Эксперты «Positive Technologies» рассказали об угрозах и атаках в различных областях в 2021 году, а также поделились своими прогнозами в плане новых угроз, противодействия им и в целом развития кибербезопасности в 2022 году.
Был отмечен рост рынка информационной безопасности, не только из-за увеличившегося потока денег от клиентов, но и из-за появления игроков, готовых вкладывать деньги в компании, занимающиеся кибербезопасностью.
Вице-президент Борис Симмис говорил о том, что это был год активного обсуждения альянсов, создания совместных предприятий и слияний. Эти обсуждения частично сыграют в пользу наращивания объема рынка в следующем году, во многом за счет новых совместных идей. Также из позитивных итогов по отрасли можно отметить изменения в составах руководителей ИБ-служб (топ-менеджмент) – на эти роли приходят управленцы, а не специалисты-практики. С точки зрения ведения бизнеса и создания бизнес-процессов это помогает компаниям развиваться в условиях рынка, но из-за отсутствия понимания специфики ИБ это создает новую задачу: быстрое погружение в особенности работы высшего руководящего состава компаний.
Главный итог для самой компании – это выход ПАО «Группа Позитив» на Московскую биржу 17 декабря 2021 года. Это первое прямое размещение и листинг компании из сферы кибербезопасности на Московской бирже. Теперь с уверенностью можно говорить – в России на акционных биржах могут торговаться ИБ-компании.
Это что касается непосредственно глобальных итогов с развитием бизнеса кибербезопасности.
Но сначала об атаках
Сам бизнес строится не только на противодействии киберугрозам, но и на пентестинге в различных системах и инфраструктурах. Переходим к ним.
Здесь не все так радужно, но тоже есть подвижки и улучшения. Если говорить об атаках, то чаще всего атакующих в 2021 году интересовала определенная информация. Отсюда и характер атак — шпионаж, перепродажа, шантаж, так называемые АПТ-атаки. Из плюсов можно отметить, что есть целые отрасли, в которые было меньше всего атак или которые смогли успешно предотвратить их.
Чаще всего взломам подвергались сервисы, находящиеся на периметре. В 2021 году было много взломов с помощью уязвимостей с высокой оценкой критичности. С их помощью злоумышленник за пару шагов получал полный доступ к инфраструктуре. Но и это не самая большая проблема.
Самая большая проблема — как найденные в 2021 уязвимости будут эксплуатироваться в 2022. Да, многие уязвимости были найдены и даже закрыты. Но куда с помощью них смогли пробраться хакеры, какие данные были украдены или сервисы взломаны, точно не известно, так что, скорее всего, в нынешнем году будут всплывать последствия хакерских атак.
Например, небезызвестная Log4j.
Владимир Кочетков, «Positive Technologies»
Руководитель отдела исследований и разработки анализаторов кода
«Log4j — популярнейшая библиотека программного фонда Apache для журналирования событий, используемая в большинстве Java-приложений. В конце 2021 года в ней была обнаружена уязвимость класса JNDI-injection (CVE-2021-44228, "Log4shell"), позволяющая удаленно выполнять код на атакованном приложении. Детали об уязвимости оказались в открытом доступе, что в итоге привело к массовым атакам уязвимых приложений и сервисов, включая и крупных игроков, типа Apple, CloudFlare, Steam и т.п. Позднее были проработаны и опубликованы техники атак на данную уязвимость, также приводящие к выполнению произвольного кода, но уже не связанные с JNDI. Опасность уязвимости была обусловлена не только тем, что она позволяла выполнить произвольный код, но также и лёгкостью эксплуатации.
Буквально в первые же часы было опубликовано множество инструментов, позволявших находить и автоматически атаковать найденную цель. Это привело к огромному количеству успешных атак, о которых мы наверняка ещё узнаем в течение 2022 года.
В настоящий момент авторами log4j уже выпущено обновление v2.16.0, устраняющее данную уязвимость. Все приложения, использующие эту библиотеку, должны быть обновлены, как можно скорее. Поскольку атаки, связанные с этой уязвимостью, направлены в большей степени на серверную часть приложений и сервисов, рядовым пользователям не остаётся ничего, кроме смены своих учётных данных на всех успешно атакованных ресурсах (их неполный список доступен здесь: https://github.com/YfryTchsGD/Log4jAttackSurface
Для защиты ресурсов компаний малого и среднего бизнеса, необходимо убедиться, что во всех используемых в сети компании приложениях и сервисах, произошло обновление log4j до версии v2.16.0+ и временно отказаться от использования тех, для которых такого обновления пока нет».
