В последние годы мы могли наблюдать много случаев зрелищных хакерских атак, успех которых был обусловлен применением более профессиональных методов преодоления защиты. Такие случаи, как печально известный WannaCry, который серьёзным образом повлиял на работу более 200 тысяч компьютеров по всему миру, это только присказка к тому, что нас ожидает.
Уже сейчас хакеры отрабатывают атаки на миллионы устройств Интернета вещей, подключенных к сети, как в офисах, так и в домах. Стоит ближе присмотреться к тому, что принесут предстоящие годы в области безопасности, а также подумать, как ответить на новые угрозы.
Искусственный интеллект будет атаковать и защищать
Сегодня ни один серьезный разговор об кибербезопасности не может обойтись без дискуссии об искусственном интеллекте и машинном обучении. До сих пор эти обсуждения были сосредоточены на использовании этих технологий в качестве средств защиты и обнаружения атак.
Однако, это изменится в следующем году, потому что хакеры будут использовать эти технологии для организации атак. Преступники будут привлекать искусственный интеллект, чтобы исследовать сети потенциальных жертв, что, как правило, является наиболее трудоемкой операцией во время нападений.
К счастью, искусственный интеллект и машинное обучение уже также используются для обеспечения ИТ-безопасности. Когда злоумышленники внедрят эти технологии в свои приложениях, вероятно, мы станем свидетелями интересной ситуации, когда один ИИ будет воевать с другим.
Злоумышленники станут наблюдателями и будут использовать для проведения атак решения, которые уже используются в бизнесе. Всё чаще свои атаки они будут скрывать в облаке. Однако, решением проблемы не является отказ облачных услуг. Использование искусственного интеллекта и машинного обучения в контексте сетевого трафика позволяет собрать информацию о кибератаках и выявить на этой основе их отличительные особенности.
Это важно, так как многие из используемых в настоящее время решений выдает слишком много ложных тревог. Их столько, что они приводят к разочарованию администраторов. Такие ошибки существенно увеличивают объем работы, которую должны выполнять лица, ответственные за безопасность. Искусственный интеллект позволяет устранить такие проблемы и снизить количество ложных срабатываний.
Ещё одним примером использования искусственного интеллекта и машинного обучения для обеспечения сетевой безопасности является обнаружение атак, использующих известные ранее методы или технологии, которые, однако, были изменены.
Использование устройств интернета вещей для атак
В последние два года мы могли наблюдать DDoS-атаки рекордных масштабов, в которых для генерации трафика использовались сотни тысяч устройств интернета вещей, находящихся в офисах и домах. Ожидать улучшения ситуации не стоит. Согласно отчету аналитической и консалтинговой компании Ovum, в 2021 году среднее число устройств интернета вещей в домашних хозяйствах достигнет 8,7 единиц. Вместе с тем, средний пользователь не осознает последствий, которые вытекают из того факта, что всё больше и больше устройств подключено к интернету.
В связи с этим не меняют настроек по умолчанию или не обновляют программного обеспечения, как делают это на компьютерах. Поэтому киберпреступники будут продолжать использовать слабые настройки безопасности и свободный доступ к домашним устройствам IoT. Более того, порты связи и датчики этих устройств также могут быть захвачены, а нападающие будут получать с них аудио, видео или передавать поддельные входные данные, чтобы эти устройства сделали то, что хочет злоумышленник, а не то, чего ожидают пользователи.
Помимо DDoS-атак и вымогателей, бытовые устройства IoT – после взлома – позволяют злоумышленникам получить доступ к домашней сети. Постоянный доступ к чьей-то сети означает, что независимо от того, как жертва пытается защитить свой компьютер, злоумышленник всегда сможет воспользоваться лазейкой.
