ЭКСПЕРТЫ КОМПАНИИ POSITIVE TECHNOLOGIES ОЦЕНИЛИ НОВЫЕ ТРЕНДЫ КИБЕРБЕЗОПАСНОСТИ И СДЕЛАЛИ ПРОГНОЗЫ НА БЛИЖАЙШИЙ ГОД

28 января состоялась традиционная пресс-конференция, на которой представители российской штаб-квартиры международной компании Positive Technologies, специализирующейся на разработке программного обеспечения в области информационной безопасности, подвели итоги 2020-го и обсудили тенденции и прогнозы кибербезопасности на 2021 год. В мероприятии принял участие журнал «ЭЛЕКТРОЭНЕРГИЯ. Передача и распределение».

В этом году формат его кардинально изменился: вместо привычной встречи в режиме вопрос-ответ обсуждения проходили в четырех основных секциях. Вначале выступили первый заместитель генерального директора Борис Симис и директор экспертного центра безопасности Алексей Новиков. Они рассказали о ситуации на рынке кибербезопасности и о том влиянии, которое оказала на него пандемия короновируса.

По итогам 2020 года российский рынок информационной безопасности продолжил демонстрировать положительную динамику: согласно оценке Positive Technologies объем рынка в среднем вырос на 25% (оценка прошлого года — 20%). Впрочем, как считает Борис Симис, такая ситуация не стала неожиданностью: «Во-первых, проблематика кибербезопасности становится все более понятной и близкой руководству различных компаний, и во главу угла все чаще ставится принцип невозможности реализации тех или иных бизнес-рисков. Очевидно, что построение практической безопасности такого рода идет рука об руку с увеличением соответствующих бюджетов. Во-вторых, кибербезопасность критической информационной инфраструктуры, как концепция, начавшаяся несколько лет назад с обследований, категоризации и проектирования, наконец, дошла до периода реальных внедрений. И это, в свою очередь, также обеспечило рост оборотов производителей средств защиты и их интеграции. В-третьих, в этом году бизнес, понимая, что будущий год изменится с точки зрения привычного бюджетирования на IT и информационной безопасности, стремился максимально реализовать планы 2020 года, и использовать для этого имеющиеся ресурсы».

Так выручка компании Positive Technologies по итогам 2020 года выросла на 55% и составила 5,6 млрд рублей, а усредненный рост выручки компании за последние пять лет почти в 2 раза превысил показатели рынка информационной безопасности в целом и составил более 40%. При этом специалисты отмечают два основных всплеска финансово-проектной активности. Первый наблюдался в самом начале карантина, когда многие службы информационной безопасности со стороны бизнеса пошли по пути форсирования проведения конкурсов, старта (или завершения) проектов. Вторая волна трат на информационную безопасность произошла в четвертом квартале прошлого года и была связана все с той же необходимостью реализовать утвержденные планы. В целом, именно это обстоятельство, отмечают эксперты, позволило рынку ИБ в России вырасти, невзирая на все внешние обстоятельства.

Вместе с тем переход на дистанционные формы работы значительно обострил риски информационной безопасности, породив новые виды хакерских атак. В этом плане, отмечает Алексей Новиков, в целом прогнозы 2019 года относительно роста APT-атак в 2020 году оправдались. Порядка тридцати группировок (десять из которых в России) специалистам удалось отследить. Но по их собственному признанию, проводить техническую атрибуцию становится все сложнее, поскольку часто в рамках одной атаки комбинируются вредоносные программы, приписываемые разным группировкам. «Традиционно приходится уведомлять различные компании о том, что они взломаны той или иной АРТ-группировкой, и для них это, к сожалению, нередко оказывается сюрпризом», — рассказывает Алексей Новиков. Так инсайдеры и шифровальщики по-прежнему представляют серьезную угрозу для компаний, а случаи, подобные тем, что произошли в Tesla и Twitter, когда произошел массовый взлом профилей звезд и политиков, происходят все чаще. Пандемия же сыграла только на руку хакерам, которые умело используют новостную повестку для своих неблаговидных целей, рассылая пользователям вредоносные письма на тему COVID-19.