Схемы атак наверняка будут теми же: подмена библиотек, подмена путей загрузки, компрометация доверенных отношений между доменами. В этой области появилось мало новых способов. Особенно стоит опасаться стремительно набирающим обороты облачным технологиям и технологиям контейнеризации.
Важная роль заключается в выявлении качества самих угроз. Каждый месяц можно выявлять сотни и тысячи уязвимостей в продуктах, которыми мало пользуются - это легко. Сложнее найти брешь в продукте, который популярен и используется львиной долей пользователей. Искать тяжело, но если их найти, то эффект будет более чем существенен – ведь это аффектит огромное количество людей и компаний.
Решения компании VmWare по оценкам IDC занимают примерно 80% рынка виртуализации — за прошлый год в них было найдено порядка 30 уязвимостей, 9 из них нашли и помогли устранить Positive Technologies.
В финансовом секторе сейчас злоумышленники активно целятся не на банкоматы или карты, а на онлайн-активность (пандемия внесла коррективы). Хотя основным методом и остался фишинг — на него приходится почти половина атак.
Часто использовались и различные шифровальщики. Кроме атак на сами компании и банки, имели место и атаки на клиентов. Например, различные ухищрения с воровством чужих данных карт, обход онлайн-проверок, кража выплат от государства. Здесь мошенники не гнушались и старой доброй подмены документов, пользуясь чужими именами или мертвыми душами.
Злоумышленникам помогают современные технологии, благодаря Deepfake в ОАЭ был подделан голос директора крупной компании, после чего мошенники позвонили одному из сотрудников и вынудили его перевести деньги на новые счета. Можно вспомнить подобный случай в Китае, где мошенники с помощью чужих фотографий и видеомонтажа создавали реалистичные псевдозаписи с камеры. Кстати, после этого в Китае ужесточили закон о персональных данных.
Хакерские атаки на промышленный сектор позволили обратить внимание на проблему силовых ведомств, после чего во второй половине 2021 наблюдался небольшой спад интенсивности атак. На этот сектор все еще приходится львиная доля всех атак, порядка 70 процентов в первом полугодии и 50 во втором. Это были шифровальщики, нацеленные на дестабилизацию работы предприятия, либо на откровенное вымогательство.
Нельзя пройти мимо эксплуатации уязвимостей и взломов блокчейн-технологий. Причем банальных уязвимостей в технологии уже нет, и каждая новая найденная уязвимость уникальна в своем роде.
Итак, данные атаки делятся на несколько категорий: первые связаны с поиском уязвимости в самом коде смарт-контрактов в Ethereum, второй — на стыке платформы, ведь Ethereum это дорогое удовольствие, и есть альтернативные варианты (solana или NEAR Protocol). И вот тут есть возможность взлома, касающаяся математических ошибок в логике смарт-контрактов, например, Flash Loan-атаки и конечно же, пользовательские, все тот же фишинг.
Учитывая не самый простой интерфейс криптокошельков, пользователи очень часто попадаются на сайты-обманки и передают свои данные мошенникам, здесь ущерб достигал огромных цифр (по данным компании Positive Technologies в 2021 году он доходил до $14 млрд).
А что по отраслям?
Лучше всего к отражению атак подготовился финансовый сектор. Отрасль смогла адаптироваться и внедрить технологии, защищающие и ее саму, и клиентов.
А вот в промышленном секторе, энергетике и производстве дела не столь радужны. Очень фрагментарный, если не сказать нулевой, охват системами мониторинга безопасности. Но это не вся проблема, даже в случае имеющихся инструментов управления ИБ они в 93% не настроены или не задействованы в полной мере (обновления, обнаружение уязвимостей). Это специфика отрасли, у некоторых предприятий очень сложно с остановкой производства, и многие могут ждать до полутора лет, чтобы сделать паузу для обеспечения кибербезопасности.
Кроме, того есть отрасль, непосредственно связанная с ИБ — это ИТ. Про проблемы взломов информационных систем уже писали. Сейчас хочется отметить позитивные показатели в области операционных систем.
Эксперты отметили положительные аспекты в безопасности цепочки поставок программного обеспечения. Вообще, операционные системы общего назначения — большой комплекс множества компонентов, причем у каждого есть свой жизненный цикл, и каждый влияет на цепочку поставки ОС. Без контроля этого всего нельзя выстроить безопасную работу. И опыт ИБ показывает, что это одинаково характерно для проприетарных систем и для систем с открытым кодом.
А ситуация с Log4j — доказательство тому, как можно устроить панику, когда нет четкого понимания цепочки информационной системы. Но уже есть подвижки, и отрасль старается больше времени уделять проблемам атак цепочки поставок (supply-chain attacks), например, есть соответствующий проект от Google – SLSA.
