Татьяна Игуменшева – директор по маркетингу компании Attack Killer
Прошли времена, когда секретная информация хранилась в голове разведчика или сейфе. Серверы, базы данных, веб-порталы – вот что сегодня требует пристальной защиты 24/7. «Арсенал» современных киберпреступников постоянно меняется, критические бизнес-процессы все более зависимы от безопасности информационных систем компании. Предупреждён – значит вооружен: из этой статьи вы узнаете, как меняются киберугрозы в последние годы.
Тренд №1. Новые атаки – дешевые
С самого начала эпохи интернета излюбленным инструментом злоумышленников стали DoS- и DDoS-атаки. Суть атаки проста: организовать огромное количество запросов на веб-сайт, после которого он перестанет быть доступным обычным пользователям. Сегодня организация DDoS – полноценный вид бизнеса, и мы видим, как расширяется массив тактик и становится более легким доступ к большому числу платформ и услуг, снижающих барьер для «вхождения» на рынок. DDoS становится сервисом – существуют сайты, позволяющие не только покупать, но даже планировать бюджет на подобные атаки. Чтобы арендовать ботнет, не нужен даже Deep Web: заказчику достаточно поискать в Google, понимать цели атаки и иметь аккаунт на PayPal. Большинство таких сайтов предлагают обычную «облачную» SaaS-модель – иными словами, «задидосить» конкурента стало так же легко, как создать сайт для бизнеса или подключить бухгалтерию. Например, в 2018 году почти любой человек может «заказать» атаку с минимальными вложениями. Устроить конкуренту DDoS будет стоить от пяти долларов до тысячи, в зависимости от желаемых параметров: продолжительности, интенсивности, уровня защищенности атакуемых ресурсов.
Одна из причин в том, что в нелегальный бизнес приходят несовершеннолетние. Национальное Агентство по борьбе с преступностью Великобритании расследовало массив киберпреступлений и подготовило отчет, который показал интересные цифры: основными «взломщиками» компьютеров и онлайн-мошенниками стали 17-летние подростки, а некоторым подозреваемым вообще было по 10 лет. Широкий доступ к DDoS-cервисам формирует новое поколение киберпреступников, которым потребуется мало знаний, навыков или ресурсов, чтобы устраивать атаки.
Меняется и длительность кибератак: в 2017 году 90% всех сетевых атак продолжались менее получаса и только 0,1% атак длились более суток. Это связано с услугами серверов-ботнетов, которые позволяют делать короткие немассированные атаки. Такие сервисы становятся доступны непрофессионалам – обычным пользователям интернета и активно набирают популярность. В мире становится все больше устройств, которые собираются в ботнеты – с распространением интернета вещей атаковать веб-сайт может не только компьютер, но и утюг или, к примеру, холодильник. Например, ботнет Mirai собрал немыслимое количество камер, маршрутизаторов, серверов DVR и даже кофеварок с Wi-Fi, а после атаковал Dyn, одного из крупнейших провайдеров DNS-серверов в мире. Атака привела к тому, что популярные ресурсы – Twitter, eBay, New York Times, CNN – часами не открывались у пользователей.
Атаки за пару долларов и ботнеты – побочный продукт новой реальности, где услуги по разрушению бизнеса доступны каждому. Это означает, что каждая компания, даже самая небольшая, должна иметь в запасе как минимум самые необходимые комплексные инструменты защиты своих веб-ресурсов, приложений и других точек входа в информационные системы.
Тренд №2. Простые атаки – в прошлом
Из года в год атаки становятся сложнее. Сегодня в тренде комплексные нападения, которые могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры: электронную почту, веб-браузеры, медийные объявления, гиперссылки, файлы, приложения и внешние устройства. И в этом случае это уже не просто доступные для молодежи развлечения, но бизнес по краже информации и денег.
Еще 5 лет назад большинство веб-атак, зафиксированных различными средствами защиты, были простыми – использовался всего один инструмент для кибернападения, такие атаки с лёгкостью отслеживались ИБ-специалистами. Сегодня количество простых нападений практически сходит на нет: в 2017 году их количество уменьшилось на 20%. Зато существенно увеличивается число сложных атак – под ними подразумеваются нападения, комбинирующие в себе несколько способов и различных инструментов. Например, первая часть атаки часто используется для отвлечения внимания.
Один из наиболее распространенных способов: злоумышленники начинают DoS- или DDoS-атаку, чтобы замедлить работу средств защиты. С их помощью хакеры перегружают системы анализа и управления средствами безопасности. Под прикрытием такой атаки преступники и совершают то, ради чего все задумывалось, например проводят единичные запросы по введению SQL-инъекции.
С течением времени «изощренность» атакующих становится все выше, а схемы – сложнее. В 2015 году классической была схема «начинается DDoS-атака – жди нескольких “случайных” инцидентов». Прошло всего три года, и нападения стали крайне разнообразными, например: временные атаки, когда на один и тот же объект раз в сутки в течение часа совершаются повторяющиеся действия, не приводящие ни к каким последствиям. Это надоедает специалисту по ИБ, он отключает уведомления на этот тип атак либо заставляет систему его игнорировать, снимая внимание с участка защиты, чем и пользуется злоумышленник. От сложных атак можно защищаться только комплексно. Кроме того, выполнять рутинную работу по анализу инцидентов должны уже не специалисты по информационной безопасности, а автоматизированные системы. Сегодня для этого используются системы на основе искусственного интеллекта, которые способны учиться на прошлом опыте и, в отличие от людей, не «отвлекаются», не болеют и не поддаются эмоциям.
