Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры

    Начнем выпуск с еще одной производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или некая реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).

    В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации, так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей. Впрочем, пока рано говорить о том, что искуственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».

    С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна, да собственно уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак. С другой, почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой Ватсонов каждое крупное предуприятие. Доля «ручного труда», а точнее необходимость в высококлассных экспертах для расследования угроз, остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача. Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машин лернинга, обещая, что «компьютер все поймет», и сам научится детектировать любые атаки. Не научится. Почему — объясню под катом.

    Предыдущие выпуски сериала — тут.

    Из всех недавних успехов в области искусственного интеллекта на слуху больше всего победы машин над людьми к интеллектуальных играх. Deep Blue против Каспарова в шахматах, Watson в «Своей игре», и, совсем недавно, победа суперкомпьютера в го. В марте, когда я был на конференции RSA, победа в го упоминалась чуть ли не в каждом втором выступлении. Процитирую президента RSA Амита Йорана по данной теме: AI — это круто, но не надо ожидать каких-то прорывов в этом направлении применительно к IT безопасности, основываясь на сегодняшних успехах.



    Одно дело — победить пусть даже и в сложной «человеческой» игре, другое — иметь возможность предсказывать и предотвращать кибератаки. В первом случае ведется игра по правилам. Во втором — никаких правил нет. ИИ в ИБ помогает только в решении отдельных задач, и чем больше будет таких «обучаемых» технологий, тем больше времени будет у эксперта, чтобы заниматься другими проблемами — оценивать риски, предсказывать векторы атаки и предотвращать самые сложные инциденты. Заменить человека полностью пока не получается и вряд ли получится.

    Опасные уязвимости в Windows и Adobe Flash уже используются для атак на пользователей и розничные сети
    Новость про Microsoft. Новость про Adobe.

    Уязвимость в Windows патчилась два раза: частично дыра, позволяющая выполнять произвольный код с системными привелегиями была закрыта в одном из апрельских пакетов заплаток, а окончательно — в свежем обновлении, выпущенном в этот вторник. Уязвимость затрагивает все актуальные версии Windows, от 7 до 10, и обнаружена была, увы, в ходе анализа серии успешных атак. Причем, киберпреступники прицельно искали компании и устройства, используемые для обработки платежей с кредитных карт. Кампанию в марте обнаружила компания FireEye: первоначальное проникновение в сеть жертвы проводилось традиционно, с помощью «подготовленного» документа Word, рассылаемого по e-mail. В общем, упомянутый мной ранее сезон атак на американские розничные сети продолжается: киберпреступники стараются успеть до введения платежей EMV (с чипом и пинкодом, как во всех нормальных странах), с которыми перехват данных кредиток значительно усложняется.

    Критическая уязвимость в Adobe Flash то ли используется, то ли нет: в Adobe утверждают, что не видели атак, независимые источники опровергают. Учитывая потенциальную опасность уязвимости (эксплуатация может вызвать сбой приложения и получение контроля над системой), Adobe заранее предупредила о ее обнаружении 10 мая, а 12-го — выпустила кумулятивный патч.

    Криптолокеры: взгляд со стороны жертвы
    Статья на Threatpost.

    Самая популярная публикация на Threatpost на этой неделе новостью не является, но показывает под неожиданным углом проблему троянов-вымогателей. Взглядом на проблему со стороны жертвы поделился IT-специалист компании, управляющей онлайновым казино, попросивший перед публикацией не называть имен. В компании работают около тысячи сотрудников. Несмотря на то, что такой бизнес весьма уязвим перед кибератаками, как это часто бывает, IT-безопасность не является самым главным приоритетом — других проблем хватает.

    В материале приводится пример реальной атаки криптолокера на инфраструктуру компании. Точкой входа оказывается внешний консультант — специалист, работающий удаленно на ноутбуке, предоставленном компанией. По какой-то причине лаптоп оказывается ничем не защищен, зато имеет подключение к корпоративным сетевым папкам, как утверждается, из-за неправильной конфигурации (файловые шары примонтированы в папку Public пользовательского раздела, не самый лучший вариант). После попытки открыть вложение в письме, похожем на привычный инвойс, начинается шифрование данных. И здесь хорошо заметно, как медленно реагирует на эту проблему и пользователь, и специалисты по IT, в то время как реагировать надо быстро.



    Владелец ноутбука полчаса дозванивается до поддержки, ему все еще кажется, что произошла какая-то техническая неисправность. Пока он объясняет, что происходит, шифрование данных продолжается, наконец он получает правильный совет: отключить ноутбук от сети, прямо сейчас. Тем временем успевают зашифроваться файлы на сервере и некоторых других компьютерах сотрудников, также криво подключенными к сетевым папкам. В общем, история типичная: атака через самое уязвимое звено, которым обычно оказывается подрядчик или фрилансер, шифрование данных на компьютере и на сетевых папках, быстрое распространение проблемы по сети. К счастью, в данном случае, важные данные не были потеряны и работа компании не была нарушена. Наконец, интересное частное наблюдение: если полгода назад админы компании фиксировали одну попытку атаки криптолокером в день, то теперь блокируют минимум три. Компания была атакована троянцем TeslaCrypt, о котором мы подробно писали в прошлом году.

    Что еще произошло:
    Еще одна уязвимость в системном ПО на ноутбуках Lenovo.

    Интересный лонгрид о сложных взаимоотношениях американского ФБР и восточноевропейского киберкриминала в журнале Wired.

    Криптолокер пытался атаковать американский конгресс.

    Создателя анонимной платежной системы LibertyReserve посадили на 20 лет.

    Древности:
    «Something-658»

    Резидентный очень опасный вирус, записывается в начало запускаемых COM-файлов. 11 числа ежемесячно стирает файл C:/AUTOEXEC.BAT, записывает в него команды DEL *.COM, DEL *.EXE, а затем создает файл SOME нулевой длины. Перехватывает int 21h. Содержит тексты: «Something v1.1», «some c:\autoexec.bat del *.com del *.exe».

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 83.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    «Лаборатория Касперского»
    367,98
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поддержать автора
    Поделиться публикацией

    Комментарии 2

      0
      Я вот сколько читаю такие посты, столько же раз вижу, что отакован был через зараженный файл word. До сих пор не могу понять, почему же люди не могут понять того, что на рабочем компьютере, который обслуживает банк, ненужно открывать никаких вложений, кроме тех, что пришли с внутренний почты, но нет же.
        0
        >>который обслуживает банк, ненужно открывать никаких вложений, кроме тех, что пришли с внутренний почты, но нет же.

        Видел в реальности почтовые сообщени с вирусами с почтовых адресов внутренней почты.
        На этом компьютере вообще не должно быть почты. На компьютере установлены только клиент-банки и терминальный доступ к бухгалтерской программе.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое