается небольшими блоками, в конце каждого блока идет практическое задание;
  • Не забываем о геймификации – в обучение добавляются игровые элементы (увлекательные сюжеты и персонажи, награды и достижения, постепенное усложнение заданий).

Тренд № 8. Мониторинг потенциальных угроз для подростковой среды в сети интернет




На 2019 год в наиболее популярных социальных сетях было обнаружено порядка 67550 сообщений и публикаций, посвященных тематике «Скулшутинг» («Колумбайн»). Еще больше ужасает статистика совершенных нападений: за последние 5 лет было совершенно 5 нападений на школы, в которых пострадали порядка 90 человек и погибло 25 человек. Разумеется, это не единственная угроза, Помимо шутинга по-прежнему остается актуальной тема суицидальных наклонностей среди подростков. Казалось бы, история «Синего кита» оборвалась более 2 лет назад, однако за последний год в социальных сетях все большую популярность среди подростков набирают группы «Психологической помощи», внедрение в подобного рода сообщества наглядно показало, что ни о какой помощи там речи не идет. Также в регионах растет популярность идеологии «А.У.Е.» («Арестантский Уклад Един»), которая бесспорно связана с ростом преступности и насилия в подростковой среде. Часть вышеперечисленных угроз распространяются с высокой скорость, ввиду того что интернет глубоко внедрился в жизни подростков, так еще вчера никому неизвестные тренды сегодня становятся популярными. Вышеперечисленные опасные тенденции требуют новых технических решений, поэтому государственные структуры все активнее ищут на рынке эффективные решения.

Думаю, вскоре этими решениями станут автоматизированные системы мониторинга и оповещения угроз, которые будут помогать своевременно выявлять опасные тренды, определять уровень их критичности и идентифицировать лиц в зоне риска.

Также огромным преимуществом будут обладать те системы, чьи алгоритмы работы будут позволять не только реагировать на уже сформировавшиеся тренды, но и детектировать только зарождающиеся.

Обработать столь большой объем информации вручную уже невозможно, поэтому платформы будут производить первичную фильтрацию автоматически, фильтруя от нерелевантной информацию, что несомненно будет позволять сконцентрировать внимание экспертов исключительно на акутальных угрозах.

Тренд №9. Фишинг, высокоуровневая социальная инженерия, кибершпионаж




Социальная инженерия (BEC-мошенничество).

Можно прогнозировать рост числа инцидентов в секторе SMB, связанных с BEC-мошенничеством (business email compromise) — социальной инженерией с использованием действующих аккаунтов сотрудников компаний, включая и руководство. Угроза особенно актуальна для компаний, которые регулярно совершают крупные денежные переводы в адрес контрагентов, партнеров, поскольку злоумышленники могут — якобы от имени доверенного лица — просить уполномоченных сотрудников компании-жертвы перечислить денежные средства по подставным реквизитам. То есть здесь имеем схему взлома через цепочку доверенных поставщиков.

В последний год широкое распространение получили почтовые фишинговые атаки на предприятия, инициируемые по принципу MIM (man in the middle). Суть такая: злоумышленники получают информацию о готовящейся сделке. С использованием инсайдера или другим путем вклиниваются в переписку контрагентов, регистрируют доменные имена, схожие с доменными именами контрагентов и общаются с каждым из них от имени целевой компании.

По факту в современном мире электронная переписка как правило осуществляется в виде цепочки писем, а адреса отправителей скрыты за именами из адресной книги, жертва может вовремя не заметить, что общается со злоумышленником. По итогам переписки мошенники отправляют жертве фейковые платежные реквизиты и ожидают перечисления денег, к сожалению выявление таких схем часто происходит уже после перевода ДС.

Целевое вымогательство.

Злоумышленники будут продолжать тщательно подходить к выбору жертвы и атаковать те компании, которые, по их мнению, способны заплатить значительные суммы за восстановление информации. На сегодняшний день в даркнете расцветает рынок продажи корпоративных серверов «под шифрование». Так же никуда не денутся шифрователи и стиратели, привет старина Petya.

Тренд № 10. Атаки на личные устройства пользователей




Нельзя оставить без внимания физических лиц: атаки на личные устройства пользователей никогда не потеряют актуальности, поскольку для большинства людей удобство при работе с девайсом намного важнее, чем безопасность личных данных. Скорее всего, атакующие будут совмещать атаки на гаджеты с классическими методами социальной инженерии (например, с мошенническими звонками по телефону с целью получения платежных данных).

Мобильные угрозы и развитие deep fake

Возможность за 20 минут воссоздать отпечаток пальца позволило приложение Tencent Security, способное реконструировать отпечаток даже по его фрагментам, снятым с нескольких предметов, а также гравировальный аппарат стоимостью 140 долл. США.