Например, аналитики по вопросам сетевой безопасности предупреждают о сетевых атак, таких как перехват сессии с использованием устройств интернета вещей, находящихся в этой же сети. Этот тип атаки заключается в незаконном доступе к сессии пользователя и получении контроля над нею. После ввода учетных данных и инициализации сеанса на сервере, злоумышленник может направить жертву на любой ресурс и перехватить любую информацию. Благодаря этому, хакер получает возможность выполнить на сервере команды с привилегиями текущего клиента.
Для того, чтобы перехватить сессию, злоумышленник должен находиться на пути между клиентом и сервером. Для этой цели идеально подходят находящиеся в пределах одной и той же сети (например, домашней) слабо защищенные устройства IoT. После приобретения контроля над IoT, злоумышленник видит все пакеты, отправляемые сервером и пользователем. Перехваченные пакеты содержат учетные данные (часто в зашифрованном виде), которые затем расшифровываются или продаются, имеющим необходимые знания и инструменты дешифрации третьим лицам. По этой дороге наши логины и пароли попадают в руки преступников.
По статистике, эффективность получения несанкционированного доступа к услугам с использованием представленной техники составляет до 5 %.
Blockchain – это уже не только криптовалюта
Blockchain уже используется за пределами криптовалют, например, в межбанковских сделках или в системах интернета вещей. Однако, пока эти решения находятся в зачаточном состоянии, поэтому они не привлекают большого внимания хакеров. Но, это только вопрос времени, чтобы положение вещей изменилось.
Вместо того, чтобы напрямую атаковать технологию Blockchain, злоумышленники уделяют внимание операциям обмена виртуальных валют и виртуальных портфелей пользователей. Это гораздо проще и приносит большие выгоды злоумышленникам.
Пользователи также чаще будут становиться жертвами скрытой установки на компьютерах или мобильных устройствах приложений для майнинга.
Рости числа атак без использования файлов
Последние 2-3 года – это период быстрого роста числа атак, в которых до минимума ограничено использование файлов. Злоумышленники ищут жертв, которые не готовы защищаться от этого типа угроз.
Об этих нападениях, можно сказать, что у них мало качеств, которые позволяют их обнаружить. Так же, как в начальный период развития вымогателей, когда успех атакующих стал результатом неподготовленности жертв к новой угрозе, так и нападения без файлов в настоящее время очень эффективны и привлекают внимание растущей группы хакеров.
По-прежнему их доля в общем количестве атак гораздо меньше, чем традиционных угроз, но эти пропорции будут меняться.
Финансовые трояны опаснее, чем вымогатели
Финансовые трояны были одной из первых форм коммерциализации хакерами своих навыков. В начале это были простые вирусы, крадущие входные данные для входа. В настоящее время они развились в сложные системы атаки, нацеленные на многие банки и банковские системы.
Растущая популярность мобильных устройств и интернет-банкинга снизила эффективность этих троянов, но злоумышленники быстро перенесли вектор атаки на эти платформы. Ожидается, что доходы киберпреступников от финансовых троянов будут расти, что принесёт им прибыли больше, чем нападения вымогателей.
Вымогатели стали серьёзной проблемой, превратившись в одну из «язв» современного интернета, которая позволяет злоумышленникам получать огромные прибыли с помощью шифрования файлов пользователей.
В погоне за прибылью преступники не только стали активно распространять вымогателей, но также создали Ransomware-as-a-Service и другие сервисы для преступного мира.
Сейчас они ищут способы, как увеличить масштаб атак путём использования растущего числа домашних устройств, подключенных к сети. В целом, пользователи даже не знают, что такие устройства, как смарт-телевизоры, электронные игрушки и другие умные устройства, могут стать мишенью кибератак.
Война за право на шифрование
Война за возможность использования шифрования велась в 90-х годах XX века и была выиграна. По крайней мере, так думает большинство.
Почти 20 лет спустя оказалось, что это явление возвращается. Государства, законодатели, технологические компании, поставщики контента, правозащитные организации и другие организации, – все высказывают своё мнение о том, как следует использовать шифрование, когда допустимо оставлять в нём уязвимости и какие технологии использовать для реализации.
Война за шифрование будет вестись, в основном, между защитниками конфиденциальности и правительственными организациями, и будет касаться шифрования устройств и сетевых коммуникаций.
Кроме того, можно ожидать, что поставщики контента и операторы сетей будут бороться с использованием шифрования на транспортном уровне, потому что считается, что шифрование в этом слое противоречит бизнес-моделям этих компаний.
Проблема с шифрованием касается не только бизнеса, например, эксперты Cisco в течение последнего года наблюдали трехкратное увеличение использования шифрованной связи в сети для распространения вредоносного программного обеспечения.
Безопасность в облаке
Очень быстро среди компаний и пользователей растёт популярность услуг SaaS (Software as a Service). Это, в свою очередь, создает ряд новых проблем, связанных с обеспечением безопасности, например, контролем доступа, защитой данных и защитой сетевой связи между облаком и пользователем.
Проблем прибавиться в обеспечении безопасности услуг IaaS (Infrastructure as a Service), которые полностью меняют то, каким образом компании используют IT-ресурсs. С одной стороны, они привносят значительные преимущества в отношении масштабируемости и гибкости, но, с другой, появляются новые угрозы, начиная от простых ошибок, которые могут подвергнуть атаке огромные объемы данных и поставить под угрозу работу всей системы.
Если за безопасность слоев, расположенных выше инфраструктуры, отвечают пользователи облачных услуг, – то традиционные методы защиты не всегда работают в облачных средах. Это приводит к возникновению различных ошибок проектирования и несоответствию защитных меры, когда новые способы защиты игнорируются. Такой сценарий открывает путь для многих новых нападений на IaaS.
DevOps возможность для хакеров
Гибкость и другие тенденции в создании программного обеспечения, такие как DevOps или DevSecOps, преобразуют IT-отделы, ответственные за обеспечение безопасности в компаниях. Повышенная скорость и производительность в предоставлении IT-услуг становится новой нормой. Такое изменение имеет преимущества, но также недостатки, например, большую вероятность возникновения ошибок. Это также возможность для кибер-преступников.
Как и в случае использования услуг SaaS и IaaS, компании имеют проблемы с применением системы безопасности в этих новых моделях автоматизации CI/CD (Continuous Integration/Continuous Delivery). Потому что окружающая среда постоянно меняется: обнаружить аномалии становится сложнее.
Например, многие системы начинают генерировать слишком много ложных тревог, чтобы можно было с ними эффективно справиться. Поэтому в ближайшие годы мы будем наблюдать всё большее количество случаев, когда злоумышленники будут использовать эту среду для скрытия своего присутствия в сети жертвы.
Тренды безопасности 2019 – ничего определенного
Будущее кибербезопасности не предрешено – конечно, мы в состоянии определить, какие тенденции более вероятны, но это потребители, игроки рынка и хакеры формируют реальность.
Как обеспечить себе безопасность и не дать застать себя врасплох? Вы можете начать с проработки сценариев, как будут развиваться события. Базовый сценарий должен быть простой экстраполяцией актуальных тенденций. Остальные должны описывать варианты будущего, в которых одна или более из актуальных тенденций существенным образом изменит условия игры.
Примером непредсказуемости может служить неоспоримое доказательство гипотезы Римана, ведущее к краху тенденций в современной криптологии.
Эксперты, участвовавшие в таком анализе сценариев, пришли к выводу, что не все решения, которые в настоящее время пользуются большой популярностью (например, блокчейн), имеют долгосрочный потенциал для значительного повышения уровня кибербезопасности. Такое «грязное» решение заманчиво, но относительно отдаленное и приносящее сравнительно небольшие выгоды потребителям.
В завершении стоит упомянуть поведенческую аутентификацию, которая может заменить современные биометрические решения. По мнению экспертов, это решение позволит значительно улучшить качество аутентификации и авторизации во всех проанализированных сервисах. Даже если нам придется ждать не более пяти лет, оно того стоит.
