Итоги 2017 года в сфере ИБ: угрозы, инциденты, тренды, события
В декабре всегда принято подводить итоги года. Это повод еще раз вспомнить за прошедшие несколько месяцев все самые важные, ключевые и интересные события, инциденты, факты, новости и открытия потрясшие мир ИТ и ИБ-индустрии. Еще это и повод выучиться на ошибках, вынести ценный опыт из имевших место кейсов, и конечно же уловить те тренды, что будут преобладать в наступающем периоде!
И 2017, безусловно, не стал исключением. Он запомнился многими яркими моментами: вирусы-шифровальщики, новые эксплоиты, взлет биткоина, ICO и невероятный рост популярности продуктов основанных на блокчейн технологии, машинное обучение и ИИ для ИБ, становление отечественных SOC и утверждение новых требований КИИ, всплеск malware на мобильных платформах, снова атаки на банки, следующий за ним ГОСТ по безопасности ФинТеха и еще целая куча чуть менее заметных, но не менее важных и весомых событий
И конечно, же 2017 принес очень многое лично для меня, это и выступление на PHDays и победа на ZeroNights, собственные исследования, подрастающая дружина молодых коллег в Политехе, новые знакомства, встречи, приятное общение и безумный драйв на многих очень крутых и интересных проектах!
Знаковые события в ИБ
1. Шифровальщики
Вирусы-шифровальщики уже сами по себе давно
Wikileaks и утечки данных
Wikileaks продолжит публикацию информации о Vault 7, которая содержит описание глобальной программы ЦРУ США для взлома электронных устройств.
ИТ-технологии
Машинное обучение для ИБ
Машинное обучение — технология, которая дарит компьютерам когнитивные способности. Благодаря ей машины не используют детерминированные алгоритмы, а могут выполнять задачи по-разному. Это можно назвать прообразом искусственного интеллекта. Это здорово облегчают повседневные задачи: мобильные телефоны распознают голосовые команды, поисковые системы выдают лучшие запросы, почта отличает и отфильтровывает спам.
Аналитик 451 Research Эрик Огрен утверждает, что машинное обучение, которое анализирует поведение пользователя, — крупнейшая тенденция в области безопасности в 2017 и грядущем 2018 году. Оно дает шансы предотвратить ущерб от атак, которые были не замечены стандартными средствами обороны. Благодаря нему становится возможным сформировать статистический профиль нормальной активности пользователя, устройства или сайта и идентифицировать события, выходящие за обычные рамки. Поведенческая аналитика позволяет предотвратить нарушения безопасности и несанкционированный доступ к закрытым сведениям.
Нормативно-правовое регулирование ИБ
1.Федеральный закон о КИИ
В уходящем году особенно актуальной стала проблема кибербезопасности. Новый федеральный закон N187-ФЗ «О безопасности критической информационной инфраструктуры РФ» только подчеркивает необходимость и важность защиты каждой системы. И не просто рекомендует, а обязывает компании различных отраслей (как государственные, так и коммерческие) защищаться и вводит механизмы контроля эффективности защитных мер.
2. SOC, ГосСОПКА и FinCERT
Сформировалась новая для российского рынка концепция «частно-государственного» партнерства в области безопасности. Данная схема предполагает наличие государственных или частных систем, которые нужно защищать. Во главе схемы располагается государство в лице 8 центра безопасности ФСБ России, которое отвечает за функционирование системы ГосСОПКА, и есть разнообразие корпоративных и ведомственных центров реагирования на компьютерные атаки. В результате получается, что общегосударственная защита информационных систем распределяется между государством и коммерческими компаниями. При этом появляется возможность реализовывать аутсорсинг информационной безопасности. В конечном счете создается система взаимосвязанных субъектов: защищающиеся системы, ГосСОПКА, государство. Система ГосСОПКА и требования закона N 187-ФЗ не гарантируют, что систему невозможно будет взломать, но выполнение этих требований и создание центров ГосСОПКА позволит отсечь 90% примитивных атак, позволив сконцентрироваться на высокоуровневых.