Тренд №3 Атаковать будут всех
Если еще пять-десять лет назад главной целью атак было похищение денег, то сейчас мошенникам все больше становится интересна конфиденциальная информация. В цифровом виде информация стала одной из универсальных валют. Особенно привлекают злоумышленников персональные данные, которые чаще всего воруют для получения прибыли: их продают на черном рынке или используют для дальнейших нападений. Способов хищения может быть множество. Самое безобидное – включение контактной информации в базы рассылок и обзвонов для предложений товаров и услуг. Доступ к чужим страницам в соцсетях – доступ к базе друзей и знакомых для выманивания денег и показа рекламы. Если злоумышленникам становятся известны данные паспортов или платежных карт, они смогут воровать деньги и непосредственно у пользователей. Правда, в случае с кредитами и переоформлением активов часто необходима «поддержка» сотрудников банка – ведь для получения денег используется несколько ступеней идентификации, включая личное присутствие или голосовое подтверждение.
Одним из серьезных инцидентов 2018 года стала компрометация персональных данных более миллиарда человек в Индии. Злоумышленники взломали систему AADHAAR – это крупнейший национальный идентификатор, в котором, помимо прочего, хранятся биометрические данные. Всего-лишь за восемь долларов любой желающий мог купить у хакеров ключ доступа к информации.
Еще одна цель: манипулирование общественным мнением. Так, одной из самых громких в 2018 году стала компрометация 50 млн пользователей Facebook. Выяснилось, что пару лет назад исследователи Кембриджа с помощью специального приложения собирали информацию о пользователях в научных целях, но затем передали ее компании Cambridge Analytica, которая, предположительно, могла использовать ту в политических проектах – во время кампании Дональда Трампа в 2016 году. Парламенты США и Великобритании начали глобальное расследование, а социальная сеть потеряла десятки миллиардов долларов и понесла колоссальный репутационный ущерб.
Обостряется конкурентная борьба в бизнес-среде. Компании вынуждены бороться за своё существование и готовы использовать для этого практически любые методы, в том числе атаки серверов конкурентов для получения коммерческой информации – хотя такие случаи практически никогда не «всплывают» и не попадают в СМИ.
Банковский сектор всегда был наиболее хорошо защищен; сегодня системы киберзащиты в банках обойти очень непросто. Из-за этого злоумышленники переключились на кражу информации, ведь данные в 21 веке – те же деньги. Это означает, что необходимость защиты данных возникает практически у любого бизнеса, даже если раньше его руководители не задумывались об этой проблеме. Разумеется, выделять бюджеты на штатных специалистов по кибербезопасности могут позволить себе не все, но вот комплексные системы защиты от атак, которыми сможет управлять ИТ-департамент, нужны каждому.
Тренд №4. Квалифицированных ИБ-специалистов не хватит
Еще одна проблема – человеческий фактор. С одной стороны, специалистам по ИБ приходится много времени посвящать повышению квалификации, так как новые инструменты и виды кибератак появляются с каждым годом. С другой – учебные заведения не успевают покрывать потребности мировой экономики в квалифицированных кадрах. Это подтверждают исследования Национального института образования в кибербезопасности (NICE), исходя из которого, в 2017 году только в США 285 тысяч ИБ-позиций пустовало. В отчете компании FireEye «M-Trends 2018» растущая нехватка специалистов по кибербезопасности называется «невидимым риском». Исследователи отмечают, что для полноценной работы центра кибербезопасности (CDC) внутри компании сегодня требуется минимум 9-12 штатных сотрудников, и цифра будет только увеличиваться. Более того, компаниям часто приходится инвестировать в развитие и поддержку отдельных компетенций по ИБ: анализ вредоносного кода и статистики нападений, поиск угроз, расследование инцидентов становятся для крупных компаний самостоятельными направлениями работы.
Еще один нюанс вызван непосредственно с развитием атак: ИБ-специалистам все труднее отражать многоступенчатые атаки, а чем больше становится угроз, тем сложнее для ИБ-служб искать квалифицированных экспертов. Поэтому компании все пристальнее обращают свое внимание на автоматизированные решения, которые могли бы постоянно обучаться, эффективно отражать и предотвращать веб-нападения.
Квалифицированных ИБ-специалистов не хватает. Особенно это касается регионов: здесь эксперты в области кибербезопасности не успевают перенимать опыт коллег. В результате складывается опасная ситуация: веб-атаки развиваются глобально, а развитие специалистов ограничивается возможностями, которые есть в регионе. Это в свою очередь означает, что специалистам в области кибербезопасности нужны универсальные инструменты, максимально автоматизирующие все рутинные операции и обновляемые по мере развития угроз.
Источник
Автор: rina