Кроме программной части, индустрия пытается создать механизмы по безопасности на аппаратном уровне. Тут тоже два вектора: первый – это ОС с использованием аппаратных средств доступа к памяти ARM Pointer Authentication Code (PAC), Intel Control-flow Enforcement Technology (CET) и так далее. А в 2022 году исследования и разработки в этом направлении будут продолжены, так что могут появиться новые решения или подвижки.
Второе – это внедрение цепочки доверенной загрузки, от аппаратного корня доверия. Например, чип Т2 у Apple, который является корнем доверия у macOS. Или разработки чипа Titan M у Google, на котором строится вся безопасность Android OS. Данные технологии затрудняют возможность атаки, например, не дадут поставить в систему руткит или затруднят поиск криптографического ключа оперативной памяти.
Мобильные ОС
Раз речь пошла об Android OS, то пора перейти к мобильным операционным системам и приложениям. В 2021 году эксперты нашли в 20 парах приложений для Android/iOS проблемы с небезопасным хранением данных. Есть мнение, что это связано с тем, что разработчики больше полагаются на механизмы безопасности в ОС и меньше внимания уделяют защите собственного приложения. В свою очередь такая позиция уменьшает уровни защиты, а взломщик, пользуясь проблемами в приложении, обходит и системную защиту. Еще разработчики игнорируют или проявляют небольшой интерес к защите своих приложений от противоправных исследований.
И при всех найденных уязвимостях тут есть положительные новости — бизнес стал проявлять больше интереса к безопасности приложений, и это не может не радовать.
Ну и, конечно, развитие ИИ и машинного обучения тоже с одной стороны помогает в ИБ и облегчает жизнь пользователям, с другой стороны — злоумышленники, как в случае с Китаем, пользуются общедоступными инструментами для собственного обогащения.
Тем более, что эта область сейчас только развивается, особенно в сфере биометрии и умных голосовых помощников. Последние задействованы как в банковских системах, так и просто в обычной жизни — умные колонки, смартфоны. А стремление компаний к созданию экосистемы только увеличивает шансы получить доступ к большему количеству информации, в том числе финансовой.
Но насколько сфера ИИ подготовлена или не подготовлена, пока судить рано. Хоть уязвимости уже и найдены, но их масштабы сложно оценить. Поэтому, как ни странно, увеличение применения технологий ИИ, биометрии, машинного обучения в различных областях общества, от бизнеса до повседневной жизни, даст представление о масштабах уязвимостей и их качестве.
Блокчейн и ко
Осталось обсудить блокчейн-технологии, deFi NFT, мультивселенные и прочие вещи, которые сейчас на слуху. Про атаки в этой области мы уже поговорили, давайте теперь про противодействие им.
С одной стороны, блокчейн — это анонимность, есть ник в сети, система децентрализована и все, поиск затруднен. С другой стороны, можно узнать, откуда появился баланс на определенном кошельке, и проследить цепочку на централизованной бирже Binance. На ней же все очень верифицируемо и реально. Хакеры, естественно, данную биржу не жалуют и используют специальные сервисы (Tornado Cash, к примеру), где можно скрыть историю получения денег. Но и тут не все так однозначно, появились сервисы, позволяющие определить, проходили ли финансы, участвующие в транзакциях, через Tornado Cash. В случае положительного ответа транзакцию блокируют.
С NFT все иначе. С одной стороны, данная технология пока используется только для каких-то виртуальных предметов, связанных с искусством, развлечением или сферой потребления. Поэтому просто украсть NFT-предмет будет сложно, в нем уже прописан владелец. А вот если злоумышленник предвосхитит генерацию NFT-коллекции, вот тут уже будет сложно доказать принадлежность предмета законному владельцу.
Какие есть сценарии развития? NFT-технология в рамках ее применения в ИТ и ИБ вполне подойдет для рассылки лицензий ПО, что может затруднить взлом тех или иных программных продуктов.
Заключение
Видно, что рынок информационной безопасности становится все больше востребован. Заметно расширение видов атак, угроз и эксплуатации уязвимостей. Можно отметить, что один из способов кражи данных повторяется во всех отраслях – это фишинг. И тут уже ответственность ложится и на пользователя или клиента, потому что гигиену ИБ тоже следует соблюдать. Да и методы социальной инженерии никуда не делись.
Еще из минусов — частичный кадровый голод, особенно на предприятиях и фирмах, не связанных с ИБ, но нуждающихся в ней. К сожалению, это связано и со сложностью технологий инструментов кибербезопасности, и с непониманием масштабов проблем отсутствия кибербезопасности. Но и тут есть положительная динамика – проявление интереса различных бизнес-структур к ИБ как к отрасли и как к поставщику услуг, и хоть и медленное, но движение в пользу простоты эксплуатации технологий ИБ.