3. GDPR или защита Персональных данных по европейски
Закон о защите персональных данных (GDPR), вступающий в силу в 2018 году в Евросоюзе, определяет, насколько система является значимой для субъекта обрабатываемых персональных данных. Для значимых информационных систем вводятся привычные нам понятия: национальное регулирование, сертификация систем на требования национальных регуляторов. От добровольной защиты информационных систем западный мир переходит к императивным подходам, т.е. обязательным требованиям по защите информации. Таким образом, и российский и зарубежный рынок сейчас задаются одним и тем же вопросом: что мы должны сделать, чтобы привести свою систему защиты к соответствию с новыми видами законодательства
Общие тенденции
Ключевыми событиями 2017 года, безусловно, были атаки вымогателей WannaCry, ExPetr и BadRabbit. Исследователи полагают, что за WannaCry стояла известная хакерская группировка Lazarus. На данный момент число жертв этого вымогателя, который распространялся с ошеломляющей скоростью, оценивается в 700 тыс. пользователей по всему миру.
В 2017 году мы наблюдали возобновление целевых атак, направленных на уничтожение данных наряду с их кражей либо вместо нее. Примерами могут служить Shamoon0 и StoneDrill. Другой пример того, как киберпреступники могут достигать своих целей, используя дешевые инструменты и тщательно выбирая своих жертв, – вредоносная кампания Microcin.
В 2017 году стало очевидно, что злоумышленники, реализующие сложные угрозы, широко применяют обычную кражу средств для финансирования своей высокозатратной деятельности. В частности, мы рассказали о BlueNoroff – команде в составе группировки Lazarus, которая занимается финансовыми махинациями. Среди мишеней BlueNoroff были, среди прочего, финансовые учреждения, казино, разработчики ПО для финансовых трейдеров и предприниматели, чей бизнес связан с криптовалютами. Одной из наиболее значимых кампаний BlueNoroff стали атаки на финансовые учреждения в Польше.
В 2017 году продолжился рост числа атак на банкоматы.Мишенями злоумышленников стала банковская инфраструктура и платежные системы, а в ходе атак, помимо таких примитивных методов, как заклеивание объективов камер и сверление отверстий, применялись продвинутые бесфайловые зловреды.
Спустя год после активности ботнета Mirai в 2016 году, ботнет Hajime смог заразить 300 000 подключенных устройств – и это лишь одна из многих кампаний, нацеленных на подключенные устройства и системы.
В 2017 году имели место крупные утечки данных из компаний Avanti Markets, Election Systems & Software, Dow Jones, America’s Job Link Alliance, Equifax и др., от которых в целом пострадали миллионы пользователей. Также в ноябре 2017 года стало известно об утечке из Uber, произошедшей в октябре 2016 г., в результате которой были опубликованы данные о 57 миллионах пользователей и водителей такси.
Чуть-чуть о том, что будет трендом в 2018
Ответом на усложнение атак стал рост интереса к построению центров мониторинга безопасности (SOC). Уже в 2017 году около 10 компаний приступили к созданию своих SOC, а в 2018 это число вырастет в три раза.
Безопасность умных автомобилей. Заражение через Wi-Fi или Bluetooth—подключение может обеспечить злоумышленникам полный контроль над системами машины.
Зловреды для Android. В уходящем году владельцы устройств на мобильной ОС от Google столкнулись с целым рядом новых угроз. Это и первый гибридный банкер-троянец, и миграция с Linux уязвимости Dirty COW, позволяющей перехватить контроль над устройством, и скрытые функции приложений.
Скрытая добыча криптовалют и кража токенов. Майнинг биткойнов требует все больших ресурсов, и злоумышленники пытаются использовать для обогащения крупные ботнеты.
IoT-ботнеты. Сеть Mirai, объединяющая сотни тысяч подключенных устройств, чтобы проводить DDoS-атаки, ставит вопрос об опасности «умных» гаджетов. В 2017 году ботнет распространился и на Windows-машины. Защищенность IoT-устройств, количество которых к 2020 году можетдостичь отметки в 50 млрд штук, становится проблемой критической важности.
Продолжится рост логических атак на банкоматы (только за первое полугодие 2017 года общий объем атак такого типа в странах Европы вырос на 500%). Банки, в свою очередь, станут еще активнее интересоваться реальными угрозами, грозящими финансовыми потерями, и оценивать риски