Новые киберугрозы. Готов ли к ним отечественный рынок?

Алексей Лукацкий, бизнес-консультант по безопасности Business Development, Cisco

Когда мы говорим о киберугрозах, то сразу вспоминаем довольно типичные и уже ставшие привычными примеры нанесения ущерба в киберпространстве – DDoS-атаки, фишинг, программы-вымогатели. Это, пожалуй, классическая тройка тех проблем, с которыми сталкиваются практически все. Но исчерпываются ли ими  угрозы, о которых стоит задумываться сегодня? Конечно же, нет. Давайте попробуем посмотреть на проблему чуть шире и понять, борьбу с чем следует включить в повестку дня специалистам, отвечающим за кибербезопасность своих предприятий.

 

Киберугрозы меняют свое лицо

Начнем с того, что киберугрозы сегодня не ограничиваются технологическими аспектами, они оказывают более широкое воздействие на предприятия. Вспомним различные информационные атаки через социальные сети, направленные против той или иной компании, организации, человека. Что это, как не угроза в киберпространстве? Да, она не столь привычна, и защититься от нее нельзя ни установкой антивируса, ни настройкой межсетевого экрана. Но такая угроза не менее (а иногда и более) опасна, чем целенаправленные атаки, поскольку она может повлиять на бизнес организации или репутацию пользователя. Должен ли специалист по кибербезопасности с ней бороться? Это вопрос открытый, и каждый отвечает на него по-своему. Однако то, что это точно не епархия специалистов, ответственных за физическую безопасность, или ИТ-департамента, сомнения не вызывает. В России есть решения, продукты и сервисы по управлению репутацией в Интернете, но пока они не заняли прочных позиций в арсенале служб ИБ, хотя надо признать, что и на Западе это еще не стало нормой.

 

Другой пример. В 2015 г. был зафиксирован интереснейший случай. Украинский интернет-провайдер «Вега» вдруг выдал себя за провайдера British Telecom, перенаправив через себя часть трафика пользователей Великобритании. Среди прочего через Украину внезапно пошел трафик агентства, ответственного в Соединенном Королевстве за разработку и производство ядерного оружия. Банальная операция, постоянно осуществляемая всеми интернет-провайдерами, которые рассылают таблицы маршрутизации, привела к утечке трафика, который, если бы он не был зашифрован, мог быть перехвачен злоумышленниками. Ответьте на вопрос: в вашей организации кто-нибудь занимается подобными угрозами? Самое печальное, что специализированных технических решений для защиты от них на рынке практически нет.

 

Еще пример. В июне 2018 г. разработчик дистрибутива Linux компания Gentoo объявила о том, что исходный код их операционной системы, выложенный в репозитории GitHub, содержит вредоносную программу. Неизвестные нарушители внедрили в исходники Gentoo зловредную составляющую в расчете на то, что мало кто из пользователей GitHub, скачивая код из репозитория, проверяет его целостность. Вроде бы доверенный источник, а распространял зараженное ПО. Самое интересное, что и в случае с GitHub, и в ситуации с перехватом интернет-трафика вы не в состоянии предотвратить эти угрозы, так как они происходят не в вашей инфраструктуре. Все, что можно сделать, – попытаться их обнаружить и блокировать, выстроив соответствующий контроль процесса использования открытого ПО в публичных репозиториях.

 

Последний пример, показывающий изменившийся ландшафт угроз, касается криптомайнинга. Желание заработать легкие деньги на использовании вычислительных мощностей своих компьютеров приводит к тому, что системные администраторы или отдельные пользователи устанавливают специальное ПО, которое и начинает работать «частным виртуальным гознаком». Это не традиционный вирус, который крадет данные или выводит систему из строя. И не DDoS-атака. И не утечка информации. Угроза ли это? Каждый решает для себя. К счастью, с технической точки зрения, бороться с майнерами криптовалют проще всего – достаточно использовать соответствующие политики в межсетевом экране нового поколения или настройки решений для защиты ПК (класса EDR или EPP), что многие российские заказчики и делают.

