Скорость развития и изменения киберпространства в последние годы поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд. Эволюция современного киберпространства и ландшафта киберугроз обусловлена в том числе и развитием инструментов создания новых, более совершенных технологий, что, в свою очередь, влечет за собой дальнейшее ускорение создания уже следующих поколений технологий и инструментов. Широкое использование высокоуровневых и сверхвысокоуровневых языков программирования, мощных фреймворков и сред разработки, развитие облачных инфраструктур и технологий виртуализации и контейнеризации позволяет выпустить новое приложение или сервис в беспрецедентно короткие сроки. С такой же скоростью множатся и киберугрозы, поскольку злоумышленники используют те же высокоэффективные инструменты разработки, но в своих целях. Это выводит уровень киберпротиводействия на новую ступень: если раньше противостояние со злоумышленниками можно было описать как борьбу умов и настроенных средств защиты информации, то теперь это уже можно назвать полноценной «войной машин», в которой сражаются искусственные киберинтеллекты. В этой статье мы поговорим про актуальные тренды кибербезопасности в 2021 году: атаки на цепочки поставок и на третьих лиц (3rd parties), атаки на элементы «интернета вещей» и вопросы защиты облачных инфраструктур, безопасность персональных данных (в т.ч. биометрических), противодействие ransomware и криптомайнерам, применение искусственного интеллекта в ИБ. Поехали!
1. Атаки на цепочки поставок
Современные крупные высокотехнологичные компании стараются грамотно выстраивать процессы информационной безопасности, такие как управление киберрисками, управление уязвимостями и обновлениями, работа со средствами защиты информации, сбор и анализ логов, аудиты ИБ. Однако, даже для высококвалифицированного специалиста многое современное программное обеспечение остается «черным ящиком»: зачастую они вынуждены слепо доверять вендорам - производителям операционных систем, прикладного ПО и даже разработчикам средств защиты. Мало какие компании имеют в штате выделенных сотрудников, которые смогут осуществить реверс-инжиниринг программных продуктов с тем, чтобы понять, какие именно функции выполняет та или иная компонента. А если учесть, что обновления для программных решений выпускаются едва ли не ежедневно, нам становится понятно, что проверить такие объемы кода становится практически нереально. Таким образом, компании волей-неволей становятся зависимыми от компетенций и состояния кибербезопасности вендора.
Недавние примеры таких атак на цепочки поставок (англ. Supply chain attacks) - это нашумевшие взломы ИТ-компаний SolarWinds и Kaseya. В случае SolarWinds в исходный код продукта атакующие внесли несанкционированные изменения, которые привели к тому, что пользователи данного ИТ-решения стали уязвимы перед злоумышленниками: определенные компоненты содержали бэкдор - вредоносный модуль, который принимал управляющие команды с сервера хакеров и выполнял некие действия на атакованных системах. Таким образом, даже грамотно выстроенная система ИБ в данном случае будет бессильна, поскольку обновления ПО от SolarWinds, содержащие вредоносный компонент, были подписаны корректной цифровой подписью, и сами сотрудники этого вендора не знали, что в исходный код их ПО были внесены несанкционированные изменения. В случае Kaseya обнаруженная уязвимость в продукте Kaseya VSA для удаленного управления инфраструктурой затронула провайдеров ИТ-сервисов, которые используют это ПО для обслуживания большого количества своих клиентов. Таким образом, данная атака на цепочку поставок поставила под угрозу ИТ-инфраструктуры большого числа ничего не подозревающих компаний - вероятных конечных целей атакующих.
Приведем другой пример: репозитории GitHub, содержащие исходный код open source-проектов, т.е. программ на основе открытого исходного кода, доступного для ознакомления каждому, распространяемых как правило бесплатно. Данные репозитории также являются потенциальными источниками атак на цепочки поставок - злоумышленникам достаточно завладеть учетной записью пользователя GitHub, имеющего полномочия на внесение изменений (commit) в исходный код проекта. Внеся вредоносные изменения, атакующим лишь остается подождать, пока код данного проекта будет загружен производителем атакуемого программного решения, поскольку не секрет, что многие коммерческие продукты используют «под капотом» именно open source компоненты.
Вариантом защиты от атак на цепочки поставок будет комплекс мер, направленных на проверку благонадежности вендора - поставщика программных продуктов и анализ состояния процессов информационной безопасности, выстроенных у данного вендора. Для проверки благонадежности можно использовать классические инструменты экономической безопасности, включая неформальный аудит финансовой документации, запрос данных в таких системах, как «Интерфакс-СПАРК» и «Контур-Фокус», проведение встреч с руководством компаний. Для анализа состояния информационной безопасности в вендорах следует подготовить опросник (чек-лист), в котором в форме вопросов нужно сформулировать все требования по ИБ, предъявляемые вашей компанией, например: существуют ли в компании согласованные процедуры риск-менеджмента и кибербезопасности; каковы процессы управления ПО и уязвимостями; следуют ли разработчики правилам безопасной разработки ПО (т.н. SSDLC - secure software development life cycle) и если да, то каким; используются ли статические, динамические, интерактивные анализаторы исходного кода; как настроены процессы CI/CD (continuous integration/continuous delivery, т.е. непрерывная интеграция и доставка ПО до потребителя); каков процесс создания документации на продукты; какими положениями законодательства и внутренних нормативных документов руководствуются разработчики в своей деятельности.
