Скорость развития и изменения киберпространства в последние годы поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд. Эволюция современного киберпространства и ландшафта киберугроз обусловлена в том числе и развитием инструментов создания новых, более совершенных технологий, что, в свою очередь, влечет за собой дальнейшее ускорение создания уже следующих поколений технологий и инструментов. Широкое использование высокоуровневых и сверхвысокоуровневых языков программирования, мощных фреймворков и сред разработки, развитие облачных инфраструктур и технологий виртуализации и контейнеризации позволяет выпустить новое приложение или сервис в беспрецедентно короткие сроки. С такой же скоростью множатся и киберугрозы, поскольку злоумышленники используют те же высокоэффективные инструменты разработки, но в своих целях. Это выводит уровень киберпротиводействия на новую ступень: если раньше противостояние со злоумышленниками можно было описать как борьбу умов и настроенных средств защиты информации, то теперь это уже можно назвать полноценной «войной машин», в которой сражаются искусственные киберинтеллекты.
1. Атаки на цепочки поставок
Современные крупные высокотехнологичные компании стараются грамотно выстраивать процессы информационной безопасности, такие как управление киберрисками, управление уязвимостями и обновлениями, работа со средствами защиты информации, сбор и анализ логов, аудиты ИБ. Однако, даже для высококвалифицированного специалиста многое современное программное обеспечение остается «черным ящиком»: зачастую они вынуждены слепо доверять вендорам - производителям операционных систем, прикладного ПО и даже разработчикам средств защиты. Мало какие компании имеют в штате выделенных сотрудников, которые смогут осуществить реверс-инжиниринг программных продуктов с тем, чтобы понять, какие именно функции выполняет та или иная компонента. А если учесть, что обновления для программных решений выпускаются едва ли не ежедневно, нам становится понятно, что проверить такие объемы кода становится практически нереально. Таким образом, компании волей-неволей становятся зависимыми от компетенций и состояния кибербезопасности вендора.
2. Атаки на третьих лиц
Атаки на третьих лиц (англ. 3rd parties attacks) похожи на рассмотренные выше атаки на цепочки поставок, однако их отличие заключается в том, что атакованные контрагенты (поставщики, подрядчики, партнеры, даже клиенты и заказчики) могут, сами того не осознавая, стать «плацдармом» для хакеров. Это может произойти следующим образом: допустим, у вашей компании заключены договорные отношения с фирмой-подрядчиком, которая осуществляет внедрение или доработку некоего бизнес-приложения. Для этого ей потребуется удаленное подключение к вашей инфраструктуре через VPN-туннель и создание учетной записи для сотрудника-внедренца в вашей Active Directory. Таким образом, некоторая часть ваших ИТ-систем будет доступна подрядчику - например, служба каталогов, общие сетевые диски, наконец само дорабатываемое бизнес-приложение. Атакующие, которые изначально планировали взломать именно вашу инфраструктуру, могут пойти обходным путем, когда поймут, что ваши системы защищены достаточно надежно: хакеры постараются сначала атаковать подрядчика, который может быть защищен слабее, а уже затем они постараются добраться до первоначальной цели, используя настроенный VPN-туннель и украденные учетные данные с удаленным доступом к вашей инфраструктуре. Таким образом, атакованная компания выполняет роль «прокси-сервера» для атакующих, что позволяет им от имени вашего подрядчика получить доступ к интересующим их активам (ваши разработки, финансы, персональные данные).
3. Атаки на элементы «интернета вещей»
Термин «Интернет вещей» (IoT - internet of things) подразумевает большое количество элементов электроники потребительского уровня, непрерывно подключенных к разнообразным сетями, в т.ч. к интернет, для взаимодействия между собой, с владельцем и с разнообразными интернет-сервисами. Примерами IoT-устройств могут быть: смарт-телевизоры, «умные колонки», фитнес-трекеры, элементы «умного дома» (датчики, бытовая техника, системы безопасности), веб-камеры, автомобильные и транспортные системы и т.д. С развитием сетей 5G количество непрерывно подключенных устройств «интернета вещей» будет лишь расти, поскольку сети нового поколения поддерживают высокоскоростную передачу данных с малым расходом электроэнергии и взаимодействие устройств непосредственно друг с другом.
4. Вопросы защиты облачных инфраструктур
Тематика защиты облачных инфраструктур также является крайне актуальной на текущий момент, и это несомненно связано с популярностью облачных платформ и решений, которые привлекают заказчиков легкостью горизонтального масштабирования, прозрачным планированием затрат, возможностями переложить часть задач по обслуживанию инфраструктуры на специалистов Cloud-провайдеров. Кроме того, в последнее время на отечественный рынок облачных инфраструктур вышли многие известные игроки, которые предлагают облачные решения и сервисы, предназначенные в том числе для обработки персональных данных, работы в составе ГИС (государственной информационной системы), а также для обработки конфиденциальной информации, защищенной от несанкционированного доступа. Такие предложения позволяют пользоваться услугами облачных сервисов даже государственным учреждениям, но при этом для многих компаний возможность работы с облачными инфраструктурами до сих пор остается под вопросом. Главными челленджами являются вопросы соответствия законодательству, конфиденциальности корпоративной информации как для провайдера услуги, так и для «соседей» по инфраструктуре, сложности миграции из on-prem-инфраструктуры, тонкости настройки облачных систем обеспечения кибербезопасности.
5. Безопасность персональных данных (в т.ч. биометрических)
Вопросы обеспечения конфиденциальности персональных данных стали подниматься практически сразу после начала широкого применения средств вычислительной техники для обработки сведений, касающихся физических лиц. Именно поэтому еще в 1981 году была подписана Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Разумеется, с развитием информационных технологий надежная защита личной информации стала необходимым условием для успешной работы как коммерческих, так и государственных структур - ни клиенту интернет-магазина, ни пользователю государственного сервиса не захочется стать жертвой утечки его персональных данных. Высокая социальная значимость обеспечения информационной безопасности персональных данных была и остается драйвером государственных законодательных инициатив - достаточно вспомнить отечественный Федеральный Закон №152 «О персональных данных» от 27.07.2006 г., европейские нормы GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных) или, например, такие региональные нормативные требования, как CCPA (California Consumer Privacy Act, Калифорнийский закон о защите прав потребителей). При этом законодательные нормы непрерывно актуализируются для соответствия изменяющемуся ландшафту киберугроз; например, в России важные дополнения в 152-ФЗ были введены уже несколько раз следующими Федеральными Законами: 261-ФЗ от 25.07.2011 (внесены существенные изменения в базовые постулаты защиты ПДн), 242-ФЗ от 21.07.2014 (введение запрета первичной обработки ПДн за пределами территории РФ) и 519-ФЗ от 30.12.2020 (предъявление новых требований к обработке ПДн, разрешенных субъектом для распространения). Еще одним трендом является постепенное повышение штрафных санкций за нарушение законодательных требований к обработке персональных данных - так, например, по нормам GDPR штраф может составлять до 4% от годового оборота компании.
6. Противодействие криптовымогателям и нелегальному майнингу криптовалют
Защита персональных данных тесно связана с актуальной киберугрозой вирусов-шифровальщиков. Авторы данных вредоносов справедливо полагают, что персональные данные клиентов, сотрудников, партнеров компании представляют особую ценность, и строят свои атаки не только на непосредственном шифровании ИТ-инфраструктуры (включая носители с личными данными), но и на предварительном похищении ценной информации, чтобы затем шантажировать жертву разглашением украденных сведений. Зачастую атакованные компании, с одной стороны, находятся «в тисках» регуляторов, которые могут оштрафовать организацию, узнав об утечке персональных данных, и, с другой стороны, рискуют потерять разгневанных утечкой клиентов. При этом непосредственно приостановка деятельности в результате атаки шифровальщика также приводит к серьезному репутационному ущербу, поскольку данный факт быстро становится достоянием общественности. На данный момент угроза кибератак вирусами-шифровальщиками обсуждается на уровне первых лиц США, где только за последние месяцы произошел ряд громких киберинцидентов, точный ущерб от которых еще только предстоит оценить. При этом вредоносы распространяются, как правило, по модели RaaS, означающей, что с одной киберпреступной группировкой, которая является непосредственным автором вируса и поддерживает всю его инфраструктуру, может по партнерской модели взаимодействовать большое количество хакерских команд поменьше, выплачивая авторам определенный процент от полученного выкупа. На Даркнет-площадках также происходит взаимодействие атакующих и тех, кто продает т.н. «доступы» к взломанным инфраструктурам, т.е. валидные учетные данные к ИТ-системам компаний, полученные в результате фишинговых атак или путем эксплуатации уязвимостей. Там же можно найти и объявления о найме программистов, готовых разрабатывать вредоносное ПО, и объявления о покупке/продаже 0-day эксплойтов, для которых вендоры еще не выпустили патчи, и предложения сервисов «криптования», которые обещают обеспечить защиту от обнаружения антивирусными средствами (т.н. FUD, fully undetectable) путем шифрования внутренних структур вредоносных модулей.
7. Применение искусственного интеллекта в информационной безопасности
Разговоры о практическом применении искусственного интеллекта, в том числе и в информационной безопасности, ведутся уже давно, но на рынок данные инструменты вышли тогда, когда зрелость таких продуктов позволила применять их в корпоративных средах, точность работы стала оправдывать их стоимость, а возможности злоумышленников стали широки настолько, что эффективно и оперативно противостоять им стало возможно только с применением данной технологии. Если же обратиться к истории, то предпосылками для создания концепции искусственного интеллекта стали научные изыскания в области построения математической модели искусственного нейрона и нейронной сети на базе наблюдений за живыми организмами и естественными нейронами. В 1943 году американские нейрофизиологи Уоррен Маккаллок и Вальтер Питтс в своей научной статье «Логическое исчисление идей, относящихся к нервной активности» предположили, что сеть, состоящая из аналогичных природным искусственных нейронов, может выполнять логические и математические операции. Выдающийся британский ученый Алан Тьюринг в 1948 году опубликовал статью «Разумные машины» (англ. «Intelligent Machinery»), а в 1950 году - работу «Вычислительные машины и разум» (англ. «Computing Machinery and Intelligence»), в которых описываются концепции машинного обучения и искусственного интеллекта. Сам же термин «Искусственный интеллект» был введен американским ученым-информатиком Джоном Маккарти в 1956 году. Это были одни из первых попыток «оцифровать» живой организм и представить живое существо как набор алгоритмов, которые можно проанализировать и воспроизвести. С тех пор наука значительно продвинулась в вопросах создания искусственного интеллекта: знаковыми событиями можно назвать шахматную победу суперкомпьютера IBM Deep Blue над гроссмейстером Гарри Каспаровым в 1997 году и победу в игре го программы AlphaGo разработки Google DeepMind над профессиональным игроком Ли Седолем в 2016 году. При этом первая победа была достигнута в хорошо алгоритмизируемой шахматной игре, где для выигрыша достаточно знать все возможные комбинации и ходы, а вторая - за счет машинного обучения, который применялся AlphaGo для самообучения игре в го.
Системы защиты на основе искусственного интеллекта будут незаменимы для выявления аномалий в большом количестве событий информационной безопасности, например, путем анализа журналов СЗИ, данных из SIEM-систем или SOAR-решений. Эта информация, вкупе с данными уже отработанных и закрытых инцидентов ИБ, будет представлять собой качественный размеченный dataset, на котором системе можно будет легко обучиться. Классические системы анализа отклонений построены, как правило, на некоторых заранее заданных операторами правилах: например, превышение объема специфического трафика, определенное количество неуспешных попыток аутентификации, некоторое количество последовательных срабатываний СЗИ. Системы же на базе искусственного интеллекта смогут принять решение самостоятельно, без «оглядки» на правила, ранее созданные сотрудниками ИБ, которые, возможно, уже потеряли актуальность и не учитывают изменившуюся ИТ-инфраструктуру. Детектирование аномалий может помочь в защите пользовательских данных - например, банковский интернет-сервис может собирать и анализировать данные о паттернах (характерных признаках, шаблонах) работы клиентов с тем, чтобы оперативно выявлять скомпрометированные учетные записи. К примеру, если пользователь на протяжении последнего года подключался к сервису с российского IP-адреса по будням в рабочее время и использовал браузер Internet Explorer, то в случае подключения с территории Китая с использованием браузера Mozilla Firefox в ночное время следует, возможно, на время заблокировать учетную запись этого пользователя и отправить ему оповещение. Финансовые организации могут использовать системы машинного обучения и искусственного интеллекта также для проведения оценки (скоринга) заемщиков, анализа финансовых рисков, в анти-фрод системах. Другой моделью использования систем искусственного интеллекта в кибербезопасности является работа с внутренними нарушителями: зная типичное поведение пользователя, система может отправить предупреждение аналитикам ИБ в случае существенного изменения модели работы сотрудника (посещение подозрительных сайтов, длительное отсутствие за рабочим ПК, изменение круга общения при переписке в корпоративном мессенджере и т.д.). Системы защиты, оснащенные компьютерным зрением и обработкой речи, смогут оперативно оповещать охрану о попытках прохода через проходную посторонних или сотрудников по чужим пропускам, анализировать рабочую активность сотрудников с помощью веб-камер, оценивать корректность общения менеджеров с клиентами по телефону.
При этом не следует забывать и то, что системы на базе искусственного интеллекта используют и киберпреступники: известны мошеннические приемы использования Deep fake (создание реалистичного виртуального образа человека) для обмана анти-фрод систем, подделки голосов для мошеннических звонков родственникам атакованных лиц с просьбой перевести деньги, применения телефонных IVR-технологий для фишинга и хищения денежных средств. Во вредоносном ПО также используются элементы искусственного интеллекта, которые позволяют атакующим гораздо быстрее повышать свои привилегии, перемещаться по корпоративной сети, а затем находить и похищать интересующие их данные. Таким образом, технологии, ставшие доступными широкой публике, используются как во благо, так и во вред, что означает, что бороться с такими подготовленными киберпреступниками можно и нужно с применением самых совершенных средств и методов защиты.