 

Получается, что сегодня современные киберугрозы могут быть реализованы через технологии, процессы или людей. И бороться с этими угрозами надо также на этих трех уровнях. Посмотрим, какие еще угрозы начинают довлеть над российскими организациями.

 

Аппаратная киберугроза

Начало 2018 г. запомнилось анонсом двух уязвимостей – Spectre и Meltdown – в различных процессорах, на базе которых сегодня строится любое вычислительное устройство от смартфона и персонального компьютера до промышленного контроллера и «умного» автомобиля. С одной стороны, в этом нет ничего удивительного. Процессоры проектируют инженеры, которые вполне могут допускать ошибки. С другой стороны, возникает вопрос: как бороться с угрозой, которую нельзя нивелировать «вышестоящими» средствами защиты? Операционная система, антивирус, персональный межсетевой экран или иные средства защиты используют ресурсы процессора и обойтись без него не могут. Устранить уязвимость путем установки программного обновления тоже непросто – возможно снижение производительности уязвимой системы. Отказаться от уязвимого процессора? Но других нет либо мощности по их выпуску несопоставимы с объемом потребностей. Остается принять эту угрозу как данность и снижать вероятность ее реализации путем использования компенсирующих мер, которые, конечно, не устраняют возможность эксплуатации «дыры», но существенно ее ограничивают.

 

Инфраструктурная киберугроза

 

Когда речь заходит о борьбе с киберугрозами, мы обычно вспоминаем об эшелонированной защите, установке различных сетевых и компьютерных средств обеспечения безопасности, обучении персонала, резервировании и т. п. Но из виду выпадает один из важнейших элементов, безопасности которого уделяется очень мало внимания, чем и начинают активно пользоваться злоумышленники. Речь идет о сетевой инфраструктуре и устройствах, ее поддерживающих, – маршрутизаторах, коммутаторах и т. п. Регулярно приходят новости о том, что из маршрутизаторов имярек создали зомби-сеть или злоумышленники взломали сотни тысяч сетевых устройств по всему миру и смогли установить на них вредоносное ПО, которое перенаправляло интересующий хакеров трафик на адреса злоумышленников. Все это происходит потому, что указанные устройства находятся на стыке двух зон ответственности – ИБ и ИТ. Первые не имеют доступа к маршрутизаторам, так как за бесперебойность функционирования инфраструктуры отвечает ИТ. А вторые не устраняют уязвимости в сетевом оборудовании, руководствуясь принципом «работает – не трогай». По статистике Cisco, среднее время неустранения уязвимостей на уровне инфраструктурного «железа» составляет около пяти (!) лет. Понятно, что злоумышленники пользуются таким временным окном и годами остаются незамеченными. К сожалению, в России мало кто умеет выстраивать процесс управления уязвимостями, поэтому проблема устранения ошибок в ПО и конфигурациях инфраструктурных устройств для нашей страны весьма актуальна.

 

Есть и другая сторона киберугрозы для сетевого оборудования, но связана она уже с процессом его поставки. Представьте ситуацию, что вы организуете тендер на поставку партии маршрутизаторов и основным критерием выбора является цена. Один из участников тендера «падает» в цене ниже всех и выигрывает право на поставку, что оперативно и делает. А потом выясняется, что вам поставлено оборудование с уже предустановленным вредоносным кодом, проверить наличие которого вы даже не догадались, поскольку изначально доверяли поставщику, выигравшему тендер (ведь он соответствовал всем конкурсным требованиям). Готовы ли вы к такой киберугрозе, которая перешла из разряда теоретической в практическую? А ведь вредоносные компоненты могут попасть в поставляемое ПО и оборудование и на стороне производителя, который может и не знать об этом (вспомните описанный выше пример со взломом репозитория Gentoo на GitHub). Я практически ни разу не слышал, чтобы поставляемое оборудование проверялось на предмет его соответствия требованиям безопасности: в лучшем случае меняется пароль, заданный по умолчанию, и реализуются базовые рекомендации производителя по защите.