Для решения проблемы внедрения вредоносных модулей вендорами-производителями с помощью технических мер можно порекомендовать компаниям-заказчикам анализировать аномальное поведение установленных программных компонент, особенно недавно обновленных, системами класса EDR (endpoint detection and response, обнаружение и реагирование на угрозы на конечных точках), UEBA (user and entity behavior analysis, анализ поведения пользователей и сущностей) и IDS/IPS (intrusion detection system / intrusion prevention system, системы обнаружения/предотвращения вторжений). При выявлении подозрительных паттернов в сетевом взаимодействии ПО, при запуске различных дополнительных утилит, возможно скачиваемых «на лету» из интернет-репозиториев, при попытке выполнить незадокументированные операции следует оперативно провести проверку.
2. Атаки на третьих лиц
Атаки на третьих лиц (англ. 3rd parties attacks) похожи на рассмотренные выше атаки на цепочки поставок, однако их отличие заключается в том, что атакованные контрагенты (поставщики, подрядчики, партнеры, даже клиенты и заказчики) могут, сами того не осознавая, стать «плацдармом» для хакеров. Это может произойти следующим образом: допустим, у вашей компании заключены договорные отношения с фирмой-подрядчиком, которая осуществляет внедрение или доработку некоего бизнес-приложения. Для этого ей потребуется удаленное подключение к вашей инфраструктуре через VPN-туннель и создание учетной записи для сотрудника-внедренца в вашей Active Directory. Таким образом, некоторая часть ваших ИТ-систем будет доступна подрядчику - например, служба каталогов, общие сетевые диски, наконец само дорабатываемое бизнес-приложение. Атакующие, которые изначально планировали взломать именно вашу инфраструктуру, могут пойти обходным путем, когда поймут, что ваши системы защищены достаточно надежно: хакеры постараются сначала атаковать подрядчика, который может быть защищен слабее, а уже затем они постараются добраться до первоначальной цели, используя настроенный VPN-туннель и украденные учетные данные с удаленным доступом к вашей инфраструктуре. Таким образом, атакованная компания выполняет роль «прокси-сервера» для атакующих, что позволяет им от имени вашего подрядчика получить доступ к интересующим их активам (ваши разработки, финансы, персональные данные).
Данная атака отличается от атак на цепочки поставок тем, что её можно относительно легко предотвратить - достаточно лишь ко всем сущностям, которые оказываются в вашей ИТ-инфраструктуре, применять принцип «нулевого доверия» (англ. Zero Trust). Это подразумевает проверку и контроль всех учетных записей, всех устройств, всех сетевых соединений и выполняющихся процессов вне зависимости от того, кто является их инициатором. Для каждой сущности, будь то учетная запись руководителя, смартфон инженера или даже принтер в переговорке, следует задавать правила сетевого взаимодействия и рассчитывать некий скоринговый риск-балл, который увеличивается при подключении из подозрительных локаций, в нерабочее время, при наличии активных киберинцидентов на данном устройстве. Если посмотреть на проблему шире, то «прокси-сервером» для злоумышленников может стать и ваш же работающий удаленно сотрудник, запустивший вредоносный файл на своем ноутбуке, который он затем подключит по VPN к корпоративной сети. Применяя же принцип нулевого доверия, мы руководствуемся парадигмой «assumed breach» («считайте, что вас уже взломали») для контроля всех сущностей в нашей ИТ-инфраструктуре, в том числе на основе нескольких факторов, таких как полномочия залогиненного пользователя, версия ОС, наличие установленных обновлений ОС и патчей для ПО, присутствие работоспособного антивирусного средства на подключающемся к сети устройстве, время подключения, страна подключения, необычное поведение учетной записи и устройства (тут опять же помогут системы анализа аномалий и отклонений от известных паттернов, например, UEBA-решения).
Организационные меры, однако, также могут быть применимы для противодействия такого рода атакам - можно взять за основу опросный лист, описанный в предыдущем пункте. В данный чек-лист следует включить вопросы о наличии в компании-контрагенте согласованных политик информационной безопасности и риск-менеджмента, процедур и правил обновления ОС и ПО, использующихся средствах защиты информации, применимых положений законодательства и внутренних нормативных документов. Ответы на данные вопросы помогут понять общий уровень зрелости ИБ в компании-контрагенте, и этот уровень необходимо учитывать при принятии решения о возможности или невозможности сотрудничества с ним. Если же требования кибербезопасности в компании-контрагенте явно не выполняются, но взаимодействовать с ней необходимо, то будет весьма разумным воспринимать все входящие информационные потоки от данного контрагента аналогично любой другой неаутентифицированной, возможно злонамеренной, информации из интернета. Для такого контрагента не стоит заводить учетные записи во внутренних ИТ-системах или создавать выделенный VPN-канал для предоставления доступа к внутренним ресурсам, а следует работать с ним как с любой недоверенной сущностью из интернета, пропуская через весь набор средств периметровой защиты (фаирволлы, «песочницы», средства антивирусной защиты и т.д.). Не следует недооценивать и юридически верно составленное «соглашение о неразглашении» (англ. NDA - Non-disclosure agreement), в котором нужно четко указать меры обеспечения информационной безопасности при совместной работе, ответственность за нарушение данного соглашения, а также описать порядок компенсации потенциального ущерба от реализации рисков кибербезопасности при взаимодействии.
3. Атаки на элементы «интернета вещей»
Термин «Интернет вещей» (IoT - internet of things) подразумевает большое количество элементов электроники потребительского уровня, непрерывно подключенных к разнообразным сетями, в т.ч. к интернет, для взаимодействия между собой, с владельцем и с разнообразными интернет-сервисами. Примерами IoT-устройств могут быть: смарт-телевизоры, «умные колонки», фитнес-трекеры, элементы «умного дома» (датчики, бытовая техника, системы безопасности), веб-камеры, автомобильные и транспортные системы и т.д. С развитием сетей 5G количество непрерывно подключенных устройств «интернета вещей» будет лишь расти, поскольку сети нового поколения поддерживают высокоскоростную передачу данных с малым расходом электроэнергии и взаимодействие устройств непосредственно друг с другом.
