В прошедшем году многие аспекты повседневной жизни серьезно изменились. Всеобщая «удаленка» и рекордная цифровизация большинства отраслей не могла не трансформировать и ландшафт информационной безопасности. Рассказываем о наиболее интересных и заметных изменениях в ИБ-отрасли, а также о новых киберугрозах.
Атаки на домашние рабочие места
На «удаленке» информационная безопасность сотрудника зависит только от него самого. По данным Positive Technologies, к концу года втрое выросло количество атак, которые эксплуатируют уязвимости интернет-сервисов для работы. Популярный сценарий — похищение учетных данных для подключения к корпоративным системам и получение несанкционированного доступа к рабочим конференциям. По прогнозам, количество таких атак будет увеличиваться.
Шифровальщики и инструменты шантажа
В течение всего года росло число атак шифровальщиков — вредоносного ПО, которое шифрует данные, блокирует работу и нередко требует выкуп. С первый по третий квартал количество такого рода атак удвоилось. Причем в качестве цели их создатели выбирали как правило не абстрактное множество пользователей, а конкретных представителей крупных компаний, которые могут заплатить большой выкуп и для которых жизненно важно продолжать работать.
Также популярность приобрел шантаж украденными приватными данными. Примеры ПО для шантажа: Maze, Sodinokibi, DoppelPaymer, NetWalker, Ako, Nefilim, Clop. Это превратилось в полноценную индустрию: злоумышленники даже создали собственные сайты и аукционы для продажи похищенной информации.
Еще одна вариация такой активности — злоумышленники похищают компрометирующие данные активности в интернет-магазине (например, о покупках в секс-шопе) и предлагают заплатить, чтобы информацию не продали третьим лицам.
По некоторым прогнозам, вымогатели смогут добраться даже до облачных репозиториев.
Новые киберкартели
Как следствие, скоро появится множество новых хакерских объединений и площадок в теневом интернете. Мотивация проста — совместно атаковать привлекательную цель и заработать на этом хорошие деньги. Их, как и прежде, будут требовать за восстановление работоспособности системы и сохранность украденной информации. Угроза публикацией чувствительных данных по-прежнему в почете у злоумышленников.
Поставщики и промышленный сектор как излюбленная цель хакеров
Сегодня в зоне особого внимания хакеров поставщики услуг и сервисов. Было совершено около 200 атак на энергетические и промышленные компании, когда как годом ранее их было 125.
Также есть растущий тренд атак на поставщиков. Так как крупные компании становятся все более сложной целью, в зоне риска разработчики ПО и средств защиты, ИТ-интеграторы, подрядчики ИТ-компаний.
Для защиты от хорошо спланированной атаки нужны высококлассные ИБ-специалисты, а их могут себе позволить далеко не все эти компании. И это повышает вероятность успеха для хакеров. Остановка производства — желанная цель для злоумышленников, ведь в таком случае жертва сильно мотивирована заплатить деньги. По этой причине выросли и суммы выкупов. В июне компании Honda и Enel Group стали жертвой нового шифровальщика Snake, созданного специально для остановки важных процессов в промышленных системах управления.
Один из вариантов избежать этого — потратить время и ресурсы на детальное исследование всей цепочки поставок вендора, чтобы понимать последствия в случае взлома.
Логические уязвимости в банковских приложениях
Крупные банки хорошо поработали над безопасностью своих приложений: повысили отказоустойчивость, перейдя на микросервисную архитектуру и уменьшили количество стандартных веб-уязвимостей (XSS, SQLi, RCE).
Однако выросло количество логических уязвимостей, которые в конечном итоге могут привести к краже денег, получению хакерами чувствительной информации и, как итог, отказу в обслуживании со стороны банка. Цель хакеров на сегодняшний день — даже не полная компрометация системы банковских приложений, а эксплуатация логических уязвимостей.
Персональный фишинг
По-прежнему будут активно использоваться методы социальной инженерии — только теперь еще и в актуальном контексте. Например, везде, где есть связь с темой коронавируса. Популярной схемой может стать реклама фишинговых сайтов, на которых будут продаваться псевдопрепараты для лечения Covid-19, псевдовакцина, поддельные справки и так далее.
Также фишинг можеть стать более локальным, направленным на конкретного человека через социальные сети и мессенджеры.
Тренды отрасли
Российский рынок ИБ по итогам прошлого года стал больше на четверть. Вот три основные причины этого.
- ИБ, как один из ключевых бизнес-процессов компании, становится все актуальнее из-за роста числа угроз и хакеров.
- Необходимость трат на ИБ становится очевидной для руководства все большего числа организаций.
- ИБ превратилась из плана, внедрять который будут «когда-нибудь» в реально используемый инструмент. Это логичным образом увеличивает количество работы и доходов компаний, которые разрабатывают и внедряют средства защиты.
Ускоренная цифровизация бизнеса из-за пандемии и последовавшее появление новых сервисов обязательно станет важной сферой интересов хакеров. Один из вариантов противостояния этому — создание своеобразных «киберполигонов» для тестирования сервисов, технологий и ИТ-инфраструктуры в безопасной среде.
Эксперты различных аналитических центров прогнозируют следующие тренды, к которым следует быть готовым как компаниям, так и обычным пользователям.
- Компрометация 5G-устройств: они могут быть как каналом распространения вредоносного кода, так и средством для масштабной атаки при совместной автоматизированной работе.
- Качественные дипфейки для манипуляции мнением людей, дезинформации и обхода биометрии при аутентификации. Также будут подделываться и голосовые сообщения.
- Злоумышленники уделят особое внимание способам обхода систем многофакторной аутентификации.
- Opensource-решения и API-интерфейсы будут изучаться злоумышленниками особенно тщательно, так как это относительно легкий путь проникнуть в корпоративную сеть.
- Стоит ожидать атак на научные центры, занятые проблемой коронавируса.
- Тема коронавируса будет все активнее использоваться в стратегии атак. В прошлом году ее применяли в фишинговых схемах, чтобы проникнуть в корпоративные сети.
Какое-то время назад в информационной безопасности сместился фокус — от построения границ защиты ИТ-инфраструктуры к быстрому обнаружению злоумышленников внутри системы. Пришло понимание, что невозможно создать абсолютно надежную защиту и главная задача — не дать хакеру нанести серьезный урон работе компании. Эта точка зрения на ситуацию будет оставаться таковой и в ближайшем будущем.
Пример одного из нововведений: при создании SOC в SLA (Service Level Agreement, Соглашение об уровне услуг) одним из главных показателей станет гарантия предотвращения урона организации при проникновении злоумышленника внутрь сети.
Все это благотворно повлияет на отрасль ИБ, качественно ее изменив. В этих условиях выживут только те технологии и решения, которые действительно способны принести измеримый результат, то есть защитить от возможной атаки.
Разумеется, в любой сфере реальная ситуация часто отличается от прогнозируемой Вполне вероятно, что злоумышленники изобретут схемы, которые никто из аналитиков еще не предсказал.
По материалам Хабр