Основная масса современных мобильных банковских приложений позволяет использовать биометрию (отпечаток пальца, лицо, слепок голоса) для входа. Нужно помнить, что это упрощенная аутентификация — упрощенная как для пользователя, так и для злоумышленников. Приложение в этом случае вынуждено хранить все аутентификационные слепки данных на самом устройстве.

Распространение через рекламные приложения и программы

Бесплатные программные продукты с размещенной в них рекламой по-прежнему не просто досаждают пользователю, но и несут в себе явную угрозу. На глобальном уровне рекламное встроенное ПО является наиболее распространенным способом заражения вредоносными программами на его долю приходится более четверти всех заражений. Поскольку рекламные программы очень распространены в магазинах мобильных приложений, этот тип атак представляет серьезную угрозу особенно для ничего не подозревающих пользователей мобильных устройств.

WhatsApp

Куда ж без него. Злоумышленники могут использовать возможности удаленного доступа, чтобы подсмотреть пароль в мобильном банке или выполнить от лица жертвы какие-то действия. Компания Google в 2019 году сделала большой шаг в сторону обеспечения безопасности популярных мобильных приложений в Google Play. Теперь по программе Google Play Security Rewards Program исследователи могут получить выплаты за уязвимости любого Android-приложения с числом установок от 100 миллионов. Такая мера ожидаемо приведет к улучшению защищенности популярных Android-приложений, но не так быстро как хотелось бы.
Про защиту мобильных приложений написано много, даже слишком, но это не останавливает пользователей пренебрегать элементарными правилами безопасности, а значит у злоумышленников работы меньше не станет.

На этом первая часть заканчивается



Часть 2: не взлетело


Какой же я стратег если не признаю свои ошибки, ниже несколько трендов, указанные мною год назад как ключевые, но что то пошло не так, ну что ж бывает.

Как это было год назад.

Еще один предсказуемый тренд, а он уже №8 — биометрия




С 1 июля 2018 в России вступил в силу закон № 482-ФЗ о биометрической идентификации граждан, предусматривающий создание единой базы биометрических данных всех жителей страны. Следовательно, всем организациям, так или иначе имеющим отношение к данному закону, будет необходимо с помощью специализированного программно-аппаратного комплекса обеспечивать прием, хранение, а самое главное защищенную передачу биометрических данных пользователей.

На данном этапе внедрение Биометрической системы существенно облегчит жизнь клиентов банков за счет упрощения процесса оформления финансовых продуктов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт – достаточно сопоставить голос и лицо с записями в базе. Клиент банка может оформить любой его продукт – например, вклад или кредит – в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или вовсе отсутствует.

А банкам в свою очередь, подключение к ЕБС поможет выполнить требования законодательства, в части безопасности передаваемых и получаемых данных из Единой биометрической системы.

Вывод:

Ну что ж не взлетело, основные игроки рынка отчитались о подключении и включении в свой портфель биометрическую идентификацию, однако массовым сервис так и не стал. Игроки так же не спешат вкладывать в рекламную компанию сколько-нибудь серьезные средства. А если зайти в любой крупный банк и на табло электронных билетов на услуги банка, биометрию найти не так то просто.

Тренд №7 предстоящей пары лет — страхование киберрисков




В целом, рынок страхования кибер-рисков сейчас только набирает развиваться, но уже к 2023 году по оценке экспертов размер страховых премий на российском рынке составит 1 млрд. рублей.

Важным фактором с точки зрения принятия решения в пользу страхования кибер-рисков является политика государства по данному вопросу. Так Минфин выпустил письмо, согласно которому разрешил организациям учитывать убыток от кибер-атак как расход и тем самым снижать базу для расчета налога на прибыль, но для этого необходимо сообщить об атаке в правоохранительные органы, которые, при наличии экспертного заключения, должны возбудить уголовное дело. Однако при отказе в возбуждении уголовного дела по каким-либо причинам, снизить налоговую базу не удастся.

Следовательно, любая атака злоумышленников в таком случае будет нести за собой не только финансовые потери для организаций, но и дополнительные репутационные риски. А клиенты и контрагенты смогут сделать соответствующий вывод о благонадежности организации.

В это же время, использование полиса страхования от кибер-рисков, напротив, демонстрирует стремление организации защитить и обезопасить клиентов от действий злоумышленников.
Хочу подчеркнуть, что превентивные меры по организации безопасности данных по-прежнему являются самым логичным и действенным инструментом снижения вероятности и возможного ущерба от кибер-атак.

Вывод:

Так же фиксирую свою ошибку, сервис не взлетел, какого либо крупного публичного кейса страхования киберрисков в сми, кулуарах, специализированных сообществах мы не встречали. Явной рекламы или любого другого продвижения сервиса так же не замечено.

А какие на ваш взгляд тенденции ближайшего будущего кибербезопасности? Возможно, мы с вами совместными усилиями сможем расширить или наоборот сузить этот список.