В заключение Борис Симис и Алексей Новиков ответили на вопросы из зала. В частности, они прокомментировали небезызвестную историю, связанную с мобильными приложениями для российских госструктур, в которых, как обнаружило АНО «Информационная культура», используются крекеры крупных международных платформ вроде Google, Facebook и Microsoft. По мнению Бориса Симиса, сегодня этот факт стоит воспринимать как данность, от него не застрахован ни один пользователь мобильных устройств. Он добавил, что, к сожалению, современное российское законодательство в области кибербезопасности практически не стимулирует компании всерьез бороться с утечками своих персональных данных. «Насколько мне известно, ни одна из российских финансовых организаций не была серьезно наказана в подобных случаях», — сказал Борис Симис. Мнение своего коллеги дополняет Алексей Новиков: «Каждый человек должен понимать, что его персональные данные по большому счету сегодня доступны всем. Но мы же наблюдаем, как пользователи часто сами способствуют раскрытию информации, выкладывая в Сеть личную информацию вплоть до фотографии своих кредитных карт».

О системе кибербезопасности в ключевых отраслях рассказали руководитель практики промышленной кибербезопасности Дмитрий Даренский, руководитель группы исследований безопасности банковских систем Максим Костиков и руководитель группы исследований безопасности телекоммуникационных систем Павел Новиков. Как сообщил Дмитрий Даренский, в 2020 году возросло количество атак на промышленные и энергетические компании. Всего было зафиксировано 200 атак, что почти на 60% больше, чем в прошлом году. В девяти из десяти случаев злоумышленники использовали вредоносное ПО. На долю шифровальщиков пришлось 38% атак, а шпионское ПО было замечено в 30% случаев. Для распространения вредоносных программ и проникновения в локальную сеть злоумышленники прибегали к фишинговым рассылкам, а также эксплуатировали уязвимости на сетевом периметре организаций. В основном промышленные компании подвергались атакам со стороны шифровальщиков и APT-группировок. В начале 2020 года внимание многих специалистов по кибербезопасности привлек новый шифровальщик Snake, который умеет удалять теневые копии и останавливать процессы, связанные с работой промышленных систем управления. В частности, Snake останавливает процессы GE Proficy и GE Fanuc Licensing, Honeywell HMIWeb, FLEXNet Licensing Service, Sentinel HASP License Manager, ThingWorx Industrial Connectivity Suite. Первыми жертвами Snake стали автомобильный производитель Honda и гигант ТЭК — компания Enel Group. В течение года промышленность атаковали также операторы шифровальщиков Maze, Sodinokibi, Ryuk, NetWalker, Nefilim, DoppelPaymer, RansomEXX, Conti. Промышленность является целью для многих APT-групп по всему миру. Так, целью одной из APT-атак группы Bisonal в I квартале 2020 года стали российские организации авиационно-космической отрасли. В России и СНГ не снижается актуальность атак группы RTM, в течение прошлого года эксперты PT ESC выявили более 100 фишинговых рассылок этой группы.

С начала 2021 года число атак на промышленность увеличилось и держится на стабильно высоком уровне. «Мы предполагаем, что интерес злоумышленников не утихнет и в ближайшем будущем. Целью атак будет не только шпионаж, но и возможность получить крупную сумму денег в качестве выкупа за восстановление зашифрованных данных и за неразглашение украденной информации», — считает Дмитрий Даренский. Вместе с тем он отметил, что промышленные предприятия, помимо формального обеспечения соответствия требованиям местного законодательства, все активнее начинают работать над обеспечением практической безопасности своих активов. В связи с этим в 2021 году, отметил он, развитие получат следующие тренды:

