Политика в информационной безопасности
Участники рынка решений в области информационной безопасности (ИБ) в 2019 г. прогнозируют усиление политизации сферы ИБ и ожидают новых кибератак с политической окраской - как операций кибершпионажа, так и саботажа. Кроме того, усилятся киберугрозы со стороны интернета вещей. В 2018 г. среди угроз кибербезопасности они называют шифраторы, кибератаки, направленные на получение контроля над инфраструктурой организаций, а также активизацию проправительственных хакеров.
Говоря о типах угроз, которые были наиболее распространены в 2018 г. и проявили себя наиболее активно, технический директор Eset Russia Виталий Земских отмечает, что в 2018 г. шифраторы остаются лидерами с точки зрения активности, потенциальной опасности и возможного ущерба. Их авторы осваивают целевые атаки на компании - более интересную в сравнении с домашними пользователями цель - и ищут новые способы заражения. "Угроза криптомайнеров, о которой так много говорилось в конце 2017 г., напротив, переоценена. Любое антивирусное ПО без проблем детектирует как нативные, так и браузерные майнеры", - отметил он.
Директор по маркетингу компании "Ростелеком Solar" Валентин Крохин говорит о том, что, по данным аналитиков центра мониторинга и реагирования на кибератаки Solar JSOC, в 2018 г. примерно в полтора раза возросло количество кибератак, направленных на получение контроля над инфраструктурой организаций. "Злоумышленники все чаще стремятся к долгосрочному и незаметному присутствию в ней с целью детального исследования и получения как можно более полного доступа к информационным и технологическим системам. На 10% возросло количество атак, целью которых является прямой вывод денежных средств из организаций, однако успешность таких атак снижается", - заметил он.
По мнению же экспертов Group-IB, фокус перспективной разработки и инноваций в создании сложных вирусов, а также в проведении многоступенчатых целевых атак сместился от финансово мотивированных киберпреступников к проправительственным хакерам. "Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов. В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. Юго-Восточная Азия - самый активно атакуемый регион. Всего за год в нем была зафиксирована активность 21 APT-группы, что больше, чем в США и Европе. В 2018 г. значительная часть атак была направлена именно на энергетический сектор. Все больше интереса проправительственные хакеры проявляют к уязвимостям в домашних маршрутизаторах. Это позволяет им не только шпионить за пользователями на зараженных девайсах, но и поддерживать более разветвленную и динамическую инфраструктуру. Финансовая мотивация по-прежнему превалирует среди киберпреступников, атакующих банки, однако хищение денег - не самое страшное, что может случиться с финансовой организацией. Поскольку во многих странах мира банки являются объектами критической инфраструктуры, они оказались в числе мишеней для прогосударственных хакерских групп, специализирующихся на диверсиях и саботаже. Одна успешная кибератака может привести как к ликвидации самой кредитно-финансовой организации, так и к коллапсу финансовой системы государства", - отмечают представители Group-IB.
Виталий Земских, говоря об изменениях ландшафта киберугроз, отмечает, что в последние пять лет шифраторы были одной из главных угроз для корпоративного сектора. Сегодня большинство компаний научились с ними бороться, но полиморфизм современных вредоносных программ остается проблемой. "В целом киберландшафт меняется в сторону усложнения вредоносных программ и узкой специализации киберпреступников", - сказал он.
По словам Валентина Крохина, отмечается снижение числа успешных атак вирусов-шифровальщиков на коммерческие компании, однако данная угроза сохраняла актуальность для государственных организаций. "Кроме того, наиболее чувствительным для организаций видом угроз остается фишинг с применением методов социальной инженерии. Существенно вырос объем фишинговых рассылок, усложнились и диверсифицировались используемые в них методы социальной инженерии. Около 70% сложных кибератак на организации начинались с фишинговых писем", - отмечает он.
Что касается новых видов угроз, появившихся в 2018 г., эксперты Group-IB отмечают, что если в прошлом году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit, то начало 2018 г. показало, что новый источник глобальной угрозы информационной безопасности - это side-channel-атаки и уязвимости микропроцессоров разных вендоров. В Group-IB отмечают, что ключевая проблема брешей аппаратного обеспечения заключается в том, что эти уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. "Именно поэтому исследовательская активность, посвященная поиску уязвимостей в BIOS/UEFI, усиливается с каждым годом пропорционально возросшему количеству угроз, которые используются в реальных целенаправленных атаках. При этом о них становится известно благодаря утечкам, а не исследованию атак: сегодня на рынке нет решений, которые могли бы эффективно выявить такие угрозы", - отмечают в Group-IB.
Виталий Земских подчеркивает по этому поводу, что в 2018 г. специалисты Eset обнаружили LoJax - первый известный руткит для UEFI, который использовался во вредоносной кампании. "UEFI-руткиты описывались в докладах ИБ-компаний и раньше. Отрасль знала о возможности создания таких инструментов, однако отчетов о реальной компрометации не было. Опасность UEFI-руткитов в том, что этот тип вредоносного ПО сохраняется в системе после переустановки операционной системы и замены жесткого диска. Его исключительно сложно обнаружить и удалить", - говорит Виталий Земских.
Еще одной тенденцией эксперты рынка ИБ называют то, что для кибергрупп сегодня характерна узкая специализация. "Если говорить о В2В, компании инвестируют в безопасность и наращивают защиту. Как результат, проведение кибератаки требует все больше ресурсов - денег, технической экспертизы, квалифицированных кадров. Для "специалиста широкого профиля" атака на, например, среднестатистический банк представляет собой невыполнимую задачу", - отмечает Виталий Земских.
Валентин Крохин при этом добавляет, что по сравнению с 2017 г. в уходящем году серьезно возрос интерес киберпреступников к объектам критической информационной инфраструктуры. Так, по данным аналитиков Solar JSOC, во время массовой атаки с использованием уязвимости в устройствах Cisco, произошедшей в апреле этого года, интенсивность атак возрастала в 20-30 раз, если была направлена на критическую информационную инфраструктуру. Пул адресов, с которых производились атаки на значимые объекты КИИ, также существенно шире, чем тот, с которого атаковали остальные компании. "Помимо данного инцидента, схожую динамику мы отмечаем и по ежедневным срезам атак. Существенно вырос интерес злоумышленников к инфраструктурам компаний из отраслей энергетики, нефтяной сферы, транспорта", - говорит Валентин Крохин.
Относительно прогнозов в области киберугроз на 2019 г. Виталий Земских отметил, что в следующем году финансово мотивированные группировки продолжат поиск новых векторов атак. Под угрозой - веб-приложения, а также партнеры и подрядчики крупных компаний. Эти представители SMB сами по себе не являются целью, но могут быть использованы в качестве плацдарма для целевой атаки на корпорации из-за недоработок в ИБ.
"Увидим новые атаки с политической окраской - как операции кибершпионажа, так и саботаж. В последнем случае приоритетная цель атакующих - промышленные предприятия и объекты критической инфраструктуры. С большой долей вероятности возможен взлом облачных сервисов. Не исключаем, что в 2019 г. жертвой станет крупный CERT или SOC-центр. Очень вероятно, что увидим крупные инциденты, связанные с компрометацией Android-устройств.
Большинство атак, нацеленных на кражу денег или данных, освещения не получат. Зато реальные и вымышленные инциденты, которые приписывают "государственным хакерам", как и раньше, получат широкий резонанс. В 2019 г. процесс политизации ИБ только усилится, к сожалению.
Со стороны рынка увидим рост интереса к комплексным решениям для защиты корпоративной инфраструктуры, телеметрическим сервисам, продуктам с функционалом песочницы, консалтингу в области ИБ", - прогнозирует Виталий Земских.
По мнению Валентина Крохина, в наступающем году российские компании будут активно заниматься реализацией требований федерального закона о критической информационной инфраструктуре, создавать центры мониторинга и реагирования на кибератаки, внедрять решения для защиты от таргетированных атак. "Что касается развития ИБ-угроз, то в наступающем году мощное развитие получат угрозы со стороны интернета вещей. По мере проникновения умных устройств в различные сферы нашей жизни - ЖКХ, транспорт - можно ожидать инцидентов, направленных уже непосредственно на жителей и инфраструктуры умных городов с возможными экономическими и социальными последствиями", - говорит Валентин Крохин.
По мнению экспертов Group-IB, энергетические объекты останутся главной мишенью группировок, нацеленных на саботаж, однако озаботиться оценкой компрометации своих систем и быть готовыми к атакам необходимо всем объектам критической инфраструктуры, связанным с жизнеобеспечением населения.
Организациям, которые хотят защитить свои секреты, необходимо думать о безопасности не только своих корпоративных инфраструктур, но и домашних сетей и персональных устройств топ-менеджеров.
Приоритетными целями атакующих могут стать производители материнских плат и поставщики оборудования в государственные органы.
Реальная эксплуатация side-channel-атак приведет к новым массовым утечкам из облачных сервисов, что может подорвать доверие к облачным инфраструктурам в случае резонансных инцидентов.
"Аресты руководителей Cobalt и Fin7 могут привести к тому, что оставшиеся члены этих групп начнут формировать новые команды, что может привести к увеличению общего количества активных групп и обучению новых участников. Сегодня все финансово мотивированные киберпреступные группы, которые занимаются целенаправленными атаками на банки, являются русскоговорящими. Мы ожидаем, что аналогичные группы будут сформированы из хакеров из Латинской Америки, а также стран Азии. Скорее всего, их первыми целями будут банки в их регионах", - прогнозируют эксперты Group-IB.