 

Социальная киберугроза

 

Но давайте пойдем дальше. Что еще находится на горизонте ландшафта угроз? Вспомним ставший уже притчей во языцех пример с компанией Cambridge Analytics, которой приписывают чуть ли не манипуляцию общественным мнением по всему миру и выборы президентов разных стран. Оставив в стороне эти выводы, я бы хотел обратить внимание на другую проблему. Анализа 68 лайков достаточно, чтобы определить с 95%-ной вероятностью цвет кожи пользователя соцсети, с 88%-ной – его гомосексуальность и с 85%-ной – симпатии той или иной политической партии. Сегодня даже не надо предоставлять кому-либо свои персональные данные, чтобы составили ваш психологический портрет, который затем можно использовать для манипуляции поведением или мошенничества. И это тоже проблема, бороться с которой невозможно техническими средствами. Только повышение осведомленности персонала, который должен понимать, что их поведение в сети Интернет может отслеживаться разными группами (от владельцев соцсетей и рекламных компаний до спецслужб и киберпреступников) в своих целях, поэтому надо не раз подумать, прежде чем оставлять цифровые следы в Сети. В противном случае злоумышленники смогут легко создать цифровую личность, которая гарантированно понравится жертве и которая сможет выпытать ценную информацию или спровоцирует жертву сделать какие-то действия (нажать на ссылку, открыть файл и т. п.).

 

Квантовые киберугрозы

 

Думаю, что каждый читатель слышал про квантовые компьютеры, которые должны изменить мир. И это действительно так. Если верить прогнозам, к 2027 г. будет создан уже не прототип квантового компьютера, а вполне себе рабочий экземпляр, который сможет на порядки ускорить решение различных вычислительных задач, безопасно передавать сообщения между людьми и т. п. Но кроется в квантовом мире и угроза. По оценкам специалистов, многие привычные нам системы шифрования данных подвержены взлому со стороны квантового компьютера, который сможет гораздо быстрее ломать шифры, используемые нами в финансовой сфере, личной переписке, рабочих взаимоотношениях и т. д. И хотя до 2027 г. еще далеко, задумываться о том, как бороться с этой угрозой, надо уже сейчас, так как процесс смены криптографических алгоритмов и их реализации занимает время, особенно если эта реализация аппаратная – в банкоматах, базовых станциях мобильной связи, процессорах IoT-устройств и т. п.

 

Киберугроза теневого Интернета

 

Последние два года многим запомнились активизацией усилий государства по «закручиванию гаек» в Интернете. Антипиратское законодательство, закон о блогерах, выход в Интернет через Wi-Fi по паспорту, новая целевая аудитория для СОРМ, запрет на хранение персональных данных россиян за границей, блокирование Telegram, пакет Яровой, внедрение российской криптографии на SIM-картах… Это лишь немногие из нашумевших инициатив, которые превратились или скоро превратятся в обязательные для исполнения требования. Число запретов только будет возрастать, особенно в условиях нынешней геополитической, экономической и социальной ситуации. Чиновники уже не раз давали понять, что Россия может пойти по китайскому сценарию развития Рунета. И большинство россиян будет учиться обходить эти запреты. Мы уже видим серьезный рост популяции пользователей Tor и торрентов. А ведь это лишь верхушка айсберга. Неслучайно все чаще всплывает на поверхность термин «темный Web» (Dark Web) или «темный Интернет». А теперь представьте, что пользователи, научившись обходить государственные фильтры и пользоваться «темным Интернетом», захотят свои знания применить и на работе в целях обхода корпоративных средств защиты периметра? Готовы ли мы к такому повороту событий? И тут не очень помогает опыт работы с теневыми облаками – ведь в работе «теневого Web» используются специальные протоколы, позволяющие долго оставаться анонимным и скрывать свою активность от распространенных средств периметровой защиты. А если пользователи начнут делиться в «теневом Интернете» конфиденциальной информацией своего предприятия или обсуждать нелицеприятные для него вопросы?

