Ваш браузер устарел. Рекомендуем обновить его до последней версии.

НОВОСТИ

 Актуальное

Eset: банковские трояны проникли в Google Play

Читать

 Актуальное

 «СКБ Контур» выпустил бесплатный онлайн-сервис для получения банковских гарантий

Читать

 Актуальное

 Исследование: россияне переходят на мобильный интернет

Читать

ПАРТНЕРЫ

 

 

Аутсорсинг ИТ

Кибербезопасность — 2018−2019: итоги и прогнозы

 

2018: общие тенденции ИБ

Цифровизация, aka Уязвимость

В основе масштабной и быстрой цифровизации всех сфер жизнедеятельности и биз-неса, которую мы сейчас наблюдаем, лежит использование массы информацион-ных технологий (как уже апробированных и вызывающих доверие, так и новейших).Однако, как показывает практика, даже в уже использующихся годами технологиях вопросы безопасности не решены. Всеобщая безопасность спотыкается о грабли несоблюдения основ кибергигиены: в пугающем количестве аудитов мы сталкива-емся с необновленным ПО, с отсутствием культуры патч-менеджмента, с дырявым периметром. В сухом остатке мы имеем общий рост числа инцидентов (по нашей оценке, в этом году число инцидентов ежеквартально увеличивалось на треть).Не меньшую роль в условиях цифровизации общества и бизнеса играет сращива-ние и взаимопроникновение информационных технологий — веб-сервисов, теле-коммуникационных систем, систем защиты, информационных систем и других (за-частую в рамках одного бизнес-процесса). На их стыках возникают так называемые слепые для узкоотраслевых экспертов зоны, открывающие киберпреступникам но-вые возможности для гибридных атак, то есть атак, использующих уязвимости самых различных технологий. Такие атаки были и раньше, но их было исключительно мало,сейчас число их увеличивается, так как технологии нападения идут вперед семи-мильными шагами, с успехом используя все нюансы цифровизации. Опыт показыва-ет, что на практике в условиях цифровизации сосуществуют обе тенденции (иногда даже в рамках одной компании), сохраняя свою актуальность.

Изначальная нерешенность задач кибербезопасности на уровне IT благодаря стар-товавшей в государстве идее цифровизации сейчас оперативно масштабируется на сферы жизнедеятельности и бизнеса, исторически не подготовленные к эф-фективному отражению кибератак: на сектора реальной экономики, интернет ве-щей, частную жизнь граждан и пр. В связи с этим бизнес неизбежно должен начать уделять больше внимания оценке реального положения дел в каждой отдельно взятой информационной системе и с большей точностью просчитывать варианты последствий. В свою очередь, это станет катализатором для развития технологий различного типа — от интеллектуального управления активами до расследова-ния инцидентов с различным уровнем ретроспективы и адаптацией к уникальным инфраструктурам.

 

Динамика отечественного рынка ИБ

 

 

Итоги 2018 года показывают, что в общей сложности рынок ИБ в России вырос очень незначительно: общий прирост не превысит 10% по сравнению с показателями про-шлого года. При этом позитивную динамику рынок получает за счет запуска отдель-ных проектов в области цифровизации федерального уровня (например, перево-да городского хозяйства на новые технологии, появления умных городов, умного транспорта, государственных сервисов), а также за счет ряда крупнейших игроков отечественного рынка, выбравших для себя путь цифровой трансформации и пони-мающих необходимость некоей безопасности 2.0 — подхода, основанного не толь-ко на отражении атак, но и на проактивном выявлении угроз.

Одним из ключевых драйверов отечественного рынка продолжают оставаться деятельность регуляторов и государственные инициативы, направленные на по-вышение защиты критически важных инфраструктур. Под давлением регуляторов компании серьезно подойдут к безопасности, проведут категорирование и начнут более пристально вглядываться в собственную инфраструктуру. Это дает основания ожидать обнаружения старых целевых атак. Объекты КИИ обратят внимание на свою инфраструктуру и начнут выявлять у себя инциденты, увидят, что были атакованы какое-то время назад. В следующем году мы ожидаем новостей из мира большого бизнеса о такого рода взломах и атаках.

 

APT, шпионаж и фишинг

С точки зрения массовых эпидемий прошедший год был спокойным, но в целом си-туация не улучшилась. Число уникальных киберинцидентов продолжает увеличи-ваться: по нашей статистике, средний прирост числа инцидентов за три квартала этого года составил 34%. Одна из причин — существенно снизившийся порог входа в киберпреступность: злоумышленнику уже не нужно обладать высоким уровнем знаний в области IT, достаточно купить готовые инструменты и инструкции в дарк-вебе. На рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами,аспрос наразработку и распространение ВПО значительно превышает предло-жение. При этом использование криптовалюты для оплаты существенно упрощает куплю-продажу. К тому же наличие криптовалют как таковых обеспечило злоумыш-ленников новым способом относительно легкой монетизации взломанных ресурсов:например, пять лет назад продажа доступа к 1000 взломанных ПК приносила злоу-мышленнику до 20 $, теперь же, имея доступ к этим же 1000 ПК, он может зарабаты-вать до 600 $ ежемесячно на майнинге криптовалюты. В нашей практике в этом году был опыт расследования инцидентов, в ходе которых злоумышленники получали не-легитимный доступ к серверам, используя уязвимости в phpMyAdmin, формировали ботнет и с его помощью майнили криптовалюту (в одном из случаев ботнет числен-ностью около 5000 серверов обеспечивал злоумышленнику прибыль около 200 000руб. в месяц). Это, конечно же, в первую очередь приводит к росту массовых атак в целом.

Что касается корпоративного рынка, то он все чаще оказывается жертвой APT.По итогам прошлого года мы отмечали, что так или иначе с целевыми атаками столкнулась практически каждая вторая организация. В этом году ситуация сохра-нилась. В силу ужесточающихся требований со стороны регуляторов в области обнаружения и предупреждения компьютерных атак все большее число компаний задается вопросом: «А не взломаны ли мы?». В половине случаев в нашей практике ответ на этот вопрос положительный. Ретроспективный анализ событий ИБ и рабо-ты по тестированию на проникновение выявляют векторы проникновения в инфра-структуру, следы того, что эти векторы уже были использованы, а также следы при-сутствия злоумышленника в инфраструктуре.

Проводимый нами анализ киберугроз в этом году показал, что целевые атаки впер-вые стали преобладать над массовыми, а их доля составила 54% и 55% во втором и третьем кварталах соответственно. И в ближайшее время компании все чаще бу-дут сталкиваться именно с целевыми атаками: чем эффективнее выстраиваемая ор-ганизациями защита, тем менее успешными являются массовые атаки на них, это не-избежно приведет к росту АРТ.

Нельзя также сбрасывать со счетов и сложные длительные атаки на промышленные предприятия, целью которых чаще всего является промышленный шпионаж. В 2018году в рамках расследований команда PT Expert Security Center обнаружила следы компрометации некоторых компаний из отрасли промышленности новой группи-ровкой, названной экспертами TaskMasters1. Проведенный анализ показал, что пер-вичное проникновение в инфраструктуру этих компаний произошло несколько лет назад (самые ранние случаи — 2010 год).

 

Как правило, госкомпании становятся жертвами атак на веб-приложения с целью подмены страниц сайта (дефейса) или отказа в обслуживании, но не меньшее чис-ло атак направлено на хищение данных (планов стратегического развития, инфор-мации ограниченного доступа и т. п.). В течение года эксперты PT Expert Security Center зафиксировали на территории России и стран СНГ активность 12 различныхAPT-группировок, нацеленных именно на получение данных. При этом участились случаи использования фишинга, направленного на личные (не корпоративные)электронные адреса сотрудников и особенно топ-менеджмента компаний, для по-следующего развития атаки.

С большой долей вероятности атаки с целью кибершпионажа продолжатся и в 2019году. При этом можно прогнозировать, что большинство из них станут всего лишь продолжением ранее успешно выполненных проникновений.

Бессмертный Cobalt & Co.

По данным ФинЦЕРТ, ущерб банков от кибератак в 2018 году значительно снизился по сравнению с прошлым годом (с более чем 1 млрд рублей до 76,5 млн). Это мо-жет быть связано с арестом лидера группировки Cobalt. Тем не менее атаки не пре-кратились: в течение этого года рассылки от Cobalt (или ее части) фиксировались экспертами PT Expert Security Center в общей сложности более 50 раз. Группировка несколько раз в течение года меняла свой инструментарий: сначала это был Beacon Cobalt Strike, в середине года — JS-backdoor, а к концу года — CobInt. В течение года несколько раз поменялась тактика доставки вредоносных вложений: вредоносный документ, архив с паролем, ссылка на вредоносный документ в теле письма, вло-жение в виде PDF-файла. В своих вредоносных документах они используют свежие эксплойты (например, в одной из декабрьских рассылок была использована уязви-мость нулевого дня — в течение нескольких часов после ее появления), использу-ют новые методы атак и инструменты, адаптируя их для своих нужд за считанные часы. География атак в этом году была обширной: Россия и СНГ, Болгария, Боливия,Великобритания, Вьетнам, Германия, Италия, Кипр, Польша, Румыния, Сербия, Турция,Филиппины, Эстония, ЮАР и другие страны.

Помимо этого, на протяжении года на территории России и стран СНГ проявляла ак-тивность группировка Silence, которая также специализируется на атаках на финан-совый сектор. В общей сложности было зафиксировано пять их атак (интенсивность совпадает с прошлогодней). Появилась и новая группировка: используемый инстру-ментарий, методы атак и ряд других артефактов не позволяют соотнести ее с одной из уже известных. За период с октября по декабрь были зафиксированы две рассылки.

Хотя успешных крупных хищений на территории России в этом году не было, однако общая активность группировок позволяет прогнозировать возможное увеличение фиксируемого ФинЦЕРТ ущерба в 2019 году.

 

Киберпреступник — кто он?

Сегодня грань между преступностью и киберпреступностью практически стерта:провести хакерскую атаку может едва ли не каждый. Тем не менее нынешний кибер-преступник — это в большинстве случаев группировка; одиночек, организующих атаку самостоятельно от начала и до конца, нет. Атаки стали сложнее, и злоумыш-ленникам необходимо кооперироваться. И даже если троян в дарквебе покупает кто-то один, очевидно, что такой человек не пишет вредоносное ПО сам, а покупает криптор и уже с приобретенным пакетом проводит атаку. То есть даже в этом случае у него есть подельники. Успешный хакер сегодня — это хороший управленец, кото-рый набрал команду, а сам, возможно, вообще не является программистом. Это зна-чительно затрудняет атрибуцию атак при их расследовании, а также увеличивает общее число вовлеченных в киберкриминальную деятельность субъектов.

 

Старый добрый фишинг

По-прежнему основными методами проникновения в инфраструктуру компаний,в том числе банков, остаются фишинг и использование вредоносного ПО: в 61%атак на банки в первой половине 2018 года мы видели эти методы. Так действуют,например, упомянутые выше группы Cobalt и Silence. Наиболее вероятная мишень преступников в этом случае — банки среднего звена, у которых можно украсть достаточно большие суммы денег и которые не готовы вкладывать сверхбюджеты в обеспечение собственной безопасности. Небольшие банки могут оказаться про-межуточным звеном атаки: например, с компьютеров их сотрудников могут рассы-латься фишинговые письма в адрес их коллег из более крупных банков. В тренде у преступников использование уязвимостей в продуктах Microsoft, причем все чаще используются вновь опубликованные эксплойты (окно между появлением новой технологии и принятием ее на вооружение может исчисляться часами). Более того,стоит ожидать, что преступники будут вкладывать значительные средства в закупку неопубликованных эксплойтов для уязвимостей нулевого дня на теневом рынке.
 

Процессорные уязвимости

Стадии развития технологий в современном мире весьма последовательны: от воз-никновения идеи, которая может дать какую-то выгоду, разработки концепции зара-ботка на ней, реализации ее бизнесом, до востребованности пользователями — и за-интересованности в ней злоумышленников, желающих обогатиться. В этот момент бизнес начинает привлекать ИБ для обеспечения работоспособности системы в слу-чае кибератак таким образом, чтобы при этом не страдали ее пользователи. При этом сама такая идея может изначально оказаться в эксплуатации не у конечного пользо-вателя (не обладающего достаточными ресурсами для обеспечения безопасности),а у другого бизнеса, которому есть что терять, и он готов превентивно заплатить за снижение рисков. Бывают, однако, случаи, когда исследователи начинают действо-вать по собственной инициативе (почти так получилось с Intel Management Engine).

 

Сколько еще будет уязвимостей в процессорах

При разработке концепций современных процессоров ключевой целью были вы-числительные мощности и быстродействие. Однако оптимизация в погоне за ско-ростью подарила нам впоследствии уязвимости Meltdown и Spectre. Безусловно,уязвимости в процессорах ведущих производителей — один из основных трендов2018 года, и есть все основания ожидать в будущем продолжения истории, которая пока только началась. При этом сложно прогнозировать, когда она закончится, пото-му что общее число специалистов по ИБ, которые в полной мере понимают, как ра-ботают современные процессоры, мало: архитектура CPU не документирована,и уязвимости находят по крупицам. Скорее всего, проблем безопасности в процес-сорах гораздо больше, и исследователям нужно просто задаться целью их поиска.Не последнюю роль в развитии темы играют и максимальные в истории программbug bounty выплаты со стороны Intel: за выявленную уязвимость уровня Meltdownисследователь может получить до 250 тысяч долларов. Последствия ошибок в CPUмогут иметь отложенный эффект: более пяти лет назад исследователи предупре-ждали о том, что гипотетический злоумышленник может спрятать вредоносный код во флеш-памяти, и даже обновление ПО не поможет от него избавиться. А пер-вый массовый случай использования такой атаки был зафиксирован только в этом году. По аналогичному сценарию может развиваться история обнаруженной нами уязвимости в Intel Management Engine: злоумышленники начнут ее использовать,как только научатся это делать.

 

Когда уязвимости в CPU начнут использовать

Пока исследователи на шаг впереди атакующих: мир еще не сталкивался с экс-плуатацией процессорных уязвимостей. В частности, использования Meltdownмы пока не видели, скорее всего, потому, что пока нет эффективного (в сравнении с уже используемыми) способа монетизации этой уязвимости. Наши исследования показывают, что именно финансовая выгода является одним из ключевых моти-вов для атакующих. Это актуально и в истории с Intel ME: слишком сложно что-то делать с флеш-памятью, прошивками и чипсетами, тогда как банальный фишинг позволяет получить большую отдачу при меньших вложениях; социальная инже-нерия значительно проще позволяет выполнить успешную атаку: в среднем 27%сотрудников склонны переходить по ссылкам из фишинговых писем. Таким обра-зом, неиспользование атакующими процессорных уязвимостей в массовых (тира-жируемых) атаках связано с экономией ресурсов. С другой стороны, есть области,в которых меры безопасности реализованы максимально жестко (к примеру, это х арактерно для некоторых научно-исследовательских, оборонных, промышленных объектов), поэтому эксплойты под процессорные уязвимости могут создаваться про-двинутыми кибергруппировками в рамках целевых атак уже сейчас. Но такие атаки вряд ли будут массовыми. Спровоцировать массовость использования уязвимостей в CPU может либо появление нового способа их эффективной монетизации — либо очередная утечка готового инструментария, как было в случае с EternalBlue.

Продолжение читайте здесь

Политика cookie

Этот сайт использует файлы cookie для хранения данных на вашем компьютере.

Вы согласны?