С точки зрения кибербезопасности особую озабоченность вызывают IoT-элементы, обладающие функциональными возможностями доступа в интернет и допускающими внешнее подключение к ним, микропрограммы («прошивка», англ. firmware) которых не получают обновлений безопасности от производителя. Примером такого уязвимого устройства может стать веб-камера нижнего ценового диапазона, разработанная, например, в Китае, и используемая, скажем, для контроля обстановки на садовом участке: к ней можно подключаться из интернета для просмотра изображения, в ней установлен некий упрощенный веб-сервер для контроля самой камеры (например, для поворота камеры или приближения), при этом производитель, скорее всего, не балует покупателей частыми обновлениями «прошивки», а если эта модель больше не производится, то обновления ПО можно и вообще не дождаться. Поиск уязвимостей в установленном на камере веб-сервере с большой долей вероятности не будет затруднительным, поскольку аппаратная «начинка» бытовой техники, как правило, не самая производительная и поддерживает установку лишь самого простого софта с урезанным функционалом, а производители в высококонкурентной среде вынуждены экономить буквально на всем для формирования самой привлекательной цены, в т.ч. на качестве встроенного ПО, процессах безопасной разработки софта и на работах по устранению в нем уязвимостей.
Итак, в случае, если в программном коде веб-сервера, установленного в камере, найдут уязвимость, то владелец сможет защитить себя единственным способом - отключив камеру от интернета или полностью выключив своё устройство. В случае с простой домашней электроникой это несложно, но как быть, например, владельцам большого парка таких камер, которые необходимы для выполнения определенной бизнес-функции, например, контроля важного объекта? Скорее всего, такая камера так и останется подключенной к интернету, и через некоторое время она окажется взломана через найденную уязвимость. Дальше работа камеры будет контролироваться уже злоумышленником - он может как безнаказанно просматривать изображение с камеры или просто выключить её, так и использовать устройство в своих целях - например, сделать его частью бот-сети, которая осуществляет DDoS-атаки по указанию злоумышленника, или банально начать майнить криптовалюту, расходуя электроэнергию своего ничего не подозревающего владельца. Следует учесть, что вся ответственность за последствия вредоносной активности устройства ляжет на владельца устройства, даже если заражение произошло без его ведома. Картина становится еще драматичнее, если представить себе, что заражено, например, устройство класса «носимой электроники»: портативный глюкометр (прибор для измерения уровня глюкозы в крови) или пульсоксиметр (прибор для измерения уровня насыщения крови кислородом). Таким образом, вопрос защиты устройств «интернета вещей» уже выходит за рамки стандартных бизнес-рисков и затрагивает жизнь и здоровье людей, что является абсолютным приоритетом.
Для защиты IoT-устройств от кибератак в общем случае внимание стоит обратить на следующее:
Страна производства устройства и производитель: чем известнее производитель, тем выше вероятность своевременного обновления ПО и ниже вероятность наличия неустраненных уязвимостей, о которых известно вендору.
Наличие юридических документов на официальном сайте: положения о конфиденциальности обрабатываемых данных, политики обработки персональных данных, заявления о соответствии тем или иным законодательным нормам и т.д.
Возможность настройки встроенного ПО для контроля внешних интернет-подключений к устройству - удаленного управления, администрирования, просмотра состояния и т.д.
Наличие обновлений встроенного ПО на официальном сайте производителя, периодичность их выпуска, дата выпуска последнего обновления.
Наличие сообщества энтузиастов-любителей, которые выпускают неофициальные, «кастомизированные» прошивки для данного устройства.
В случае применения устройств «интернета вещей» для выполнения бизнес-задач следует внимательно отнестись к выбору производителя, отдавая предпочтение тому, кто регулярно выпускает обновления встроенного ПО, предлагает расширенную техническую поддержку и выезд своих специалистов on-site, предоставляет продолжительную гарантию и рекомендации по защищенной настройке устройства, а также имеющему актуальные документы с описанием реализуемых мер информационной безопасности и принятым методикам безопасной разработки.
В случае применения IoT-устройств в личных целях следует оценить, насколько тот или иной функционал удаленной работы с устройством действительно требуется, насколько простой будет защищенная настройка устройства конечным пользователем (например, ребенком или пожилым человеком), дает ли производитель подробные рекомендации и инструкции по настройке девайса для ограничения и контроля его «опасного» функционала.
4. Вопросы защиты облачных инфраструктур
Тематика защиты облачных инфраструктур также является крайне актуальной на текущий момент, и это несомненно связано с популярностью облачных платформ и решений, которые привлекают заказчиков легкостью горизонтального масштабирования, прозрачным планированием затрат, возможностями переложить часть задач по обслуживанию инфраструктуры на специалистов Cloud-провайдеров. Кроме того, в последнее время на отечественный рынок облачных инфраструктур вышли многие известные игроки, которые предлагают облачные решения и сервисы, предназначенные в том числе для обработки персональных данных, работы в составе ГИС (государственной информационной системы), а также для обработки конфиденциальной информации, защищенной от несанкционированного доступа. Такие предложения позволяют пользоваться услугами облачных сервисов даже государственным учреждениям, но при этом для многих компаний возможность работы с облачными инфраструктурами до сих пор остается под вопросом. Главными челленджами являются вопросы соответствия законодательству, конфиденциальности корпоративной информации как для провайдера услуги, так и для «соседей» по инфраструктуре, сложности миграции из on-prem-инфраструктуры, тонкости настройки облачных систем обеспечения кибербезопасности.
