Компания Fortinet обнародовала прогнозы, составленные специалистами отдела исследования угроз FortiGuard Labs и касающиеся развития угроз в 2019 г. и в последующие годы. В этих прогнозах говорится о методах и технологиях, которыми, по мнению исследователей Fortinet, киберпреступники будут пользоваться в ближайшем будущем, а также о важных стратегических изменениях, которые помогут защититься от предстоящих атак.
Многие преступные организации оценивают технологии атак не только с точки зрения их эффективности, но и учитывают затраты на их разработку, модификацию и реализацию. Таким образом, для остановки некоторых атак достаточно сменить сотрудника, модернизировать процессы и технологии. Одним из решений для организаций является внедрение новых стратегий и технологий, таких как машинное обучение и автоматизация, для выполнения утомительных и трудоемких задач, которые обычно требуют высокой степени контроля и участия человека. Такие новые стратегии защиты могут повлиять на стратегии киберпреступников, заставляя их модернизировать методы атак и прилагать больше усилий для развития. Учитывая все более широкое использование машинного обучения и автоматизации, мы можем заявлять, что киберпреступное сообщество, скорее всего, будет придерживаться описанных ниже стратегий. И специалистам в сфере кибербезопасности также придется им следовать.
Традиционный фаззинг представляет собой сложную технологию, которая используется в лабораторных условиях специалистами по исследованию угроз для обнаружения уязвимостей в аппаратных и программных интерфейсах и приложениях. Они вводят недопустимые, неожиданные или полупроизвольные данные в интерфейс или программу, а затем отслеживают такие события, как сбои, незадокументированные запуски процедуры отладки, ошибки утверждения кода и потенциальные утечки памяти. Но так как к этому процессу применяются модели машинного обучения, мы прогнозируем, что этот метод станет более эффективным и адаптированным. Поскольку киберпреступники начинают использовать машинное обучение для разработки автоматизированных программ фаззинга, они смогут ускорить процесс обнаружения уязвимостей «нулевого дня», что приведет к увеличению атак «нулевого дня», нацеленных на различные программы и платформы.
Как только алгоритм AIF попадет в систему, его можно нацелить на код в контролируемой среде для обнаружения эксплойтов «нулевого дня». Таким образом можно значительно повысить скорость внедрения атак «нулевого дня». Как только концепция «обнаружение уязвимостей нулевого дня как услуга» станет доступна, организациям придется кардинально изменить свой подход к безопасности, поскольку больше не будет способов предвидеть, где могут произойти такие атаки и как правильно от них защищаться. Больше всего проблем возникнет с изолированными или устаревшими средствами безопасности, которые используются во многих организациях.
Цена эксплойтов «нулевого дня» всегда была довольно высокой, прежде всего из-за времени, усилий и навыков, необходимых для их обнаружения. Но по мере развития технологии ИИ такие эксплойты перестают быть крайне редким явлением и превращаются в предмет торговли. Мы уже наблюдали коммерциализацию более традиционных эксплойтов, таких как программы-вымогатели и ботнеты, в результате чего возможности многих средств безопасности оказались ограничены. Быстрый рост количества и разнообразия доступных уязвимостей и эксплойтов, включая возможность быстрого обнаружения эксплойтов «нулевого дня» и предоставление их в качестве услуги, может радикально повлиять на выбор и стоимость услуг, доступных в глубоком Интернете.
Значительное развитие изощренных атак на базе технологии роевого интеллекта приближает нас к реальности больших групп ботов, которые называются «роевыми» сетями. Это новое поколение угроз будет использоваться для создания огромных роевых сетей, состоящих из интеллектуальных ботов, которые могут работать совместно и автономно. Такие роевые сети не только повысят требования к технологиям корпоративной защиты, но, как и в случае с обнаружением угроз «нулевого дня», окажут существенное влияние на базовую бизнес-модель киберпреступников. В итоге развитие технологий обнаружения эксплойтов и методологий атак приведет к кардинальному изменению бизнес-моделей, используемых киберпреступным сообществом. В настоящее время экосистема киберпреступности ориентирована главным образом на людей. За определенную плату профессиональные хакеры разрабатывают специальные эксплойты и даже новые модели, например «программы-вымогатели как услуга». Для этого хакерам требуется поддерживать различные ресурсы, в том числе выполнять разработку и тестирование эксплойтов, а также управлять внутренними серверами C2. Но при использовании автономных самообучающихся моделей «роевая сеть как услуга» объем непосредственного взаимодействия между заказчиком и хакером-разработчиком значительно уменьшается.
Возможность разделять роевую сеть на отдельные сегменты, выполняющие разные задачи, для достижения желаемого результата очень похожа на то, как мир переходил к виртуализации. В виртуализированных сетях с помощью ресурсов можно ускорять и замедлять работу виртуальных машин, ориентируясь исключительно на необходимость решения конкретных проблем, например, связанных с пропускной способностью. Аналогичным образом в роевой сети можно распределять или перераспределять ресурсы для решения конкретных проблем, возникающих в цепочке атак. Хакеры-разработчики предварительно программируют роевую сеть с помощью различных инструментов анализа и эксплойтов, а также используют самообучающиеся протоколы, которые обеспечивают согласованную работу всех компонентов для оптимизации атаки на протоколы. В результате, приобрести атаку для киберпреступников становится так же просто, как выбрать блюдо в меню.
Машинное обучение является одним из наиболее перспективных инструментов в наборе решений безопасности. Устройства защиты и системы безопасности могут обучаться для автономного выполнения конкретных задач, таких как определение базового поведения, анализ поведения для выявления изощренных угроз, а также отслеживание устройств и установка исправлений. К сожалению, этот процесс также может быть использован киберпреступниками. С помощью технологии машинного обучения киберпреступники смогут обучать устройства или системы не применять исправления и обновления к указанному устройству, игнорировать отдельные типы приложений или поведения, а также не регистрировать определенный трафик для обхода механизмов обнаружения. Это значительно повлияет на будущее машинного обучения и развитие технологии ИИ.
Для противодействия развитию подобных технологий организациям придется продолжать усложнять жизнь киберпреступникам. Ниже описаны стратегии безопасности, каждая из которых окажет влияние на деятельность киберпреступных организаций, заставив их менять тактику, модифицировать атаки и разрабатывать новые способы оценки возможностей. Стоимость атак будет расти, в результате чего хакерам-разработчикам придется использовать больше ресурсов для получения того же результата либо искать более доступные сети.
Интеграция технологий обмана в стратегии безопасности, которые используют вариации сетей, созданные на основе ложной информации, заставит злоумышленников постоянно проверять свои данные об угрозах, тратить время и ресурсы на обнаружение ложных срабатываний и перепроверять, действительно ли сетевые ресурсы, которые они отслеживают, являются подлинными. А поскольку любые атаки на ложные сетевые ресурсы будут мгновенно обнаружены с автоматическим применением мер противодействия, злоумышленникам необходимо соблюдать предельную осторожность даже при выполнении таких базовых тактик как сканирование сети.
Один из самых простых способов получить максимальную выгоду от вложений в существующую атаку и зачастую обойти механизмы обнаружения — это просто внести незначительные изменения, например изменить IP-адрес. Эффективным способом, позволяющим отследить такие изменения, является активный обмен данными об угрозах. Благодаря постоянному обновлению данных об угрозах поставщики решений безопасности и их клиенты всегда будут в курсе последних угроз. Открытое сотрудничество между организациями, занимающимися исследованием угроз, отраслевыми альянсами, производителями решений безопасности и правоохранительными органами поможет существенно сократить время обнаружения новых угроз путем выявления тактики, используемой злоумышленниками. Благодаря анализу поведения потоков данных в режиме реального времени, осуществляемому в рамках открытого сотрудничества, средства защиты вместо того, чтобы только реагировать, смогут прогнозировать поведение вредоносного ПО и, таким образом, обходить текущую модель атаки. В результате, киберпреступники не смогут повторно использовать существующие вредоносные программы.
У стратегии защиты на основе автоматизации или машинного обучения нет будущего без комплексной системы сбора, обработки и применения данных об угрозах, использующей сложный механизм интеллектуального реагирования. Чтобы противостоять все более изощренным угрозам, организациям необходимо объединить все средства защиты в адаптивную систему сетевой безопасности, которая обеспечивает оперативное обнаружение угроз и принятие мер реагирования с увеличением охвата атак. Автоматизация сбора данных о продвинутых угрозах и обмена ими между всеми компонентами системы безопасности обеспечивает быстрое выявление и реагирование на угрозы. Интеграция специализированных решений, развернутых в распределенной сети, и стратегическая сегментация, существенно повышают эффективность борьбы с атаками, которые становятся все более интеллектуальными и автоматическими.