Всем привет, меня зовут Александр Дворянский, я коммерческий директор компании «Инфосекьюрити». Сегодня мы рассмотрим основные тренды и векторы развития кибербезопасности, как мировые, так и Российские, которые на мой взгляд будут актуальны в ближайшее время.
Если перевести все энциклопедические километровые дефиниции в емкое и понятное всем определение, то, как бы это банально не звучало, кибербезопасность это противодействие возникающим опасностям, а основывается оно, естественно, на защите и предотвращении атак хакеров.
Таким образом, тренды кибербезопасности напрямую связаны с целями и задачами злоумышленников. Их то мы сейчас и рассмотрим.
С точки зрения нацеленности, по-прежнему, атаки хакеров направлены на крупные компании, в том числе финансируемые государством, промышленные системы и другие критические инфраструктуры. Но помимо масштабных по размерам целей, хакеров вполне интересуют и «рыбы поменьше»: маршрутизаторы и прочее сетевое оборудование, IoT устройства, и аппаратные уязвимости (вроде Spectre и Meltdown).
При этом отдельно хотелось бы отметить атаки, производимые через так называемую цепочку поставок. По факту, первым делом производится взлом ваших доверенных контрагентов, а потом уже от их имени вы получаете какое-нибудь вложение с шифровальщиком.
Теперь рассмотрим другую сторону медали, то есть основные цели взлома. Здесь следующие пункты:
«Бред!» — скажете вы. «А вот и нет» — отвечу я вам.
Сами того не замечая, специалисты компаний оставляют различные данные о себе, своих внутренних доменах, учетных данных, логинах, пароля на просторах интернета. Так, мы неоднократно находили на публичных ресурсах вроде github и pastebin, подобную чувствительную информацию. Без сомнений, хакеры с радостью ей воспользуются.
Ну а теперь разберемся с обратной стороной: с тем как будем защищаться, и что сейчас модно.
На российском рынке про SOC сейчас не говорит только ленивый. Для разработчиков – это глубокий рынок, для заказчиков это возможность качественно повысить общий уровень информационной безопасности компании и построить комплексную эшелонированную защиту.
Все больше участников рынка отдают свои предпочтения сервисной модели подключения к центрам мониторинга и обработке событий ИБ или сделают это в ближайшие 2 года, нежели чем возьмутся за постройку своего собственного. Это связано в первую очередь с существенно более низкой стоимостью решения и более быстрым сроком возврата инвестиций. Так же заказчику нет необходимости формировать и содержать команду аналитиков, которые, к слову сказать, сегодня совсем недешево стоят.
В свою очередь, игроки российского рынка мониторинга событий ИБ все чаще прибегают к обмену опытом коллегами по цеху со всего мира. Это подтверждает и аккредитация нескольких компаний профессиональным сообществом CERT Института Карнеги Мелоуна, некоторые из них даже входят в международное сообщество центров реагирования на инциденты ИБ: FIRST.
Все больше крупных и средних организаций открывают для себя управляемые услуги, оказываемые сервис-провайдерами, по предоставлению сервисов информационной безопасности на коммерческой основе.
В чем же ценность для клиентов и почему за MSSP ближайшее будущее?
Во-первых, это сокращение расходов, поскольку нет необходимости покупать специализированное ПО и оборудование, кроме того оплата происходит исключительно за фактически оказанные услуги клиенту.
Во-вторых, услуги оказываются профессионалами, которые, основываясь на собственном опыте, помогут вам быстро и грамотно реагировать на инциденты и справляться с другими трудностями.
Вам же, в свою очередь, остается сосредоточиться на основном бизнесе и забыть об ИБ, ну или же только контролировать и оптимизировать услуги, оказываемые сервис-провайдером.
В России MSSP еще только начинает набирать обороты, хотя до мировых показателей, конечно, еще далеко. Все больше заказчиков начинают доверять сервис провайдерами, передавать на аутсорсинг ключевые IT и ИБ процессы.
1 января 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее – Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу, и перед всеми субъектами КИИ встала животрепещущая необходимостью их выполнения, вот более менее унифицированный алгоритм действий.
По закону, субъекты КИИ должны:
А подключение к ГосСОПКА требует от субъектов КИИ следующего:
Кроме того, по индивидуальному решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. Но в такой модели субъект дополнительно обязан обеспечивать его сохранность и бесперебойность функционирования. Другими словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
Вывод, если ты субъект КИИ, не важно какого класса, ты обязан сообщать обо всех инцидентах в ГосСОПКА. Наказание за неисполнение или ненадлежащее исполнение требований законодательства, здесь суровое вплоть до уголовного. Поэтому все субъекты КИИ, государственные, коммерческие, вплоть до ИП (если он вдруг оказывает подобные услуги) в обязательном порядке должны и будут проводить мероприятия для соответствия требованиям законодательства.
В целом, рынок страхования кибер-рисков сейчас только набирает развиваться, но уже к 2023 году по оценке экспертов размер страховых премий на российском рынке составит 1 млрд. рублей.
Важным фактором с точки зрения принятия решения в пользу страхования кибер-рисков является политика государства по данному вопросу. Так Минфин выпустил письмо, согласно которому разрешил организациям учитывать убыток от кибер-атак как расход и тем самым снижать базу для расчета налога на прибыль, но для этого необходимо сообщить об атаке в правоохранительные органы, которые, при наличии экспертного заключения, должны возбудить уголовное дело. Однако при отказе в возбуждении уголовного дела по каким-либо причинам, снизить налоговую базу не удастся.
Следовательно, любая атака злоумышленников в таком случае будет нести за собой не только финансовые потери для организаций, но и дополнительные репутационные риски. А клиенты и контрагенты смогут сделать соответствующий вывод о благонадежности организации.
В это же время, использование полиса страхования от кибер-рисков, напротив, демонстрирует стремление организации защитить и обезопасить клиентов от действий злоумышленников.
Хочу подчеркнуть, что превентивные меры по организации безопасности данных по-прежнему являются самым логичным и действенным инструментом снижения вероятности и возможного ущерба от кибер-атак.
С 1 июля 2018 в России вступил в силу закон № 482-ФЗ о биометрической идентификации граждан, предусматривающий создание единой базы биометрических данных всех жителей страны. Следовательно, всем организациям, так или иначе имеющим отношение к данному закону, будет необходимо с помощью специализированного программно-аппаратного комплекса обеспечивать прием, хранение, а самое главное защищенную передачу биометрических данных пользователей.
На данном этапе внедрение Биометрической системы существенно облегчит жизнь клиентов банков за счет упрощения процесса оформления финансовых продуктов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт – достаточно сопоставить голос и лицо с записями в базе. Клиент банка может оформить любой его продукт – например, вклад или кредит – в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или вовсе отсутствует.
А банкам в свою очередь, подключение к ЕБС поможет выполнить требования законодательства, в части безопасности передаваемых и получаемых данных из Единой биометрической системы.
Повышение осведомленности – это не только направление информационной безопасности, но и один из ее вечных трендов. Если компания не обучает своих сотрудников правилам ИБ, то нарушение этих правил практически неизбежно: даже самый добросовестный сотрудник не может соблюдать то, чего не знает. Плюс в последние десятилетия мошенники, которые хотят заполучить ценные данные, активно используют социальную инженерию. При атаках такого рода человеком манипулируют, паразитируют на его слабостях – любопытстве, доверчивости, боязни санкций со стороны начальства.
Сложные технические решения отступают на второй план: зачем тратить время и силы на разработку вируса, трояна или шпионской программы, если человек сам может отдать вам всю нужную информацию? Понятно, что в свете этой тенденции обучение становится просто незаменимым средством защиты.
Если компания хочет сделать обучение своих сотрудников эффективным, ей нужно проводить его регулярно и позаботиться о том, чтобы оно было интересным. Если с первым все обычно неплохо, то со вторым чаще всего возникают проблемы. Здесь на помощь приходят тренды внутри самого повышения осведомленности. Это:
Об угрозе безопасности со стороны IoT устройств всерьез заговорили еще в 2016 году, после масштабной DDoS атаки ботнетом Mirai, в который входили сотни тысяч зараженных устройств.
Возможность организации ботнета подобного масштаба связана с низким уровнем защищенности подобных устройств: во многих помимо первоначально слабых паролей «по умолчанию».так же присутствуют и критические уязвимости.
Перечень типов устройств постоянно пополняется: домашние маршрутизаторы и web-камеры, различные датчики и компоненты умного дома, медицинское и промышленное оборудование.
В последние годы возрастает и интерес к уязвимостям в программном обеспечении автомобилей.
Поскольку с каждым годом количество оборудования, подключенного к интернет, только возрастает мы прогнозируем рост числа инцидентов связанных с этим направлением.
Уже сейчас запускается автоматизация процессов безопасности и рутинных операций, реагирования на киберинциденты и детектирование происходит на конечных точках.
Компании используют корпоративный Honeypot, т.е. подставной сайт/ресурс, оставляя на растерзание хакерам сайт-обманку. А в составе привычных ИБ-подуктов уже используются модули Machine Learning. Но толи еще будет.
Машинное обучение используется в среде производителей средств защиты достаточно давно, позволяя выстраивать более гибкие и адаптивные методики выявления угроз.
В настоящее время наблюдаются тренды по наращиванию этой компетенции не только на стороне обороняющихся, но и у хакеров.
В основном злоумышленники используют машинное обучение для разработки вредоносов, обходящих сигнатурные методы детектирования, создания фишинговых писем, практически неотличимых от регулярной почтовой корреспонденции, а так же поиска уязвимостей в коде приложений.
Не стоит забыть о том, что машинное обучение может быть использовано и с точки зрения работы с алгоритмами компании. Как только у мошенников появится понимание о том, каким образом алгоритм был обучен, у них сразу же появятся рычаги манипуляции им.
Здесь речь пойдет о мониторинге информационного пространства, контроле публикаций и упоминаний об организациях и ее представителях, а так же защита бренда.
В настоящее время черный PR и мошеннические схемы все больше переходят в информационное поле, которое доступно всем.
Выпуская определенного рода информацию о компании или отдельном ее лице, злоумышленники преследуют несколько целей:
Учитывая вышесказанное, возникает необходимость в мониторинге информационного пространства, контроле нелегитимного использования бренда компании, поиске и проверки негативных отзывов, а так же контролировать конфиденциальную информацию на предмет утечек, в общем, защищать бизнес.
А какие на ваш взгляд тенденции ближайшего будущего кибербезопасности? Возможно, мы с вами совместными усилиями сможем расширить этот список.
Если перевести все энциклопедические километровые дефиниции в емкое и понятное всем определение, то, как бы это банально не звучало, кибербезопасность это противодействие возникающим опасностям, а основывается оно, естественно, на защите и предотвращении атак хакеров.
Таким образом, тренды кибербезопасности напрямую связаны с целями и задачами злоумышленников. Их то мы сейчас и рассмотрим.
С точки зрения нацеленности, по-прежнему, атаки хакеров направлены на крупные компании, в том числе финансируемые государством, промышленные системы и другие критические инфраструктуры. Но помимо масштабных по размерам целей, хакеров вполне интересуют и «рыбы поменьше»: маршрутизаторы и прочее сетевое оборудование, IoT устройства, и аппаратные уязвимости (вроде Spectre и Meltdown).
При этом отдельно хотелось бы отметить атаки, производимые через так называемую цепочку поставок. По факту, первым делом производится взлом ваших доверенных контрагентов, а потом уже от их имени вы получаете какое-нибудь вложение с шифровальщиком.
Таким образом, тренд № 1 – выстраивание обороны максимально уязвимых и самых «лакомых кусочков».
Теперь рассмотрим другую сторону медали, то есть основные цели взлома. Здесь следующие пункты:
- Вывод денежных средств (в том числе с банкоматов);
- Различные вымогатели (вайперы/шифровальщики);
- Скрытый майнинг;
- Кража данных для последующей перепродажи;
- Промышленный шпионаж.
Следовательно, тренд №2 – действия по предотвращению финансового ущерба, нарушению жизнедеятельности организации и раскрытию конфиденциальной информации.
Отдельным трендом (у нас это № 3), набирающим обороты, является использование данных, которые находят в открытом доступе.
«Бред!» — скажете вы. «А вот и нет» — отвечу я вам.
Сами того не замечая, специалисты компаний оставляют различные данные о себе, своих внутренних доменах, учетных данных, логинах, пароля на просторах интернета. Так, мы неоднократно находили на публичных ресурсах вроде github и pastebin, подобную чувствительную информацию. Без сомнений, хакеры с радостью ей воспользуются.
Ну а теперь разберемся с обратной стороной: с тем как будем защищаться, и что сейчас модно.
Тренд №4. SOC, включая облачный, и клаудизация
На российском рынке про SOC сейчас не говорит только ленивый. Для разработчиков – это глубокий рынок, для заказчиков это возможность качественно повысить общий уровень информационной безопасности компании и построить комплексную эшелонированную защиту.
Все больше участников рынка отдают свои предпочтения сервисной модели подключения к центрам мониторинга и обработке событий ИБ или сделают это в ближайшие 2 года, нежели чем возьмутся за постройку своего собственного. Это связано в первую очередь с существенно более низкой стоимостью решения и более быстрым сроком возврата инвестиций. Так же заказчику нет необходимости формировать и содержать команду аналитиков, которые, к слову сказать, сегодня совсем недешево стоят.
В свою очередь, игроки российского рынка мониторинга событий ИБ все чаще прибегают к обмену опытом коллегами по цеху со всего мира. Это подтверждает и аккредитация нескольких компаний профессиональным сообществом CERT Института Карнеги Мелоуна, некоторые из них даже входят в международное сообщество центров реагирования на инциденты ИБ: FIRST.
Следующим трендом по счету (№ 5), но не по значению, являются сервисы по модели MSSP (Managed Security Service Provider)
Все больше крупных и средних организаций открывают для себя управляемые услуги, оказываемые сервис-провайдерами, по предоставлению сервисов информационной безопасности на коммерческой основе.
В чем же ценность для клиентов и почему за MSSP ближайшее будущее?
Во-первых, это сокращение расходов, поскольку нет необходимости покупать специализированное ПО и оборудование, кроме того оплата происходит исключительно за фактически оказанные услуги клиенту.
Во-вторых, услуги оказываются профессионалами, которые, основываясь на собственном опыте, помогут вам быстро и грамотно реагировать на инциденты и справляться с другими трудностями.
Вам же, в свою очередь, остается сосредоточиться на основном бизнесе и забыть об ИБ, ну или же только контролировать и оптимизировать услуги, оказываемые сервис-провайдером.
В России MSSP еще только начинает набирать обороты, хотя до мировых показателей, конечно, еще далеко. Все больше заказчиков начинают доверять сервис провайдерами, передавать на аутсорсинг ключевые IT и ИБ процессы.
Двигаемся дальше. Шестой тренд и, наверно, самый предсказуемый – КИИ и ГосСОПКА
1 января 2018 года, в нашей стране вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее – Закон). Начиная с 2013 года, еще на этапе проекта, этот закон бурно обсуждался ИБ-сообществом и вызывал много вопросов относительно практической реализации выдвигаемых им требований. Теперь, когда эти требования вступили в силу, и перед всеми субъектами КИИ встала животрепещущая необходимостью их выполнения, вот более менее унифицированный алгоритм действий.
По закону, субъекты КИИ должны:
- провести категорирование объектов КИИ;
- обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
- принять организационные и технические меры по обеспечению безопасности объектов КИИ.
А подключение к ГосСОПКА требует от субъектов КИИ следующего:
- информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
- оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.
Кроме того, по индивидуальному решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. Но в такой модели субъект дополнительно обязан обеспечивать его сохранность и бесперебойность функционирования. Другими словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.
Вывод, если ты субъект КИИ, не важно какого класса, ты обязан сообщать обо всех инцидентах в ГосСОПКА. Наказание за неисполнение или ненадлежащее исполнение требований законодательства, здесь суровое вплоть до уголовного. Поэтому все субъекты КИИ, государственные, коммерческие, вплоть до ИП (если он вдруг оказывает подобные услуги) в обязательном порядке должны и будут проводить мероприятия для соответствия требованиям законодательства.
Тренд №7 предстоящей пары лет — страхование киберрисков
В целом, рынок страхования кибер-рисков сейчас только набирает развиваться, но уже к 2023 году по оценке экспертов размер страховых премий на российском рынке составит 1 млрд. рублей.
Важным фактором с точки зрения принятия решения в пользу страхования кибер-рисков является политика государства по данному вопросу. Так Минфин выпустил письмо, согласно которому разрешил организациям учитывать убыток от кибер-атак как расход и тем самым снижать базу для расчета налога на прибыль, но для этого необходимо сообщить об атаке в правоохранительные органы, которые, при наличии экспертного заключения, должны возбудить уголовное дело. Однако при отказе в возбуждении уголовного дела по каким-либо причинам, снизить налоговую базу не удастся.
Следовательно, любая атака злоумышленников в таком случае будет нести за собой не только финансовые потери для организаций, но и дополнительные репутационные риски. А клиенты и контрагенты смогут сделать соответствующий вывод о благонадежности организации.
В это же время, использование полиса страхования от кибер-рисков, напротив, демонстрирует стремление организации защитить и обезопасить клиентов от действий злоумышленников.
Хочу подчеркнуть, что превентивные меры по организации безопасности данных по-прежнему являются самым логичным и действенным инструментом снижения вероятности и возможного ущерба от кибер-атак.
Еще один предсказуемый тренд, а он уже №8 — биометрия.
С 1 июля 2018 в России вступил в силу закон № 482-ФЗ о биометрической идентификации граждан, предусматривающий создание единой базы биометрических данных всех жителей страны. Следовательно, всем организациям, так или иначе имеющим отношение к данному закону, будет необходимо с помощью специализированного программно-аппаратного комплекса обеспечивать прием, хранение, а самое главное защищенную передачу биометрических данных пользователей.
На данном этапе внедрение Биометрической системы существенно облегчит жизнь клиентов банков за счет упрощения процесса оформления финансовых продуктов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт – достаточно сопоставить голос и лицо с записями в базе. Клиент банка может оформить любой его продукт – например, вклад или кредит – в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или вовсе отсутствует.
А банкам в свою очередь, подключение к ЕБС поможет выполнить требования законодательства, в части безопасности передаваемых и получаемых данных из Единой биометрической системы.
Тренд № 9. Обучение и повышение ИБ-осведомленности
Повышение осведомленности – это не только направление информационной безопасности, но и один из ее вечных трендов. Если компания не обучает своих сотрудников правилам ИБ, то нарушение этих правил практически неизбежно: даже самый добросовестный сотрудник не может соблюдать то, чего не знает. Плюс в последние десятилетия мошенники, которые хотят заполучить ценные данные, активно используют социальную инженерию. При атаках такого рода человеком манипулируют, паразитируют на его слабостях – любопытстве, доверчивости, боязни санкций со стороны начальства.
Сложные технические решения отступают на второй план: зачем тратить время и силы на разработку вируса, трояна или шпионской программы, если человек сам может отдать вам всю нужную информацию? Понятно, что в свете этой тенденции обучение становится просто незаменимым средством защиты.
Если компания хочет сделать обучение своих сотрудников эффективным, ей нужно проводить его регулярно и позаботиться о том, чтобы оно было интересным. Если с первым все обычно неплохо, то со вторым чаще всего возникают проблемы. Здесь на помощь приходят тренды внутри самого повышения осведомленности. Это:
- Акцент на дистанционное обучение – обучающие материалы можно просматривать на разных видах устройств в удобное для сотрудников время;
- Персонализация – подготовка разных материалов для разной целевой аудитории;
- Микрообучение – подача обучающей информации небольшими блоками и закрепление каждого блока практическими заданиями;
- Геймификация – добавление в обучение игровых элементов (награды и достижения, постепенное усложнение заданий, использование увлекательных сюжетов и персонажей).
Следующий, 10-ый тренд – безопасность интернет вещей
Об угрозе безопасности со стороны IoT устройств всерьез заговорили еще в 2016 году, после масштабной DDoS атаки ботнетом Mirai, в который входили сотни тысяч зараженных устройств.
Возможность организации ботнета подобного масштаба связана с низким уровнем защищенности подобных устройств: во многих помимо первоначально слабых паролей «по умолчанию».так же присутствуют и критические уязвимости.
Перечень типов устройств постоянно пополняется: домашние маршрутизаторы и web-камеры, различные датчики и компоненты умного дома, медицинское и промышленное оборудование.
В последние годы возрастает и интерес к уязвимостям в программном обеспечении автомобилей.
Поскольку с каждым годом количество оборудования, подключенного к интернет, только возрастает мы прогнозируем рост числа инцидентов связанных с этим направлением.
Далее тренд №11, который нельзя оставить без внимания с точки зрения продуктового развития в кибербезопасности.
Уже сейчас запускается автоматизация процессов безопасности и рутинных операций, реагирования на киберинциденты и детектирование происходит на конечных точках.
Компании используют корпоративный Honeypot, т.е. подставной сайт/ресурс, оставляя на растерзание хакерам сайт-обманку. А в составе привычных ИБ-подуктов уже используются модули Machine Learning. Но толи еще будет.
Кстати о Machine Learning, это так же один из трендов кибербезопасности – в нашем списке №12.
Машинное обучение используется в среде производителей средств защиты достаточно давно, позволяя выстраивать более гибкие и адаптивные методики выявления угроз.
В настоящее время наблюдаются тренды по наращиванию этой компетенции не только на стороне обороняющихся, но и у хакеров.
В основном злоумышленники используют машинное обучение для разработки вредоносов, обходящих сигнатурные методы детектирования, создания фишинговых писем, практически неотличимых от регулярной почтовой корреспонденции, а так же поиска уязвимостей в коде приложений.
Не стоит забыть о том, что машинное обучение может быть использовано и с точки зрения работы с алгоритмами компании. Как только у мошенников появится понимание о том, каким образом алгоритм был обучен, у них сразу же появятся рычаги манипуляции им.
Ну и завершающий, 13-тый тренд – всесторонняя работа по выявлению и защите бизнеса от угроз.
Здесь речь пойдет о мониторинге информационного пространства, контроле публикаций и упоминаний об организациях и ее представителях, а так же защита бренда.
В настоящее время черный PR и мошеннические схемы все больше переходят в информационное поле, которое доступно всем.
Выпуская определенного рода информацию о компании или отдельном ее лице, злоумышленники преследуют несколько целей:
- Маркетинговые (имиджевые), а именно потеря деловой репутации, как следствие уход клиентов и упущенная прибыль. Для интернет-компаний даже частичная потеря репутации и клиентов, негативный информационный фон грозит существенными рисками вплоть до банкротства.
- Финансовые – реальная потеря денег за счет фишинговых и информационных атак. Продажа чувствительной информации конкурентам или злоумышленникам так же стоит во главе угла.
- Кадровые – нелояльность персонала или переманивание конкурентами.
Учитывая вышесказанное, возникает необходимость в мониторинге информационного пространства, контроле нелегитимного использования бренда компании, поиске и проверки негативных отзывов, а так же контролировать конфиденциальную информацию на предмет утечек, в общем, защищать бизнес.
А какие на ваш взгляд тенденции ближайшего будущего кибербезопасности? Возможно, мы с вами совместными усилиями сможем расширить этот список.