Несмотря на положительную динамику рынка, ориентацию заказчиков на практическую безопасность и ужесточение законодательства, в будущем году компании могут столкнуться со всплеском целевых атак, возрождением промышленного шпионажа и возвращением кибероружия. Positive Technologies подвела итоги года в области информационной безопасности и представила ряд возможных сценариев, которые могут угрожать бизнесу, государству и частным лицам в 2019 году.
Рост рынка ИБ в России составит 10% по сравнению с 2017 годом. Драйвером стал запуск отдельных проектов федерального уровня в области цифровизации (например, перевод городского хозяйства на новые технологии, появление умных городов, транспорта, государственных сервисов), а также активность ряда крупных компаний в сфере информационной безопасности.
Средний прирост числа инцидентов за три квартала этого года составил 34%. Одна из причин — существенно снизившийся порог входа в киберпреступность: злоумышленнику уже не нужно обладать высоким уровнем знаний в области IT, достаточно купить готовые инструменты и инструкции в дарквебе. Новое поколение универсальных троянов можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами.
Промышленный шпионаж снова в моде. Все больше атак направлено на хищение данных (планов стратегического развития, информации ограниченного доступа и т. п.). В течение года эксперты PT Expert Security Center зафиксировали на территории России и стран СНГ активность 12 различных APT-группировок, нацеленных именно на получение информации. Первые следы одной из этих группировок (TaskMasters) в инфраструктуре нескольких промышленных компаний датируются 2010 годом.
Фишинг — основной метод проникновения. Он использовался в 61% атак на банки в первом полугодии 2018 года. Так действуют, например, группы Cobalt и Silence. Наиболее вероятной мишенью преступников в этом случае остаются банки среднего звена, которые не готовы вкладывать сверхбюджеты в обеспечение собственной безопасности.
Все больше уязвимостей в АСУ ТП. Показатели на конец осени 2018 года уже превышали прошлогодние на 10%. Только за прошедший год с помощью экспертов Positive Technologies было выявлено и устранено около 30 уязвимостей, еще чуть более сотни отправлены вендорам и ожидают соответствующих патчей. В оборудовании и SCADA-системе одного из исследованных производителей в этом году обнаружено более 50 уязвимостей нулевого дня.
Кража информации как многофункциональный сервис. Пароли и логины от различных «учеток» и данные банковских карт занимают около 80% всей информации, продаваемой в дарквебе. Средняя стоимость данных одной карты с балансом от нескольких сотен долларов составляет всего 9 $. Текст SMS-сообщения, содержащего одноразовый код для проведения платежа, можно оперативно получить за 250 $.
Среди возможных негативных сценариев 2019 года эксперты Positive Technologies отметили инциденты с кибероружием. История, начавшаяся со Stuxnet и Industroyer, может получить продолжение. Так, в этом году были обнародованы детали атаки с использованием кибероружия Triton, которое заточено под специфическое оборудование Schneider Electric. Исходники попали в сеть и в следующем году, возможно, будут использованы для различных атак.
Банкоматы могут начать взламывать серийно. В даркнете сегодня можно купить не только сам инструмент и инструкцию по эксплуатации, но и техническую поддержку. Стоимость такого ВПО начинается от 1500 $. По данным Positive Technologies, до 69% банкоматов уязвимы для атак Black Box, до 85% для атак на сетевом уровне и до 76% — для выхода из режима киоска.
Скрытый майнинг может остановить завод. Пять лет назад продажа доступа к 1000 взломанных ПК приносила злоумышленнику до 20 $, теперь же, имея доступ к этим же 1000 ПК, он может заработать до 600 $ ежемесячно на майнинге криптовалюты — несмотря на падение курса. Страдают даже коммунальные службы: в феврале на серверах некоторых европейских водоочистительных сооружений был обнаружен майнер криптовалюты Monero. Такая паразитная нагрузка для промышленных систем чрезмерна и может достаточно быстро нарушить технологический процесс.
Хакеры могут повлиять на курсы акций и валют. Согласно исследованию Positive Technologies, cлабая защищенность трейдинговых приложений может привести к тому, что атаки на пользователей бирж станут массовыми в ближайшие год-полтора.
Перехват SMS-сообщений продолжает сохранять актуальность. Массовые атаки с использованием уязвимостей мобильной связи начнутся, если кибергруппировки окажутся быстрее операторов мобильной связи, предпринимающих усилия по нейтрализации угроз. В настоящее время уязвимы около 78% сетей, и перехват SMS возможен в 9 из 10 случаев. При этом в даркнете уже можно купить подписку на получение и подделку чужих SMS в реальном времени всего за 20 $ в месяц.
Процессоры могут выдать информацию о своих владельцах. Есть области, в которых меры безопасности реализованы максимально жестко, и фишинг не работает, поэтому эксплойты под процессорные уязвимости могут создаваться продвинутыми кибергруппировками уже сейчас. Сделать процессорные атаки массовыми могут либо новый способ их монетизации, либо утечка готового инструментария, как это было в случае с EternalBlue.
Города могут остаться без интернета. Власти Великобритании выпустили руководство по обеспечению защиты интернета вещей от распространенных кибератак, закон об IoT вышел в Калифорнии. Однако сегодня в мире существует множество так называемых end-of-life-устройств, производство которых завершено, вендор прекратил выпуск обновлений ПО, а значит, и обнаруженные позже уязвимости никогда не будут закрыты. В случае с end-of-life-роутерами атакующие могут блокировать доступ к интернету сотням тысяч пользователей, перенаправлять пользователей на поддельные страницы онлайн-банков и интернет-магазинов для перехвата паролей.
Многим придется отключить Bluetooth. В сентябре 2018 года во всем мире оставалось около 2 млрд устройств, подверженных уязвимостям BlueBorne, которые позволяют красть данные на устройствах, заражать их вирусами-вымогателями или создавать ботнеты. Уязвимы 734 млн устройств на базе Android 5.1 и более ранних версий, свыше 260 млн устройств на Android 6.0 и 50 млн iOS-устройств на базе версий 9.3.5 и ниже.
Тайные APT могут стать явными. По итогам прошлого года эксперты компании отметили, что так или иначе с целевыми атаками столкнулась практически каждая вторая организация. В 2018 году ситуация сохранилась. Благодаря давлению регуляторов объекты КИИ обратят внимание на собственную инфраструктуру и с большой долей вероятности увидят, что уже были атакованы какое-то время назад.