ИБ-сектор ведет нескончаемую войну с киберпреступниками. Основная сложность, с которой он сталкивается, — постоянно меняющийся вектор атак и смена тактик: как только ИБ-специалисты научились предотвращать или справляться с последствиями угроз, появляются новые, отмечают опрошенные порталом ZDNet эксперты.
В 2017 г. предприятиям больше всего досаждало вымогательское ПО (ransomware), тогда как в прошлом году хакеры перенацелились на распространение вредоносного софта для добычи криптовалют (cryptomining malware). Таким образом, за два минувших года преступники пополнили арсенал вредоносного ПО, который включает проверенные временем механики распространения троянских программ, фишинговых и хакерских атак, двумя новыми методами незаконного обогащения, которые стали настоящим бичем для организаций по всему миру. Что касается нынешнего года, то одна из основных тенденций — хакерские атаки стали более целенаправленными. Если в прошлом их проведение связывали с участием государств, которые проводили их с привлечением спецслужб, то теперь за проведение подобного рода атак взялись киберпреступники.
«Преступники постепенно смещают парадигму нанесения ударов с максимального количества к точечным целям. Некоторые группы хакеров подходят к осуществлению атак довольно избирательно, пытаясь точно определить демографические характеристики и другие метрики, которые помогут сузить вектор атаки», — говорит руководитель отдела по выявлению и изучению угроз Cybereason Ассаф Даан. Первая причина, которая привела к смене тактики, — жажда наживы. В случае воровства действительно ценных данных (промышленный шпионаж, корпоративные секреты, финансовые транзакции) или захвата при помощи вымогательского софта целевых систем, хакеры получат гораздо больше прибыли, чем при массированных атаках на широкие круги населения.
Вторая причина — злоумышленники пекутся о своей безопасности: атакуя вместо массированных целей одиночные объекты, они оставляют себе больше шансов на то, что их не раскроют. В итоге некоторые группировки предпочитают преследовать небольшую группу целей или даже один, но крупный объект. «Если бы я разрабатывал вредоносное ПО, которое предназначено для кражи финансовых данных британских банков, зачем мне заражать компьютеры людей, которые живут в Боливии или Китае? Чем шире область распространения вредоносного ПО, тем выше риск его обнаружения и, соответственно, угроза быть схваченным», — говорит Даан.
Сейчас мир киберкриминала разделился на две категории: если одни группировки не слишком заботятся о своем инкогнито и, рассылая зловредов направо и налево, сосредоточены на получении краткосрочной прибыли, то другие более осторожны — они занимаются поиском подходящих целей. «Границы между методами добычи информации, применяемыми спецслужбами (или контролируемыми ими группировками) и киберкриминалом, стали намного более размытыми», — считает вице-президент по обнаружению и реагированию на компьютерные вторжения ИБ-компании CrowdStrike Джен Айерс. Многие криминальные организации по-прежнему действуют слишком «шумно», однако в последнее время избрали другую тактику: вместо того, чтобы заниматься рассылкой спама, как они это делали раньше, хакеры начали активно вторгаться в корпоративные сети, проникать на незащищенные веб-серверы, воруя учетные данные и занимаясь разведкой, добавляет она.
Что касается других тенденций в сфере киберкриминала, то злоумышленники с целью избежания обнаружения и повышения атакующего эффекта принялись за проведение атак, которые не ориентированы на ПК под управлением Windows и другие распространенные на предприятиях устройства. Учитывая, что эти гаджеты регулярно применяются и постоянно получают свежайшие обновления безопасности, существует большая вероятность, что атака на них будет либо пресечена корпоративным файерволом, либо обнаружена самими пользователями.
Однако если злоумышленникам удается проникнуть непосредственно в сеть организации и взломать серверы напрямую, они могут на протяжении нескольких месяцев или даже лет действовать скрытно. Киберкриминал все чаще обращается к этому варианту атак. «Мы наблюдаем сдвиг вектора атак с конечных точек на серверы», — говорит главный исследователь Sophos Чет Вишневски. Он считает, что серверы часто более уязвимы, чем конечные точки (пользовательские устройства — смартфоны, планшеты и компьютеры). «Серверы лишены защиты уровня настольных компьютеров. Если для того, чтобы установить на ПК обновления с устранением брешей безопасности Patch Tuesday одной известной мне компании требуется 10 дней, то для серверов — 90 дней, — объясняет он. — В настоящее время серверы являются слабым местом корпоративной стратегии безопасности. Понимая это, преступники идут на их взлом».
Взлом отдельных ПК представляет проблему, но взлом серверов, являющихся частью ИТ-инфраструктуры, на которую полагается компания, может причинить гораздо больший ущерб. «Недавно наши клиенты подверглись воздействию этих атак, став жертвами вымогательств на сумму более миллиона долларов. Что лучше: заблокировать бабушкин ноутбук и попытаться получить за него выкуп в несколько долларов, или атаковать одну компанию, заблокировать восемь серверов и уйти с миллионом долларов?», — задается риторическим вопросом Вишневский.
Во многих случаях преступные кампании оборачиваются успехом, поскольку некоторые жертвы ransomware соглашаются платить выкуп. В то же время те, кто отказываются это делать, сталкиваются с тем, что в некоторых случаях дешевле заплатить, чем потом разгребать последствия хаоса, к которому может привести спусковой механизм ransomware. Например, атаковавшие городские власти Балтимора преступники потребовали выкуп в размере 76 тыс. долл. в биткоинах. Те отказались идти на уступки, однако нанесенный вымогательским ПО урон привел к финансовым потерям на сумму свыше 18 млн. долл.
Понимая масштаб опасности, многие компании для защиты от атак прибегают к установке специализированного ПО. В последние годы оно обогатилось искусственным интеллектом и машинным обучением, что повышает уровень защищенности пользователей от известных и неизвестных угроз. Пока что эти технологии надежно находятся в руках индустрии кибербезопасности, но возможно через какое-то время они попадут в руки киберпреступников. «Атаки с применением машинного обучения вполне возможны. Чтобы избежать обнаружения, программы-вредоносы научатся изменять код, выявлять методы своего обнаружения. ИИ-вредоносы появятся тогда, когда порог для входа в технологию снизится», — полагает директор по исследованиям F-Secure Микко Хиппонен.
К счастью, пока что ИБ-индустрия получила передышку — специалисты по ИИ и машинному обучению востребованы как никогда раньше, и, соответственно, компании нанимают их с большой охотой, предлагая повышенные зарплаты. «Ощущается катастрофическая нехватка экспертов в области машинного обучения. Если вы являетесь экспертом в этой области, вам не нужно заниматься уголовно наказуемой деятельностью, потому что вы без труда найдете компанию с отличной репутацией, которая будет платить вам большую зарплату и при этом вы будете путешествовать по всему миру», — сказал Хиппонен.
Чтобы поучаствовать в хакерской атаке и получить материальное вознаграждение, лет двадцать тому назад киберпреступникам требовались навыки по созданию и распространению вредоносных программ, сегодня же для этого требуется лишь стать участником многочисленных веб-форумов в даркнете. Дилетанты, которые практически не имеют опыта развертывания вредоносных программ, всего за несколько долларов могут купить комплект из них. Хиппонен считает, что со временем преступники наладят продажу злонамеренного ПО из даркнета, которое будет обладать возможностями ИИ.
«С каждым годом управление вредоносным ПО становится проще, а сами программы — изощреннее. Со временем системы станут настолько просты в использовании, что их сможет применять даже ребенок. И, к сожалению, это будет значить, что вредоносное ПО подружилось с машинным обучением. Может быть, это займет год, может немного больше времени, во всяком случае ждать осталось недолго», — делится прогнозами эксперт. Вооруженный ИИ вредоносный софт может создать новые проблемы для кибербезопасности, однако не исключено также, что их можно предотвратить, применяя качественные методы обеспечения безопасности.
К последним относятся традиционные схемы защиты: патчинг софта и систем в кратчайшие сроки. В особых случаях компании-разработчики предупреждают о том, что то или иное обновление имеет высший приоритет, но, в принципе, опытные администраторы тестируют практически все обновления безопасности, тем самым сводя к минимуму возможность проникновения вирусов на периметр предприятия. Но многие организации относятся к установке патчей безопасности безответственно, оставляя хакерам открытую дверь для атак, которые можно было бы легко предотвратить. «Хакеры всегда ищут легкие пути, и если вы позакрывали все известные уязвимости, шансы на то, что к вам подберутся, заметно снижаются», — говорит Вишневский.