Анализ актуальных киберугроз 2021

    Коллеги всем привет, меня зовут Александр Дворянский и я директор по стратегическим коммуникациям Infosecurity a Softline company, и сегодня мы будем говорить про актуальные сейчас тренды в области кибербезопасности, причем как со стороны защищающихся так и с позиции атакующих. Все предыдущие года я готовил аналогичный текст в начале года и рассказывал о трендах развития кибербезопасности на 2018 г., 2019 г., 2020 г. Однако, сегодня я отойду от этого правила, так как если с позиции защищающихся изменений не так много, а вот инструментарий атакующих очень быстро меняется.



    Итак поехали

    С точки зрения общих трендов


    1. Облачный и гибридный SOC в противовес on-premise

    То время, когда иметь SOC было просто модно, уже прошло. Спрос на услуги коммерческих SOC растет прямо пропорционально повышению ИБ-зрелости российского бизнеса. Как следствие, повышается число сервисных провайдеров, оказывающих услуги по подключению и сопровождению Центров мониторинга и реагирования на инциденты. Однако основываясь на статистике по проектам текущего года пользователи все больше и больше выбирают облачный сервис или “гибридную” схему на базе существующего у заказчика SIEM-решения. Тренд перехода к облачным сервисам SOC из года в год продолжает набирать обороты.



    2. Увеличение доли сервисов, оказываемых по модели MSSP

    Все больше крупных и средних организаций открывают для себя управляемые услуги, оказываемые сервис-провайдерами, по предоставлению сервисов информационной безопасности на коммерческой основе.

    В России модель MSSP еще только начинает набирать обороты, хотя до мировых показателей, конечно, еще далеко. Все больше заказчиков начинают доверять сервис провайдерами, передавать на аутсорсинг ключевые IT и ИБ процессы.

    3. 187 ФЗ получит новый виток в развитии

    За последние несколько лет законодательство РФ в области ИБ заметно ужесточилось. Внедрение средств защиты информации в государственных организациях регламентируется приказами ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Данная нормативная база будет нуждаться в обновлении: в обоих документах содержится конкретный перечень рекомендуемых для внедрения решений, однако часть из них уже технологически устаревает и не способна должным образом защитить информационные системы от современных внешних угроз. Выходит, что учреждения формально выполняют все требования по обеспечению информационной безопасности, а на деле их инфраструктура остается уязвимой.

    4. Увеличение расходов на кибербезопасность, ориентированных на соблюдение требований

    Ожидаемо что все больше организаций начнут увеличивать объем инвестиций в свою кибербезопасность и защиту данных, чтобы избежать санкций со стороны регулирующих органов в сочетании с дорогостоящими коллективными и индивидуальными судебными исками от клиентов, данные которых были украдены или скомпрометированы. Существенное увеличение расходов на нужды кибербезопасности, главным образом для того, чтобы избежать непредсказуемых, но потенциально больших юридических и репутационных потерь, вероятнее всего, станут отличительной чертой многих бюджетов на 2021 год.



    5. Кадровый голод

    Все больше молодых специалистов сразу после института хотят “все и сразу” не имея в своем багаже какого-либо существенного опыта. Им не интересно проходить долгий и сложный путь обучения и развития, набирая опыт и компетенции. Квалифицированные же специалисты в свою очередь, давно и успешно трудоустроены. Особенно остро такая проблема характерна для регионов с традиционно меньшим уровнем зарплат.



    С точки зрения атакующих


    1. Изощренные атаки программ-вымогателей стремительно увеличиваются

    Для всех, кто способен покупать биткойны или другие цифровые валюты станут легко доступны программы-вымогатели как услуга (RaaS). В отличие от огромного количества убыточных стартапов, сегодняшняя сцена киберпреступности характеризуется зрелостью, высокой производительностью труда и прибыльностью: одни группы разрабатывают сложные вредоносные программы, другие готовят масштабные атаки или предоставляют многоязычную поддержку по телефону для жертв, чтобы упростить выплату выкупа в биткойнах.



    2. Устаревшее программное обеспечение с открытым исходным кодом для снижения киберустойчивости

    Множество недокументированного программного обеспечения с открытым исходным кодом (OSS) — это бомба замедленного действия, готовая внезапно взорваться во многих компаниях малого, среднего и крупного бизнеса. В период пандемии большинство сильно пострадавших предприятий отдавало предпочтение недорогим предложениям по разработке программного обеспечения по всем другим критериям. Как следствие, они получили соответствующее качество кода и безопасность своего программного обеспечения, в том числе, с введенными недокументированными компонентами OSS и фреймворками для экономии времени программирования. Занятые феноменом WFH, команды по кибербезопасности не имеют достаточно времени для тестирования недавно разработанного программного обеспечения, которое в конечном итоге развертывается в производственной среде в условиях хаоса.