 

Киберугроза из Интернета вещей

 

По данным Cisco, к 2020 г. в мире будет подключено к всеобщей сети около 50 млрд устройств (сейчас их около 20). Вы представляете, какой это поток информации и какие угрозы встанут перед ИБ-специалистами, ориентированными на традиционные технологии? Позволю себе перечислить только некоторые из них:

  • увеличение объемов трафика, что потребует более производительных решений по сетевой безопасности;
  • отсутствие человека, работающего с IoT-устройством, что обусловит необходимость активного использования технологий аутентификации устройств;
  • миниатюризация устройств, требующая миниатюризации и защитных средств и технологий (снижение объема кода, повышенные требования к автономной работе и т. п.);
  • небольшие порции передаваемой информации, что потребует пересмотра криптографических технологий;
  • огромное количество устройств, как следствие – пересмотр вопросов распараллеливания обработки трафика и аутентификации такого количества устройств;
  • совершенно новые, ранее не предполагаемые устройства (очки, часы, одежда, кардиостимуляторы, кофеварки, холодильники, сантехника и т. п.), что повлечет за собой пересмотр традиционного отношения к объекту защиты.

 

Готовы ли мы к этим инновациям с точки зрения информационной безопасности? Как будем защищать взаимодействие между взаимодействующими через социальные сети людьми? Как защитим RFID-метку от направленного на нее негативного воздействия? Как отследим целостность информации, передаваемой по сети метеорологических сенсоров? Как, в конце концов, защищать индустриальные системы и системы управления технологическими процессами? Все это требует не просто внимания, а детальной проработки архитектуры, разработки совершенно новых подходов и средств защиты.

 

Нейросетевые киберугрозы

 

В заключение хотелось бы обратиться к еще одной угрозе, которая тоже начинает занимать умы экспертов по информационной безопасности во всем мире, в том числе и в России. Речь идет об использовании искусственного интеллекта в неблаговидных целях. Создание фальшивой личности для получения кредита, синтез речи для систем биометрической идентификации, обход систем защиты от вредоносного кода, социальный инжиниринг в фишинговых атаках, поиск уязвимостей, обман систем принятия решений, обход тестов Тьюринга (CAPTCHA), подбор пароля… Вот небольшой список того, где уже сейчас нейросети и машинное обучение применяются со злым умыслом. А ведь мы находимся только в начале активного применения и изучения искусственного интеллекта. Что еще придумают злоумышленники для обхода существующих защитных решений?..

 

Заключение

 

Вот мы и подошли к завершению обзора киберугроз, которые могут стать большой проблемой в самом ближайшем будущем. Нельзя сказать, что все они являются специфичными только для России или для какого-то иного региона мира. Киберугрозы не ограничены никакими рамками, и злоумышленники по всему миру будут применять в своих целях самые последние разработки. Россия здесь выделяется лишь тем, что отечественные регуляторы пока мало говорят об этих угрозах, уделяя внимание более традиционным (и, чего греха таить, более распространенным) методам злоумышленников. Отсутствие внимания к данным проблемам (если не рассматривать всерьез парадигму полного запрета Интернета) приводит к тому, что борьба с ними не вписывается в действующую нормативную базу. В результате у российских разработчиков, которые привыкли разрабатывать только те классы средств защиты, для которых у регуляторов есть соответствующие нормативные документы, возникает своеобразная «слепота» к новым киберугрозам. Иными словами, российский рынок с большой задержкой обращает внимание на проблемы, о которых мир говорит уже в полный голос. В условиях принятого в России курса на импортозамещение это может привести к печальным последствиям – у нас просто нечем будет бороться с описанными угрозами, которые как раз не скованы никакими юрисдикциями и геополитическими рисками.

 

Потребителям я бы посоветовал более внимательно отнестись к такому важному процессу построения системы обеспечения кибербезопасности, как моделирование угроз. Именно оно может определить, какие из упомянутых ранее киберрисков являются актуальными, насколько они опасны и надо ли выстраивать для них систему обнаружения, предотвращения и реагирования.

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку