Компания Digital Security, специализирующаяся на анализе защищенности систем, представила прогноз ключевых угроз и тенденций в сфере ИБ в 2016 году. Ведущие эксперты компании предложили свое видение главных трендов и проблем безопасности по основным направлениям деятельности. Мировые тренды прокомментировал Дмитрий Евдокимов, директор исследовательского центра Digital Security.
Тема безопасности автомобилей в наступившем году выйдет на новый уровень. Производители комплектующих и ПО активно набирают в штат специалистов по ИБ, обладающих компетенцией в сфере программных и аппаратных уязвимостей. В частности, Charlie Miller и Chris Valasek пришли в Uber, Chris Evans из Google’s Project Zero сотрудничает с Tesla Motors, а George Hotz (Geohot) организовал компанию по созданию self-driving car.
С каждым годом интерес к беспилотным летательным аппаратам растет. Услуги с использованием таких девайсов предлагают сегодня не только стартапы, но и крупные организации: доставка грузов, тушение пожаров в труднодоступных местах, фотосъемка. В сфере развлечений активно проводятся гонки дронов, а недавно на Consumer Electronics Show 2016 был представлен пассажирский дрон, прототип которого анонсировали в начале года 2015 года.
По понятным причинам, в этой сфере начинают активизироваться злоумышленники. И есть все основания полагать, что беспилотные устройства не останутся без внимания специалистов.
Умные устройства входят в повседневную жизнь. Производители активно выпускают телевизоры (SmartTV), часы, холодильники и другие бытовые приборы с расширенным функционалом. Энтузиасты могут отслеживать изменения, происходящие в данной сфере, на площадках типа Kikstarter. Традиционно: как только технология становится массовой, у злоумышленников появляется интерес реализации атак и мошеннических схем, поскольку вопросам безопасности при разработке новинок по-прежнему не уделяется достаточно внимания.
В наступившем году наверняка продолжит расти и развиваться рынок эксплоитов (программ для эксплуатации уязвимостей и реализации атак). Интерес к данному направлению, помимо злоумышленников, проявляют производители популярного ПО и государственные организации. Цены на эксплоиты растут, наблюдается интерес к различным техникам обхода определенных механизмов безопасности. Увеличение стоимости таких программ закономерно, поскольку с каждым годом создание стабильного эксплоита становится все более сложной задачей, сопряженной с проведением глубоких исследований посредством квалифицированных кадров.
В 2015 году резко возросло количество пользователей различных мессенджеров, заинтересованных в приватности и/или анонимности. Спецслужбы разных стран, напротив, активно стали проводить исследования в области деанонимизации как собственными силами, так и с привлечением сторонних экспертов. Эти структуры сегодня готовы платить за такие услуги, как деанонимизация пользователей Tor, взлом конкретных крипто-мессенджеров и т.д. Есть все основания полагать, что в 2016 году атаки/исследования, связанные с деанонимизацией и нарушением приватности переписки, будут очень востребованы.
Илья Медведовский, генеральный директор Digital Security, не сомневается, что в нынешнем году продолжит развитие тенденция, обозначившаяся в 2015 году, — появление и эксплуатация уязвимостей телекоммуникационного оборудования. Обнаруженные в минувшем году «импланты» в прошивках маршуртизаторов Cisco и бекдор в устройствах Juniper стали своего рода «первыми ласточками», и в ближайшее время стоит ожидать новых инцидентов.
Безусловно, одним из главных мировых трендов в 2015 г. стало массовое обнаружение уязвимостей в средствах защиты и, прежде всего, в антивирусах. Нашумевшие истории с проблемами безопасности FireEye в середине 2015, обнаружение бекдора в Fortinet и критичной уязвимости в антивирусе Trend Micro в самом начале 2016 года явно свидетельствуют о серьезном кризисе в данной сфере. Стоит ожидать, что эта тенденция получит мощное развитие в 2016г.
Безопасность банков и организаций финансового сектора прокомментировал Алексей Тюрин, директор департамента аудита защищенности Digital Security: «Год назад мы прогнозировали рост количества атак на внутрибанковские системы. И действительно, такие атаки перешли из разряда „экспериментальных“ в „широко используемые“. Злоумышленники отработали варианты как по проникновению внутрь корпоративной сети банка, так и по захвату контроля над критичными системами, и выводу денег из банка на внешние счета. Можно не сомневаться, что в наступившем году эта тенденция усилится. Ведь многие банки еще не готовы противостоять таким атакам ни технически, ни организационно. Кроме того, из-за отзыва лицензий и сокращений, многие специалисты по ИБ потеряли работу. Информация о внутренних специфических банковских системах стала доступнее для злоумышленников. Схемы атак на банки (в особенности — по выводу денег) значительно усложнились, и продолжат развиваться, добавляя проблем службам безопасности».
Далее, будет расти количество атак на пользователей с применением социальной инженерии. Сейчас активно повсеместно используются браузеры Chrome и FireFox с автоматическим обновлением. Теперь злоумышленникам не так просто применять схемы, подразумевающие отсутствие своевременных патчей. Именно поэтому в ход идут сценарии с элементами социальной инженерии, «стимулирующие» пользователей самостоятельно устанавливать зловредное ПО.
Среди важных позитивных тенденций года стоит отметить более широкое внедрение технологий TLS/HTTPS. Этому поспособствует развитие протокола HTTP/2, в котором TLS будет присутствовать практически по умолчанию, а также деятельность проекта Let’s Encrypt, предусматривающего бесплатную раздачу SSL-сертификатов. Широкое применение таких технологий позволит усилить защиту данных пользователей.
Безопасность ERP-систем прокомментировал Дмитрий Частухин, директор департамента аудита SAP Digital Security: «Все больше компаний внедряет различные ERP-платформы. При этом, растет и количество доступных из сети Интернет SAP-систем и их компонентов. Наверняка в 2016г. будет увеличиваться количество атак на такие платформы. Более того, вырастет и число инцидентов, связанных с атаками на внутреннюю инфраструктуру компаний и с попытками компрометации критичных бизнес-данных, которые обрабатываются в ERP-системах».
Увеличится количество атак на специфичные для различных производств компоненты ERP-систем: нефтегаз, машиностроение и т.д. Используя специфику таких внедрений, злоумышленники будут пытаться не только скомпрометировать ERP-систему и данные в ней, но и получить доступ к технологическим процессам.
Будет ли 2016 год безопаснее предыдущего? Однозначно нет. Уязвимости становятся все сложнее, и обнаруживаются даже там, где раньше специалисты и не подумали бы искать их. Злоумышленники выбирают все новые цели, а методы их становятся все более изощренными и нацеленными на получение выгоды от киберопераций.