1. Risk-oriented threat modeling. Применение практик риск-ориентированного моделирования угроз кибербезопасности промышленных объектов. Станет заметен переход от классических вероятностных методов моделирования киберугроз отдельных индустриальных систем к методам, рассматривающим киберугрозы как один из факторов операционных и бизнес-рисков компаний в целом.
2. SCADA data-driven anomaly detection and response. Развитие технологий обнаружения аномалий и атак на инфраструктуру индустриальных систем за счет анализа прикладных данных SCADA-систем. Развитие подобных технологий особенно будет заметно в системах таких классов, как NTA/NDR, EDR, SIEM.
3. Security management processes automation. Расширение автоматизации процессов управления кибербезопасностью, особенно в части обнаружения и реагирования на инциденты кибербезопасности.
4. Digital twins. Cyber polygons. В целях изучения уязвимостей промышленных систем и моделирования атак на них активно развивается моделирование виртуальных копий (цифровых двойников) промышленных систем. Этот подход получит развитие и в рамках создания киберполигонов, на которых можно безопасно проверить возможность реализации бизнес-рисков и проанализировать потенциальные способы проведения атак.

Ситуацию в финансовом секторе прокомментировал Максим Костиков: «В 2020 году мы зафиксировали более 100 атак на финансовые компании, в 2019 их было 92. Так 64% всех атак пришлись на фишинг, который является основным методом проникновения в локальную сеть финансовых организаций. В 15% случаев использовался хакинг (эксплуатация уязвимостей и недостатков безопасности). Вредоносное ПО применялось в 66% атак. По большей части это были шпионское ПО (34% атак с использованием ВПО), шифровальщики (27%) и банковские трояны (17%)». По данным экспертного центра безопасности Positive Technologies, на протяжении года группировка RTM продолжала атаковать финансовые организации при помощи вредоносных рассылок. В первом полугодии были зафиксированы фишинговые рассылки группировки Cobalt. European Association for Secure Transactions (EAST) сообщает об увеличении количества логических атак на банкоматы в Европе, при этом все зафиксированные атаки в первом полугодии относились к типу «black box».

Между тем эксперты полагают, что в 2021 году новые крупные игроки, нацеленные на вывод денег со счетов в банке, не появятся. Скорее всего, атаки продолжатся со стороны уже известных групп, которые могут менять свои техники проникновения и закрепления для сокрытия атак, совершенствовать ВПО, менять регионы атаки. Возможно увеличение числа атак шифровальщиков на банки: этот бизнес приносит существенный доход преступникам и не требует особых затрат, к тому же поставлен на поток. Для распространения ВПО злоумышленники продолжат искать известные уязвимости на периметре. При этом результаты пентестов, проведенных в ряде финансовых организаций, свидетельствуют о низком уровне защищенности — в семи из восьми компаний внешний злоумышленник смог бы проникнуть в локальную сеть из Интернет.

Руководитель группы исследований безопасности телекоммуникационных систем Павел Новиков считает, что в ближайшее время останутся актуальными все нынешние угрозы для сетей 2G, 3G и 4G. Многие операторы намерены приступить к строительству сетей 5G SA уже в 2021 году, но, по большому счету, мы продолжим жить в условиях безопасности 2G/3G/4G-сетей. «Кроме того, — продолжает Павел Новиков, — сети 5G должны поддерживать взаимодействие с другими мобильными сетями, и это приводит к возможности кросспротокольных атак, где используются уязвимости сразу нескольких протоколов. К примеру, атака на сети 5G может начинаться с эксплуатации уязвимостей в сети 3G для получения идентификаторов абонентов. Поэтому защита сетей предыдущих поколений — необходимое условие безопасности 5G».

О кибернетических уязвимостях мобильных приложений и операционных систем рассказали: руководитель группы исследований безопасности мобильных приложений Николай Анисеня, ведущий специалист отдела исследований безопасности ОС и аппаратных решений Александр Попов и ведущий специалист отдела исследований безопасности ОС и аппаратных решений Марк Ермолов. Николай Анисеня сообщил, что в настоящее время в мире насчитывается 10 миллиардов мобильных устройств, при этом подавляющее число пользователей используют личные устройства в рабочих целях. Данное обстоятельство актуализирует вопрос приватности. В случае мобильных устройств он осложняется тем, что популярные мобильные ОС не предоставляют возможности повышения привилегий, в виду чего администраторы вынуждены полагаться на средства MDM (mobile device management), предоставляемые операционной системой. Ситуацию осложняет и то обстоятельство, что в среднем у каждого пользователя установлено до 7 приложений, что во многом актуализирует вопрос кибербезопасности наших мобильных устройств. По словам Николая Анисеня, большую ставку на усиление приватности пользовательских данных сделала компания Apple в iOS 14: «В нем появилась возможность разделения геопозиции на точную и приблизительную, что дает пользователям право выбора. Кроме того, теперь вы можете узнать, собирается ли приложение вас отслеживать, и дать или не дать на это свое согласие. Ну и, конечно, это нашумевшая опция — уведомление о чтении из буфера обмена». Стоит отметить, что сразу после выхода релиза этой версии десятки популярных приложений были уличены в том, что они могли шпионить за пользователями. В отсутствии этики пользователи обвинили и компании Google и Apple, выпустивших Exposure Notification — API для отслеживания контактов с зараженными новой коронавирусной инфекцией. Напомним, данное приложение уже давно доступно в последних версиях Android и iOS, но отсутствует на устройствах компании Huawei, которая в 2020 году начала постепенно отказываться от сервисов Google и даже планирует перейти с операционной системы Android на собственную разработку — Harmony OS 2.0. Первые смартфоны под управлением этой ОС должны поступить в продажу уже в 2021 году, и как ожидают эксперты, они изменят расстановку сил на мобильном рынке.

Ряд важных событий в 2020 году произошел и в направлении повышения безопасности операционных систем. Как рассказал Александр Попов, удалось избежать пессимистичных прогнозов относительно падения темпов разработки системного ПО из-за пандемии. И Linux Foundation1, и GitHub в своих годовых обзорах даже фиксируют рост активности в открытых сообществах разработчиков. Безопасность операционных систем продолжает быть важным направлением для инноваций, в связи с чем наметились три основных вектора движения, которые в совокупности позволяют вывести безопасность ОС на более высокий уровень. Первое направление — использование подходов безопасной разработки ПО. Второе — использование новых аппаратных средств, позволяющих избавиться от ряда классов уязвимостей в операционных системах, в частности, таких как ARM Pointer Authentication Code (PAC), ARM Memory Tagging Extension (MTE), Intel Control-flow Enforcement Technology (CET). Третье — это разработка и внедрение механизмов ОС, затрудняющих эксплуатацию уязвимостей. «Цель в том, чтобы максимально помешать атакующему, который пытается воспользоваться ошибкой в программном коде ОС», — говорит Александр Попов. В качестве наиболее удачного примера комплексного подхода к безопасности операционной системы спикер называет недавно опубликованную модель безопасности Android, вторая редакция которой вышла в декабре 2020 года. Безопасность системы в ней строится исходя из актуальной модели угроз, а каждый компонент системы безопасности выбран осознанно и закрывает конкретную угрозу. Резюмируя, Александр Попов сказал: «Нам как защитникам не стоит недооценивать атакующих. Не так давно специалисты Google Project Zero опубликовали анализ сложной системы вредоносного ПО3, использующей цепочку уязвимостей нулевого дня. Из этого исследования видно, что серьезное вредоносное ПО — это качественный продукт, имеющий модульную архитектуру, систему управления и взаимозаменяемые компоненты с эксплойтами. Поэтому борьба предстоит непростая, а взгляд на операционную систему с точки зрения атакующего позволит нам разработать действительно эффективные средства защиты». В целом, о цифровом моделировании ситуации кибератак на информационную инфраструктуру как о важнейшем векторе развития информационной безопасности говорили многие участники встречи. Так Борис Симис уверен: киберучения являются единственной возможностью реализации различных рисков в условиях кибербезопасности, а значит, востребованность в таких формах обучения будет только расти. В настоящее время киберучения проводятся на полигоне The Standoff, в них моделируются инфраструктура реальных промышленных компаний вместе с бизнес-рисками и угрозами информационной безопасности.