Облачные инфраструктуры можно разделить по принципу работы на следующие типы:
Public cloud (публичные облака) - провайдер облачных услуг предоставляет заказчику свою инфраструктуру и сервисы на коммерческой основе, как правило, по подписке.
Private cloud (частные облака) - организация размещает часть своей инфраструктуры в некотором своем или арендуемом ЦОД (центре обработки данных) и полностью контролирует все аппаратные и программные компоненты.
Hybrid cloud (гибридные облака) - организация совмещает работу с публичным и частным облаком, размещая свои приложения и данные в зависимости от удобства и потребностей в той или иной инфраструктуре.
Multi-cloud (мультиоблако) - организация пользуется услугами нескольких провайдеров облачных сервисов для надежности и повышения отказоустойчивости, например, размещая основную инфраструктуру в одном публичном облаке, а бекапы и резервные сервисы - в другом.
Для работы с облачными инфраструктурами, как правило, предоставляются следующие варианты:
IaaS (infrastructure as a service) - предоставление услуги по модели «инфраструктура как сервис», когда облачный провайдер предоставляет только своё аппаратное обеспечение, сетевой доступ и гипервизор системы виртуализации, а заказчикам дается возможность установить свои операционные системы, прикладное и системное ПО, бизнес-приложения.
PaaS (platform as a service) - предоставление услуги по модели «платформа как сервис», когда облачный провайдер предоставляет установленную операционную систему (как правило, давая на выбор несколько вариантов ОС на базе Winows и Linux), а заказчики уже устанавливают только свое программное обеспечение.
SaaS (software as a service) - предоставление услуги по модели «программное обеспечение как сервис», когда облачный провайдер предоставляет конечному заказчику предварительно установленное бизнес-приложение с некоторыми возможностями по его настройке и модификации.
Также в контексте информационной безопасности можно выделить такие термины:
SECaaS (security as a service, «безопасность как сервис») - предоставление заказчикам услуг в области кибербезопасности по подписке, с размещением самих СЗИ в облаке провайдера, например, систем резервного копирования, сканеров уязвимостей, систем аутентификации и управления доступом, решений для сбора и анализа событий ИБ.
FWaaS (firewall as a service, «фаирволл как сервис») - предоставление межсетевого экрана в облачной инфраструктуре по подписке.
MaaS (malware as a service, «вредоносное ПО как сервис») - термин, введенный злоумышленниками, который означает, что одни атакующие разрабатывают некий вредоносный инструмент и предоставляют доступ по подписке другим атакующим, которые затем используют его в своих атаках. Например, в случае использования вируса-вымогателя (англ. «ransomware») такая техника будет называться RaaS (ransomware as a service).
Для обеспечения кибербезопасности в различных облачных инфраструктурах на рынке предлагаются специализированные решения:
CASB (cloud access security broker) - брокеры безопасности облачного доступа, обеспечивающие ИБ в облаке с помощью аутентификации пользователей (в т.ч. мультифакторной), контроля предоставления доступа к данным, логирования действий, предоставления отчетности, а также путем контроля программного API-доступа со стороны приложений и сервисов.
CSPM (cloud security posture management) - системы управления состоянием облачной безопасности, помогающие проанализировать киберриски на основе данных о настройках облачной инфраструктуры, проводящие оценку соответствия текущих настроек облачных систем требованиям законодательства и рекомендациям вендоров, помогающие визуализировать состояние ИБ в Cloud-инфраструктуре.
CWPP (cloud workload protection platform) - облачные системы защиты сервисов, осуществляющие контроль настроек размещенных в облаке элементов (серверов, контейнеров, приложений), анализ их уязвимостей, сегментацию на сетевом уровне, контроль активности, устранение угроз.
SASE (secure access service edge) - пограничные сервисы безопасного доступа, предоставляющие пользователям удобный и безопасный доступ к корпоративным облачным ресурсам с использованием средств мультифакторной аутентификации, с проверкой подключающегося устройства на соответствие требованиям компании (т.н. «posturing»), с применением функционала систем обнаружения/предотвращения вторжений и контролем сетевого трафика.
5. Безопасность персональных данных (в т.ч. биометрических)
Вопросы обеспечения конфиденциальности персональных данных стали подниматься практически сразу после начала широкого применения средств вычислительной техники для обработки сведений, касающихся физических лиц. Именно поэтому еще в 1981 году была подписана Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Разумеется, с развитием информационных технологий надежная защита личной информации стала необходимым условием для успешной работы как коммерческих, так и государственных структур - ни клиенту интернет-магазина, ни пользователю государственного сервиса не захочется стать жертвой утечки его персональных данных. Высокая социальная значимость обеспечения информационной безопасности персональных данных была и остается драйвером государственных законодательных инициатив - достаточно вспомнить отечественный Федеральный Закон №152 «О персональных данных» от 27.07.2006 г., европейские нормы GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных) или, например, такие региональные нормативные требования, как CCPA (California Consumer Privacy Act, Калифорнийский закон о защите прав потребителей). При этом законодательные нормы непрерывно актуализируются для соответствия изменяющемуся ландшафту киберугроз; например, в России важные дополнения в 152-ФЗ были введены уже несколько раз следующими Федеральными Законами: 261-ФЗ от 25.07.2011 (внесены существенные изменения в базовые постулаты защиты ПДн), 242-ФЗ от 21.07.2014 (введение запрета первичной обработки ПДн за пределами территории РФ) и 519-ФЗ от 30.12.2020 (предъявление новых требований к обработке ПДн, разрешенных субъектом для распространения). Еще одним трендом является постепенное повышение штрафных санкций за нарушение законодательных требований к обработке персональных данных - так, например, по нормам GDPR штраф может составлять до 4% от годового оборота компании.
С точки зрения бизнеса, защита персональных данных клиентов и сотрудников является важной задачей не только в контексте соответствия законодательству - сегодня зачастую именно накопленные данные о потребителях представляют собой один из главных нематериальных активов компании, а лояльность сотрудников и клиентов формируется в том числе и мерами, предпринимаемыми компанией для защиты их аккаунтов, личных данных, платежной информации. Еще более важной задачей является защита биометрических персональных данных - биологических, физиологических, поведенческих характеристик человека, используемых для установления личности (идентификации, аутентификации). Биометрия уже широко используется финансовыми организациями для дистанционного получения банковских услуг в рамках российской «Единой биометрической системы», которая также позволяет выполнять ряд других юридически значимых действий удаленно, а также в транспортной сфере для обеспечения безопасности, в проектах распознавания пассажиров в аэропортах и бесконтактной оплаты проезда в метрополитене. Коммерческие компании зачастую используют биометрические персональные данные клиентов для подтверждения личности (сканы паспортов или селфи с открытым паспортом в руке), а также для контроля доступа своих сотрудников в помещения (видеонаблюдение, биометрические сканеры отпечатков пальцев). Безопасность биометрических персональных данных может строиться, например, на принципе обработки не исходных физиологических характеристик субъекта (хранение отпечатков пальцев, фотографий лица, образцов походки и фигуры и т.д.), а биометрического шаблона - дескриптора, что можно упрощенно сравнить с вычислением односторонней хеш-функции, значение которой не позволяет восстановить аргумент, т.е. исходные данные. При этом непосредственно у биометрических характеристик есть важная особенность - в отличие от классических способов аутентификации (например, паролей), их невозможно легко заменить, что делает вопросы корректной обработки и защиты биометрических персональных данных критичными.
Для защиты персональных данных в современной ИТ-инфраструктуре можно руководствоваться следующими принципами на всех этапах обработки информации:
Безопасность при хранении данных (англ. Data at rest): защита информации при её хранении на носителях информации может включать в себя использование средств полнодискового шифрования, шифрования баз данных и отдельных файлов, применение средств управления правами доступа, систем управления мобильными устройствами (MDM-платформы), средств контроля за утечками данных (DLP-продукты) и брокеров безопасности облачного доступа (CASB-решения).
Безопасность при передаче данных (англ. Data in transit): защита данных при передаче предполагает прежде всего защиту каналов передачи информации, например, с помощью использования протокола TLS, VPN-решений с шифрованием трафика, систем для защиты электронной почты (S/MIME, PGP) и совместной обработки информации (DRM/RMS-решения).
Безопасность при обработке данных (англ. Data in use): защита данных при её обработке может включать в себя разнообразные модели контроля и разграничения доступа (например, на основе ролей, рисков, выполняющихся условий доступа - соответственно Role-based access control, Risk-based access control, Conditional access), решения для управления аккаунтами и контролем доступа (Identity and access management), а также системы управления правами доступа (решения IRM - Information rights management).
Конфиденциальность по умолчанию (англ. Privacy by default): все опции защищенной обработки персональных данных должны быть включены по умолчанию, субъекту не требуется выполнять дополнительных настроек приватности.
Встроенная конфиденциальность (англ. Privacy by design): архитектурная поддержка защиты персональных данных как на уровне систем, приложений и сервисов, так и на уровне бизнес-процессов.
Для защиты персональных данных в облачных инфраструктурах, помимо указанных выше принципов, можно также использовать SOAR-решения для автоматизации процессов реагирования на киберинциденты, внедрять сетевую модель доступа с «нулевым доверием» (англ. Zero Trust model), а также использовать криптосистемы с гомоморфным шифрованием. Руководствоваться можно также стандартом ГОСТ Р ИСО/МЭК 27018-2020 «Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки», который соответствует международному стандарту ISO/IEC 27018:2019 ”Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”.
6. Противодействие криптовымогателям и нелегальному майнингу криптовалют
Защита персональных данных тесно связана с актуальной киберугрозой вирусов-шифровальщиков. Авторы данных вредоносов справедливо полагают, что персональные данные клиентов, сотрудников, партнеров компании представляют особую ценность, и строят свои атаки не только на непосредственном шифровании ИТ-инфраструктуры (включая носители с личными данными), но и на предварительном похищении ценной информации, чтобы затем шантажировать жертву разглашением украденных сведений. Зачастую атакованные компании, с одной стороны, находятся «в тисках» регуляторов, которые могут оштрафовать организацию, узнав об утечке персональных данных, и, с другой стороны, рискуют потерять разгневанных утечкой клиентов. При этом непосредственно приостановка деятельности в результате атаки шифровальщика также приводит к серьезному репутационному ущербу, поскольку данный факт быстро становится достоянием общественности. На данный момент угроза кибератак вирусами-шифровальщиками обсуждается на уровне первых лиц США, где только за последние месяцы произошел ряд громких киберинцидентов, точный ущерб от которых еще только предстоит оценить. При этом вредоносы распространяются, как правило, по модели RaaS, означающей, что с одной киберпреступной группировкой, которая является непосредственным автором вируса и поддерживает всю его инфраструктуру, может по партнерской модели взаимодействовать большое количество хакерских команд поменьше, выплачивая авторам определенный процент от полученного выкупа. На Даркнет-площадках также происходит взаимодействие атакующих и тех, кто продает т.н. «доступы» к взломанным инфраструктурам, т.е. валидные учетные данные к ИТ-системам компаний, полученные в результате фишинговых атак или путем эксплуатации уязвимостей. Там же можно найти и объявления о найме программистов, готовых разрабатывать вредоносное ПО, и объявления о покупке/продаже 0-day эксплойтов, для которых вендоры еще не выпустили патчи, и предложения сервисов «криптования», которые обещают обеспечить защиту от обнаружения антивирусными средствами (т.н. FUD, fully undetectable) путем шифрования внутренних структур вредоносных модулей.
С технической точки зрения, вирусы-шифровальщики ничем не отличаются от обычных, менее разрушительных вирусов: как правило, сначала происходит запуск разведывательного модуля (дроппера) в контексте низкопривилегированного пользователя, например, сотрудника, открывшего пришедший в фишинговом письме файл, или сервисной учетной записи, из-под которой запущен атакованный через уязвимость веб-сервер. Дроппер не детектируется антивирусным ПО, поскольку с формальной точки зрения не выполняет нелегитимных действий - он собирает информацию о системе, в которую попал, например, имя домена, имя учетной записи, характеристики хоста. Далее, если данная инфраструктура интересна для атакующих, дроппер по команде управляющего хакерского C&C-сервера загружает дополнительные модули, которые помогают закрепиться в атакованной системе, повысить привилегии и заразить уже другие хосты в сети. Далее, в случае вируса-вымогателя, происходит поиск интересующей информации на всех зараженных системах и выгрузка найденных файлов на внешний сервер (либо принадлежащий атакующим, либо на легитимный сервис обмена информацией, например, DropBox). После этого вирус уже выполняет шифрование всех зараженных устройств в сети, зачастую используя легитимные инструменты с использованием заданного атакующими ключа; при этом бывали случаи выполнения необратимого шифрования, когда даже выплаченный выкуп не помогал вернуть данные.
В недавно выпущенном отчете группы исследователей Ransomware Task Force указано, что борьба с атаками вирусов-шифровальшиков должна осуществляться путем выстраивания международной всеобъемлющей стратегии защиты, должной подготовки к атакам и корректному реагированию на них, а также путем разрушения бизнес-модели злоумышленников и снижения их нелегальной выручки. На последнем можно остановиться более подробно: в документе предлагается существенно затруднить злоумышленникам вывод полученного выкупа, контролируя операции в криптовалюте. Действительно, на Даркнет-площадках для взаиморасчетов между покупателями и продавцами нелегальных товаров и услуг широко используется криптовалюта, и, как правило, именно в криптовалюте злоумышленники требуют выкуп у взломанных компаний. После получения криптовалюты её необходимо конвертировать в «фиат», т.е. фиатные валюты - доллары или евро, таким образом легализовывая и обналичивая доходы от противоправной деятельности. По данным ФБР США, после атаки на Colonial Pipeline этому ведомству удалось вернуть почти половину от суммы уплаченного выкупа в 4.4 миллиона долларов в биткоин-эквиваленте - возможно, как раз на этапе вывода и обналичивания средств. Операции покупки и продажи криптовалютой осуществляются либо через криптобиржки, которые поддаются государственному регулированию, либо через крипто-банкоматы, которые также можно контролировать, либо с помощью OTC-трейдинга (Over the counter, буквально «минуя прилавок»), когда продавец-владелец криптовалюты и покупатель договариваются о сделке напрямую. Зарубежное государственное регулирование в финансовой сфере подразумевает такие нормы, как KYC (Know your customer, знай своего покупателя), AML (Anti-money laundering, антиотмывочное законодательство), CFT (Combatting financial of terrorism, противодействие финансированию терроризма). В России аналогичный набор мер сформулирован частично в Федеральном Законе №115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 г. Злоумышленники же, зная о возможных государственных барьерах, предпринимают ряд контрмер: используют сервисы криптомиксеров, которые позволяют разбить одну криптовалютную транзакцию на множество мелких, осуществить несколько внутренних операций обмена и таким образом скрыть исходное происхождение средств; выполняют операции обмена одних криптовалют на другие; стараются использовать криптовалюты для внутренних нелегальных взаиморасчетов, минимизируя необходимость вывода в фиатные деньги. При этом многие злоумышленники знают о возможности отследить транзакции в некоторых криптовалютах: в частности, биткоин не является анонимным средством платежа, поскольку позволяет через blockchain-реестр отследить адреса получателей и отправителей криптовалюты, получить данные о сумме переводов, историю транзакций, объем денежных средств на биткоин-кошельках. Некоторые же анонимные криптовалюты, такие как Monero, Zcash, Dash, предоставляют злоумышленникам больше возможностей по сокрытию нелегальных доходов, однако, требование выкупа в таких криптовалютах затруднено возможностями атакованных компаний приобрести их - внутренние compliance-процедуры и государственное регулирование во многих случаях просто не позволит организациям выполнить операции с ними.
Еще один из векторов атак для получения злоумышленниками нелегальных доходов в криптовалютах - криптомайнинг или cryptojacking, т.е. несанкционированное использование зараженных устройств для генерирования криптовалюты путем выполнения математических операций. В случае, если злоумышленники получили доступ к инфраструктуре атакованной компании, но пока не считают целесообразным проводить атаку с использованием вируса-шифровальщика, они могут скрытно запустить вирус-криптомайнер, который будет генерировать криптовалюту в пользу атакующих. Аналогичным образом можно задействовать и атакованные IoT-устройства, о которых мы говорили выше - большое количество зараженных девайсов компенсирует их низкие вычислительные мощности. Некоторое время назад также была популярна атака вида JavaScript Mining, когда в браузере посетителя веб-сайта запускался JavaScript-код, генерировавший Monero - таким образом атакующие частично монетизировали свои успешные атаки на веб-сайты. Однако, в последнее время хакеры все реже прибегают к подобным методам – частично из-за возросшей вычислительной сложности майнинга некоторых криптовалют, частично по причине того, что монетизировать атаку можно проще и быстрее, например, через продажу украденных учетных данных или путем использования устройства для DDoS-атак.
7. Применение искусственного интеллекта в информационной безопасности
Разговоры о практическом применении искусственного интеллекта, в том числе и в информационной безопасности, ведутся уже давно, но на рынок данные инструменты вышли тогда, когда зрелость таких продуктов позволила применять их в корпоративных средах, точность работы стала оправдывать их стоимость, а возможности злоумышленников стали широки настолько, что эффективно и оперативно противостоять им стало возможно только с применением данной технологии. Если же обратиться к истории, то предпосылками для создания концепции искусственного интеллекта стали научные изыскания в области построения математической модели искусственного нейрона и нейронной сети на базе наблюдений за живыми организмами и естественными нейронами. В 1943 году американские нейрофизиологи Уоррен Маккаллок и Вальтер Питтс в своей научной статье «Логическое исчисление идей, относящихся к нервной активности» предположили, что сеть, состоящая из аналогичных природным искусственных нейронов, может выполнять логические и математические операции. Выдающийся британский ученый Алан Тьюринг в 1948 году опубликовал статью «Разумные машины» (англ. «Intelligent Machinery»), а в 1950 году - работу «Вычислительные машины и разум» (англ. «Computing Machinery and Intelligence»), в которых описываются концепции машинного обучения и искусственного интеллекта. Сам же термин «Искусственный интеллект» был введен американским ученым-информатиком Джоном Маккарти в 1956 году. Это были одни из первых попыток «оцифровать» живой организм и представить живое существо как набор алгоритмов, которые можно проанализировать и воспроизвести. С тех пор наука значительно продвинулась в вопросах создания искусственного интеллекта: знаковыми событиями можно назвать шахматную победу суперкомпьютера IBM Deep Blue над гроссмейстером Гарри Каспаровым в 1997 году и победу в игре го программы AlphaGo разработки Google DeepMind над профессиональным игроком Ли Седолем в 2016 году. При этом первая победа была достигнута в хорошо алгоритмизируемой шахматной игре, где для выигрыша достаточно знать все возможные комбинации и ходы, а вторая - за счет машинного обучения, который применялся AlphaGo для самообучения игре в го.
Итак, давайте дадим современные определения нескольким терминам, связанным с искусственным интеллектом (ИИ):
Искусственный интеллект (англ. Artificial intelligence, AI) предполагает выполнение информационными системами задач принятия решений и обучения, по аналогии с интеллектом живых существ.
Нейронная сеть (англ. Neural network) - взаимосвязанное множество искусственных нейронов, выполняющих простые логические операции, обладающее способностью машинного обучения.
Машинное обучение (англ. Machine learning, ML) - это техника обучения информационной системы на основе предоставленных наборов данных (англ. dataset) без использования предопределенных правил, является частным случаем искусственного интеллекта. Общей задачей машинного обучения является построение алгоритма (программы) на основании предоставленных входных данных и заданных верных/ожидающихся результатов - таким образом, процесс работы ML-системы разделен на первоначальное обучение на предоставляемых датасетах и на последующее принятие решений уже обученной системой.
Существует несколько способов машинного обучения, например:
Обучение с учителем (англ. Supervised learning) - это способ машинного обучения, в котором используются размеченные наборы данных (проклассифицированные объекты с выделенными характерными признаками), для которых некий «учитель» (человек или обучающая выборка) указывает правильные пары «вопрос-ответ», на основании чего требуется построить алгоритм предоставления ответов на дальнейшие аналогичные вопросы.
Обучение без учителя (англ. Unsupervised learning) - это способ машинного обучения, в котором не используются размеченные наборы данных, не указаны правильные пары «вопрос-ответ», а от информационной системы требуется на основании известных свойств объектов найти различные взаимосвязи между ними.
Обучение с частичным привлечением учителя (англ. Semi-supervised learning) - способ машинного обучения, в котором комбинируется небольшое количество размеченных наборов данных и большое количество неразмеченных. Такой подход оправдан тем, что получение качественных размеченных дата-сетов является достаточно ресурсоемким и длительным процессом.
Обучение с подкреплением (англ. reinforcement learning) - частный случай обучения с учителем, при котором «учителем» является среда функционирования, дающая обратную связь информационной системе в зависимости от принятых ею решений.
В машинном обучении могут также использоваться и другие алгоритмы, такие как байесовские сети, цепи Маркова, градиентный бустинг.
· Глубокое обучение (англ. Deep learning) - это частный случай машинного обучения, в котором используется сложная многослойная искусственная нейронная сеть для эмуляции работы человеческого мозга и обработки речи (англ. natural language processing), звуковых (англ. speech recognition) и визуальных образов (англ. computer vision). Машинное зрение в настоящее время широко используются в системах обеспечения безопасности, контроля транспорта и пассажиров. Системы обработки речи и распознавания слов помогают голосовым ассистентам «Сири» или «Алисе» отвечать на вопросы пользователей.
· Большие данные (Big Data) - большой объем структурированных и неструктурированных данных в цифровом виде, характеризующийся объемом (volume), скоростью изменения (velocity) и разнообразием (variety). Для обработки Big Data могут применяться специализированные программные инструменты, такие как Apache Hadoop / Storm / Spark, Kaggle, СУБД класса NoSQL. Считается, что для повышения business-value при использовании Big Data требуется перейти от разнородных данных к структурированной информации, а затем - к знаниям (сведениям). Обработанный, структурированный и размеченный dataset, полученный из релевантного массива Big Data, является необходимым (и одним из самых ценных) компонентом для машинного обучения в современных системах.
· Глубокий анализ данных (Data mining) - структурирование и выделение полезной информации из разнородной и неструктурированной массы данных, в том числе из Big Data.
· Нечёткая логика (англ. Fuzzy logic) - применение нестрогих правил и нечётких ответов для решения задач в системах искусственного интеллекта и нейронных сетях. Может применяться для моделирования логики человека, например, при сужении или расширении результатов поиска ответа на вопрос в зависимости от контекста.
Рассмотрев основные определения и принципы, перейдем к вопросу практического применения систем искусственного интеллекта в кибербезопасности. Использование ИИ в ИБ обосновано прежде всего двумя факторами - необходимостью оперативного реагирования при наступлении киберинцидента и нехваткой квалифицированных специалистов по киберзащите. Действительно, в современных реалиях довольно сложно заполнить штатное расписание квалифицированными специалистами по ИБ с необходимым опытом, а масштабные инциденты ИБ могут развиваться стремительно: счет зачастую идет на минуты. Если в компании отсутствует круглосуточная дежурная смена аналитиков ИБ, то без системы оперативного автономного реагирования на киберинциденты будет затруднительно обеспечить качественную защиту в нерабочее время. Кроме того, злоумышленники перед своей атакой могут выполнить отвлекающий маневр - например, запустить DDoS-атаку или активное сетевое сканирование, отвлекая киберспециалистов. В таких ситуациях поможет система реагирования на киберинциденты на основе искусственного интеллекта, которая может одновременно обрабатывать большое количество событий ИБ, автоматизировать рутинные действия аналитиков ИБ и обеспечивать оперативное реагирование на инциденты без участия человека. Например, в нашем IRP/SOAR-решении Security Vision широко применяются механизмы искусственного интеллекта и машинного обучения: обученная на ранее решенных инцидентах платформа сама предложит аналитику подходящее действие по реагированию в зависимости от типа киберинцидента и его свойств, будет назначена оптимальная команда реагирования из коллег, обладающих наиболее релевантными знаниями, а в случае обнаружения нетипичных подозрительных событий система сама создаст соответствующий инцидент и оповестит о нем сотрудников ИБ-департамента. В решении IRP/SOAR Security Vision используются алгоритмы предиктивного реагирования на киберинциденты: обученная система позволяет спрогнозировать вектор атаки и её последующее развитие в инфраструктуре, показать тенденции, а затем автоматически пресечь вредоносные действия и дать советы аналитикам SOC-центра.
Системы защиты на основе искусственного интеллекта будут незаменимы для выявления аномалий в большом количестве событий информационной безопасности, например, путем анализа журналов СЗИ, данных из SIEM-систем или SOAR-решений. Эта информация, вкупе с данными уже отработанных и закрытых инцидентов ИБ, будет представлять собой качественный размеченный dataset, на котором системе можно будет легко обучиться. Классические системы анализа отклонений построены, как правило, на некоторых заранее заданных операторами правилах: например, превышение объема специфического трафика, определенное количество неуспешных попыток аутентификации, некоторое количество последовательных срабатываний СЗИ. Системы же на базе искусственного интеллекта смогут принять решение самостоятельно, без «оглядки» на правила, ранее созданные сотрудниками ИБ, которые, возможно, уже потеряли актуальность и не учитывают изменившуюся ИТ-инфраструктуру. Детектирование аномалий может помочь в защите пользовательских данных - например, банковский интернет-сервис может собирать и анализировать данные о паттернах (характерных признаках, шаблонах) работы клиентов с тем, чтобы оперативно выявлять скомпрометированные учетные записи. К примеру, если пользователь на протяжении последнего года подключался к сервису с российского IP-адреса по будням в рабочее время и использовал браузер Internet Explorer, то в случае подключения с территории Китая с использованием браузера Mozilla Firefox в ночное время следует, возможно, на время заблокировать учетную запись этого пользователя и отправить ему оповещение. Финансовые организации могут использовать системы машинного обучения и искусственного интеллекта также для проведения оценки (скоринга) заемщиков, анализа финансовых рисков, в анти-фрод системах. Другой моделью использования систем искусственного интеллекта в кибербезопасности является работа с внутренними нарушителями: зная типичное поведение пользователя, система может отправить предупреждение аналитикам ИБ в случае существенного изменения модели работы сотрудника (посещение подозрительных сайтов, длительное отсутствие за рабочим ПК, изменение круга общения при переписке в корпоративном мессенджере и т.д.). Системы защиты, оснащенные компьютерным зрением и обработкой речи, смогут оперативно оповещать охрану о попытках прохода через проходную посторонних или сотрудников по чужим пропускам, анализировать рабочую активность сотрудников с помощью веб-камер, оценивать корректность общения менеджеров с клиентами по телефону.
При этом не следует забывать и то, что системы на базе искусственного интеллекта используют и киберпреступники: известны мошеннические приемы использования Deep fake (создание реалистичного виртуального образа человека) для обмана анти-фрод систем, подделки голосов для мошеннических звонков родственникам атакованных лиц с просьбой перевести деньги, применения телефонных IVR-технологий для фишинга и хищения денежных средств. Во вредоносном ПО также используются элементы искусственного интеллекта, которые позволяют атакующим гораздо быстрее повышать свои привилегии, перемещаться по корпоративной сети, а затем находить и похищать интересующие их данные. Таким образом, технологии, ставшие доступными широкой публике, используются как во благо, так и во вред, что означает, что бороться с такими подготовленными киберпреступниками можно и нужно с применением самых совершенных средств и методов защиты.