    3. Bug Bounties, чтобы продолжить преобразование в тестирование на проникновение

    Основоположник коммерческих платформ bug bounty продолжают изобретать себя заново, предлагая тестирование на проникновение нового поколения, red teaming и другие услуги, по подписке или разовые услуги. Примечательно, что при этом они обычно платя своим «охотникам за ошибками» за успех. Мировой рынок массового тестирования безопасности и раскрытия уязвимостей также нарушен бесчисленными стартапами, управляемыми сообществами и бесплатными проектами, такими как Open Bug Bounty, с более чем 1000 программами вознаграждения за ошибки на сегодняшний день.



    4. Варианты атак с повторным использованием паролей, нацеленных на третьих лиц для Snowball

    Несмотря на то, что 2020 год стал рекордным по количеству украденных данных и учетных данных, большинство взломанных логинов и паролей можно легко купить или найти в Dark Web и других хакерских ресурсах. Современные киберпреступники проницательны и прагматичны: они предпочитают безопасные и недорогие операции перед проведением изощренных хакерских кампаний с сопутствующим риском быть обнаруженными и привлеченными к ответственности.
    В этом году мы стали свидетелями впечатляющего количества очень успешных атак с повторным использованием паролей, нацеленных на третьих лиц, и мы ожидаем, что в 2021 году их число станет еще выше.



    5. Увеличенная внешняя поверхность атаки для упрощения и ускорения кибератак.

    Работа из дома привела к рекордному количеству открытых ИТ-ресурсов и облачных ресурсов, от открытых серверов RDP и VPN до устройств IoT и консолей администрирования устройств безопасности, таких как защищенные шлюзы электронной почты или межсетевые экраны веб-приложений. Бесчисленные организации бросились хаотично оцифровывать свои критически важные бизнес-процессы, не предпринимая никаких мер по обеспечению кибербезопасности и защиты данных. При переходе к поставщикам общедоступных облаков и использованию широкого спектра преимуществ, связанных с новыми технологиями, включая Docker и Kubernetes, большинство организаций не инвестировали в необходимое обучение безопасности для своего ИТ-персонала.

    Ожидается, что в 2021 году злоумышленники начнут свои APT-кампании с поиска таких неприхотливых плодов, прежде чем использовать дорогостоящие нулевые дни и проводить трудоемкие целевые фишинговые атаки.



    6. Работа из дома, чтобы помешать и замедлить внедрение DevSecOps

    DevSecOps приобрел большую популярность в последние несколько лет. Совместные усилия разработчиков программного обеспечения, ИТ-людей и кибербезопасности команд бесспорно приносят ловкость, эффективность затрат, а также позволят убедительно сократить количество данных нарушений и инцидентов в области ИБ. Хаос и серьезные разрушения пандемии COVID-19 свели на нет большую часть усилий: теперь люди работают изолированно от дома и имеют большее количество задач, что сокращает сотрудничество и общение с другими командами. Обучение внутренней безопасности также не всегда хорошо работает.



    7. Киберпреступники все чаще используют машинное обучение и искусственный интеллект при разработки более эффективных атак

    Уже несколько лет киберпреступники используют машинное обучение для автоматизации и оптимизации всевозможных задач и процессов: от профилирования жертв до более быстрого обнаружения устаревших систем. Однако враждебное использование ИИ сегодня преувеличено: мы все еще очень далеки от сильного ИИ в 2020 году, а с существующими системами машинного обучения и искусственного интеллекта не учитываются принципиально новые методы взлома.

    Практическое использование ML / AI просто ускорит, усилит и разнообразит векторы эксплуатации и повысит эффективность полезной нагрузки эксплойтов, что в конечном итоге затронет большее количество жертв за более короткий период времени. Растущая доступность фреймворков машинного обучения и специальных аппаратных возможностей, доступных для почасовой или ежемесячной аренды, будет способствовать дальнейшему распространению злонамеренного использования ИИ киберпреступниками. Скорее всего, в 2021 году злоумышленники станут еще более эффективными, быстрыми и организованными благодаря состязательному ML / AI.



    Softline
    Компания

    Комментарии 1

      0

      Заинтересовал 7-й раздел, но не очень поняла вот это: «...а с существующими системами машинного обучения и искусственного интеллекта не учитываются принципиально новые методы взлома»Имеется ввиду: 1) что существующие системы их не учитывают? Или 2) что они не учитываются, т.к. фокус внимания смещен на существующие системы?

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое